Auditoria del desarrollo de sistemas de información en el gobierno regional cajamarca

UNIVERSIDAD PRIVADA DEL NORTE
Laureate International Universities
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
COMPUTACIONALES
“AUDITORIA DEL DESARROLLO DE SISTEMAS DE
INFORMACIÓN EN EL GOBIERNO REGIONAL
CAJAMARCA”
TESIS
PARA OPTAR EL TÍTULO PROFESIONAL DE:
INGENIERO DE SISTEMAS
AUTOR:
BACH. ARTURO FERNANDO GRANADOS RODRÍGUEZ
ASESOR:
ING. HUGO ALEJANDRO PÉREZ QUIROZ
CAJAMARCA – PERÚ
2012

ii
DEDICATORIA
Arturo Fernando Granados Rodríguez
A Dios por el regalo de la
vida.
A la Santísima Virgen María
que siempre nos cuida bajo
su Manto Sagrado.
A mi mami Nora desde el
cielo, mi padre Roberto y mi
hermana Karla, pues ellos
me llenan de felicidad.
A mi esposa Gladys y mi
hijito Matías pues en ellos
descubrí el que el amor nos
hace seguir adelante.

iii
AGRADECIMIENTO
Arturo Fernando Granados Rodríguez
A todo el staff del Gobierno
Regional Cajamarca, en
especial a mis amigos del
Centro de Información y
Sistemas por la colaboración
brindada.
A mi familia por tanto y tanto
apoyo y cariño demostrado.
Sin ellos no hubiera tenido la
motivación necesaria para
terminar mi presente
proyecto.
A mi asesor y profesores de mi
alma mater, pues con sus
conocimientos y experiencias,
crearon en mí el anhelo de la
investigación.

iv
PRESENTACIÓN
Señores:
Miembros del Jurado Calificador de la
Escuela Académico Profesional de Ingeniería de Sistemas
En cumplimiento con las disposiciones vigentes contenidas en el Reglamento de
Grados y Títulos de la Facultad de Ingeniería de la Universidad Privada del Norte,
tengo a bien presentar y someter a vuestra consideración el presente trabajo de
investigación, titulado:
“AUDITORIA DEL DESARROLLO DE SISTEMAS DE INFORMACIÓN EN EL
GOBIERNO REGIONAL CAJAMARCA”
El presente trabajo ha sido realizado en base a los conocimientos alcanzados en las
aulas universitarias durante mi formación profesional, además de las experiencias
adquiridas fuera de ella.
Agradeciendo por anticipado su valiosa atención y decisión, así como el tiempo y la
dedicación que le están brindando a la presente.
Atentamente.
__________________________
Bach. Arturo Fernando
Granados Rodríguez

v
RESUMEN
La presente investigación tuvo como propósito la aplicación de una Auditoria del
Desarrollo de Sistemas de Información, en ella se establece procesos de verificación
sistemática, independiente y documentado lo cual determina si los resultados y
actividades relacionadas a los proyectos de desarrollo de software, cumplen con lo
planificado para lograr el cumplimiento de las políticas y objetivos del Gobierno
Regional Cajamarca.
El presente estudio es una investigación aplicada - descriptivo – correlacional, el
diseño es no experimental de corte transversal, porque la naturaleza del problema no
es de causalidad, pues se realiza sin manipular deliberadamente las variables, puesto
que solo se observaron los hechos como se presentan en su contexto.
Población y muestra está conformado por el área de sistema del Gobierno Regional de
Cajamarca. Por ser el número de unidades de análisis pequeña (07 miembros del
staff) se han considerado a todos ellos. Durante el proceso de ejecución del presente
estudio, se revisaron trabajos de investigación relacionados con el tema, así como
fuentes bibliográficas primarias.
Para realizar la auditoria y plantear las mejoraras al desarrollo del sistema de
información, se ha elaborado un cuestionario. Con los resultados se demuestra que la
entidad auditada carece de procedimientos de control interno, como garantía para una
gestión eficaz orientada a la consecución de los objetivos institucionales. Además falta
de documentación donde se gestiones problemas e incidentes en el desarrollo del
proyecto software.
Palabras clave: Auditoria del desarrollo de sistemas, Sistema de Información.
Desarrollo de sistema de información

vi
ABSTRACT
The purpose of this research was the implementation of an Audit of Information
Systems Development, it provides for systematic verification processes, independent
and documented process which determines whether the results and activities related to
software development projects comply with the planned to achieve compliance with the
policies and objectives of the Regional Government Cajamarca.
This study is an applied research - descriptive - correlational design is not experimental
cross section, because the nature of the problem is not causation, it is without
deliberately manipulate the variables, since we observed only the facts as presented in
context.
Population and sample consists of the system area of the Regional Government of
Cajamarca. As the number of small units of analysis (07 staff members) have seen
them all. During the implementation process of the present study, we reviewed
research on the topic, and primary literature sources.
To conduct the audit and referred the development will improve the information system,
has developed a questionnaire. The results demonstrated that the audited entity lacks
internal control procedures, to guarantee effective management toward the
achievement of corporate goals. Besides lack of documentation where problems and
incidents efforts in developing the software project.
Keywords: Audit of Systems Development, Information System. Information system
development

vii
INTRODUCCIÓN
La información que es tratada en organizaciones es un recurso crítico que debería ser
protegida, pues la misma es la base de las decisiones que son tomadas a lo largo del
tiempo. La necesidad que el Gobierno Regional Cajamarca cuente con procedimientos
de control interno es aceptada ampliamente como garantía de una gestión eficaz
orientada a la consecución de objetivos marcados. La función auditora es
precisamente la encargada de comprobar la existencia de estos procedimientos de
control y de verificar su correcta definición y aplicación, determinando las deficiencias
que existan al respecto y los riesgos asociados a estas carencias de control.
El presente estudio está organizado en seis capítulos:
En el Capítulo I: Marco Metodológico.- Aborda generalidades de la investigación, el
plan de investigación, realidad problemática, antecedentes del problema, formulación
del problema, justificación, limites de la investigación, hipótesis, variable independiente
y dependiente, indicadores, objetivo general y específicos, metodología y diseño de
contrastación.
En el Capítulo II: Marco Referencial. – Se considera al Marco Teórico que es la base
para la investigación de la auditoria del desarrollo de sistemas de información.
En el Capítulo III.- Desarrollo de la Metodología. Aborda la manera como se llevó a
cabo la investigación, las características de la población y muestra, una descripción
detallada de los instrumentos de recolección de datos, procedimiento de aplicación y el
diseño estadístico utilizados para el respectivo análisis de los datos.
En el Capítulo IV.- Análisis de Resultados. Se plasma los resultados obtenidos en el
estudio y el análisis y discusión de dichos resultados y sus posibles explicaciones.
En el Capítulo V.- Conclusiones y Recomendaciones. Se presentan las
conclusiones, señalando algunas sugerencias para ulteriores estudios y finalmente,
En el Capítulo VI.- Referencias Bibliográficas. Se incluye material bibliográfico, así
como información que debe incluirse en la tesis.

viii
ÍNDICE GENERAL
DEDICATORIA ii
AGRADECIMIENTO iii
PRESENTACIÓN iv
RESUMEN v
ABSTRACT vi
INTRODUCCIÓN vii
ÍNDICE GENERAL viii
ÍNDICE DE FIGURAS xiv
ÍNDICE DE GRÁFICOS xv
ÍNDICE DE CUADROS xvii
ÍNDICE DE TABLAS xviii
CAPÍTULO I: MARCO METODOLÓGICO 1
I. GENERALIDADES 2
1.1 Autor 2
1.2 Asesor 2
1.3 Título 2
1.4 Institución a la que pertenece el proyecto 2
1.5 Lugar y ejecución del proyecto 2
1.6 Tipo de investigación 2
1.7 Duración 2
1.8 Cronograma de Trabajo 2
1.9 Recursos 3
1.9.1. Humanos 3
1.9.2. Materiales 3
1.9.3. Tecnológicos 3
1.10 Presupuesto 4
1.11 Financiamiento 4
II. PLAN DE INVESTIGACIÓN 5
2.1. El Problema 5
2.1.1. Realidad Problemática 5

ix
2.1.2. Antecedentes del Problema 6
2.1.3. Formulación del Problema 8
2.1.4. Justificación del Problema 8
2.1.5. Limitaciones de la Investigación 9
2.2. Hipótesis 9
2.2.1. Formulación de la Hipótesis 9
2.2.2. Variables 9
2.2.3. Indicadores 10
2.3. Objetivos 11
2.3.1. Objetivo General 11
2.3.2. Objetivos Específicos 11
2.4. Metodología 12
2.5. Diseño de Contrastación 13
CAPÍTULO II: MARCO REFERENCIAL 14
II. MARCO TEÓRICO 15
2.1 ¿Qué es un Sistema? 15
2.2 Información 15
2.3 Sistema de Información (SI) 16
2.4 Clasificación de los Sistemas de Información 19
2.5 Tipos de Sistemas de Información 20
2.5.1 Los sistemas a Nivel Operativo 20
2.5.2 Los sistemas a Nivel del Conocimiento 21
2.5.3 Los sistemas a Nivel Administrativo 21
2.5.4 Los sistemas a Nivel Estratégico 21
2.6 AUDITORIA 21
2.6.1 Definición de Auditoria 21
2.7 Auditor 23
2.8 ISACA (Information Systems Audit and Control Association) 23
2.9 Principios de Auditoria 23
2.10 Objetivos Generales de la Auditoria 26
2.11 Alcance de la Auditoria 26
2.12 Implantación de sistema de control interno informático 27
2.12.1 Controles de desarrollo, adquisición y mantenimiento de
sistemas de información
27

x
2.13 Motivos para Efectuar una Auditoria de Tecnologías de
Información
28
2.14 CONTROL INTERNO 29
2.14.1 Componentes del Control Interno 30
2.15 AUDITORIA INFORMÁTICA 31
2.15.1 Control Interno y Auditoria Informática: Campos Análogos 32
2.16 Técnicas y Herramientas Usadas por la Auditoría Informática 33
2.17 AUDITORIA DE SISTEMAS DE INFORMACIÓN 34
2.18 Objetivos de la Auditoria de Sistemas 36
2.19 Planteamiento y Metodología 37
CAPÍTULO III: DESARROLLO DE LA METODOLOGÍA 39
III. ASPECTOS GENERALES DE LA ENTIDAD 40
3.1 Identificación de la entidad auditada 40
3.2 Direccionamiento Estratégico 40
3.2.1 Misión 40
3.2.2 Visión 40
3.3 Ubicación Geográfica 40
3.3.1 Logo 40
3.3.2 Dirección 40
3.3.3 Vista Satelital 41
3.3.4 Exteriores del Gobierno Regional 41
3.4 Organigrama 42
3.5 Análisis de la Entidad Auditada 44
3.6 Marco Legal el Centro de Información y Sistemas 44
3.7 Estructura Orgánica del Centro de Información y Sistemas 47
3.8 Recursos Humanos Del Centro De Información y Sistemas 47
3.9 Problemática del Centro de Información y Sistemas 48
3.10 Alineamiento con el Plan Estratégico Institucional y Sectorial 49
3.11 Estrategias para el logro de las metas del Plan Operativo
informático
50
3.12 Aplicación de auditoría del desarrollo de sistemas de
información en el centro de información y sistemas
51
3.12.1 Auditoría de la organización y gestión del área de sistemas 51
3.12.2 Objetivo de Control OG1: procesos, organización y relaciones 51

