2.

PLANEACIN DE LA AUDITORIA INFORMTICA

Planificacin Es el proceso consciente de seleccin y desarrollo del mejor curso de accin para
lograr el objetivo.
La planificacin de la auditora: es un conjunto de procedimientos documentados y
diseados para alcanzar los objetivos de auditora planificados. En la Planificacin se
identifica los recursos, procedimientos y acciones que se necesitan para realizar el
trabajo Una planificacin adecuada es el primer paso necesario para realizar auditoras de
sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el
que se ha de realizar la auditora as como los riesgos del negocio y control asociado.

Fase
Fase
Fase
Fase
Fase
Fase
Fase

2.1 FASES DE LA AUDITORIA.

I: Conocimientos del Sistema
II: Anlisis de transacciones y recursos
III: Anlisis de riesgos y amenazas
IV: Anlisis de controles
V: Evaluacin de Controles
VI: El Informe de auditoria
VII: Seguimiento de las Recomendaciones

Entendimiento general de la entidad: Consiste en identificar las relaciones entre el

Departamento de TI y su entorno (legal, regulatorio, cultura, procesos), entender la
organizacin, sus objetivos, estrategias, capacidades y habilidades, as como identificar
todos aquellos objetos (reas, procesos, proyectos, etc.) del rea de TI que estn expuestos a
riesgos.
Anlisis de riesgos: El objetivo de esta fase es desarrollar un anlisis de riesgos que permita
identificar que plataforma de tecnologa y sistemas de informacin, son los ms
crticos para la operacin de la Entidad, con el objeto de desarrollar el plan de trabajo,
enfocado en dichos sistemas y plataformas.
Plan inicial: En funcin de los resultados del anlisis de riesgos realizado y la normativa de
control de tecnologa aplicable a la Entidad, elaboraremos un plan inicial de auditora,
describiendo el enfoque de evaluacin para los controles generales del computador y
ciclos de negocio (controles automticos).
2.1.1 PLANEACIN.
Para hacer una adecuada planeacin de la auditora en informtica hay que seguir una serie de
pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del
organismo a auditar, sus sistemas, organizacin y equipo. Con ello podremos
determinar el nmero y caractersticas del personal de auditora, las herramientas
para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditoria en
general, la planeacin es uno de los pasos ms importantes, ya que una inadecuada planeacin
provocara una serie de problemas que pueden impedir que se cumpla con la auditoria o bien
hacer que no se efectu con el profesionalismo que debe tener cualquier auditor. El trabajo de
auditora deber incluir la planeacin de la auditoria, el examen y la evaluacin de la
informacin, la comunicacin de los resultados y el seguimiento.
La planeacin deber ser documentada e incluir:
El establecimiento de los objetivos y el alcance del trabajo. La obtencin de informacin
de apoyo sobre las actividades que se auditaran. La determinacin de los recursos
necesarios para realizar la auditoria. El establecimiento de la comunicacin necesaria

con todos los que estarn involucrados en la auditoria. La realizacin, en la forma ms

