Teoria Parcial I

Vista previa del material en texto

El​ ​proceso​ ​de​ ​la​ ​administración​ ​estratégica 
La estrategia de una compañía es el “plan de acción” que tiene la administración para 
posicionar a la empresa en la arena de su mercado, conducir sus operaciones, competir con 
éxito, atraer y satisfacer a los clientes y lograr los objetivos de la organización. Al crear un 
curso estratégico, la administración expresa que “entre todas las trayectorias y acciones que 
habríamos podido elegir, hemos decidido seguir esta dirección, centrarnos en estos 
mercados y en estas necesidades de los clientes, competir de esta forma, asignar nuestros 
recursos y energías de estas maneras y confiar en estas formas particulares de hacer 
negocios”. 
El modelo de negocio de una empresa tiene que ver con los aspectos económicos de 
ingreso-costo-beneficio de su estrategia; comprueba si determinada estrategia tiene sentido 
para una perspectiva de búsqueda de ganancias; es decir, que demuestre viabilidad en los 
negocios. 
La creación, la puesta en práctica y la ejecución de la estrategia son esenciales por dos 
razones: 
● La necesidad de modelar en forma proactiva cómo se llevarán a cabo los negocios 
de una compañía. La falta de una estrategia conscientemente elaborada constituye 
un elemento infalible para la inercia organizacional, la mediocridad competitiva, 
círculos​ ​viciosos​ ​internos​ ​y​ ​resultados​ ​deslustrados. 
● La necesidad de modelar las decisiones y acciones independientes iniciadas por las 
diversas divisiones, departamentos, administradores y grupos de toda la compañía 
en un plan de acción coordinado completamente compatible. Todas las acciones 
tomadas​ ​en​ ​distintas​ ​áreas​ ​del​ ​negocio​ ​necesitan​ ​apoyarse​ ​mutuamente. 
Administración​ ​estratégica 
 
El término administración estratégica se refiere al proceso administrativo conformado por las 
siguientes​ ​tareas: 
1. Desarrollar​ ​una​ ​visión​ ​estratégica​ ​de​ ​hacia​ ​dónde​ ​se​ ​dirige​ ​la​ ​organización. 
1 
2. Determinar objetivos: convertir la visión estratégica en resultados específicos del 
desempeño​ ​que​ ​deberá​ ​lograr​ ​la​ ​compañía. 
3. Crear​ ​una​ ​estrategia,​ ​con​ ​el​ ​fin​ ​de​ ​lograr​ ​los​ ​resultados​ ​deseados. 
4. Poner​ ​en​ ​práctica​ ​y​ ​ejecutar​ ​la​ ​estrategia​ ​elegida​ ​de​ ​una​ ​manera​ ​eficiente​ ​y​ ​efectiva. 
5. Evaluar el desempeño e iniciar ajustes correctivos en la visión, la dirección a largo 
plazo, los objetivos, la estrategia o la puesta en práctica en vista de la experiencia 
real, de las condiciones cambiantes, de las nuevas ideas y de las nuevas 
oportunidades. 
Desarrollo​ ​de​ ​una​ ​visión​ ​estratégica 
Una visión estratégica es un mapa del futuro de la empresa que proporciona detalles 
específicos sobre su tecnología y su enfoque al cliente, la geografía y los mercados de 
producto que perseguirá, las capacidades que planea desarrollar y el tipo de compañía que 
la​ ​administración​ ​está​ ​tratando​ ​de​ ​crear. 
Es decir, una visión estratégica refleja las aspiraciones de la administración respecto a la 
empresa y sus negocios al proporcionar una vista panorámica de “hacia dónde vamos” y al 
suministrar​ ​elementos​ ​específicos​ ​relacionados​ ​con​ ​sus​ ​planes​ ​de​ ​negocios​ ​futuros. 
Establecimiento​ ​de​ ​objetivos 
Los objetivos son las metas de desempeño de una empresa: los resultados y los logros que 
desea​ ​alcanzar. 
El propósito del establecimiento de objetivos es convertir los lineamientos administrativos de 
la​ ​visión​ ​estratégica​ ​y​ ​de​ ​la​ ​misión​ ​del​ ​negocio​ ​en​ ​indicadores​ ​de​ ​desempeño​ ​específicos. 
Cada unidad en una compañía necesita objetivos de desempeño concretos y mensurables, 
que contribuyan de una manera significativa al logro de los objetivos generales de la 
empresa. 
Se requieren dos tipos muy diferentes de criterios de desempeño: financiero y estratégico. 
Sin el logro de resultados financieros aceptables peligra la aspiración de una compañía al 
logro de su visión, así como su bienestar a largo plazo y su supervivencia. También se debe 
prestar atención al bienestar estratégico de una compañía, a su competitividad y a su 
posición​ ​de​ ​negocios​ ​general​ ​a​ ​largo​ ​plazo. 
Así​ ​se​ ​plantean: 
● Los ​objetivos financieros se relacionan con los resultados y logros monetarios que 
los​ ​administradores​ ​desean​ ​que​ ​logre​ ​la​ ​organización. 
- Aumento​ ​de​ ​utilidades. 
- Rendimiento​ ​aceptable​ ​sobre​ ​la​ ​inversión​ ​o​ ​valor​ ​económico​ ​agregado. 
- Crecimiento​ ​de​ ​dividendos. 
- Incremento​ ​en​ ​el​ ​precio​ ​de​ ​las​ ​acciones​ ​o​ ​de​ ​valor​ ​agregado​ ​de​ ​mercado. 
- Buen​ ​flujo​ ​de​ ​efectivo​ ​y​ ​crédito​ ​comercial. 
● Los ​objetivos estratégicos dirigen sus esfuerzos hacia mejorar las fortalezas 
competitivas de la organización, la posición de la compañía y los prospectos de 
negocios​ ​a​ ​largo​ ​plazo. 
- Incremento​ ​adicional​ ​en​ ​la​ ​participación​ ​del​ ​mercado. 
- Adelantarse a los competidores claves con respecto a la calidad del 
producto,​ ​servicio​ ​al​ ​cliente​ ​o​ ​innovación. 
- Incrementar​ ​la​ ​imagen​ ​de​ ​la​ ​empresa. 
2 
- Ejercer​ ​el​ ​liderazgo​ ​tecnológico. 
- Lograr​ ​una​ ​ventaja​ ​competitiva​ ​sustentable. 
- Lograr​ ​oportunidades​ ​de​ ​crecimiento​ ​atractivas. 
Es preciso definir si deben llevarse a cabo a corto o a largo plazo. Los objetivos a corto 
plazo enfocan la atención organización en la necesidad de mejoramiento y resultados 
inmediatos del desempeño. Los objetivos a largo plazo sirven para incitar a los 
administradores a considerar lo que se debe hacer ahora para colocar a la compañía en una 
posición​ ​en​ ​la​ ​cual​ ​se​ ​desempeñe​ ​bien​ ​a​ ​largo​ ​plazo. 
Cuando es necesario negociar entre el logro de objetivos a largo plazo y a corto plazo, 
deben​ ​tener​ ​preeminencia​ ​los​ ​objetivos​ ​a​ ​largo​ ​plazo. 
Creación​ ​de​ ​una​ ​estrategia 
Una estrategia refleja las elecciones administrativas entre las diversas opciones y es una 
señal del compromiso organizacional con productos, mercados, enfoques competitivos y 
formas​ ​de​ ​operar​ ​particulares​ ​de​ ​la​ ​empresa. 
Los​ ​cómo​ ​de​ ​la​ ​estrategia​ ​de​ ​una​ ​compañía​ ​por​ ​lo​ ​común​ ​son​ ​una​ ​mezcla​ ​de: 
- acciones​ ​deliberadas​ ​e​ ​intencionales. 
- reacciones​ ​que​ ​se​ ​requieran​ ​ante​ ​desarrollos​ ​imprevistos. 
- el​ ​aprendizaje​ ​colectivo​ ​adquirido​ ​sobre​ ​la​ ​organización​ ​a​ ​lo​ ​largo​ ​del​ ​tiempo. 
Las descripciones del contenido de la estrategia de la empresa necesariamente tienen que 
detallarse​ ​en​ ​gran​ ​medida. 
 
La figura describe las clases de acciones y enfoques que reflejan la estrategia general de 
una compañía. La estrategia actual suele ser una mezcla de enfoques anteriores y de 
acciones​ ​y​ ​reacciones​ ​novedosas. 