xi
3.12.3 Objetivo de Control OG2: Gestión de Recursos Humanos 51
3.12.4 Objetivo de Control OG3: Plan Estratégico de Tecnologías de
l la Información del área
52
3.12.5 Objetivo de Control OG4: Gestión de la calidad 53
3.13 Auditoría de proyectos de desarrollo y mantenimiento 56
3.13.1 Auditoria de la gestión y planificación del proyecto 56
3.13.2 Objetivo de Control P1 56
3.13.3 Objetivo de Control P2 57
3.14 Auditoría de la fase de estudio de viabilidad 60
3.14.1 Objetivo de Control V1 60
3.15 Auditoria de la fase de análisis 61
3.15.1 Objetivo de Control A1 61
3.15.2 Objetivo de Control A2 62
3.16 Auditoria de la fase de diseño 63
3.16.1 Objetivo de Control D1 63
3.16.2 Objetivo de Control D2 64
3.17 Auditoria de la fase de construcción 65
3.17.1 Objetivo de Control CS-1 65
3.17.2 Objetivo de Control CS-2 67
3.18 Auditoria de la fase de implantación y aceptación 68
3.18.1 Objetivo de Control IA-1 68
3.18.2 Objetivo de Control IA-2 69
3.19 Auditoria de la fase de mantenimiento 70
3.19.1 Objetivo de Control M-1 70
3.19.2 Objetivo de Control M-2 70
CAPÍTULO IV: ANÁLISIS DE RESULTADOS 73
IV. RESULTADOS Y DISCUSIÓN 74
4.1 Pregunta N° 01 74

xii
4.42 Pregunta N° 42 100
4.43 Pregunta N° 43 101

xiii
4.44 Pregunta N° 44 101
4.45 Pregunta N° 45 102
4.46 Pregunta N° 46 103
4.47 Pregunta N° 47 103
CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES 105
5.1 Conclusiones 106
5.2 Recomendaciones 106
CAPÍTULO VI: REFERENCIAS BIBLIOGRÁFICAS - ANEXOS 108
VI. REFERENCIAS BIBLIOGRÁFICAS 109
VII.HALLAZGOS DE AUDITORIA 112

xiv
ÍNDICE DE FIGURAS
1. Figura N° 01: Cronograma de actividades. 3
2. Figura N° 02: Diseño de contrastación 13
3. Figura N° 03: Definición de sistema 15
4. Figura N° 04: El Ciclo de la Información (Burch) 16
5. Figura N° 05: Atributos de la Calidad de la Información 16
6. Figura N° 06: Actividades de un Sistema de Información 18
7. Figura N° 07: Sistema de Información 19
8. Figura N° 08: Actividades de un Sistema de Información 31
9. Figura N° 09: Definición de Auditoria de Sistemas 35
10. Figura N° 10: Objetivos de Auditoria de Sistemas 37
11. Figura N° 11: Logo Institucional 40
12. Figura N° 12: Vista Satelital del Gobierno Regional Cajamarca 41
13. Figura N° 13: Exteriores del Gobierno Regional Cajamarca 41
14. Figura N° 14: Estructura Orgánica del Gobierno Regional Cajamarca 43
15. Figura N° 15: Estructura Orgánica del Centro de Información y Sistemas 47
16. Figura N° 16: Datos inconsistentes en la base de datos 113

xv
ÍNDICE DE GRÁFICOS
1. Gráfico N° 01: Auditorias Anteriores 74
2. Gráfico N° 02: Documentación de funciones 74
3. Gráfico N° 03: Organigrama 75
4. Gráfico N° 04: Puesto de Trabajo 76
5. Gráfico N° 05: Promoción de Staff a puestos superiores 76
6. Gráfico N° 06 Staff cumple requisitos al puesto que acceden 77
7. Gráfico N° 07: Formación y motivación del staff 78
8. Gráfico N° 08: Sugerencias del staff 78
9. Gráfico N° 09: Aprobación del proyecto 79
10. Gráfico N° 10: Metodología de desarrollo de sistemas de información 80
11. Gráfico N° 11: Metodología cubre las fases y es adaptable 80
12. Gráfico N° 12: Asignación de responsable de proyecto 81
13. Gráfico N° 13: Dimensión del proyecto 82
14. Gráfico N° 14: Registro de problemas 82
15. Gráfico N° 15: Información Histórica 83
16. Gráfico N° 16: Equipos de trabajo y responsables de las áreas 84
17. Gráfico N° 17: Reuniones del equipo de trabajo 84
18. Gráfico N° 18: Documentación del proyecto 85
19. Gráfico N° 19: Documentación de requisitos 86
20. Gráfico N° 20: Solicitud de participación de personal de otras áreas 86
21. Gráfico N° 21: Nuevos proyectos software 87
22. Gráfico N° 22: Fechas de realización del proyecto 88
23. Gráfico N° 23: Recopilación de información 88
24. Gráfico N° 24: Métricas 89
25. Gráfico N° 25: Guías de prácticas de análisis y diseño 89
26. Gráfico N° 26: Modelo del sistema 90
27. Gráfico N° 27: División de subsistemas 90
28. Gráfico N° 28: Interfaces 91
29. Gráfico N° 29: Normas de diseño 92
30. Gráfico N° 30: Plan de pruebas 92
31. Gráfico N° 31: Aceptación del sistema 93
32. Gráfico N° 32: Validación de la especificación 93
33. Gráfico N° 33: Arquitectura del sistema 94
34. Gráfico N° 34: Migración y carga inicial de datos 95

xvi
35. Gráfico N° 35: Entorno de desarrollo y pruebas 95
36. Gráfico N° 36: Repositorio de productos software 96
37. Gráfico N° 37: Técnicas de programación 97
38. Gráfico N° 38: Programar, probar y documentar componentes 97
39. Gráfico N° 39: Estándares y normas de programación 98
40. Gráfico N° 40: Prueba de cada componente 99
41. Gráfico N° 41: Procedimientos de migración y carga inicial de datos 99
42. Gráfico N° 42: Aceptación formal del sistema 100
43. Gráfico N° 43: Plan de formación y aceptación 101
44. Gráfico N° 44: Capacitación a usuarios 101
45. Gráfico N° 45: Procedimientos de mantenimiento 102
46. Gráfico N° 46: Monitorear nivel de servicio 103
47. Gráfico N° 47: Peticiones de mantenimiento 103

xvii
ÍNDICE DE CUADROS
1. Cuadro N° 01: Personal del CIS 47
2. Cuadro N° 02: Análisis FODA - CIS 49
3. Cuadro N° 03: Alineamiento con el Plan Estratégico Institucional y
Sectorial
50

xviii
ÍNDICE DE TABLAS
1. Tabla N° 01: Presupuesto. 4
2. Tabla N° 02: Indicadores de variable independiente 10
3. Tabla N° 03: Indicadores de variable dependiente 11
4. Tabla N° 04: Similitudes y Diferencias entre Control Interno y Auditoria
Informática
33
5. Tabla N° 05: Auditoría de la organización y gestión del área de sistemas 55
6. Tabla N° 06: Auditoría de proyectos de desarrollo y mantenimiento 59
7. Tabla N° 07: Auditoría de la fase de estudio de viabilidad, fase análisis,
fase diseño, construcción, implantación, aceptación y mantenimiento
72
8. Tabla N° 08: Aplicativos informáticos Gobierno Regional Cajamarca 112

Carrera de Ingeniería de
Sistemas Computacionales
1
Bach. Arturo Fernando Granados Rodríguez
Capítulo I:
MARCO
METODOLÓGICO

2
I. GENERALIDADES
1.1. AUTOR
1.2. ASESOR
Ing. Hugo Alejandro Pérez Quiroz
1.3. TITULO
AUDITORIA DEL DESARROLLO DE SISTEMAS DE INFORMACIÓN EN EL
GOBIERNO REGIONAL CAJAMARCA.
1.4. INSTITUCIÓN A LA QUE PERTENECE EL PROYECTO
Universidad Privada del Norte, Facultada de Ingeniería, Carrera de Ingeniería
de Sistemas Computacionales
1.5. LUGAR DE EJECUCION DEL PROYECTO
Área de sistemas del Gobierno Regional Cajamarca,
1.6. TIPO DE INVESTIGACION
1.6.1 De acuerdo al propósito de la investigación: Aplicada
1.6.2 De acuerdo a su grado de profundidad: Descriptivo - Correlacional
1.6.3 De acuerdo al método y técnicas de investigación: No experimental
1.7. DURACION
Se realizo en un tiempo de 4 meses (Marzo a Julio del 2012)
1.8. CRONOGRAMA DE TRABAJO

3
Cronograma de trabajo en Microsoft Project.
Figura N° 01: Cronograma de Actividades
Fuente Propia
1.9. RECURSOS
1.9.1. Humanos
Director del CIS
Staff.
Área de planeamiento estratégico
Área de sistemas
Asesor
Tesista
1.9.2. Materiales
Materiales de escritorio y oficina
Fotocopias
Memoria USB
Computadora de Escritorio
Tintas para impresora Canon
1.9.3. Tecnológicos
Paquete Office 2007 (Microsoft Word, Microsoft Power Point, Microsoft
Excel y Microsoft Project)
Internet Speedy 2 MB
Telefonía
Impresora

4
1.10. PRESUPUESTO
Costo total del proyecto, teniendo en cuenta los recursos utilizados en el
desarrollo del mismo.
Recursos Unidad Cantidad Costo
uni(S/.)
Costo
total(S/.)
Humanos
- Asesor Asesor 1 300 300
Sub-Total 300
Materiales
- Papel Bond Atlas de 80 gr Millar 1 30 30
- Bolígrafos Faber Castell 0.35 Unidad 4 0.50 2.00
- Corrector Faber Castell Unidad 1 3 3
- Lápiz de Grafito Faber Castell Unidad 4 0.50 2.00
- Fotocopias Unidad 1000 0.067 67
- Memoria USB de 8GB Unidad 1 32 32
- Tintas para Impresora Canon Unidad 2 53 106
- Computadora de Escritorio (Intel
Core 2 Quad, 2GB RAM, 300GB
Disco Duro), Monitor Samsung
22’’, Mouse & Teclado Logitech,
Parlantes 5.1 Logitech)
Unidad 1 1 3200
Sub-Total 3442
Tecnológicos
- Impresora Multifuncional Canon
Mp190
Unidad 1 180 180
- Línea Tarifa Semi-Plana +
Speedy 2 MB Unidad 1 139 139
Sub-Total 319
Costo Total 4061
Tabla N° 01: Presupuesto
Fuente: Elaboración Propia
1.11. FINANCIAMIENTO
El presente proyecto será autofinanciado.