apropiada, de una inspeccin fsica para familiarizarse con las actividades y controles a
auditar, as como identificacin de las reas en las que se deber hacer nfasis al
realizar la auditoria y promover comentarios y la promocin de los auditados. La
preparacin por escrito del programa de auditora. La determinacin de cmo, cundo y a
quien se le comunicaran los resultados de la auditoria. La obtencin de la aprobacin del
plan de trabajo de la auditoria.
En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que
hacerla desde el punto de vista de varios objetivos:
Evaluacin administrativa del rea de procesos electrnicos.
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
Evaluacin del proceso de datos, de los sistemas y de los equipos de computo ( Sw, Hw, redes,
BDs, comunicaciones).
Seguridad y confidencialidad de la informacin.
Aspectos legales de los sistemas y de la informacin.
Para lograr una adecuada planeacin, lo primero que se requiere es obtener informacin
general sobre la organizacin y sobre la funcin de informtica a evaluar. El proceso de
planeacin comprende el establecer:
Metas.
Programas de trabajo de auditora.
Planes de contratacin de personal y presupuesto financiero.
Informes de actividades.
Como proceso, la planificacin puede dividirse en dos etapas o momentos distintos:
1. Planificacin estratgica. Se define cual ser la estrategia a seguir en base al
conocimiento e informacin mantenida de la organizacin a auditar.
2. Planificacin detallada. Se discriminan para cada uno de los distintos
componentes cuales son los procedimientos a realizar para completar esa
estrategia y se detalla cmo se llevarn a cabo.
Este proceso de planificacin concuerda con la definicin esencial del enfoque organizacional de
auditoria, que es el trabajo enfocado de arriba hacia abajo. La planificacin estratgica
brinda una visin desde arriba, englobando toda la auditoria en su conjunto. La
planificacin detallada desde abajo, trabaja con cada estrategia definida y determina
como ejecutarla. Esta clasificacin entre planificacin estratgica y detallada dentro del enfoque
organizacional de auditora est de acuerdo con otro de los pilares del enfoque empresarial que
es la realizacin de auditoras a medida. Las etapas mencionadas, su orden y la forma en
que se tratan, suponen la realizacin de un trabajo de auditora recurrente.
2.1.1.1 Planificacin estratgica.
La planificacin estratgica, como primera etapa del proceso de planificacin, rene el
conocimiento acumulado de la organizacin, la informacin adicional obtenida como
consecuencia de un primer acercamiento a las actividades ocurridas en el periodo a auditar y
resume este conocimiento en la definicin de decisiones preliminares para cada
componente. Corresponde definir cul es el concepto de componente. Para simplificar la
planificacin de auditora, cada ente se divide en partes manejables denominadas

componentes. El proceso de identificacin de componentes debe reflejar una perspectiva de

arriba hacia abajo y concentrarse en los asuntos significativos.
Conocimiento acumulado La comprensin del negocio del ente es fundamental para realizar
una planificacin efectiva y una auditoria eficiente. El conocimiento adquirido en trabajo de
auditora recurrente para un ente, en particular tiene un valor agregado que debe aprovecharse
en aos sucesivos.
En una auditoria recurrente, se acumulan conocimientos sobre el negocio, su medio de control,
su gerencia y sus sistemas de informacin. Adems, la evidencia de auditora obtenida como
parte de exmenes anteriores, por lo general contina teniendo relevancia.
Obtencin de informacin adicional. Luego de reunir el conocimiento de auditora
acumulado, corresponde revisar que sucedi desde la ltima visita para poder definir
la estrategia a cumplir. Adems, en esta etapa se analizan ciertos temas que son aplicables a
la auditoria en su conjunto.
En primer lugar se definen los trminos de referencia. La definicin de los trminos de
referencia consiste en determinar cules son las responsabilidades que el auditor
asume en el trabajo, cules sern las responsabilidades en materia de informes, cules
sern las expectativas, informes especiales e instrucciones que debern ser completadas,
restricciones al alcance del trabajo, si las hubiera, etc. Luego de analizar que sucedi en el
negocio de la organizacin y cules son sus riesgos inherentes, es esencial contar con suficiente
informacin acerca del negocio a fin de evaluar el medio en el cual opera, los individuos que
conducen la empresa y los factores que influyen sobre su xito o fracaso.
Luego corresponde analizar que sucede en el ambiente del sistema de informacin. Una
parte integral del conocimiento del negocio y de los sistemas que registran sus transacciones es
el desarrollo de una comprensin global de los sistemas de informacin presentes. En este
momento de la planificacin estratgica corresponde determinar cul es la naturaleza y
alcance de los sistemas de la organizacin, si posee procesamiento computarizado o
manual, cual es el software de sistemas con que opera, cules fueron los cambios ocurridos
desde la ltima visita, cual es la naturaleza en cuanto a la configuracin y estructura de las
operaciones computadorizadas.
Despus corresponder analizar qu cambios ocurrieron en el ambiente de control. El
ambiente de control refleja la actitud y compromiso que tiene la gerencia para establecer un
clima positivo a la implantacin y ejecucin de operaciones controladas de los negocios. Un
ambiente de control fuerte permite depositar confianza en los controles mientras que un
ambiente de control dbil no lo permite.
Por ltimo corresponde analizar qu cambios ocurrieron en las polticas contables de la
organizacin, si hubo algn cambio a la poltica vigente por decisin del ente o por cambio de
las normas contables aplicables en la empresa.
Decisiones preliminares para los componentes.
En este momento es cuando se divide el conjunto de la labor de auditora en partes
manejables denominadas componentes. Pueden existir circunstancias donde la empresa tenga
tal dimensin, diversificacin de lneas de produccin, subsidiarias o divisiones importantes. En