 
3 
Auditoría​ ​Informática​ ​de​ ​la​ ​Empresa 
Auditoría informática es el conjunto de procedimientos y técnicas para evaluar y controlar un 
sistema informático con el fin de verificar si sus actividades son correctas de acuerdo a las 
normativas. 
Verifica la correcta utilización de los recursos informáticos disponibles o por disponer, en 
función de la estrategia de la empresa y de los fines que ésta ha fijado. La auditoría 
informática no aborda otros temas de fraude que aquellos que puedan realizarse 
directamente​ ​desde​​los​ ​ordenadores​ ​y​ ​con​ ​los​ ​ordenadores. 
El auditor informático ha de velar por la correcta utilización de los recursos de una empresa, 
así​ ​como​ ​por​ ​el​ ​cumplimiento​ ​de​ ​la​ ​misión​ ​que​ ​la​ ​Informática​ ​tiene​ ​definida​ ​en​ ​la​ ​misma. 
La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y 
disfunciones. Subsidiariamente, aparecen o pueden aparecer sugerencias y planes de 
acción​ ​para​ ​eliminar​ ​las​ ​disfunciones​ ​o​ ​debilidades​ ​antedichas. 
Auditoría​ ​Informática​ ​Interna​ ​versus​ ​Externa 
La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la 
Empresa auditada. Los auditores internos son empleados de la empresa y, por tanto, son 
remunerados​ ​por​ ​ella. 
La existencia del auditor informático interno descansa tan sólo en dos soportes: la 
independencia y la confianza. Independencia en donde ningún otro órgano de la estructura 
informática, por importante que sea, tenga poder sobre ella. Confianza en que el auditor se 
limita a describir hechos y situaciones débiles de la informática y de su entorno inmediato, 
sin​ ​que​ ​quepan​ ​juicios​ ​de​ ​valor​ ​ni​ ​meras​ ​opiniones​ ​carentes​ ​de​ ​soportes​ ​de​ ​prueba. 
La auditoría externa es realizada por personas ajenas a la empresa auditada. Se presupone 
una mayor objetividad que en la Interna, apoyada tal presunción en el distanciamiento entre 
auditores​ ​y​ ​auditados. 
Las auditorías informáticas externas e internos no son excluyentes. Una empresa que 
posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. 
Las​ ​razones​ ​para​ ​hacerlo​ ​suelen​ ​hallarse​ ​en: 
● Necesidad de auditar una materia de gran especialización para la cual los servicios 
propios​ ​no​ ​están​ ​suficientemente​ ​preparados. 
● Contrastar algún informe interno con el que resulte del externo, en aquellos 
supuestos de emisión interna de graves recomendaciones que choquen con la 
opinión​ ​generalizada​ ​de​ ​la​ ​propia​ ​empresa. 
● Servir como mecanismo protector de posibles auditorías informáticas externas 
dictadas​ ​por​ ​la​ ​propia​ ​empresa. 
Habría que restringir la coexistencia de ambas a casos excepcionales, siquiera sea por 
razones​ ​económicas. 
En ambos casos es fundamental que el auditor interno o externo conozca perfectamente y 
sin​ ​dudas​ ​los​ ​objetivos​ ​a​ ​lograr​ ​en​ ​la​ ​realización​ ​de​ ​la​ ​auditoría​ ​informática. 
4 
Objetivo​ ​tácito​ ​y​ ​fundamental​ ​de​ ​la​ ​Auditoría​ ​Informática: 
Operatividad 
Cualesquiera que sean los objetivos perseguidos por la auditoría informática han de ir 
acompañados​ ​siempre​ ​del​ ​mantenimiento​ ​de​ ​la​ ​Operatividad​ ​de​ ​los​ ​ordenadores. 
La operatividad es una función de mínimos consistente en que la organización y las 
máquinas​ ​funcionen,​ ​siquiera​ ​mínimamente. 
Para​ ​conseguirla​ ​hay​ ​que​ ​acudir​ ​a​ ​la​ ​realización​ ​de: 
- Controles Técnicos Generales. Éstos se realizan para verificar la compatibilidad del 
funcionamiento simultáneo del sistema Operativo y el software de base con todos los 
subsistemas existentes, así como la compatibilidad del Hardware y del Software 
instalados. 
- Controles Técnicos Específicos. Son igualmente necesarios para lograr la 
Operatividad de los Sistemas. A menudo se han encontrado parámetros de 
asignación automática de espacio en disco que dificultaban o impedían su utilización 
posterior​ ​por​ ​una​ ​Sección​ ​distinta​ ​de​ ​la​ ​que​ ​lo​ ​generó. 
Revisión​ ​de​ ​controles​ ​de​ ​la​ ​gestión​ ​informática 
Una vez conseguida la Operatividad de los Sistemas, lo segundo es la verificación de la 
coherencia de las normas teóricamente existentes en el departamento de Informática con 
las​ ​del​ ​resto​ ​de​ ​la​ ​empresa. 
Para​ ​ello,​ ​habrán​ ​de​ ​revisarse​ ​sucesivamente​ ​y​ ​en​ ​este​ ​orden: 
● Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial 
registrando las áreas que carezcan de normativa y sobre todo verificando que esta 
Normativa General Informática no esté en contradicción con alguna Norma General 
no​ ​informática​ ​de​ ​la​ ​empresa. 
● Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en 
los sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas 
debería​ ​estar​ ​firmada​ ​por​ ​los​ ​responsables​ ​de​ ​Explotación. 
● Los Procedimientos Específicos Informáticos. Se revisará su existencia en las áreas 
fundamentales. Así, Explotación no debería explotar una Aplicación sin haber 
exigido de Desarrollo la pertinente documentación. Deberá comprobarse que los 
Procedimientos​ ​Específicos​ ​no​ ​se​ ​oponen​ ​a​ ​los​ ​Procedimientos​ ​Generales. 
Además de la coherencia, consistencia y compatibilidad de los Procedimientos Informáticos, 
debe observarse la adecuación de éstos a los de la empresa, e incluso su subordinación si 
resultara​ ​necesario. 
Lo que se persigue y pretende cuando se realiza una auditoría depende de si ésta es 
general​ ​o​ ​parcial​ ​de​ ​la​ ​función​ ​y​ ​órganos​ ​del​ ​Departamento​ ​de​ ​Informática. 
Los objetivos específicos están casi siempre incluidos en el título de la Auditoría y son 
sumamente​ ​variados: 
- Auditoría del funcionamiento, eficiencia y eficacia del Centro de Control de Batch del 
Departamento​ ​de​ ​Explotación. 
- Auditoría​ ​de​ ​verificación​ ​de​ ​Controles​ ​de​ ​acceso​ ​a​ ​las​ ​Salas​ ​de​ ​Ordenadores. 
5 
Alcance​ ​de​ ​la​ ​auditoría​ ​informática 
El alcance define con precisión el entorno y los límites en que va a desarrollarse la auditoría 
informática.​ ​Complementa​ ​el​ ​marco​ ​expresado​ ​en​ ​los​ ​objetivos​ ​de​ ​la​ ​auditoría. 
El alcance de la auditoría ha de figurar expresamente en el Informe Final, de modo que 
quede perfectamente determinado no solamente hasta que puntos se ha llegado sino cuáles 
materias​ ​fronterizas​ ​han​ ​sido​ ​omitidas. 
Características​ ​de​ ​la​ ​Auditoría​ ​Informática 
Utilidad​ ​económico-empresarial 
La mayoría de las empresas son conscientes de la necesidad de invertir en “información” 
para su compañía, en tanto esta “información” sea susceptible de reportar beneficios. Como 
Activo Real que es (así como Stocks o materias primas), han de realizarse inversiones 
informáticas,​ ​materia​ ​de​ ​la​ ​que​ ​se​ ​ocupa​ ​la​ ​Auditoría​ ​de​ ​Inversión​ ​Informática. 
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular; 
a​ ​ello​ ​se​ ​debe​ ​la​ ​existencia​ ​de​ ​la​ ​Auditoría​ ​de​ ​Seguridad​ ​Informática. 
Cuando se producen cambios estructurales en la Informática, se está reorganizando de 
alguna​ ​forma​ ​su​ ​función:​ ​se​ ​está​ ​en​ ​el​ ​campo​ ​de​ ​la​ ​Auditoría​ ​de​ ​Organización​ ​Informática. 
Tanto las auditorías informáticas de inversión como las de organización y seguridad, 
engloban​ ​a​ ​las​ ​actividades​ ​auditoras​ ​que​ ​se​ ​realizan​ ​en​ ​una​ ​auditoría​ ​parcial. 