5
II. PLAN DE INVESTIGACION
2.1. EL PROBLEMA
2.1.1. Realidad Problemática
La investigación surge a raíz que en todo ámbito institucional se requiere
información oportuna y confiable, para la toma de decisiones realidad que
ha permitido el desarrollo de sistemas de información.
Usualmente, la mayoría de las instituciones, y en este caso, el Gobierno
Regional de Cajamarca, en el desarrollo de sistemas de información
carece de un análisis técnico profesional, lo cual ha generado una
información poco confiable, inoportuna e inconsistente a la hora de tomar
decisiones.
El Gobierno Regional Cajamarca, entra en vigencia por la Constitución
Política del Estado Peruano y la Ley Nº 27867 el año 2003, y su
modificatoria Ley Orgánica de Gobiernos Regionales. Esta, indica que es
un organismo público con personería jurídica de derecho público, con
autonomía política, económica y administrativa en asuntos de su
competencia.
El Gobierno Regional cuenta con departamento de sistemas el cual lo
denominan Centro de Información y Sistemas – CIS, el mismo que da
soporte técnico a los diversos procesos administrativos de la institución.
Después de haber tenido entrevistas con el Director del CIS (Centro de
Información y Sistemas) así como con su staff, dieron a conocer algunos
de los problemas que se mencionan a continuación:
- Carencia de procedimientos de control interno, como garantía para
una gestión eficaz orientada a la consecución de los objetivos del
CIS y de la institución.
- Falta de documentación para la gestión del cambio, problemas e
incidentes en el desarrollo del proyecto software.
- Falta de mecanismos de comunicación debidamente documentados
entre el staff.
- Falta de una metodología y procedimientos estándares para el
desarrollo de sistemas de información: gestión y planificación del
proyecto, viabilidad, análisis, diseño, construcción, implantación y
mantenimiento.
Ante estos problemas nace el presente trabajo de investigación aplicativo
que permitirá mejorar el Área de Sistemas del Gobierno Regional
Cajamarca.

6
2.1.2. Antecedentes del Problema
Presento algunos antecedentes de casos de instituciones a Nivel
Internacional y Nacional que han desarrollado Auditorias Informáticas
con mucho éxito.
Nivel Internacional
1. Autor: Carlos Giovanni Guzmán de León
Título: “Lineamientos Generales para una Auditoría de
Sistemas en el Centro de Información de una
Institución Bancaria” – Agosto 2000
Institución: Universidad Mariano Gálvez de Guatemala
Obtener Grado Académico: MAGISTER ARTIUM EN
SISTEMAS con Énfasis en Finanzas
Resumen u Objetivo:
Importancia que tiene la función de la Auditoría de Sistemas, en
las instituciones financieras, así como la necesidad de
planificarla y desarrollarla.
2. Autor: Guillermo Ramón Caal Chupina
Título: “Planeación de la Auditoria Operacional en el
Área de Ingresos de una empresa que utiliza el
Comercio Electrónico” – Octubre 2006
Institución: Universidad de San Carlos de Guatemala
Obtener Titulo de: Contador Público y Auditor en el Grado de
Licenciado
Resumen u Objetivo:
Los elementos del proceso administrativo y la necesidad de
considerar la participación de un especialista en Auditoria;
asimismo, apoyar la actualización e innovación de herramientas
electrónicas y metodológicas para el desarrollo de la actividad
del Contador Público y Auditor en la planeación y ejecución de
una auditoria operacional.
3. Autor: Francisco Dagoberto Xiloj Charuc
Título: “Auditoria Externa en un Ambiente de Sistemas de
Información Computarizado en el Área de
Ingresos de una Empresa Comercializadora de
Vehículos” – Agosto 2008
Institución: Universidad de San Carlos de Guatemala
Obtener Titulo de: Contador Público y Auditor

7
Resumen u Objetivo:
La importancia de comprender los procedimientos y técnicas de
Auditoría a aplicarse en una empresa Comercializadora de
Vehículos, así mismo saber cómo aplicar los procedimientos y
las técnicas más eficientes para Auditar estos nuevos y cada vez
más complejos sistemas de información, con la ayuda de la
tecnología.
Nivel Nacional
1. Autor: José A. Rau Álvarez
Título: “Auditoría Estratégica y Plan de Negocios de una
Empresa de Confecciones de Calcetines” – 2004
Institución: Pontificia Universidad Católica del Perú
Obtener Grado de Máster en: Administración de Negocios
Resumen u Objetivo:
Efectúa una auditoría estratégica, que analiza factores tales
como la recesión que es uno de los más importantes a nivel
macro, el estudio recomienda aprovechar los actuales espacios
que existen para reducir costos. Debe introducirse mejoras
tecnológicas y de capacitación para una mejor asignación de
costos y reducción de los mismos. Así, con un desarrollo de un
mejor control de calidad y manejo de mermas podría reducirse
costos y ofrecer artículos con un mayor valor para el cliente.
2. Autor: Liliana Antonieta Palomino Chávez
Título: “Auditoria de Gestión en la Escuela de Ingeniería
de Sistemas”
Institución: Universidad Nacional de Trujillo
Obtener Titulo de: Ingeniero Informático
Resumen u Objetivo:
Identifica aspectos prioritarios en la parte de Gestión, aplicando
Tecnologías Informáticas que mejoren el proceso que más
incurren en incidencias que es el proceso de Matriculas de la
Facultad de Ingeniería de Sistemas.
3. Autor: Gissela Karina Chávez García
Título: “Auditoria Informática Aplicada al Sistema
Integrado de Gestión Comercial, Comercializadora
y Distribuidora Jiménez S.A. de la Empresa
Distribuidora Codijisa - Trujillo” - 2008

8
Institución: Universidad Privada del Norte – Trujillo
Obtener Titulo de: Ingeniero de Sistemas
Resumen u Objetivo:
La aplicación de una Auditoria Informática permite mejorar el
sistema, minimizando los errores en un 88.33%.
2.1.3. Formulación del Problema
¿En qué medida la Aplicación de una Auditoria del Desarrollo de
Sistemas de Información garantiza la integralidad, confiabilidad de la
información del Gobierno Regional Cajamarca?
2.1.4. Justificación del Problema
La seguridad informática cobra cada vez mayor importancia en la
sociedad, pues se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta. Para ello existen una
serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la información. La
seguridad informática comprende software, bases de datos, archivos y
todo lo que la organización valore (activo) y signifique un riesgo si ésta
llega a manos de otras personas. Este tipo de información se conoce
como información privilegiada o confidencial.
La presente investigación es necesaria pues la administración del
Gobierno Regional de Cajamarca, demanda sistemas de información
que le permita realizar la gestión con eficacia y eficiencia. Esto conlleva
al desarrollo de un sistema de información, que controle, evalúe y
fortalezca la validez y confiabilidad de procesamiento de la Información.
El estudio ha permitido identificar las principales deficiencias, que
actualmente carece de procedimientos de control, verificar su correcta
definición y aplicación que garanticen la integridad y confiabilidad de la
información.
Por ello, es conveniente realizar la mejora a través de la auditoria del
desarrollo de sistemas de información, que permita minimizar los
riesgos de la información.
La presente investigación se justifica en los siguientes aspectos:
Justificación Académica
1. El presente proyecto de tesis ayudará a profundizar el
conocimiento en investigación acerca de la realización de una
Auditoria del Desarrollo de Sistemas de Información en el
Gobierno Regional de Cajamarca.
2. El desarrollo de la tesis permitirá hacer uso de los conocimientos
adquiridos durante el transcurso de la carrera profesional de
Ingeniería de Sistemas.

9
3. Servirá como base, aporte y guías de futuras tesis y proyectos
relacionadas al campo de Auditoria Informática.
Justificación Operativa
• Staff del área de sistemas del Gobierno Regional Cajamarca
• Tesista
• Asesor
2.1.5. Limitaciones de la Investigación
El dominio de la investigación está delimitado al Gobierno Regional
Cajamarca en el área de sistemas. Y el periodo de estudio caracteriza a
la investigación como trasversal, porque se realizará en un momento
determinado del tiempo, durante los meses de marzo a julio del 2012.
2.2. HIPOTESIS
2.2.1. Formulación de la Hipótesis
La aplicación de una Auditoria del Desarrollo de Sistemas de
Información permite mejorar el área de Sistemas en el Gobierno
Regional Cajamarca.
2.2.2. Variables
Variable Independiente: Auditoría.
Definición conceptual.-
Es el proceso de recoger, agrupar y evaluar evidencias parar determinar
si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos.
Definición operacional: Se medirá a través de los siguientes indicadores:
Relevancia, Confiabilidad, Fiabilidad, Eficacia, Seguridad y Desempeño
Variable Dependiente: Desarrollo de Sistemas de información
Definición Conceptual.-
El desarrollo de software es un marco de trabajo conceptual de la
ingeniería de software que promueve iteraciones en el desarrollo a lo
largo de todo el ciclo de vida del proyecto.
Definición operacional.- Se medirá a través de los siguientes
indicadores:
Documentación, Ciclo de vida, Equipo Técnico, Alcance del proyecto,
Situación actual del proyecto, Modelo del Sistema, Interfaces, Plan de

10
pruebas, Validación de requisitos, Arquitectura del Sistema, Migración y
carga inicial de datos, Entorno de desarrollo y pruebas, Técnicas de
programación, Programación de componentes, Pruebas de integración
de componentes, Plan de formación y aceptación por usuarios,
Capacitación a usuarios, Monitorear nivel de servicio, Registro de
peticiones de mantenimiento
2.2.3. Indicadores
El proceso se ha llevado a cabo a través de una encuesta cuyo instrumento de
recopilación de datos ha sido el cuestionario diseñado en concordancia con los
indicadores seleccionados:
VARIABLE INDEPENDIENTE: Auditoría
DEFINICIÓN DIMENSIONES INDICADORES INSTRUMENTO
Es el proceso
de recoger,
agrupar y
evaluar
evidencias
parar
determinar si un
sistema
informatizado
salvaguarda los
activos,
mantiene la
integridad de
los datos, lleva
a cabo
eficazmente los
fines de la
organización y
utiliza
eficientemente
los recursos.
Inspección • Relevancia
• Confiabilidad
Formulario,
Análisis de
encuestas,
Análisis de
Documentación
Evidencias • Fiabilidad
Integridad • Eficacia
Información • Seguridad
• Desempeño
Tabla N°2 Indicadores de Variable Independiente

11
VARIABLE DEPENDIENTE: Desarrollo de Sistemas de información
DEFINICIÓN DIMENSIONES INDICADORES INSTRUMENTO
Es un marco de
trabajo
conceptual de
la ingeniería de
software que
promueve
interaciones en
el desarrollo a
lo largo de todo
el ciclo de vida
del proyecto.
Gestión y
planificación del
proyecto
• Documentación
• Ciclo de vida del proyecto
• Equipo Técnico
Formulario,
Análisis de
encuestas,
Análisis de
Documentación
Fase de Viabilidad
• Alcance del proyecto
• Situación actual del proyecto
Fase Análisis
• Modelo del Sistema
• Interfaces
• Plan de pruebas
• Validación de requisitos
Fase Diseño
• Arquitectura del Sistema
• Migración y carga inicial de
datos
Fase Construcción
• Entorno de desarrollo y
pruebas
• Técnicas de programación
• Programación de
componentes
• Pruebas de integración de
componentes
Fase de
Implantación y
Aceptación
• Plan de formación y
aceptación por usuarios
• Capacitación a usuarios
Fase de
Mantenimiento
• Monitorear nivel de servicio
• Registro de peticiones de
mantenimiento.
Tabla N°3 Indicadores de Variable Dependiente
2.3. OBJETIVOS
2.3.1. Objetivo General
Realizar una Auditoria del Desarrollo de Sistemas de Información para
mejorar el área de Sistemas en el Gobierno Regional Cajamarca.
2.3.2. Objetivos Específicos
---- Evaluar la metodología seguida en el desarrollo de Sistemas de
Información.