la definicin de este enfoque concurren el anlisis de dos elementos presentes en cada

componente, ellos son, el ambiente de control y los riesgos inherentes.
El ambiente de control permitir determinar qu grado de control y que grado de
confianza se puede depositar en los controles existentes en los sistemas de
informacin y contabilidad del ente. Un anlisis del ambiente de control y del riesgo inherente
permitir concentrar la labor de auditora total en aquellas reas que presenten mayor riesgo.
2.1.1.2. Planificacin detallada
En la planificacin estratgica se trabaja con la auditoria en su conjunto como un todo. En
cambio en la planificacin detallada se trabaja cada componente en particular, en forma
separada del resto de los componentes. Uno de los factores clave que hacen al enfoque
empresarial de auditora, adems de los mencionados cuando se comento la planificacin
estratgica, consiste en concentrar los esfuerzos de auditora en las reas de mayor
riesgo.
Una vez completado el proceso de planificacin estratgica se documentarn las decisiones
preliminares para cada uno de los componentes. Luego se obtiene toda la informacin
adicional por cada componente y se documenta o actualiza la comprensin de los aspectos
relevantes de los sistemas de informacin de la organizacin y los controles generales
relacionados. El paso siguiente ser la seleccin de los procedimientos de auditora, que
comnmente se traducen en la preparacin de los programas de trabajo.
Planificacin detallada:
1. Objetivos
2. Alcances de auditora
3. Determinacin de recursos de la Auditora
4. Seleccin de procedimientos de auditoria
5. Preparacin de programas de trabajo.
1. Objetivos: Se indica el propsito del trabajo de auditora a realizar.
Objetivos generales de la Auditora de Sistemas de la Informacin
- Analizar la eficacia del Sistema Informtico
- Verificacin de la implantacin de la Normativa
- Revisin de la gestin de los recursos informticos.
- Evaluar la fiabilidad
- Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su
disponibilidad y continuidad
- Revisar la seguridad de los entornos y sistemas.
- Analizar la garanta de calidad de los Sistemas de Informacin
- Analizar los controles y procedimientos tanto organizativos como operativos.
- Verificar el cumplimiento de la normativa y legislacin vigentes
- Elaborar un informe externo independiente.
- Contrastar contra los estndares de calidad para que sirvan para el diagnostico

Objetivos especficos:
Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin.
Seguridad del personal, los datos, el hardware, el software y las instalaciones.
Minimizar existencias de riesgos en el uso de Tecnologa de informacin