Tendencias 
Usuario es el destinatario de los resultados que los Ordenadores elaboraban para ellos. Es 
el receptor de la actividad informática, repartido por toda la empresa y sin conocimientos 
informáticos​ ​(o​ ​muy​ ​limitados). 
Por lo que respecta a la auditoría informática, la solución de decidir el Modelo Informático de 
la​ ​Empresa​ ​y​ ​el​ ​Modelo​ ​de​ ​Sistema​​de​ ​Información​ ​pasa​ ​por: 
a. Analizar si el modelo elegido cumple los fines y se acerca a los objetivos de la 
empresa. 
b. Analizar el grado de facilidad con que dicho modelo cumple los fines anteriores, si es 
útil​ ​para​ ​la​ ​consecución​ ​de​ ​objetivos​ ​y​ ​fines. 
c. Analizar la economía del modelo, garantizando en lo posible que el elegido sea el 
más eficiente y el más eficaz para obtener los resultados que se le exigen, y que 
cualquier​ ​otro​ ​resultaría​ ​igual​ ​o​ ​más​ ​costoso. 
Las empresas muestran tendencia a mantener centralizadas las Máquinas y la 
Administración de sus Datos. La redundancia e inconsistencia de los mismos puede 
comprometer​ ​el​ ​propio​ ​Sistema​ ​de​ ​Información​ ​de​ ​la​ ​empresa. 
Síntomas​ ​de​ ​necesidad​ ​de​ ​la​ ​Auditoría​ ​Informática 
La Auditoría Informática interna tiene la ventaja de que puede actuar periódicamente 
realizando​ ​revisiones​ ​globales. 
Las empresas acuden a las auditorías informáticas externas cuando existen síntomas bien 
perceptibles​ ​de​ ​debilidad.​ ​Estos​ ​síntomas​ ​se​ ​agrupan​ ​en​ ​clases: 
 
 
6 
● Síntomas​ ​de​ ​descoordinación​ ​y​ ​desorganización 
- No coinciden los objetivos de la Informática de la Compañía y de la propia 
Compañía. Los objetivos informáticos habrán de subordinarse a los generales de 
la​ ​empresa. 
- Los estándares de productividad se desvían sensiblemente de los promedios 
conseguidos​ ​habitualmente. 
● Síntomas​ ​de​ ​mala​ ​imagen​ ​e​ ​insatisfacción​ ​de​ ​los​ ​usuarios 
- No se atienden las peticiones de cambios de los usuarios. Nos referimos a 
cambios de software en los terminales de usuario, refrescamiento de paneles, 
etc. 
- No se reparan las averías Hardware ni se resuelven incidencias en plazos 
razonables. 
- No se cumplen en todos los casos los plazos de entrega de resultados 
periódicos. 
● Síntomas​ ​de​ ​debilidades​ ​económico-financieras 
- Incremento desmesurado de costes. Analizar dónde se han producido o si es un 
incremento​ ​generalizado. 
- Necesidad de justificación de Inversiones informáticas. La empresa no está 
absolutamente​ ​convencida​ ​de​ ​tal​ ​necesidad​ ​y​ ​decide​ ​“contrastar​ ​opiniones”. 
- Desviaciones Presupuestarias significativas. En ocasiones se interviene más por 
aspectos​ ​cualitativos​ ​(desviaciones​ ​en​ ​partidas​ ​muy​ ​críticas)​ ​que​ ​cuantitativos. 
- Costes y plazos de nuevos proyectos. En estos casos debe auditarse 
simultáneamente​ ​a​ ​Desarrollo​ ​de​ ​Proyectos​ ​y​ ​al​ ​órgano​ ​que​ ​realizó​ ​la​ ​petición. 
● Evaluación​ ​del​ ​Nivel​ ​de​ ​Riesgos:​ ​Síntomas​ ​de​ ​inseguridad 
- Seguridad​ ​lógica. 
- Seguridad​ ​física. 
- Confidencialidad. Los datos son propiedad inicialmente de la organización que 
los​ ​genera. 
- Continuidad del servicio. Establece las estrategias de continuidad ante fallos 
mediante​ ​Planes​ ​de​ ​Contingencia​ ​Totales​ ​y​ ​Locales. 
- Centro​ ​de​ ​Proceso​ ​de​ ​Datos​ ​fuera​ ​de​ ​Control. 
Tipos​ ​y​ ​Clases​ ​de​ ​Auditorías​ ​Informáticas 
Las​ ​cuatro​ ​Áreas​ ​Generales​ ​de​ ​la​ ​Auditoría​ ​Informática​ ​más​ ​importantes​ ​son: 
● Auditoría Informática de Usuario. La Informática posee una actividad proyectada al 
usuario. 
● Auditoría Informática de actividades Internas. En la informática interna se hace la 
informática​ ​cotidiana​ ​y​ ​real. 
● Auditoría Informática de Dirección. El engarce del Departamento de Informática con 
el usuario se realiza por medio de la Dirección, la cual es capaz de interpretar las 
necesidades​ ​de​ ​la​ ​compañía. 
● Auditoría​ ​Informática​ ​de​ ​la​ ​Seguridad. 
Dentro de las áreas generales, es posible establecer las siguientes divisiones: Auditoría 
Informática de Explotación, de Sistemas, de Comunicaciones, de Desarrollo de Proyectos y 
de​ ​Seguridad.​ ​Éstas​ ​son​ ​las​ ​Áreas​ ​Específicas​ ​de​ ​la​ ​Auditoría​ ​Informática​ ​más​ ​importantes. 
7 
Debe resaltarse la dualidad que posee la Seguridad Informática: puede realizarse una 
Auditoría Informática de la Seguridad del contexto informático globalizado, mientras que en 
otras​ ​ocasiones​ ​podrá​ ​realizarse​ ​una​ ​auditoría​ ​de​ ​una​ ​aplicación​ ​concreta. 
 Interna Dirección Usuario Seguridad 
Explotación 
Desarrollo 
Sistemas 
Comunicaciones 
Seguridad 
Cada área informática específica puede ser auditada desde los siguientes criterios 
generales: 
- Desde​ ​su​ ​propio​ ​funcionamiento​ ​interno. 
- Desde el apoyo que recibe de la dirección y, en sentido ascendente, del grado de 
cumplimiento​ ​de​ ​las​ ​directrices​ ​de​ ​ésta. 
- Desde​ ​la​ ​perspectiva​ ​de​ ​los​ ​usuarios,​ ​destinatarios​ ​reales​ ​de​ ​la​ ​informática. 
- Desde el punto de vista de la seguridad que ofrece la Informática en general o la 
rama​ ​auditada. 
Auditoría​ ​Informática​ ​de​ ​Explotación 
La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: 
listados impresos, ficheros soportados magnéticamente para otros informáticos, órdenes 
automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la 
explotación se dispone de una materia prima: los datos, que es necesario transformar y 
someter​ ​previamente​ ​a​ ​controles​ ​de​ ​integridad​ ​y​ ​calidad. 
La transformación se realiza por medio del Proceso informático. Obtenido el producto final, 
los​ ​resultados​ ​son​ ​sometidos​ ​nuevamente​ ​a​ ​varios​ ​controles. 
Auditar Explotación consiste en auditar las secciones que la componen y sus 
interrelaciones, que son la planificación de la producción y la producción misma de 
resultados​ ​informáticos. 
Habitualmente, la explotación se divide en tres áreas: planificación, producción y soporte 
técnico.​ ​Cada​ ​una​ ​de​ ​éstas​ ​áreas​ ​tiene​ ​varios​ ​grupos. 
Control​ ​de​ ​Entrada​ ​de​ ​Datos 
Se analizará la captura de información. Se verificará que los controles de integridad y 
calidad​ ​de​ ​datos​ ​se​ ​realizan​ ​de​ ​acuerdo​ ​a​ ​Norma. 
Planificación​ ​y​ ​Recepción​ ​de​ ​Aplicaciones 
Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su 
cumplimiento y su calidad de interlocutor único. Deberán realizarse muestreos selectivos de 
la​ ​documentación​ ​de​ ​las​ ​Aplicaciones​ ​explotadas. 
8 
Centro​ ​de​ ​Control​ ​y​ ​Seguimiento​ ​de​ ​Trabajos 
Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la 
explotación informática ejecuta procesos por cadenas o lotes sucesivos (batch) o en tiempo 
real​ ​(teleproceso). 