12
---- Identificar las fases de dicha metodología.
---- Evaluar la adecuación entre el proceso de desarrollo de
aplicaciones y los objetivos de la organización.
---- Revisar el cumplimiento de estándares y normas de control
interno en el desarrollo de aplicaciones.
---- Determinar si se cumplen las normas de seguridad y control de
cambios.
2.4. METODOLOGIA
Tipo de Investigación: El presente estudio es una investigación aplicada-
descriptivo – correlacional; el diseño es no experimental de corte transversal, porque
la naturaleza del problema no es de causalidad, pues se realiza sin manipular
deliberadamente las variables, puesto que solo se observaron los hechos como se
presentan en su contexto.
Ámbito de Estudio: El presente trabajo de investigación se desarrolló en el área
de sistemas del Gobierno Regional de Cajamarca.
Población y muestra: Está conformado por el área de sistema del Gobierno
Regional de Cajamarca. Por ser el número de unidades de análisis pequeña (07
miembros del staff) se han considerado a todos ellos.
Unidad de Análisis: Está conformada por el total del personal del área y desarrollo
del sistema de información del Gobierno Regional de Cajamarca
Técnica e Instrumentos de Recolección de Datos:
− Técnicas: Durante el proceso de ejecución del presente estudio, se
revisaran trabajos de investigación relacionados con el tema, así como
fuentes bibliográficas primarias.
− Instrumentos y Recolección de Datos: Para realizar la auditoria y
plantear las mejoraras al desarrollo del sistema de información, se ha
elaborado un cuestionario, el cual consta de 47 preguntas.
Procesamiento, análisis e interpretación de datos: Luego de aprobado el tema
de tesis, se procedió a recolectar los datos; de la encuesta dirigida al staff. Estos datos
son vaciados al programa Microsoft Excel; cuyos resultados son presentados en
gráficos. En el análisis y discusión se tomará en cuenta el marco teórico y los
antecedentes de estudio.
Para determinar el Desarrollo de Sistemas de Información. Se realizó a través
de la evaluación de sus fases de desarrollo de sistemas, cumplimiento de estándares y
normas de control interno.

13
2.5. DISEÑO DE CONTRASTACION
Diseño de Contrastación
La verificación será lógica, pues es la prueba de coherencia de los enunciados
según la literatura consultada. Se utilizará Investigación ex-post-facto.
La población de estudio está constituida por 7 miembros del staff del área de
sistemas. La muestra está representada por los 7 empleados.
Por lo tanto, se ha determinado que el tamaño de la muestra para la presente
investigación es de 7 miembros del staff a quienes se aplicó la encuesta de
Auditoria de Sistemas de Información.
Formalización:
M1 X M2
Figura N° 02: Diseño de Contrastación
Fuente Propia
donde,
M1: Situación problemática del área de sistemas del Gobierno Regional
Cajamarca
X : Aplicación de la auditoria del desarrollo de sistemas.
M2: Situación problemática después de la aplicación de la auditoria del
desarrollo de sistemas de información.
A través de la aplicación de la auditoria se contrastará con la hipótesis
Al finalizar la presente investigación se analizan M2, para determinar la validez
de la hipótesis, con el planteamiento de los mejoras del desarrollo de sistemas
de información.
Área de
Sistemas – CIS
Área de
Sistemas – CIS
Post – Test
Sin grupo de control

14
Capítulo II:
MARCO
REFERENCIAL

15
II. MARCO TEORICO
2.1 ¿Qué es un Sistema?
Según el Ing. Villanueva Sánchez Grover en su Tesis “Sistema de Gestión
Estratégica aplicando el Enfoque Sistémico y las Tecnologías de la Información
para lograr Ventajas Competitivas en el Instituto Nacional de Cultura de La
Libertad”. Ref. Tes [2].
"Un sistema es una entidad autónoma dotada de una cierta permanencia, y
constituida por elementos interrelacionados, que forman subsistemas
estructurales y funcionales. Se transforma, dentro de ciertos límites de
estabilidad, gracias a regulaciones internas que le permiten adaptarse a las
variaciones de su entorno específico".
Brian Wilson sostiene que el vocablo sistema “tiene varias interpretaciones,
dependiendo del contexto en el que es usado”. Por otra parte, Stafford Beer
refiere que “hablar de un sistema es hablar de la cohesión de un cierto número
de entidades llamadas partes de un sistema. Un sistema no es algo dado por la
naturaleza sino definido por la inteligencia”. Rodríguez Ulloa (1994)
Por lo tanto, “se define a un Sistema como un conjunto de elementos
interrelacionados que responden a un propósito determinado que como un todo
tiene característica que sus partes separadamente no tienen. Está conectado,
interactúa y es influenciado por su entorno”. Villanueva Sánchez (2008)
Figura Nº 03: Definición de Sistema
Fuente Tes [1]
2.2 Información
Según John Burch & Gary Grudnitski en su libro "Diseño de sistemas de
información" Ref. Lib [1].

16
Es el eslabón indispensable que une a todos los componentes de la
organización para una mejor operación y para su supervivencia en un ambiente
competitivo y poco amigable.
Figura Nº04 El Ciclo de la Información (Burch)
Lib[1]. Pag.20
Además hace mención que la calidad de la información está en base a:
exactitud (inf. clara y libre de tendencias o desviaciones) oportunidad (dentro
del marco de tiempo necesario) y relevancia (importancia).
Figura Nº05 Atributos de la Calidad de la Información
Lib[1]. Pag.20
2.3 Sistema de Información (SI)
Según Ralph M. Stair, en su libro “Principios de SISTEMAS DE INFORMACION
– Enfoque Administrativo”. Ref. Lib [02]
“Un Sistema de Información (SI) es un conjunto de componentes
interrelacionados para recolectar, manipular y diseminar datos e información y
para disponer de un mecanismo de retroalimentación útil en el cumplimiento de
un objetivo”.

17
“Todos interactuamos en forma cotidiana con sistemas de información, para
fines tanto personales como profesionales; utilizamos cajeros automáticos, los
empleados de las tiendas registran nuestras compras sirviéndose de códigos
de barras y escáner u obtenemos información en módulos equipados con
pantallas sensibles al tacto, las muy famosas touch screen. Las principales
compañías gastan en la actualidad más de 1 000 millones de dólares al año en
tecnología de información y el futuro dependeremos aún más de los sistemas
de información“
Según Kenneth Laudon. & Jane Laudon en su libro “Sistemas De Información
Gerencial”. Ref. Lib [03]
“Un sistema de información se puede definir técnicamente como un conjunto
de componentes interrelacionados que recolectan (o recuperan), procesan,
almacenan y distribuyen información para apoyar la toma de decisiones y el
control en una organización. Además de apoyar la toma de decisiones, la
coordinación y el control, los sistemas de información también pueden ayudar a
los gerentes y trabajadores a analizar problemas, visualizar asuntos complejos
y crear productos nuevos”.
Los sistemas de información contienen información acerca de gente, lugares y
cosas importantes dentro de la organización o en el entorno que se
desenvuelven. Por información se entiende los datos que se han modelado en
una forma significativa y útil para los seres humanos. En contraste, los datos
son consecuencia de los hechos en bruto y representan eventos que ocurren
en las organizaciones o en el entorno físico antes de ser organizados y
ordenados en una forma que las personas puedan entender y utilizar.
Hay tres actividades en un sistema de información que producen la información
que las organizaciones necesitan para tomar decisiones, controlar operaciones,
analizar problemas y creas nuevos productos o servicios. Estas actividades son
entrada, procesamiento y salida. La entrada captura o recolecta datos en bruto
tanto al interior de la organización como de su entorno externo. El
procesamiento convierte esta entrada de datos en una forma significativa. La
salida transfiere la información procesada a la gente que lo usará o a las
actividades para las que se utilizará. Los sistemas de información también
requieren retroalimentación que es la salida que se devuelve al personal
adecuado de la organización para ayudarle a evaluar o corregir la etapa de
entrada.

18
Figura Nº06 Actividades de un Sistema de Información
Fuente: Sistemas de Información Gerencial Lib [03]
Según Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz.
En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06].
Pg. 346.
En un sentido amplio se puede considerar que un SI es un conjunto de
elementos que interactúan para que la empresa pueda alcanzar sus objetivos
satisfactoriamente. Según COBIT los componentes o recursos de un SIson los
siguientes:
Datos
En general se consideran datos tanto los estructurados como los no
estructurados, las imágenes, los sonidos, etc.
Aplicaciones
Se incluyen las aplicaciones manuales y las informáticas
Infraestructura
En infraestructura se incluyen las tecnologías y las instalaciones (por
ejemplo hardware, sistemas operativos, sistema de gestión de base de
datos, sistemas de red, multimedia y el medio en el que se ubican) que
permiten que se procesen las aplicaciones.
Personal
Los conocimientos que ha de tener el personal de los sistemas de
información para planificarlos, organizarlos, administrarlos y
gestionarlos

19
Figura Nº07 Sistema de Información
Fuente: “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06]. Pg.
347.
Para comprobar que el sistema de información está funcionando según lo
previsto, este habrá de disponer de un sistema de control interno que prevenga
los eventos no deseados o en su defecto los detecte y los corrija. Es
conveniente recordar que el resultado de la auditoria parcial de un sistema de
información no se puede extrapolar al conjunto del sistema. EI funcionamiento
inadecuado de alguno (o algunos) de los procesos y recursos que intervienen
en otras partes del sistema (subsistemas) puede invalidar el sistema de
información.
2.4 Clasificación de los Sistemas de Información
Según Vinceç Fernández Alarcón, en su libro “Desarrollo de Sistemas De
Información – Una metodología basada en el modelado”. Ref. Lib [04].
Propone diversos criterios para la clasificación de los Sistemas de Información:
1. Por el grado de formalidad:
Sistemas de Información Formales y los Informales
2. Por el nivel de automatización conseguido:
En las organizaciones, pueden existir sistemas que necesitan
una alta participación de los trabajadores – poco
automatizadas (Por ejemplo, los sistemas para responder a
preguntas personalizadas a través de un e-mail) -, mientras que
otros sistemas son capaces de trabajar sin la intervención

20
humana – muy automatizadas (por ejemplo, las centrales
telefónicas totalmente automatizadas).
3. Por su relación con la toma de decisiones
Una de las funciones que deben cumplir los sistemas de
información es colaborar en la toma de decisiones. En función
del lugar jerárquico en donde se tomen las decisiones, los
sistemas de información se podrán clasificar en estratégicos, de
control u operativos
4. Por la naturaleza de sus entradas y salidas
Un sistema de información puede recibir información de diversas
fuentes de información (personas, empresas, otros sistemas de
información, etc.) así como en distintos formatos (a través de un
teclado, por la red, de un disquete, memoria USB, CD, DVD etc.)
del mismo modo, los Sistema de Información pueden
proporcionar información a través de distintos formatos (impreso,
por pantalla, en internet, etc.)
5. Por el origen y el grado de personalización
En las empresas se pueden encontrar Sistemas de Información
que han sido diseñados e implementados sólo para ellos, o
también sistemas comprados que son utilizados por otras
empresas.
6. Por el valor que representan para las organización
El sistema que contiene la información de los clientes suele
tener una mayor importancia que el sistema de información de
presupuestos (ya que este es más sencillo y se puede hacer
manualmente).
2.5 Tipos de Sistemas de Información
Según Kenneth Laudon. & Jane Laudon en su libro “Sistemas De Información
Gerencial”. Ref. Lib [03]
Plantean cuatro principales tipos de sistemas de información que dan servicio a
los diferentes niveles de la organización: sistemas a nivel operativo, sistemas a
nivel del conocimiento, sistemas a nivel administrativo y sistemas a nivel
estratégicos.
2.5.1 Los sistemas a Nivel Operativo apoyan a los gerentes operativos en el
seguimiento de las actividades y transacciones elementales de la organización
como ventas, ingresos, depósitos en efectivo, nómina, decisiones de crédito y
flujo de materiales en una fábrica. El objetivo principal de los sistemas a este
nivel es responder las preguntas de rutina y seguir el flujo de las transacciones