Conocer la situacin actual del rea de sistemas para lograr los objetivos de la
Organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.
Incrementar la satisfaccin de los usuarios de los sistemas de informacin.
Capacitacin y educacin sobre controles en los Sistemas de Informacin.
Buscar una mejor relacin costo-beneficio de los sistemas automticos.
Decisiones de inversin y gastos innecesarios.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para
mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin
de lograr mayor eficiencia operacional y administrativa.
2. Alcances de auditora; aqu se identifica los sistemas especficos o unidades de la
organizacin que se han de incluir en la revisin en un periodo de tiempo
determinado. Los objetivos propuestos deben ser consensuados con el equipo responsable de
la aplicacin en la organizacin usuaria. Es preciso conseguir una gran claridad y precisin en la
definicin de los objetivos de la auditoria y del trabajo y pruebas que se proponen realizar,
delimitando perfectamente su alcance de manera que no ofrezcan dudas de interpretacin.
3. Determinacin de recursos de la Auditora Informtica Se procede a determinar los
recursos humanos y materiales que han de emplearse en la auditora.
Recursos materiales Es muy importante su determinacin, por cuanto la mayora de
ellos son proporcionados por el cliente. Las herramientas de software propias del equipo
van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo
posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del
auditor son de dos tipos:
a. Recursos materiales Software Programas propios de la auditora: Son muy
potentes y Flexibles. Habitualmente se aaden a las ejecuciones de los procesos
del cliente para verificarlos.
b. Recursos materiales Hardware Los recursos hardware que el auditor
necesita son proporcionados por el cliente. Los procesos de control deben
efectuarse necesariamente en las Computadoras del auditado. Para lo cual
habr de convenir el tiempo de mquina, espacio de disco, impresoras
ocupadas, etc.
Recursos Humanos La cantidad de recursos depende del volumen auditable. Las
caractersticas y perfiles del personal seleccionado dependen de la materia auditable.
Perfiles Profesionales de los auditores informticos
4. Seleccin de procedimientos de auditora Para la seleccin de los procedimientos de
auditora, corresponder tener en cuenta cual es toda la gama posible de
procedimientos a aplicar. En ese sentido, los procedimientos posibles responden a dos
grandes grupos, los procedimientos sustantivos y la prueba de controles. Para la seleccin
de los procedimientos de auditora, usualmente resulta eficiente considerar los procedimientos
ya seleccionados para otros componentes, que puedan brindar satisfaccin de auditora
adicional para el componente que se est planificando. Los procedimientos de auditora
seleccionados constituyen la base para la preparacin del programa de trabajo.

5. Preparacin de programas de trabajo El resultado de la etapa de planificacin

detallada se documentara a travs de lo que se llama Programa de trabajo, que
incluye cada uno de los procedimientos a aplicar para cada componente y en cada visita de
auditora con indicacin del alcance y pasos a seguir. Una vez asignados los recursos, el
responsable de la auditora y sus colaboradores establecen un programa o plan de trabajo.
Decidido ste, se procede a la programacin del mismo. El plan se elabora teniendo en cuenta,
entre otros criterios, los siguientes:
a) Si la revisin debe realizarse por reas generales o reas especficas. En el primer
caso, la elaboracin es ms compleja y costosa.
b) Si la auditora es global, de toda la Informtica, o parcial en sistemas de informacin. El
volumen determina no solamente el nmero de auditores necesarios, sino las
especialidades necesarias del personal.
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios. En el
Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las
prioridades del cliente. El Plan establece disponibilidad futura de los recursos durante la
revisin. El Plan estructura las tareas a realizar por cada integrante del grupo. En el
Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la programacin de actividades que se ejecutarn
hasta la conclusin de la auditoria y elaborar el informe final. El plan deber ser lo
suficientemente flexible como para permitir modificaciones a lo largo del proyecto.
Informe de auditora. Los informes de auditora son el producto final del trabajo del
auditor de sistemas, este informe es utilizado para indicar las observaciones y
recomendaciones a la gerencia, aqu tambin se expone la opinin sobre lo adecuado o lo
inadecuado de los controles o procedimientos revisados durante la auditora, no existe un
formato especfico para exponer un informe de auditora de sistemas de informacin, pero
generalmente tiene la siguiente estructura o contenido:
I.

II.
III.
IV.

Introduccin al informe, donde se expresara los objetivos de la auditora, el

perodo o alcance cubierto por la misma, y una expresin general sobre la naturaleza o
extensin de los procedimientos de auditora realizados.
Observaciones detalladas y recomendaciones de auditora. Respuestas de la
gerencia a las observaciones con respecto a las acciones correctivas.
Conclusin global del auditor expresando una opinin sobre los controles y
procedimientos revisados.
Seguimiento de las observaciones de auditora. El trabajo de auditora es un proceso
continuo, se debe entender que no servira de nada el trabajo de auditora si no se
comprueba que las acciones correctivas tomadas por la gerencia, se estn realizando,
para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento
depender del carcter crtico de las observaciones de auditora. El nivel de revisin de
seguimiento del auditor de sistemas depender de diversos factores, en algunos
casos el auditor de sistemas tal vez solo necesite inquirir sobre la situacin actual, en
otros casos tendr que hacer una revisin ms tcnica del sistema.
2.1.2 REVISIN PRELIMINAR.