Operación.​ ​Salas​ ​de​ ​Ordenadores 
Se analizan las relaciones personales y la coherencia de cargos y salarios, así como la 
equidad​ ​en​ ​la​ ​asignación​ ​de​ ​turnos​ ​de​ ​trabajo. 
Se​ ​verificará​ ​la​ ​existencia​ ​y​ ​grado​ ​de​ ​uso​ ​de​ ​los​ ​Manuales​ ​de​ ​Operación. 
Centro​ ​de​ ​Control​ ​de​ ​Red​ ​y​ ​Centro​ ​de​ ​Diagnosis 
Sus​ ​funciones​ ​se​ ​refieren​ ​exclusivamente​ ​al​ ​ámbito​ ​de​ ​las​ ​Comunicaciones. 
El Centro de Diagnosis es el ente en donde se atienden las llamadas de los 
usuarios-clientes que han sufrido averías o incidencias, tanto de software como de 
hardware. 
Debe ser auditado desde esta perspectiva, desde la sensibilidad del usuario sobre el 
servicio​ ​que​ ​se​ ​le​ ​dispensa. 
Auditoría​ ​Informática​ ​de​ ​Desarrollo​ ​de​ ​Proyectos 
La​ ​función​ ​de​ ​Desarrollo​ ​es​ ​el​ ​Análisis​ ​y​ ​Programación​ ​de​ ​Sistemas​ ​y​ ​Aplicaciones. 
Una​ ​aplicación​​recorre​ ​las​ ​siguientes​ ​fases: 
- Prerrequisitos​ ​del​ ​Usuario​ ​(único​ ​o​ ​plural)​ ​y​ ​del​ ​entorno. 
- Análisis​ ​funcional. 
- Diseño. 
- Análisis​ ​orgánico​ ​(preprogramación​ ​y​ ​programación). 
- Pruebas. 
- Entrega​ ​a​ ​Explotación​ ​y​ ​alta​ ​para​ ​el​ ​Proceso. 
El Desarrollo de una Aplicación debe estar sometido a un exigente control interno de todas 
las​ ​fases​ ​antes​ ​citadas. 
Una auditoría de aplicaciones pasa por la observación y el análisis de estas tres 
consideraciones: 
a. Revisión de las metodologías usadas. Se analizarán éstas, de modo que se asegure 
la modularidad de las posibles futuras ampliaciones de la aplicación y el fácil 
mantenimiento​ ​de​ ​las​ ​mismas. 
b. Control Interno de las Aplicaciones. La auditoría deberá revisar las mismas fases 
que​ ​ha​ ​debido​ ​seguir​ ​Desarrollo: 
1. Estudio​ ​de​ ​Viabilidad​ ​de​ ​la​ ​Aplicación. 
2. Definición​ ​Lógica​ ​de​ ​la​ ​Aplicación. 
3. Desarrollo​ ​Técnico​ ​de​ ​la​ ​Aplicación. 
4. Diseño de Programas: deberán poseer la máxima modularidad, sencillez y 
economía​ ​de​ ​recursos. 
5. Métodos de Pruebas: se utilizarán juegos de ensayo de datos, sin que sea 
permisible​ ​el​ ​uso​ ​de​ ​datos​ ​reales. 
6. Documentación. 
7. Equipo​ ​de​ ​programación. 
9 
c. Satisfacción de Usuarios. Una aplicación deberá considerarse fracasada si no sirve 
a los intereses del usuario que la solicitó. Debe desarrollarse contando con los 
puntos de vista del usuario durante todas las etapas del Proyecto. Esto evitará 
reprogramaciones​ ​y​ ​disminuirá​ ​el​ ​mantenimiento​ ​de​ ​la​ ​aplicación. 
d. Control de Procesos y Ejecuciones de Programas Críticos. El auditor deberá 
comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y 
el programa obtenido como resultado de su compilación y su conversión en 
ejecutable. Algunas consecuencias: errores de bulto que producirían graves 
retrasos,​ ​altos​ ​costes​ ​de​ ​mantenimiento,​ ​fraudes​ ​de​ ​incalculables​ ​dimensiones. 
Auditoría​ ​Informática​ ​de​ ​Sistemas 
Se​ ​encarga​ ​de​ ​revisar​ ​los​ ​siguientes​ ​grupos. 
Sistemas​ ​Operativos 
Los proporcionados por el fabricante junto con la máquina. Debe verificarse que los 
Sistemas están actualizados con las últimas versiones del fabricante. El análisis de las 
versiones de los sistemas operativos permite descubrir las posibles incompatibilidades entre 
algunos​ ​otros​ ​productos​ ​de​ ​Software​ ​Básico. 
Software​ ​Básico 
Lo constituye el conjunto de productos que, sin pertenecer al Sistema Operativo, configuran 
completamente los Sistemas Informáticos, haciendo posible la realización de funciones 
básicas​ ​no​ ​incluidas​ ​en​ ​aquél. 
Para el auditor es fundamental conocer los productos de software básico que han sido 
facturados aparte del propio ordenador. Ello, por razones económicas y por razones de 
comprobación de que el ordenador “podría funcionar” sin el producto adquirido por el 
cliente. 
Otra parte del Software Básico es el desarrollado e implementado en los Sistemas 
Informáticos por el personal informático de la empresa. El auditor debe verificar que ese 
software​ ​no​ ​agrede​ ​ni​ ​condiciona​ ​al​ ​Sistema. 
Software​ ​de​ ​Teleproceso 
Tunning 
Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del 
comportamiento​ ​de​ ​los​ ​subsistemas​ ​y​ ​del​ ​Sistema​ ​en​ ​su​ ​conjunto. 
El auditor deberá conocer el número de tunning realizados en el último año, así como sus 
resultados. 
Administración​ ​de​ ​Bases​ ​de​ ​Datos 
El auditor de Bases de Datos deberá asegurarse que Explotación conoce suficientemente 
las que son accedidas por los Procedimientos que ella ejecuta. Revisará la integridad y 
consistencia​ ​de​ ​los​ ​datos,​ ​así​ ​como​ ​la​ ​ausencia​ ​de​ ​redundancias​ ​entre​ ​ellos. 
Investigación​ ​y​ ​Desarrollo 
Las empresas que necesitan de informáticas desarrolladas han comprendido que sus 
propios efectivos están desarrollando aplicaciones y utilidades que, concebidas inicialmente 
10 
para su uso interno, pueden ser susceptibles de adquisición para otras empresas, haciendo 
la​ ​competencia​ ​a​ ​las​ ​Compañías​ ​del​ ​ramo. 
Como consecuencia, algunas empresas no dedicadas en principio a la venta de productos 
informáticos, están potenciando la investigación de sus equipos de Técnica de Sistemas y 
Desarrollo, de forma que sus productos puedan convertirse en fuentes de ingreso 
adicionales. 
La auditoría informática deberá cuidar de que la actividad de I+D de las empresas no 
vendedoras,​ ​no​ ​interfiera​ ​ni​ ​dificulte​ ​las​ ​tareas​ ​fundamentales​ ​internas. 
Técnicas,​ ​herramientas​ ​y​ ​controles​ ​de​ ​la​ ​Auditoría​ ​Informática 
● Cuestionarios 
El trabajo de campo del auditor consiste en lograr toda la información necesaria para 
la emisión de un juicio global objetivo. Para ello se solicita cuestionarios preimpresos que se 
envían a las personas concretas que el auditor estima adecuadas, sin que sea obligatorio 
que​ ​dichas​ ​personas​ ​sean​ ​las​ ​responsables​ ​oficiales​ ​de​ ​las​ ​diversas​ ​áreas​ ​a​ ​auditar. 
Estos preimpresos no se pueden ni deben ser repetidos para instalaciones distintas, 
sino​ ​diferentes​ ​y​ ​muy​ ​específicos​ ​para​ ​cada​ ​situación. 
Se estudia y analiza la documentación recibida, de modo que tal análisis determine a 
su​ ​vez​ ​la​ ​información​ ​que​ ​deberá​ ​elaborar​ ​el​ ​propio​ ​auditor. 
● Entrevistas 
El auditor comienza a establecer relaciones personales con el auditado. Lo hace de 
tres​ ​formas: 
a. Mediante la petición de documentación concreta sobre alguna materia de su 
responsabilidad. 
b. Mediante​ ​entrevistas​ ​en​ ​las​ ​que​ ​no​ ​se​ ​sigue​ ​un​ ​plan​ ​predeterminado. 
c. Por medio de entrevistas en las que el auditor sigue un método preestablecido de 
antemano​ ​y​ ​busca​ ​unas​ ​finalidades​ ​concretas. 