21
a través de la organización. ¿Cuántas partes hay en el inventario? ¿Qué pasó
con el pago del señor Gutiérrez?
En general, para contestar este tipo de preguntas la información debe estar a la
mano y ser actual y precisa. Entre los ejemplos de sistemas a nivel operativo
están un sistema para registrar los depósitos realizados en un cajero
automático o uno que lleve el registro del número de horas trabajadas cada día
por los empleados de una fábrica.
2.5.2 Los sistemas a Nivel del Conocimiento apoyan a los trabajadores del
conocimiento y de datos de una organización. El propósito de estos sistemas
es ayudar a las empresas comerciales a integrar el nuevo conocimiento en los
negocios y ayudar a la organización a controlar el flujo del trabajo de oficina.
Los sistemas a nivel del conocimiento, especialmente en forma de estaciones
de trabajo y sistemas de oficina, están entre las aplicaciones de crecimiento
más rápido en los negocios actuales.
2.5.3 Los sistemas a Nivel Administrativo sirven a las actividades de
supervisión, control, toma de decisiones y administrativas de los gerentes de
nivel medio. La pregunta principal que plantean estos sistemas es ¿van bien
las cosas? Por lo general este tipo de sistemas proporcionan informes
periódicos más que información instantánea de operaciones. Un ejemplo es un
sistema de control de reubicación que informe los costos totales de mudanza,
búsqueda de vivienda y financiamiento de vivienda para empleados de todas
las divisiones de la compañía y notifique cualquier costo actual que exceda los
presupuestos.
2.5.4 Los sistemas a Nivel Estratégico ayudan a los directores a enfrentar y
resolver aspectos estratégicos y tendencias a largo plazo, tanto en la empresa
como en el entorno externo. Su función principal es compaginar los cambios
del entorno externo con la capacidad organizacional existente. ¿Cuáles serán
los niveles de empleo dentro de cinco años? ¿Cuáles son las tendencias a
largo plazo de los costos de la industria y dónde encaja nuestra empresa?
¿Qué productos deberemos estar elaborando dentro de cinco años?
Los sistemas de información también apoyan las principales funciones
empresariales como ventas y marketing, manufactura, finanzas, contabilidad, y
recursos humanos. Una organización típica tiene sistemas a nivel operativo,
administrativo, del conocimiento y estratégico para cada área funcional.
2.6 AUDITORIA.
2.6.1 Definición de Auditoria
En su libro, Carlos Muñoz Razo. “Auditoria en Sistemas Computacionales”, Ref.
Lib [05]

22
Los inicios de la auditoria se remontan a la revisión y el diagnóstico que se
practicaba a los registros operacionales contables de las empresas; después
se pasó al análisis, verificación y evaluación de sus aspectos financieros;
posteriormente se amplió al examen de algunos rubros de la administración,
siguiendo con el análisis de aquellos aspectos que intervenían en todas sus
actividades y, por último, su alcance se incrementó conforme se avanzó en la
llamada revisión integral.
Nos muestra además una definición de auditoría:
Auditoria es la revisión independiente que realiza un auditor profesional,
aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar
el cumplimiento de las funciones, actividades, tareas y procedimientos de una
entidad administrativa, así como dictaminar sobre el resultado de dicha
evaluación.
En la página Web del INEI: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA?
Ref. URL [1]
Hare referencia a:
La Auditoría cumple una función muy valiosa e independiente, no toma
acciones pero da sugerencias, y sus conclusiones deben tomarse en cuenta en
la toma de decisiones. La auditoría se apoya de herramientas de análisis,
verificación y exposición conformando así elementos de juicio, los cuales
permitirán determinar las debilidades y disfunciones. Es muy probable que se
afecte la susceptibilidad del personal auditado, debido a que se interrumpe de
alguna manera sus tareas, en el momento de realizar la auditoría, además esta
actitud es comprensible. Pero los sistemas en ocasiones son muy sofisticados,
lo cual hace que el auditor disponga de un nivel técnico adecuado e insuficiente
frente al tiempo que tiene para realizar su trabajo.
Como parte de la auditoría esta la evaluación del personal, para esto existe el
Chek List, que es un cuestionario, el cual es archivado bajo estrictas medidas
de seguridad por las empresas que se encargan de realizar este trabajo de
Auditoría, por considerarse información confidencial y activos muy importantes
que respaldan su actividad. La evaluación debe ceñirse de acuerdo a las
normas o reglas implantadas y se considera que debe aplicarse una
metodología que pueda resolver los problemas que puedan presentarse.
Francisco Dagoberto Xiloj Charuc, en su Tesis Ref. Tes [03]: “Auditoría Externa
en un Ambiente de Sistemas de Información Computarizado en el Área de
Ingresos de una Empresa Comercializadora de Vehículos”. Nos menciona:
La Auditoría consiste en un examen sistemático de los libros, documentos y
demás registros contables de una entidad, con el objeto de obtener elementos
de juicio y evidencia comprobatoria suficiente y competente para fundamentar

23
de una manera objetiva y profesional la opinión que el Contador Público y
Auditor, emite sobre los estados financieros preparados por la entidad, a una
fecha determinada y el resultado de las operaciones por un período terminado
en esa fecha, así como los estados de flujos de efectivo y patrimonio de los
accionistas.
2.7 Auditor
En su libro, Carlos Muñoz Razo. “Auditoria en Sistemas Computacionales”, Ref.
Lib [05]
Del latín Auditor, oris s.m. 1. Persona capacitada para realizar auditorías en
empresas u otras instituciones. Pertenece a un colegio oficial.
Del latín auditor; el que oye, del verbo audire. Oír. Anteriormente oyente
El autor del libro propone la siguiente definición para la auditoria:
“Es la revisión independiente de alguna o algunas actividades, funciones
específicas, resultados u operaciones de una entidad administrativa, realizada
por un profesional de la auditoria, con el propósito de evaluar su correcta
realización y, con base en ese análisis, poder emitir una opinión sobre la
razonabilidad de sus resultados y cumplimiento de sus operaciones”
Según la Página Web, ¿QUÉ ES LA AUDITORÍA INFORMÁTICA? Del Instituto
Nacional De Estadística e Informática (INEI). Ref URL [1]. Pg 11
“Si nos remontamos al campo de la etimología veremos que auditoría viene del
latín auditorius, proviniendo de aquí la palabra auditor, la misma que significa o
que se refiere a aquel que tiene la virtud de oir”.
2.8 ISACA (Information Systems Audit and Control Association -
Asociación de Control y Auditoría de Sistemas de Información) Ref. URL
[5]:
Desde su creación, ISACA se ha convertido en una organización global que
establece las pautas para los profesionales del gobierno, control, seguridad y
auditoría de información. Sus normas de auditoría y control de SI son seguidos
por profesionales de todo el mundo y sus investigaciones abordan temas
profesionales que son desafíos para sus constituyentes.
2.9 Principios de Auditoria
En el libro “Auditoría de Tecnologías y Sistemas de Información” de Mario
Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06].
Pg. 349, 350, 351, 352.
Algunos de los principios publicados por ISACA son:

24
1. Formalidad
• Responsabilidad, atribuciones y obligaciones
Las responsabilidades, atribuciones y obligaciones que abarca la
función de auditoría de los sistemas de información deben
documentarse de manera apropiada (formal) en unos estatutos de
auditoría en el caso de la auditoría interna, o en una carta de encargo
o contrato en el caso de la auditoría externa.
2. Independencia
• Independencia profesional
En todas las cuestiones relacionadas con la auditoria, el auditor de
sistemas de información debe ser independiente de la organización
auditada tanto en actitud como en apariencia.
• Relación con la organización
La función de auditoría de los sistemas de información debe ser lo
suficientemente independiente del área que se esté auditando para
permitir realizar de manera objetiva la auditoria.
3. Ética y normas profesionales
• Condigo de Ética profesional
Al igual que en otros colectivos profesionales, distintos organismos
han publicado unos códigos de conducta o normas deontológicas que
el auditor de sistemas de información ha de cumplir. Así el auditor que
sea miembro de ISACA debe acatar el Código de Ética Profesional de
ISACA, de lo contrario se pueden se pueden tomar medidas
disciplinarias.
• Diligencia profesional
En todos los aspectos del trabajo del auditor de sistemas de
información, se debe ejercer la atención profesional correspondiente y
el cumplimiento de las normas aplicables de auditoría profesional.
4. Idoneidad
• Habilidades y conocimientos

25
EI auditor de sistemas de información debe ser técnicamente idóneo y
tener la experiencia y los conocimientos necesarios para realizar el
trabajo de auditor.
• Formación profesional continúa
EI auditor de sistemas de información debe mantener la idoneidad
técnica mediante su formación profesional continua.
5. Planificación
• Planificación de la Auditoria
EI auditor de sistemas de información debe planificar el trabajo de
auditoría para satisfacer los objetivos de la auditoria y para cumplir
con las normas de auditoría aplicables a la profesión.
6. Ejecución de la auditoria
• Evidencia
Durante el transcurso de una auditoria, el auditor de sistemas de
información debe obtener evidencia adecuada (fiable, relevante y útil)
y suficiente para lograr los objetivos de la auditoria. Los hallazgos y
conclusiones de la auditoria se deben basar en el análisis e
interpretación apropiados de dicha evidencia.
• Documentación
EI proceso de auditoria deberá documentarse, describiendo las
labores de auditoría realizadas y la evidencia de auditoría que
respalda los hallazgos y conclusiones del auditor.
• Supervisión
EI personal de auditoría de SI debe ser supervisado para brindar una
garantía razonable de que se lograran los objetivos de la auditoria y
que se cumplirán las normas profesionales de auditoría aplicables.
7. Información
• Contenido y formato de los informes
En el momento de completar el trabajo de auditoría, el auditor de
sistemas de información debe proporcionar un informe con un formato
apropiado a los destinatarios. EI informe de auditoría debe enunciar el
alcance, los objetivos, el periodo de cobertura y la naturaleza y

26
amplitud del trabajo de auditoría realizado. El informe debe identificar
al auditarlo (cliente), los destinatarios en cuestión y cualquier
restricción con respecto a su circulación. EI informe debe enunciar los
hallazgos, las conclusiones y las recomendaciones, y cualquier
reserva o consideración que tuviera el auditor con respecto a la
auditoria.
2.10 Objetivos Generales de la Auditoria
En el Libro “Auditoria en Sistemas Computacionales”, de Carlos Muñoz Razo.
Ref Lib [05].
Entre los objetivos más relevantes, encontramos a los siguientes:
Realizar una revisión independiente de las actividades, áreas o funciones
especiales de una institución, a fin de emitir un dictamen profesional sobre la
razonabilidad de sus operaciones y resultados.
Hacer una revisión especializada, desde un punto de vista profesional y
autónomo, del aspecto contable, financiero y operacional de las áreas de la
empresa.
Evaluar el cumplimiento de los planes, programas, políticas, y lineamientos
que regulan la actuación de los empleados y funcionarios de una institución,
así como evaluar las actividades que se desarrollan en sus áreas y unidades
administrativas.
Dictaminar de manera profesional e independiente sobre los resultados
obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus
funciones y el cumplimiento de sus objetivos y operaciones.
2.11 Alcance de la Auditoria
Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06].
Pg. 352.
EI auditor debe determinar el alcance de su trabajo de acuerdo con las Normas
Técnicas y decidir los procedimientos de auditoría, así como su extensión, el
auditor utilizará su juicio profesional, teniendo en cuenta, muy especialmente,
los conceptos de importancia relativa y los riesgos.
EI concepto de importancia relativa es inherente al trabajo del auditor. En
consecuencia, los procedimientos diseñados para soportar la opinión técnica
en aquellas aéreas más significativas y en las que sea más probable que se
puedan producir errores importantes deben ser más amplios y extensos que en
aquellas otras en que no se den estas circunstancias.
EI auditor debe requerir del auditado (cliente) cuanta información precise para
realizar los trabajos de auditoría. Cualquier limitación al trabajo impuesta por el
auditado o sobrevenida a lo largo del trabajo que impida la aplicación de lo