El primer paso en el desarrollo de la auditora, despus de la planeacin, es la revisin

preliminar del rea de informtica. El objetivo de la revisin preliminar el auditor puede
proceder en uno de los tres caminos siguientes.
Diseo de la auditora. Puede haber problemas debido a la falta de competencia tcnica
para realizar la auditora.
Realizar una revisin detallada de los controles internos de los sistemas con la esperanza
de que se deposite la confianza en los controles internos de los sistemas y de que una
serie de pruebas sustantivas puedan reducir las consecuencias.
Decidir el no confiar en los controles internos del sistema. Existen dos razones posibles
para esta decisin.
o Primero, puede ser ms eficiente desde el punto de vista de costo-beneficio el
realizar pruebas sustantivas directamente.
o Segundo, los controles del rea de informtica pueden duplicar los controles
existentes en el rea del usuario.
El auditor puede decidir que se obtendr un mayor costo-beneficio al dar una mayor
confianza a los controles de compensacin y revisar y probar mejor estos controles. La revisin
preliminar significa la recoleccin de evidencias por medio de entrevistas con el
personal de la instalacin, la observacin de las actividades en la instalacin y la
revisin de la documentacin preliminar. Las evidencias se pueden recolectar por medio de
cuestionarios inciales, o bien por medio de entrevistas, o con documentacin narrativa.
Debemos considerar que sta ser slo una informacin inicial que nos permitir elaborar el plan
de trabajo, la cual se profundizar en el desarrollo de la auditora.
La revisin preliminar elaborada por un auditor interno difiere de la realizada por un auditor
externo en tres aspectos.

En primer lugar, el auditor interno normalmente requiere de menos revisiones y

trabajos, especialmente en la parte gerencial y de organizacin, ya que l es parte de la
organizacin y est familiarizado con la misma.
En segundo, el auditor externo se enfoca ms en las causas de las prdidas y en
los controles necesarios para justificar sus decisiones; el auditor interno tiene una
amplia perspectiva, la cual incorpora en sus consideraciones sobre la eficiencia y la
eficacia con la que se trabaja.
En tercero, si el auditor interno supone serias debilidades en los controles
internos, en lugar de proceder directamente con las pruebas sustantivas, deber
continuar con la fase de revisin detallada para sealar recomendaciones para
mejorar los controles internos.

2.1.3 REVISIN DETALLADA.

Los objetivos de la fase detallada son los de obtener la informacin necesaria para que el
auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica.
El auditor debe decidir si debe de continuar elaborando pruebas de consentimiento, con
la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder
directamente a la revisin con los usuarios (pruebas compensatorias), o a las pruebas
sustantivas.

En algunos casos el auditor puede, despus de haber un anlisis detallado, decidir que con los
controles internos se tiene suficiente confianza, y en otros casos que los procedimientos alternos
de auditora pueden ser ms apropiados. En la fase de evaluacin detallada es importante para
el auditor identificar las casusas de las prdidas existentes dentro de la instalacin y
los controles para reducir las prdidas y los efectos causados por stas. Al terminar la
revisin detallada el auditor debe evaluar en qu momento los controles establecidos reducen
las prdidas esperadas a un nivel aceptable. Los mtodos de obtencin de informacin al
momento de la evaluacin detallada son los mismos usados en la investigacin
preliminar, y lo nico que difiere es la profundidad con que se obtiene la informacin y se
evala.
Como en el caso de la investigacin preliminar, se tienen diferentes formas de lograr los
objetivos desde el punto de vista del auditor interno o externo. El auditor interno debe
considerar las causas de las prdidas que afectan la eficiencia y eficacia, adems de
evaluar por qu los controles escogidos son o no suficientes para reducir las prdidas esperadas
a un nivel aceptable. El auditor interno debe evaluar si los controles escogidos son
ptimos, si provocan un sobrecontrol, o bien si se logra un satisfactorio nivel de control usando
menos controles o controles menos costosos. Si el auditor interno considera que los controles
internos del sistema no son satisfactorios, en lugar de proceder directamente a revisar, a probar
controles alternos o a realizar pruebas sustantivas y procedimientos, debe sealar las
recomendaciones para mejorar los controles de los sistemas.
2.1.4 EXAMEN Y EVALUACIN DE LA INFORMACIN.
Los auditores internos debern obtener, analizar, interpretar y documentar la
informacin para apoyar los resultados de la auditora. El proceso de examen y evaluacin
de la informacin es el siguiente:
Se debe obtener la informacin de todos los asuntos relacionados con los
objetivos y alcances de la auditora.
La informacin deber ser suficiente, competente, relevante y til para que
proporcione bases slidas en relacin con los hallazgos y recomendaciones de la
auditora.
o La informacin suficiente significa que est basada en hechos, que es
adecuada y convincente, de tal forma que una persona prudente e informada
pueda llegar a las mismas conclusiones que el auditor.
o La informacin competente significa que es confiable y puede obtenerse de
la mejor manera, usando las tcnicas de auditora apropiadas.
o La informacin relevante apoya los hallazgos y recomendaciones de
auditora y es consistente con los objetivos de sta.
o La informacin til ayuda a la organizacin a lograr sus metas.