En la entrevista el auditor recoge más información y mejor matizada. La misma se basa en 
el​ ​concepto​ ​de​ ​interrogatorio. 
El auditor informático experto, entrevista al auditado siguiendo un cuidadoso sistema 
previamente​ ​establecido.​ ​En​ ​ella​ ​se​ ​observa​ ​si​ ​el​ ​auditado​ ​está​ ​preparado. 
● ​ ​​Checklists​ ​Binarios​ ​o​ ​de​ ​Rango 
La profesionalidad pasa por un procesamiento interno de información a fin de obtener 
respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. 
La profesionalidad pasa por poseer preguntas muy estudiadas que han de formularse 
flexiblemente. 
El conjunto de estas preguntas reciben el nombre de checklist. Salvo excepciones, deben 
ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra 
forma. 
Según la claridad de las preguntas y el talento del auditor, el auditado responderá desde 
posiciones muy distintas y diferente disposición. El auditado, percibe el perfil técnico y los 
conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta 
percepción​ ​configura​ ​el​ ​principio​ ​de​ ​autoridad​ ​y​ ​prestigio​ ​que​ ​el​ ​auditor​ ​debe​ ​poseer. 
11 
Algunas de las preguntas de las checklist utilizadas para cada sector, deben ser repetidas. 
El auditor formulará preguntas equivalentes a las mismas o distintas personas. De este 
modo​ ​se​ ​podrá​ ​descubrir​ ​con​ ​mayor​ ​facilidad​ ​los​ ​puntos​ ​contradictorios.Los​ ​checklist​ ​responden​ ​a​ ​dos​ ​tipos​ ​de​ ​calificaciones: 
a. Checklist de rango: Contiene preguntas que el auditor debe responder en un rango 
preestablecido. 
b. Checklist​ ​Binario:​ ​Contiene​ ​preguntas​ ​con​ ​respuestas​ ​únicas​ ​y​ ​excluyente. 
● Trazas​ ​y/o​ ​Huellas​ ​(logs) 
Son​ ​Paquetes​ ​Software​ ​especiales​ ​para​ ​auditorias​ ​(Informáticas​ ​y​ ​no​ ​informáticas). 
No pueden ser agresivos a nivel de Sistema Operativo. Son productos software muy 
potentes y modulares que rastrean los caminos que siguen los datos para comprobar, sobre 
todo,​ ​la​ ​ejecución​ ​de​ ​validaciones. 
● Software​ ​de​ ​Interrogación 
En la actualidad, los productos software especiales para auditoría informática se orientan 
principalmente hacia lenguajes que permiten la interrogación de ficheros y base de datos 
de​ ​la​ ​empresa​ ​auditada. 
El auditor se halla obligado a recabar información de los usuarios finales ya que poseen 
información​ ​de​ ​la​ ​compañía. 
Metodologías​ ​de​ ​trabajo​ ​en​ ​la​ ​Auditoría​ ​Informática 
Toda la información auditora se compendia en la entrega del mencionado informe a quien lo 
solicitó. 
El​ ​método​ ​de​ ​trabajo​ ​auditor​ ​pasa​ ​por​ ​las​ ​siguientes​ ​fases​ ​: 
a. Alcance​ ​y​ ​Objetivos​ ​de​ ​la​ ​Auditoría​ ​Informática. 
b. Estudio​ ​inicial​ ​del​ ​entorno​ ​auditable. 
c. Determinación​ ​de​ ​los​ ​Recursos​ ​necesarios​ ​para​ ​efectuar​ ​la​ ​Auditoría. 
d. Elaboración​ ​del​ ​Plan​ ​y​ ​de​ ​los​ ​Programas​ ​de​ ​Trabajo. 
e. Actividades​ ​propiamente​ ​dichas​ ​de​ ​la​ ​Auditoria​ ​(Analisis,​ ​entrevistas,​ ​etc.). 
f. Confeccion​ ​y​ ​Redaccion​ ​del​ ​Informe​ ​Final. 
g. Redacción​ ​de​ ​la​ ​“Carta​ ​de​ ​Introducción”​ ​o​ ​“Carta​ ​de​ ​Presentación”​ ​del​ ​Informe​ ​Final. 
Definición​ ​de​ ​Alcance​ ​y​ ​Objetivos 
El alcance es el ámbito o marco (límite) en el que se va a desarrollar la Auditoria 
Informática. Deben citarse expresamente las excepciones de dicho alcance, es decir, 
manifestar por escrito cuáles materias o funciones no van a ser auditadas.Debe existir un 
acuerdo muy preciso entre auditores y clientes sobre la funciones, las materias y las 
organizaciones​ ​a​ ​auditar. 
Tanto el alcance de la auditoría como la excepciones del mismo, han de figurar al comienzo 
del​ ​documento​ ​final. 
Auditoría ha de conocer con la mayor precisión los objetivos que sus acciones pretenden. 
Debe comprender con exactitud los deseos y pretensiones del cliente, de forma que los 
objetivos​ ​perseguidos​ ​sean​ ​susceptibles​ ​de​ ​ser​ ​cumplidos. 
Bien determinado los objetivos, el auditor tendrá siempre presente que estos se añadirán a 
los dos objetivos generales y comunes a toda auditoría informática: La Operatividad de los 
Sistemas​ ​y​ ​los​ ​Controles​ ​Generales​ ​de​ ​Gestión​ ​Informática 
12 
Dentro de este apartado de Alcance y Objetivos debe incluirse la fijación de los 
interlocutores del equipo auditor. El concepto de interlocución comprende la determinación 
previa​ ​de​ ​las​ ​personas​ ​que​ ​tienen​ ​poder​ ​de​ ​decisión​ ​y​ ​de​ ​validación​ ​dentro​ ​de​ ​la​ ​empresa. 
Estudio​ ​Inicial 
Para realizar dicho estudio, han de examinarse las funciones y actividades generales de la 
informática​ ​siguientes: 
a. Organización 
b. Entorno​ ​Operacional 
c. Aplicaciones​ ​Informáticas.​ ​Bases​ ​de​ ​Datos​ ​y​ ​Ficheros. 
Organización 
El auditor no podrá realizar su misión sin conocer con bastante aproximación la estructura 
organizativa de la Informática sujeta a auditoría. Al menos se deberán fijar los siguientes 
conceptos: 
1. Organigrama: Expresa inicialmente la esructura oficial de la organizacion a auditar.Si 
el​ ​numero​ ​de​ ​niveles​ ​es​ ​elevado,​ ​se​ ​puede​ ​fraccionar. 
Si se descubriera a través de los flujos de la información y de las relaciones 
funcionales y jerárquicas, que existe un organigrama fáctico diferente al oficial, se 
pondrá​ ​de​ ​manifiesto​ ​tal​ ​circunstancia​ ​​ ​y​ ​las​ ​derivadas​ ​de​ ​ella. 
2. Departamentos: son los órganos que siguen inmediatamente tras la Dirección. El 
equipo auditor describe breve y claramente las funciones de cada uno de ellas y los 
que​ ​dependen​ ​directamente​ ​de​ ​este. 
3. Relaciones jerárquicas y funcionales entre órganos de la Organización: el equipo 
auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas. 
Las relaciones de jerarquía implican la correspondiente subordinación, las 
funcionales por el contrario no son estrictamente subordinados. Las relaciones no 
jerárquicas​ ​deberán​ ​restringirse​ ​al​ ​máximo​ ​las​ ​“dependencias​ ​funcionales”. 
4. Flujos de Información: la estructura organizativa, produce corrientes de información 
horizontales y oblicuas extradepartamentales. Los flujos de información son 
necesarios y aun imprescindibles para su eficiente gestión, siempre y cuando tales 
corrientes no distorsionen el propio organigrama. Los canales de información 
alternativos se producen porque hay pequeños o grandes fallos en la estructura y en 
el​ ​organigrama​ ​que​ ​los​ ​representa. 
5. Número de Puestos de Trabajo: el equipo auditor comprobará que los nombres de 
los puestos de trabajo de la organización auditada corresponden a funciones reales 
distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, 
lo cual indica la existencia de funciones operativas redundantes en los diferentes 
grupos de la instalación. Esta situación pone de manifiesto deficiencias 
estructurales, los auditores expresarán el número de puestos de trabajo 
verdaderamente​ ​diferentes. 