27
dispuesto en las Normas Técnicas debe ser considerada en el informe de
auditoría como una limitación al alcance.
Para planificar y organizar la actividad de auditoría de sistemas de información,
el auditor debe incluir en el alcance de la auditoria los procesos relevantes y los
procesos para supervisar esa actividad así como todos los recursos
relacionados con el SI.
2.12 Implantación de sistema de control interno informático
En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06]
2.12.1 Controles de desarrollo, adquisición y mantenimiento de sistemas
de información
Permiten alcanzar la eficacia del sistema, economía y eficiencia, integridad de
los datos, protección de los recursos y cumplimiento con las leyes y
regulaciones:
Metodología del ciclo de vida del desarrollo de sistemas: su empleo podrá
garantizar a la alta Dirección que se alcanzaran los objetivos definidos para
el sistema. Estos son algunos controles que deben existir en la metodología:
La alta Dirección debe publicar una normativa sobre el uso de
metodología de ciclo de vida del desarrollo de sistemas y revisar esta
periódicamente.
La metodología debe establecer los papeles y responsabilidades de las
distintas aéreas del Departamento de Informática y de los usuarios, así
como la composición y responsabilidades del equipo del proyecto.
Las especificaciones del nuevo sistema deben ser definidas por los
usuarios y quedar escritas y aprobadas antes de que comience el
proceso de desarrollo.
Debe establecerse un estudio tecnológico de viabilidad en el cual se
formulen formas alternativas de alcanzar los objetivos del proyecto
acompañadas de un análisis coste-beneficio -de cada alternativa-.
Cuando se seleccione una alternativa debe realizarse el plan director
del proyecto. En dicho plan deberá existir una metodología de control de
costes.
Procedimientos para la definición y documentación de especificaciones
de: diseño, de entrada, de salida, de ficheros, de procesos, de
programas, de controles de seguridad, de pistas de auditoría, etc.
Plan de validación, verificación y pruebas.
Estándares de prueba de programas, de pruebas de sistemas
Plan de conversión; prueba de aceptación final.

28
Los procedimientos de adquisición de software deberán seguir las
políticas de adquisición de la Organización y dichos productos deberán
ser probados y revisados antes de pagar por ellos y ponerlos en uso.
La contratación de programas de servicios de programación a medida
ha de estar justificada mediante una petición escrita de un director de
proyecto.
Deberán prepararse manuales de operación y mantenimiento como
parte de todo proyecto de desarrollo o modificación de sistemas de
información, así como manuales de usuario.
Explotación y mantenimiento: el establecimiento de controles asegurara que
los datos se tratan de forma congruente y exacta y que el contenido de
sistemas solo será modificado mediante autorización adecuada. Estos son
algunos de los controles que se deben implantar:
Procedimientos de control de explotación
Sistema de contabilidad para asignar a usuarios los costos asociados
con la explotación de un sistema de información.
Sistema de contabilidad para asignar a usuarios los costes asociados
con la explotación de un sistema de información.
Procedimientos para realizar un seguimiento y control de los cambios de
un sistema de información.
2.13 Motivos para Efectuar una Auditoria de Tecnologías de Información
Según el Mg. Ing. Alberto Mendoza De Los Santos, en una presentación de sus
clases de la Universidad Privada del Norte. Ref. PPT [1]. Pg. 15, 16, 17
Entre los principales justificativos o motivos de una auditoría, encontramos:
Aumento del presupuesto del Departamento de procesamiento de
datos.
Desconocimiento de la situación informática de la empresa.
Falta total o parcial de seguridades lógicas y físicas que garanticen la
integridad del personal, equipos e información.
Descubrimientos de fraudes efectuados con el uso del computador.
Falta de una planificación informática. Falta de visión.
Organización que no funciona correctamente, debido a falta de políticas,
objetivos, normas, metodología, estándares, delegación de autoridad,
asignación de tareas y adecuada administración del recurso humano.
Descontento general de los usuarios, motivado generalmente, por
incumplimiento de plazos y mala calidad de resultados.
Falta de documentación o documentación incompleta de sistemas.
Dentro de los motivos para efectuar una auditoria, el INEI en su página Web:
¿QUÉ ES LA AUDITORÍA INFORMÁTICA? Ref. URL [1]. Hace referencia a:

29
Cuando existen síntomas de debilidad en la empresa, éstas acuden a las
auditorías externas para poder determinar en donde están las falencias. Estos
síntomas se pueden agrupar clases:
Cuando existe Desorganización y Descoordinación:
- Los promedios conseguidos no se habitúan a los estimados, por que los
parámetros de productividad no son respetados y sufren un desvío.
- Los objetivos que la empresa persigue, no coinciden con los obtenidos.
- Esto puede darse debido a un cambio masivo de personal, o también
porque un área tuvo una mala reestructuración, también puede deberse a
una norma importante que haya sido modificada.
Cuando hay insatisfacción del cliente y una mala imagen:
- Cuando no hay capacidad de satisfacer las necesidades del cliente.
- Las fallas en hardware no son reparadas, ni se resuelven las incidencias
en plazos establecidos y razonables, ocasionando un descontento en el
usuario por sentirse abandonado.
- Los resultados periódicos no son entregados en los plazos establecidos.
Las pequeñas imprecisiones pueden ocasionar que la información no refleje
lo real y que la actividad que ejerce el usuario se vea afectada por este
motivo.
Debilidades Económico-Financieras:
- Elevación de costos de forma repentina y desmesurada.
- Cuando se da la necesidad de justificar las inversiones informáticas.
- Cuando se dan otras prioridades en el aspecto presupuestario.
- Costos y plazos de nuevos proyectos.
Cuando existe inseguridad:
Se da una evaluación de nivel de riesgos, la que contempla los puntos
siguientes:
• Seguridad Lógica.
• Seguridad Física.
• Aspectos de confidencialidad.
- La continuidad en el servicio es importante. En ocasiones se considera
más importante que los aspectos de seguridad.
- Si existen problemas en los que el centro de procesamiento de datos se
encontrara fuera de control, una auditoría no tendría sentido por
considerarse inútil, por eso deben tomarse en cuenta los más mínimos
indicios para su aplicación.
2.14 CONTROL INTERNO
clases de la Universidad Privada del Norte. Ref. PPT [2]. Pg. 22

30
Esta referido fundamentalmente a la adopción de medidas preventivas, que
tienen como finalidad salvaguardar los bienes de la empresa. Busca evitar
acciones nefastas como sabotajes, fraudes y otro tipo de situaciones que lleven
a inestabilidad o desaparición del negocio.
Pag. 05, 06
El Control Interno informático controla diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la Dirección de la Organización y/o la
Dirección de Informática, así como los requerimientos legales.
La misión del Control Interno Informático es asegurarse de que las medidas
que se obtienen de los mecanismos implantados por cada responsable sean
correctas y validas.
Como principales objetivos podemos indicar los siguientes:
• Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas.
• Colaborar y apoyar el trabajo de Auditoria Informática, así como de las
auditorías externas al Grupo.
• Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los grados adecuados del servicio informático, lo cual no debe
considerarse como que la implantación de los mecanismos de medida y la
responsabilidad del logro de esos niveles se ubique exclusivamente en la
función de Control Interno, sino que cada responsable de objetivos y
recursos es responsable de esos niveles, así como de la implantación de
los medios de medida adecuados.
2.14.1 Componentes del Control Interno
clases de la Universidad Privada del Norte. Ref. PPT [2]. Pg. 22.
La nueva economía ha obligado a las empresas a realizar cambios. Algunos de
estos cambios, se pueden resumir en:
Restructuración de los procesos empresariales (BPR: Business Process
Re-engineering)

31
Gestión de la calidad (TQM)
Redimensionamiento por reducción o crecimiento hasta el nivel correcto
Outsourcing
Descentralización
Los cambios que se mencionan, se deben a fuerzas externas que presionan a
la empresa (ver Figura N°5). Ante esta situación, las empresas deben evaluar
sus sistemas de control interno de manera permanente. Para enfrentar y
manejar estas fuerzas, se hace necesaria la adopción de la tecnología
disponible. Los Sistemas de información constituyen un soporte fundamental
para poner en marcha las estrategias planteadas por la alta dirección. Esto
origina también un aumento de las necesidades de control y auditoria. Es en
este escenario que aparecen 2 conceptos fundamentales: El control interno y la
Auditoria informática
Figura Nº08 Actividades de un Sistema de Información
2.15 AUDITORIA INFORMÁTICA
Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06]
Pag. 07
La Auditoria Informática es el proceso de recoger, agrupar y evaluar evidencias
parar determinar si un sistema informatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo eficazmente los fines de la organización
y utiliza eficientemente los recursos. De este modo la auditoria Informática
sustenta y confirma la consecución de los objetivos tradicionales de la
auditoria:

32
• Objetivos de protección de activos e integridad de datos
• Objetivos de gestión que abarcan, no solamente los de protección de
activos, sino también los de eficacia y eficiencia.
En el Libro “Auditoria en Sistemas Computacionales”, de Carlos Muñoz Razo.
Ref Lib [05].
Es la revisión técnica especializada y exhaustiva que se realiza a los sistemas
computacionales, software e información utilizados en una empresa, sean
individuales, compartidos y/o de redes, así como a sus instalaciones,
telecomunicaciones, mobiliario, equipos de periféricos y demás componentes.
Dicha revisión se realiza de igual manera a la gestión informática, el
aprovechamiento de sus recursos, las medias de seguridad y de los bienes de
consumo necesarios para el funcionamiento del centro de cómputo.
El propósito fundamental es evaluar el uso adecuado de los sistemas para el
correcto ingreso de datos, el procesamiento adecuado de la información y la
emisión oportuna de sus resultados en la institución, incluyendo la evaluación
en el cumplimiento de las funciones, actividades y operaciones de funcionarios,
empleados y usuarios involucrados con los servicios que proporcionan los
sistemas computacionales a la empresa.
El INEI en su página Web: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA?. Ref.
URL [1]. Hace referencia a los objetivos fundamentales de la Auditoria
informática:
La Auditoría debe iniciar su actividad cuando los Sistemas están operando,
éste es el principal objetivo, el de mantener tal situación. Tal objetivo debe
conseguirse tanto a nivel global como parcial.
La operatividad de los sistemas ha de constituir entonces la principal
preocupación del Auditor informático. Para conseguirla hay que acudir a la
realización de Controles técnicos generales de operatividad y Controles
técnicos específicos de operatividad, previos a cualquier actividad de aquel.
2.15.1 Control Interno y Auditoria Informática: Campos Análogos
El control interno Informático y la auditoría Informática, tienen similitudes en sus
objetivos profesionales. Son campos análogos que propician una transición
natural entre ambas disciplinas. Sin embargo existen diferencias que conviene
resaltar.