6. Número de Personas por Puesto de Trabajo: es un parámetro que los auditores 
informáticos deben considerar. La inadecuación del personal o la falta de plantilla en 
algunas secciones y la sobrante en otras, determinan qué número de personas que 
realizan las mismas funciones rara vez coincida con la estructura oficial de la 
organización. Los auditores deberán exponer el número de empleados reales de 
13 
cada sección audita. De este modo, se pone en manifiesto una distribución 
ineficiente​ ​de​ ​recursos​ ​o​ ​la​ ​necesidad​ ​de​ ​una​ ​reorganización​ ​de​ ​la​ ​estructura​ ​oficial. 
 
Entorno​ ​Operacional 
El equipo de auditoría informática posee referencia del entorno en el que ha de 
desenvolverse. 
1. Situación Geográfica de los Sistemas: se determinará la ubicación geográfica de los 
Centros de Procesos de Datos distintos de la empresa. De acuerdo con dicha 
ubicación, se verificará la existencia de responsables por cada uno de ellos, así 
como​ ​el​ ​uso​ ​de​ ​los​ ​mismos​ ​estándares​ ​de​ ​trabajo. 
2. Arquitectura y Configuración de Hardware y Software: cuando existen varios CPD’S, 
es fundamental la configuración elegida para cada uno de ellos en tanto deben 
constituir un Sistema compatible e intercomunicado. La configuración de los 
Sistemas están muy ligadas a la políticas de Seguridad Lógica Informática de las 
Compañia. 
3. Inventario Hardware y Software: el. equipo auditor recabará información escrita de la 
empresa, en donde figuren todos los elementos físicos y lógicos de la instalación. En 
cuanto al hardware figuran las CPU, procesadores intermedios,etc. El inventario 
software debe contener todos los productos lógicos del Sistema, suele ser habitual 
clasificarlos​​en​ ​facturables​ ​y​ ​no​ ​facturables. 
4. Comunicación y Redes de Comunicaciones: los auditores dispondrán del número, 
situación y características principales de las líneas, así como los accesos a la red 
pública de comunicaciones. Igualmente poseen información de las redes locales de 
la​ ​empresa. 
Aplicaciones​ ​Base​ ​de​ ​Datos​ ​y​ ​Ficheros 
El entorno auditable se pone de manifiesto principalmente por medio de las siguientes 
características: 
1. Volumen, antigüedad y complejidad de las Aplicaciones: Se pondrá especial énfasis 
en​ ​la​ ​periodicidad​ ​de​ ​ejecución​ ​de​ ​la​ ​carga. 
2. Metodología del Diseño: Se calificará globalmente la existencia total o parcial de 
metodologías​ ​en​ ​el​ ​desarrollo​ ​de​ ​las​ ​Aplicaciones. 
3. Documentación: la existencia de una adecuada documentación de las Aplicaciones 
proporciona​ ​beneficios​ ​tangibles​ ​e​ ​inmediatos. 
La documentación de programas disminuye grandemente el mantenimiento de los 
mismos. 
4. Cantidad y complejidad de Bases de Datos y Ficheros: El auditor recabará 
información de tamaño y características de Base de Datos, clasificándolas en 
relacionales​ ​y​ ​jerárquicas. 
Estos datos proporcionan una visión aceptable de las características de la carga 
Informática. 
Determinación​ ​de​ ​Recursos​ ​de​ ​la​ ​Auditoría 
Mediante los resultados del estudio inicial realizado, se procede a determinar los recursos 
humanos​ ​y​ ​materiales​ ​que​ ​han​ ​de​ ​emplearse​ ​en​ ​la​ ​auditoría. 
14 
Recursos​ ​Materiales 
Los​ ​recursos​ ​materiales​ ​del​ ​auditor​ ​son​ ​de​ ​dos​ ​tipos: 
 
a. Recursos​ ​materiales​ ​Software: 
Programas​ ​Propio​ ​de​ ​la​ ​Auditoría.​ ​​Se​ ​indicó​ ​que​ ​son​ ​muy​ ​potentes​ ​y​ ​flexibles. 
Monitores. ​Se utilizan en función del grado de desarrollo observado en la actividad 
de​ ​Técnica​ ​de​ ​Sistemas​ ​del​ ​auditado​ ​y​ ​de​ ​la​ ​cantidad​ ​y​ ​calidad​ ​de​ ​los​ ​datos​ ​ya​ ​existentes. 
b. Recursos materiales Hardware: Los recursos hardware el que auditor necesita son 
proporcionados​ ​por​ ​el​ ​cliente. 
El auditor deberá calcular con la mayor precisión posible los incrementos de carga 
por​ ​él​ ​generados. 
Recursos​ ​Humanos 
La cantidad de recursos depende del volumen auditable. Las características y perfiles del 
personal​ ​seleccionado​ ​depende​ ​de​ ​la​ ​materia​ ​auditable. 
Perfiles​ ​Profesionales​ ​de​ ​los​ ​Auditores​ ​Informáticos 
Profesión Actividades​ ​y​ ​conocimientos​ ​deseables 
Informático​ ​Generalista Con experiencia amplia en ramas distintas. 
Deseable que su labor se haya desarrollado en 
Explotación y Desarrollo de Proyectos. Conocedor 
de​ ​Sistemas. 
Experto en Desarrollo de 
Proyectos 
Amplia experiencia como responsable de Proyectos. 
Experto analista. Conocedor de las metodologías de 
Desarrollo​ ​más​ ​importantes. 
Técnico​ ​de​ ​Sistemas Experto en Sistemas Operativos y Software Básico. 
Conocedor de los productos equivalentes en el 
mercado.​ ​Amplios​ ​conocimientos​ ​de​ ​Explotación. 
Experto en BD y administración de 
las​ ​mismas 
Con experiencia en mantenimiento de BD. 
Conocimiento de productos compatibles y 
equivalentes.​ ​Buenos​ ​conocimientos​ ​d​ ​explotación. 
Experto en Software de 
Comunicaciones 
Alta especialización dentro de la Técnica de 
Sistemas. Conocimiento profundo de redes. Muy 
experto​ ​en​ ​Subsistemas​ ​de​ ​Teleproceso. 
Experto en explotacion y Gestion 
de​ ​CPD’S 
Responsable de algún centro de Cálculo. Amplia 
experiencia en Automatización de Trabajos. Experto 
en relaciones humanas. Buenos conocimientos de 
los​ ​sistemas. 
Tecnico​ ​de​ ​Organizacion Experto organizador y coordinador. Especialista en 
análisis​ ​de​ ​flujos​ ​de​ ​información. 
Tecnico​ ​de​ ​Evaluacion​ ​de​ ​Costes Economista con conocimiento de informática. 
15 
Gestión​ ​de​ ​costes 
Elaboración​ ​del​ ​Plan​ ​y​ ​de​ ​los​ ​Programas​ ​de​ ​Trabajo 
Una vez asignados los recursos se establece un plan de trabajo y luego se procede a la 
programación​ ​del​ ​mismo. 
El​ ​plan​ ​de​ ​auditoría​ ​se​ ​elabora​ ​teniendo​ ​en​ ​cuenta: 
a. Si​ ​la​ ​revisión​ ​ha​ ​de​ ​realizarse​ ​por​ ​áreas​ ​generales​ ​o​ ​por​ ​áreas​ ​específicas. 
b. Si​ ​la​ ​auditoría​ ​es​ ​global,​ ​de​ ​toda​ ​la​ ​informática,​ ​o​ ​parcial. 
● En​ ​el​ ​Plan​ ​se​ ​manejan​ ​recursos​ ​genéticos​ ​y​ ​no​ ​específicos. 
● En el Plan se establece los Recursos y Esfuerzos globales que van a ser 
necesarios. 
● El​ ​Plan​ ​establece​ ​las​ ​prioridades​ ​de​ ​materias​ ​auditables. 
● El Plan establece la disponibilidad futura del personal y de los demás recursos 
durante​ ​la​ ​duración​ ​de​ ​la​ ​Revisión. 
● El​ ​Plan​ ​estructura​ ​las​ ​tareas​ ​a​ ​realizar​ ​por​ ​cada​ ​integrantes​ ​del​ ​equipo. 
● En​ ​el​ ​Plan​ ​se​ ​expresa​ ​todas​ ​las​ ​ayudas​ ​que​ ​el​ ​auditor​ ​ha​ ​de​ ​recibir​ ​del​ ​auditado. 
Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo 
suficientemente​ ​flexible​ ​como​ ​para​ ​permitir​ ​modificaciones​ ​a​ ​lo​ ​largo​ ​del​ ​proyecto. 
Los​ ​Programas​ ​de​ ​Trabajo​ ​son​ ​cuantificaciones​ ​del​ ​Plan. 
En ellos se asignan los recursos humanos y materiales concretos para cada sector del Plan- 
En​ ​Programa​ ​de​ ​Trabajo​ ​se​ ​establece​ ​el​ ​calendario​ ​real​ ​de​ ​actividades​ ​a​ ​realizar. 
Actividades​ ​de​ ​la​ ​Auditoría​ ​Informática 
Auditoría​ ​por​ ​temas​ ​generales​ ​o​ ​por​ ​áreas​ ​específicas 
La auditoría informática general se realiza por áreas generales o por áreas específicas. Si 
se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más 
tiempo​ ​total​ ​y​ ​mayores​ ​recursos. 
Si se realiza por áreas específicas, se abordan de una vez todas la peculiaridades que 
afectan a la mismas, de forma que el resultado se obtiene más rápidamente y con menor 
calidad. 
Así, cuando se aborda la Auditoría de Desarrollo de las Aplicaciones, se tienen en cuenta 
todos​ ​los​ ​factores​ ​que​ ​la​ ​afectan. 
Técnicas​ ​de​ ​trabajo 
- Análisis​ ​de​ ​la​ ​información​ ​recabada​ ​del​ ​auditado. 
- Análisis​ ​de​ ​la​ ​información​ ​propia. 
- Cruzamiento​ ​de​ ​las​ ​informaciones​ ​anteriores. 
- Entrevistas. 
- Simulación. 
- Muestreos. 
Herramientas 
- Cuestionario​ ​general​ ​inicial. 
- Cuestionarios-Checklist. 
- Estándares. 
- Monitores. 
16 
- Simuladores​ ​(generadores​ ​de​ ​datos). 
- Paquetes​ ​de​ ​Auditoría​ ​(generadores​ ​de​ ​programas). 
- Matrices​ ​de​ ​riesgo. 
Informe​ ​Final 
La​ ​elaboración​ ​del​ ​Informe​ ​Final​ ​es​ ​la​ ​única​ ​referencia​ ​constatable​ ​de​ ​toda​ ​auditoría. 
Resulta evidente la necesidad de redactar borradores e informes parciales y previos al 
citado informe final, ya que son los elementos de contraste de opiniones entre el auditor y 
auditado​ ​y​ ​pueden​ ​descubrir​ ​fallos​ ​de​ ​apreciación​ ​en​ ​el​ ​auditor. 
Estructura​ ​del​ ​informe​ ​final 
Se inicia con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se 
incluyen los nombres del equipo auditor y todas las personas entrevistadas, con indicación 
de​ ​la​ ​responsabilidad​ ​o​ ​puesto​ ​de​ ​trabajo​ ​que​ ​ostente. 
1. Definición​ ​de​ ​objetivos​ ​y​ ​alcance​ ​de​ ​la​ ​auditoría. 
2. Enumeración de temas considerados. Se enumeran lo más exhaustivamente posible 
todos​ ​los​ ​temas​ ​objeto​ ​de​ ​la​ ​auditoría. 
3. Cuerpo​ ​expositivo.​ ​Para​ ​cada​ ​tema​ ​objeto​ ​de​ ​auditoría,​ ​se​ ​sigue​ ​el​ ​siguiente​ ​orden: 
a. Situación actual. Cuando se trate de una revisiónperiódica, en la que se 
analiza una situación y su evolución en el tiempo, se expondrá la situación 
prevista​ ​y​ ​la​ ​situación​ ​real. 
b. Tendencias. Se tratarán de hallar parámetros de correlación que permitan 
establecer​ ​tendencias​ ​de​ ​situación​ ​futura. 
c. Puntos débiles y amenazas. Deberán explicarse por sí mismos, sin referencias 
a​ ​otros​ ​lugares​ ​del​ ​informe. 
d. Recomendaciones y planes de acción. Constituyen, junto con la exposición de 
puntos​ ​débiles,​ ​el​ ​objeto​ ​de​ ​la​ ​auditoría. 
e. Redacción​ ​posterior​ ​de​ ​la​ ​Carta​ ​de​ ​Introducción​ ​o​ ​Presentación. 
Modelo​ ​Conceptual​ ​de​ ​exposición​ ​del​ ​Informe​ ​Final 
El​ ​modelo​ ​de​ ​Informe​ ​final​ ​se​ ​basa​ ​en​ ​dos​ ​principios: 
a. El​ ​Informe​ ​debe​ ​incluir​ ​solamente​ ​hechos​ ​importantes. 
b. El Informe debe consolidar los hechos que se describen en el mismo. El término 
“hechos consolidados” adquiere un especial significado de verificación objetiva y de 
estar​ ​documentalmente​ ​probados​ ​y​ ​soportados. 
La​ ​consolidación​ ​de​ ​los​ ​hechos​ ​debe​ ​satisfacer​ ​los​ ​siguientes​ ​criterios: 
- El​ ​hecho​ ​que​ ​se​ ​incluya​ ​debe​ ​poder​ ​ser​ ​sometido​ ​a​ ​cambio. 
- Las ventajas del cambio deben superar los inconvenientes derivados de mantener la 
situación. 
- No​ ​deben​ ​existir​ ​alternativas​ ​viables​ ​que​ ​superen​ ​al​ ​cambio​ ​propuesto. 
- La recomendación del auditor sobre el hecho en cuestión ha de mantener o mejorar 
las​ ​Normas​ ​y​ ​estándares​ ​existentes​ ​en​ ​la​ ​Instalación. 
La aparición de un hecho en un informe implica necesariamente la existencia de una 
debilidad que ha de ser corrigida. Veamos el modelo de flujo del hecho o debilidad, y el 
orden,​ ​desde​ ​su​ ​aparición​ ​hasta​ ​la​ ​recomendación​ ​del​ ​auditor​ ​para​ ​eliminarla: 
1. Hecho​ ​encontrado. 
- Ha​ ​de​ ​ser​ ​relevante​ ​para​ ​el​ ​auditor​ ​y​ ​para​ ​el​ ​cliente. 
17 
- Ha​ ​de​ ​ser​ ​exacto​ ​y​ ​convincente. 
- No deben existir hechos repetidos. Se deben evitar las referencias y alusiones a 
otros​ ​hechos. 
2. Consecuencias​ ​del​ ​hecho. 
- Las consecuencias deben redactarse de modo que sean directamente 
deducibles​ ​del​ ​hecho. 
3. Repercusión​ ​del​ ​hecho. 
- Se redactará, si existen, las influencias directas que el hecho pueda tener sobre 
otros​ ​aspectos​ ​informáticos​ ​u​ ​otros​ ​ámbitos​ ​de​ ​la​ ​empresa​ ​auditada. 
4. Conclusión​ ​del​ ​hecho. 
- No deben redactarse conclusiones más que en los casos en que la exposición 
haya​ ​sido​ ​muy​ ​extensa​ ​y​ ​compleja. 
5. Recomendación​ ​del​ ​auditor​ ​informático. 
- Siempre​ ​se​ ​explicita​ ​la​ ​palabra​ ​“Recomendación”. 
- Deberá​ ​entenderse​ ​por​ ​sí​ ​sola. 
- Deberá​ ​estar​ ​suficientemente​ ​soportada​ ​por​ ​el​ ​propio​ ​texto. 
- Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y 
verificada​ ​su​ ​implementación. 
- La recomendación se redactará de forma que vaya dirigida expresamente a la 
persona​ ​o​ ​personas​ ​que​ ​puedan​ ​implementarla. 
- Deberán​ ​evitarse​ ​las​ ​recomendaciones​ ​demasiado​ ​generales. 
Carta​ ​de​ ​introducción​ ​o​ ​presentación​ ​del​ ​informe​ ​final 
La​ ​Carta​ ​de​ ​introducción​ ​resume​ ​la​ ​auditoría​ ​realizada​ ​en​ ​3​ ​o​ ​4​ ​folios. 
Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta 
que​ ​encargó​ ​o​ ​contrató​ ​la​ ​misma. 
Pueden existir tantas copias del Informe Final como solicite el cliente, siempre que éste 
especifique los nombres de los destinatarios. La auditoría no hará copias de la Carta de 
Introducción. 