33
Tabla Nº4 Similitudes y Diferencias entre Control Interno y Auditoria Informática
2.16 Técnicas y Herramientas Usadas por la Auditoría Informática
El INEI en su página Web: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA?. Ref.
URL [1]. Hace referencia a:
Cuestionarios
La información recopilada es muy importante, y esto se consigue con el
levantamiento de información y documentación de todo tipo. Los resultados que
arroje una auditoría se ven reflejadas en los informes finales que estos emitan
y su capacidad para el análisis de situaciones de debilidades o de fortalezas
que se dan en los diversos ambientes. El denominado trabajo de campo
consiste en que el auditor busca por medio de cuestionarios recabar
información necesaria para ser disernida y emitir finalmente un juicio global
objetivo, los que deben ser sustentados por hechos demostrables, a quienes se
les llama evidencias.
Esto se puede conseguir, solicitando el cumplimiento del desarrollo de
formularios o cuestionarios lo que son preimpresos, los cuales son dirigidas a
las personas que el auditor considera más indicadas, no existe la obligación de
que estas personas sean las responsables de dichas áreas a auditar. Cada
cuestionario es diferente y muy específico para cada área, además deben ser
elaborados con mucho cuidado tomando en cuenta el fondo y la forma. De la
información que ha sido analizada cuidadosamente, se elaborará otra
información la cual será emitida por el propio Auditor. Estas informaciones
serán cruzadas, lo que vine a ser uno de los pilares de la auditoría.
Muchas veces el auditor logra recopilar la información por otros medios, y que
estos pre impresos podían haber proporcionado, cuando se da este caso, se
puede omitir esta primera fase de la auditoría.
Entrevistas

34
Existen tres formas para que el auditor logre relacionarse con el personal
auditado.
La solicitud de la información requerida, esta debe ser concreta y debe ser de
la materia de responsabilidad del auditado.
En la entrevista no se sigue un plan predeterminado ni un método estricto de
sometimiento a un cuestionario.
La entrevista es un medio por el que el auditor usará metodologías las que han
sido establecidas previamente con la finalidad de encontrar información
concreta.
La importancia que la entrevista tiene en la auditoría se debe a que, la
información que recoge es mayor se encuentra mejor elaborada, y es más
concreta que las que pueden proporcionar los medios técnicos, o los
cuestionarios. La entrevista personal entre el auditor y el personal auditado, es
basada en una serie de preguntas específicas en las que el auditado deberá
responder directamente. El sistema de interrogación se establece previamente
y el auditor tendrá mucho cuidado, esta entrevista se debe dar de una forma
muy cordial y bajo los parámetros de lo correcto, esto se hace con la finalidad
de que sea lo menos tensa posible, y que el auditado conteste de la forma más
natural, con mucha sencillez. Sólo que esta sencillez con la que se elaboran las
preguntas deberán tener un fondo muy profundo, el cual es distinto en cada
caso.
El auditor cuando es ducho en la materia y tiene mucha experiencia, realiza un
trabajo de reelaboración de sus cuestionarios de acuerdo a la situación y al
escenario auditado.
Este es un personaje que sabe que es lo que busca, debido a que tiene bien en
claro lo que necesita, y porque lo necesita. Su trabajo es el pilar fundamental
para el análisis, cruce y elaboración posterior del informe final, pero esto no
indica que el auditado tenga que ser sometido a un interrogatorio automatizado
lo cual no ofrece ningún camino. Por el contrario el auditor realizara la
entrevista de tal forma que el auditado pueda responder a las preguntas
formuladas de manera normal, lo que servirá para llegar al cumplimiento de los
cuestionarios de sus Check Lists.
2.17 AUDITORIA DE SISTEMAS DE INFORMACIÓN
Según Alonso Tamayo Alzate en su Libro “Auditoria de Sistemas – Una visión
práctica”. Ref Lib [07]
“La Auditoria de sistemas es la parte de la auditoría interna que se encarga de
llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que
se tienen establecidos en una empresa para logar confiabilidad, oportunidad,
seguridad y confidencialidad de la información que se procesa a través de

35
computadores; es decir, en estas evaluaciones se está involucrado tanto los
elementos técnicos como humanos que intervienen en el proceso de
información”
Figura Nº09 Definición de Auditoria de Sistemas
Según el Instituto Nacional de Estadística e Informática (INEI) en su
investigación “Auditoria de Sistemas”. Ref. URL [2].
“La Auditoria de Sistemas es el conjunto de técnicas que permiten detectar
deficiencias en las organizaciones de informática y en los sistemas que se
desarrollan u operan en ellas, incluyendo los servicios externos de
computación, que permitan efectuar acciones preventivas y correctivas para
eliminar las fallas y carencias que se detecten.
Se verifica la existencia y aplicación de todas las normas y procedimientos
requeridos para minimizar las posibles causas de riesgos tanto en las
instalaciones y equipos, como en los programas computacionales y los
datos, en todo el ámbito del Sistema: usuarios, instalaciones, equipos.
Las Instituciones efectúan Auditoras de Sistemas, con la finalidad de
asegurar la eficiencia de las organizaciones de informática, así como la
confiabilidad y seguridad de sus sistemas.”
clases de la Universidad Privada del Norte. Ref. PPT [1]. Pg. 05
La Auditoria de Tecnologías de Información es un “Examen objetivo, crítico,
sistemático, eminentemente posterior y selectivo de las políticas, normas,
prácticas, procedimientos y procesos con el fin de emitir una opinión respecto a
la eficiencia en la utilización de los recursos informáticos; la confiabilidad,
consistencia, integridad y oportunidad de la información y la efectividad de los
controles en los sistemas de información computarizados.”

36
Pag. 33
En la década del 1970 (concretamente se funda en 1967) se consolida la que
hoy se llama Information Systems Audit and Control Association (ISACA),
siendo aun hoy la Única entidad, a nivel mundial, de los auditores de SI, y que
gestiona una certificación en esta materia: Certified Information Systems
Auditor (CISA). Esta asociación, que está presente en más de 140 países, a
través de más de 170 capítulos (Chapters, en ingles) en todo el mundo,
establece normas y procedimientos para la función de la auditoria de SI y los
profesionales que las realizan.
Las preocupaciones fundamentales con respecto a la tecnología aludida
anteriormente siguen siendo GIS mismas o se han incrementado con la
evolución tecnológica. Estas inquietudes tanto de la Dirección de una entidad,
como de sus accionistas o de la sociedad en general, se pueden concretar en:
• La veracidad de la información, en cuanto a su totalidad y exactitud,
procesada por los sistemas de tecnología.
• La utilización racional y ajustada a las necesidades reales de los
recursos tecnológicos.
• EI "mantenimiento" o "sostenibilidad" de la estructura tecnológica y su
crecimiento no debe ser traumático en el soporte de nuevas actividades.
• La confidencialidad de la información
• La protección de sus activos, especialmente el software y la
información.
2.18 Objetivos de la Auditoria de Sistemas
Según Alonso Tamayo Alzate en su Libro “Auditoria de Sistemas – Una visión
práctica”. Ref Lib [07]
A continuación se exponen los objetivos que persigue la auditoria de sistemas,
los cuales se presentan agrupados en objetivos generales y objetivos
específicos, de la siguiente forma:

37
Figura Nº10 Objetivos de Auditoria de Sistemas
Objetivos Generales
• Evaluar las políticas generales sobre la planeación, ambiente laboral,
entrenamiento y capacitación, desempeño, supervisión, motivación y
remuneración del talento humano.
• Evaluar políticas generales de orden técnico con respecto al software,
hardware, desarrollo, implantación, operación y mantenimiento de
sistemas de información-
• Evaluar políticas generales sobre seguridad física con respecto a
instalaciones, personal, equipos, documentación, back-ups, pólizas y
planes de contingencias.
• Evaluar los recursos informáticos de la empresa con énfasis en su nivel
tecnológicos, producción de software y aplicaciones más comúnmente
utilizadas.
• Asesorar a la gerencia y altos directivos de la empresa en lo relacionado
con los sistemas de información, de tal forma que el proceso de toma de
decisiones se efectúe lo más acertadamente posible.
• Conocer las políticas generales y actitudes de los directivos frente a la
auditoria y seguridad de los sistemas de información y proceder a hacer
las recomendaciones pertinentes.
2.19 Planteamiento y Metodología
Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06]
Pag. 575
La Auditoria se desglosa en:
• Auditoría de la organización y gestión del área de desarrollo y
mantenimiento
• Auditoría de la planificación y gestión del proyecto

38
• Auditoría de la fase de estudio de viabilidad
• Auditoría de la fase de análisis
• Auditoría de la fase de diseño
• Auditoría de la fase de construcción
• Auditoría de la fase de implantación
• Auditoría de la fase de mantenimiento
La metodología que se aplica es la propuesta por la ISACA (Information
Systems Audit and Control Association), que está basada en COBIT (Control
Objectives for Information and Related Technologies), la cual proporciona un
conjunto estructurado de buenas prácticas y metodologías para su aplicación,
cuyo objetivo es facilitar el gobierno de las TIC (ITGI, 2007a y 2007b). COBIT
está basado en la evaluación de riesgos, de manera que partiendo de los
riesgos potenciales a los que está sometida la actividad, en este caso el
desarrollo o mantenimiento de SI, se determinan una serie de objetivos de
control de alto nivel que minimicen esos riesgos.
Para cada objetivo de control de alto nivel, agrupados por cada una de las
fases del ciclo de vida del software identificadas en Métrica versión 3 (MAP,
2007), se especifican uno o más objetivos de control de detalle o también
denominadas practicas de control, que contribuyen a lograr el cumplimiento de
dicho objetivo de control de alto nivel; para lo cual se ha basado también en la
propuesta de Rodero (2001). Así mismo, se aportan una serie pruebas de
cumplimiento que permitan comprobar la existencia y correcta aplicación de
dichos controles. Será la función del auditor determinar el grado de
cumplimiento y madurez de cada uno de ellos.

39
Capítulo III:
DESARROLLO
DE LA
METODOLOGÍA

40
III. ASPECTOS GENERALES DE LA ENTIDAD
3.1. IDENTIFICACIÓN DE LA ENTIDAD AUDITADA
El Gobierno Regional Cajamarca, al amparo de la Constitución Política del Estado y la
Ley Nº 27867, Ley Orgánica de Gobiernos Regionales y modificatorias, es un
organismo público con personería jurídica de derecho público, con autonomía política,
económica y administrativa en asuntos de su competencia; constituyendo para su
administración económica y financiera un pliego presupuestal.
3.2. Direccionamiento Estratégico
3.2.1 MISIÓN
El Gobierno Regional de Cajamarca, en cumplimiento de sus
competencias exclusivas, compartidas y delegadas, contribuye al
desarrollo integral y sostenible de la región, organizando y conduciendo
democrática, descentralizada y desconcentradamente la gestión pública
regional, en el marco de las políticas nacionales y sectoriales.
3.2.2 VISIÓN
Institución pública regional con identidad propia, capital humano calificado
y nivel tecnológico avanzado, capaz de administrar y brindar con calidad
recursos y servicios públicos, propiciar condiciones favorables para el
desarrollo de la inversión privada y liderar procesos de concertación con
la sociedad civil, en el marco de una efectiva lucha contra la pobreza y la
defensa del medio ambiente y sus recursos.
3.3 Ubicación Geográfica
3.3.1 LOGO
Figura Nº11 Logo Institucional
Fuente: Gobierno Regional Cajamarca
3.3.2 DIRECCIÓN
Jr. Santa Teresa de Journet 351- Urb. La Alameda
Teléfonos: 599000 - 599001 - 599002

41
3.3.3 Vista Satelital
Figura Nº12 Vista Satelital del Gobierno Regional Cajamarca
Fuente: Google Maps
3.3.4 Exteriores del Gobierno Regional
Figura Nº13 Exteriores del Gobierno Regional Cajamarca
Gobierno Regional Cajamarca

42
3.4 ORGANIGRAMA
La estructura orgánica del Gobierno Regional Cajamarca, fue aprobada
mediante la Ordenanza Regional Nº 020-2005-GR.CAJ-CR de fecha 18
de octubre del año 2005, de acuerdo con las disposiciones legales
vigente y en amparo del artículo 9 inciso a) de la Ley Orgánica de
Gobiernos Regionales Ley Nº 27867, donde se dispone que los
Gobiernos Regionales son competentes para aprobar su organización
interna.
Es necesario indicar que la actual estructura orgánica es el resultado de
haber modificado la anterior que estuvo vigente el año 2005, dadas las
condiciones y para un mejor funcionamiento del Gobierno Regional.

43
Figura Nº14 Estructura Orgánica del Gobierno Regional Cajamarca

44
3.5. ANÁLISIS DE LA ENTIDAD AUDITADA
El Gobierno Regional Cajamarca cuenta con el Centro de Información y Sistemas,
en el cual procesan toda la información necesaria para los Sistemas de
Información, pero no figura en su Estructura Orgánica. Según nos relató el
Director de dicha oficina; el Centro de Información y Sistemas (CIS) debería estar
como una dependencia de la Gerencia de Desarrollo Social.
Según Reglamento de Organización y Funciones (ROF) del Gobierno Regional
Cajamarca.
Artículo 92º
El Centro de Información y Sistemas cumple con las funciones siguientes:
a. Formular y evaluar el programa de Sistemas de Información, según las
necesidades del Gobierno Regional y sobre la base del soporte tecnológico
informático.
b. Formular, ejecutar y evaluar los programas de control de software y
mantenimiento de los equipos de cómputo; y de contingencia.
c. Ejecutar y participar en la ejecución de otros programas informáticos definidos
por la Alta Dirección del Gobierno Regional o por mandato de norma nacional
expresa.
d. Mantener actualizado el Portal de Información del Gobierno Regional.
e. Otras funciones que le sean asignadas.
Fuente: Reglamento de Organización y Funciones, aprobado por Ordenanza
Regional Nº 020 – 2005 GRCAJ- CR.
3.6 MARCO LEGAL DEL CENTRO DE INFORMACIÓN Y SISTEMAS
El Centro de Información y Sistemas del Gobierno Regional de Cajamarca es
integrante del Sistema Nacional de Informática y se desarrolla acorde con los
lineamientos, normas y recomendaciones técnicas de la Oficina Nacional de
Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros.
Incluyendo además las evaluaciones y seguimientos informáticos que realizan las
Oficinas de la Contraloría, INDECOPI, y otros organismos reguladores y
controladores.
Por otro lado el CIS cuenta con la siguiente base legal:
1. Ordenanza Regional 020-2005-GR.CAJ-CR., que aprueba el Reglamento
de Organización y Funciones del Gobierno Regional Cajamarca.
2. Resolución Ministerial Nº 073-2004-PCM, Guía para la Administración
Eficiente del Software Legal en la Administración Pública.
3. El Centro de Información y Sistema forma parte del Sistema Nacional de
Informática, con RESOLUCION MINISTERIAL Nº 206-2004-PCM se
Constituyen el Padrón Nacional de Unidades Informáticas de la

45
Administración Pública y autorizan ejecución de registro de unidades
informáticas del Sistema Nacional de Informática.
4. La Oficina de Derechos de Autor del INDECOPI, es la autoridad nacional
competente responsable de cautelar y proteger administrativamente el
derecho de autor y propiedad intelectual, mediante Decreto Ley Nº 807
en la que estipula multas y procedimientos a aplicarse en caso de
infracciones a los mismos.
Durante el proceso de Planificación Estratégica se definió la Misión, Visión de
Futuro y Valores que orientarán al Centro de Información y Sistemas del Gobierno
Regional de Cajamarca:
1.1. Misión
“Planificar, dirigir, ejecutar, supervisar y evaluar el empleo de equipos,
soporte, comunicaciones y sistemas de información; contribuyendo con el
Gobierno Regional de Cajamarca para que organice y conduzca la gestión
pública, en el marco de las políticas nacionales y sectoriales para contribuir
al desarrollo integral y sostenible de la región”.
1.2. Visión
“El Centro de Información y Sistemas, es capaz de utilizar tecnología de
última generación para proporcionar un servicio eficiente, confiable y
oportuno, generando confianza y transparencia en la ciudadanía. Así
mismo administra todos los recursos informáticos; propone y ejecuta
proyectos que simplifican los procesos administrativos, de planeamiento y
de evaluación de gestión institucional, que identifican a la institución como
una de las más eficientes y modernas”.
1.3. Principios de Conducta Ética
Constituyen principios de conducta ética del personal los siguientes:
a. Imagen
Todo el personal, deberá estar comprometido con el Centro de
Información y Sistemas; les corresponde como responsabilidad
conjunta, la promoción y preservación de su imagen positiva como
un valor que pertenece a todos, que es compartido y del cual se es
responsable por el sólo hecho de compartir un ideal común y ser un
miembro del CIS.
b. Integridad

46
El Personal del CIS deberá actuar con rectitud, honradez, y
honestidad, procurando satisfacer los intereses legítimos del
Gobierno Regional Cajamarca, sus usuarios y la sociedad en su
conjunto; desechando el provecho o ventaja personal obtenido por
sí o interpuesta por personas. Profesar y practicar un claro rechazo
a la corrupción en todos los ámbitos de desempeño de la institución
y cumplir cabalmente con sus funciones.
c. Eficiencia
El personal del CIS brindará calidad en cada una de las labores a su
cargo, buscando el resultado más adecuado y oportuno.
d. Idoneidad
El personal del CIS, se desenvolverá con aptitud técnica, legal y
moral en el desempeño de su labor. Propenderá a una formación
sólida acorde a la realidad, capacitándose permanentemente para el
debido cumplimiento de sus labores.
e. Veracidad
El personal del CIS se expresará con autenticidad en las relaciones
laborales con todos los miembros del Gobierno Regional y con
terceros.
f. Lealtad y Obediencia
El personal del CIS actuará con fidelidad y solidaridad hacia toda la
Institución, cumpliendo órdenes que le imparta el superior jerárquico
competente, en la medida que reúnan las formalidades del caso y
tengan por objeto la realización de actos de servicio que se vinculen
con las labores a su cargo, salvo los supuestos de arbitrariedad o
ilegalidad manifiestas, los cuales deberá poner en conocimiento de
la administración de la institución. Asimismo, actuará con reserva y
diligencia en el manejo de la información que conoce.
g. Justicia y Equidad
El personal del CIS, actuará con permanente disposición para el
cumplimiento de sus funciones, otorgando a cada uno lo que le es
debido, actuando con equidad en sus relaciones con sus superiores,
los subordinados y con la ciudadanía en general.
Fuente: Plan Operativo Informático 2012

47
3.7 ESTRUCTURA ORGÁNICA INTERNA DEL CENTRO DE INFORMACIÓN Y
SISTEMAS
Figura Nº15 Estructura Orgánica del Centro de Información y Sistemas
Fuente: Plan Operativo Informático
Se debe mencionar que no se cuenta con personal Asistente Administrativo,
pero se incluye en el presente organigrama por ser un cargo que se debería
considerarse
3.8 RECURSOS HUMANOS DEL CENTRO DE INFORMACIÓN Y SISTEMAS
RECURSOS HUMANOS CANTIDAD
DIRECCIÓN O GERENCIA
Jefe
Asistente administrativo
1
1
REDES Y COMUNICACIONES
Administrador de Red y Soporte 1
SISTEMAS
Analista de Sistemas 1
Web Master 1
Programador de Aplicaciones 1
Diseñador de Interfaces 1
PLANEAMIENTO ESTRATÉGICO INFORMÁTICO
Gestor de Proyectos Informáticos 1
Responsable de Investigación y Planeamiento 1
SOPORTE TECNICO
Técnico Electrónico 2
Soporte Help Desk 1
TOTAL 12
Cuadro Nº01 Personal del CIS
Fuente: Plan Operativo Informático
Director
Administrador Red Sistemas
Web
Análisis y
Desarrollo
Investigación y
Gestión de
Proyectos
Soporte Técnico
Apoyo
Administrativo

48
3.9 PROBLEMÁTICA DEL CENTRO DE INFORMACIÓN Y SISTEMAS
La problemática actual del Centro de Información y Sistemas se presenta
mediante el análisis FODA, por medio de este análisis de Fortalezas,
Debilidades, Oportunidades y Amenazas, se obtendrá un diagnóstico que
permitirá tomar decisiones acordes con los objetivos y políticas que
formularemos.
SITUACION ACTUAL DESCRIPCION
Fortalezas a utilizar
F1. Elaboración del Plan Operativo Informático 2012.
F2. Personal identificado con el CIS.
F3. Coordinación permanente con los diferentes usuarios.
F4. Equipo de trabajo eficiente y eficaz.
F5. Capacidad de asesoramiento permanente en relación a
sistemas informáticos y sus aplicaciones.
F6. Implementación de los sistemas de información mediante
el desarrollo de software personalizado.
F7. Infraestructura física acorde a las exigencias del área.
F8. Uso y administración del portal web, que permite
fortalecer la imagen institucional.
F9. Deseo e iniciativa del personal informático en
actualizarse en las nuevas tecnologías informáticas.
F10.Mejoramiento de la Red de Datos y Telefónica.
F11. Promoción del intercambio de información con la
Implementación de MAD y MOD a nivel Regional.
Principales
Oportunidades para
aprovechar
O1. Decisión institucional para modernizar y estandarizar
tecnológicamente el gobierno regional.
O2. Adecuación de Data Center y Red de Cómputo de la
Sede del Gobierno Regional Cajamarca (Proyecto Gobierno
Electrónico).
O3. Desarrollo tecnológico que ofrece nuevas oportunidades
para lograr mayor eficiencia.
O4. Disponibilidad de software en el mercado para la
implementación del requerimiento de aplicaciones.
O5. Existencia de normatividad estadística e informática a
nivel nacional que sirve de referencia para un normal
desarrollo de las actividades informáticas.
O6. Tendencia a un Modelo de Gobierno Electrónico.
O7. Existencia de entidades públicas como INDECOPI,
Contraloría, MEF.
O8. Potencial productivo que ofrece internet.
Principales
Debilidades a superar
D1. Uso de software no licenciado.
D2.Falta de equipos de contingencia para continuidad de
servicios críticos.
D3. El CIS no figura dentro de la Estructura Orgánica del
Gobierno Regional.

Auditoria del desarrollo de sistemas de información en el gobierno regional cajamarca

Auditoria del desarrollo de sistemas de información en el gobierno regional cajamarca

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Auditoria del desarrollo de sistemas de información en el gobierno regional cajamarca

Similaire à Auditoria del desarrollo de sistemas de información en el gobierno regional cajamarca (20)

Dernier

Dernier (11)

Auditoria del desarrollo de sistemas de información en el gobierno regional cajamarca