Poseerá​ ​los​ ​siguientes​ ​atributos: 
- Tendrá una longitud máxima de 4 folios, aunque la auditoría tenga centenares de 
ellos. 
- Incluirá​ ​fecha,​ ​naturaleza,​ ​objetivos​ ​y​ ​alcance. 
- Cuantificará​ ​la​ ​importancia​ ​de​ ​las​ ​áreas​ ​analizadas. 
- Proporcionará​ ​una​ ​conclusión​ ​general,​ ​concretando​ ​las​ ​áreas​ ​de​ ​gran​ ​debilidad. 
- Presentará​ ​las​ ​debilidades​ ​en​ ​orden​ ​de​ ​importancia​ ​y​ ​gravedad,​ ​de​ ​mayor​ ​a​ ​menor. 
- En​ ​la​ ​Carta​ ​de​ ​Introducción​ ​no​ ​se​ ​escribirán​ ​nunca​ ​Recomendaciones. 
Metodología​ ​abreviada​ ​de​ ​revisión​ ​de​ ​recursos​ ​informáticos​ ​a 
traves​ ​del​ ​management​ ​-​ ​CRMR​ ​(Computer​ ​​ ​resource 
management​ ​review) 
Definición​ ​de​ ​la​ ​Metodología​ ​CRMR 
Esta terminología quiere destacar la posibilidad de realizar una evaluación de eficiencia de 
utilización​ ​de​ ​los​ ​recursos​ ​por​ ​medio​ ​del​ ​management. 
18 
Proporciona​ ​soluciones​ ​más​ ​rápidas​ ​a​ ​problemas​ ​concretos​ ​y​ ​notorios. 
Supuesto​ ​de​ ​Aplicación 
La metodología abreviada CRMR es aplicable más a deficiencias organizativas y 
gerenciales,​ ​pero​ ​cubre​ ​cualquier​ ​área​ ​de​ ​un​ ​Centro​ ​de​ ​Proceso​ ​de​ ​Datos. 
El método CRMR puede aplicarse cuando se producen algunas de las siguientes 
situaciones: 
- Se​ ​detecta​ ​una​ ​mala​ ​respuesta​ ​a​ ​las​ ​peticiones​ ​y​ ​necesidades​ ​de​ ​los​ ​usuarios. 
- Los resultados del CPD no están a disposición de los usuarios en el momento 
oportuno. 
- Se​ ​genera​ ​con​ ​alguna​ ​frecuencia​ ​información​ ​errónea​ ​por​ ​fallos​ ​de​ ​datos​ ​o​ ​proceso. 
- Existen​ ​sobrecargas​ ​frecuentes​ ​de​ ​capacidad​ ​de​ ​proceso. 
- Existen​ ​costes​ ​excesivos​ ​de​ ​proceso​ ​en​ ​el​ ​CPD. 
Areas​ ​de​ ​Aplicacion 
Las​ ​áreas​ ​en​ ​el​ ​que​ ​el​ ​método​ ​CRMR​ ​puede​ ​ser​ ​aplicado: 
- Gestión​ ​de​ ​Datos. 
- Control​ ​de​ ​Operaciones. 
- Control​ ​y​ ​utilización​ ​de​ ​recursos​ ​materiales​ ​y​ ​humanos. 
- Interfaces​ ​y​ ​relaciones​ ​con​ ​usuarios. 
- Planificación 
- Organizacion​ ​y​ ​administracion. 
Objetivos 
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los 
procedimientos​ ​y​ ​métodos​ ​de​ ​gestión​ ​que​ ​se​ ​observan. 
Las​ ​recomendaciones​ ​que​ ​se​ ​emitan​ ​como​ ​resultado​ ​de​ ​la​ ​aplicación​ ​del​ ​CRMR: 
- Identificar​ ​y​ ​fijar​ ​las​ ​responsabilidades. 
- Mejorar​ ​la​ ​flexibilidad​ ​de​ ​realización​ ​de​ ​actividades. 
- Aumentar​ ​la​ ​productividad. 
- Disminuir​ ​costes. 
- Mejorar​ ​los​ ​métodos​ ​y​ ​procedimientos​ ​de​ ​Dirección. 
Alcance 
Se​ ​fijarán​ ​con​ ​detalle​ ​los​ ​límites​ ​que​ ​abarcara​ ​el​ ​CRMR,​ ​antes​ ​de​ ​comenzar​ ​el​ ​trabajo. 
Se​ ​establece​ ​tres​ ​clases: 
a. Reducido. El resultado consiste en señalar las áreas de actuación con potencialidad 
inmediata​ ​de​ ​obtención​ ​de​ ​beneficios. 
b. Medio. ​El CRMR ya establece conclusiones y Recomendaciones, tal y como se hace 
en​ ​un​ ​auditoria​ ​informatica​ ​ordinaria. 
c. Amplio. ​El CRMR incluye Planes de Acción, aportando técnicas de implementación 
de​ ​las​ ​Recomendaciones,​ ​a​ ​la​ ​par​ ​que​ ​desarrolla​ ​conclusiones. 
Información​ ​necesaria​ ​para​ ​evaluación​ ​del​ ​CRMR  
Se determinan los requisitos necesarios para que esta simbiosis de auditoría y consultoría 
puede​ ​llevarse​ ​a​ ​cabo​ ​con​ ​éxito. 
19 
Integración​ ​del​ ​auditor​ ​en​ ​el​ ​CPD​ ​a​ ​revisar 
No debe olvidarse que están evaluando actividades desde el punto de vista gerencial. El 
contacto permanente del auditor con el trabajo ordinario del CPD permite a aquel determinar 
el​ ​tipo​ ​de​ ​esquema​ ​organizativo​ ​que​ ​se​ ​sigue. 
Programa​ ​de​ ​trabajo​ ​clasificado​ ​por​ ​tareas 
Todo trabajo habrá de ser descompuesto en tareas. Cada una de ellas se someterá a la 
siguiente​ ​sistemática: 
- Identificación​ ​de​ ​la​ ​tarea. 
- Descripción​ ​de​ ​la​ ​tarea. 
- Descripción​ ​de​ ​la​ ​función​ ​de​ ​dirección​ ​cuando​ ​la​ ​tarea​​se​ ​realiza​ ​incorrectamente. 
- Descripción de ventajas, sugerencias y beneficios que puede originar un cambio o 
modificación​ ​de​ ​tarea. 
- Test​ ​para​ ​la​ ​evaluación​ ​de​ ​la​ ​práctica​ ​directiva​ ​en​ ​relación​ ​con​ ​la​ ​tarea. 
- Posibilidad​ ​de​ ​agrupación​ ​de​ ​tareas. 
- Ajustes​ ​en​ ​función​ ​de​ ​las​ ​peculiaridades​ ​de​ ​un​ ​departamento​ ​concreto. 
- Registro​ ​de​ ​resultados,​ ​conclusiones​ ​y​ ​recomendaciones. 
Información​ ​necesaria​ ​para​ ​la​ ​realización​ ​del​ ​CRMR 
El cliente es el que facilita la información que el auditor contrastará con su trabajo de 
campo. 
Datos​ ​necesarios​ ​para​ ​confeccionar​ ​el​ ​CRMR: 
- Datos​ ​de​ ​mantenimiento​ ​preventivo​ ​de​ ​Hardware. 
- Informes​ ​de​ ​anomalías​ ​de​ ​los​ ​Sistemas. 
- Procedimientos​ ​estándar​ ​de​ ​actualización. 
- Procedimientos​ ​de​ ​emergencia. 
- Monitorización​ ​de​ ​los​ ​Sistemas. 
- Informes​ ​del​ ​rendimiento​ ​de​ ​los​ ​Sistemas. 
- Mantenimiento​ ​de​ ​las​ ​Librerías​ ​de​ ​Programas. 
- Gestión​ ​de​ ​Espacio​ ​en​ ​disco. 
- Documentación​ ​de​ ​entrega​ ​de​ ​Aplicaciones​ ​a​ ​Explotación. 
- Documentación​ ​de​ ​alta​ ​de​ ​cadenas​ ​en​ ​Explotación. 
- Utilización​ ​de​ ​CPU,​ ​canales​ ​y​ ​discos. 
- Datos​ ​de​ ​paginación​ ​de​ ​los​ ​Sistemas. 
- Volumen​ ​total​ ​y​ ​libre​ ​de​ ​almacenamiento. 
- Ocupación​ ​medio​ ​de​ ​disco. 
- Manuales​ ​de​ ​Procedimientos​ ​de​ ​Explotación. 
20