Los procedimientos de auditora, incluyendo el empleo de las tcnicas de pruebas

selectivas y el muestreo estadstico, debern ser elegidos con anterioridad, cuando
esto sea posible, y ampliarse o modificarse cuando las circunstancias lo requieran.
El proceso de recabar, analizar, interpretar y documentar la informacin deber
supervisarse para proporcionar una seguridad razonable de que la objetividad del
auditor se mantuvo y que las metas de auditora se cumplieron.
Los documentos de trabajo de la auditoria debern ser preparados por los
auditores y revisados por la gerencia de auditora. Estos documentos debern

registrar la informacin obtenida y el anlisis realizado, y deben apoyar las bases

de los hallazgos de auditora y las recomendaciones que se harn.
Los auditores debern reportar los resultados del trabajo de auditora. El auditor deber
discutir las conclusiones y recomendaciones en los niveles apropiados de la
administracin antes de emitir su informe final.
Los informes debern ser objetivos, claros, concisos, constructivos y oportunos. Los
informes presentaran el propsito, alcance y resultados de la auditoria y, cuando
se considere apropiado, contendrn la opinin del auditor. Los informes pueden incluir
recomendaciones para mejoras potenciales y reconocer el trabajo satisfactorio
y las medidas correctivas. Los puntos de vista de los auditados respecto a las
conclusiones y recomendaciones pueden ser incluidos en el informe de auditora.
Los auditores internos realizarn el seguimiento de las recomendaciones, para
asegurarse que se tomaron las acciones apropiadas sobre los hallazgos de
auditora reportados.
El director de auditora en informtica deber establecer un programa para
seleccionar y desarrollar los recursos, el cual debe contemplar:
o Descripciones de puestos por cada nivel de auditora en informtica.
o Seleccin de individuos calificados y competentes.
o Entrenamiento y oportunidad de capacitacin profesional contina para todos y
cada uno de los auditores.
o Evaluacin del trabajo de cada uno de los auditores por lo menos una vez al ao.
o Asesora a los auditores en lo referente a su trabajo y a su desarrollo profesional.
o El trabajo de auditora interna y externa deber coordinarse para asegurar la
adecuada cobertura y para minimizar la duplicidad de esfuerzos.
El director de auditora interna en informtica deber establecer y mantener un
programa de control de calidad para evaluar las operaciones es proporcionar una
seguridad razonable de que el trabajo de auditora est de acuerdo con las normas
aplicables. Un programa de control de calidad deber incluir los siguientes elementos:
o Supervisin. La supervisin del trabajo de los auditores en informtica deber
llevarse a cabo continuamente para asegurarse de que estn trabajando
de acuerdo con las normas, polticas y programas de auditora en
informtica.
o Revisin internas. Las revisiones internas debern realizarse peridicamente
por el personal del departamento de auditora interna para evaluar la calidad
del trabajo de auditora realizado.
o Revisiones externas. Estas revisiones debern llevarse a cabo de la misma
manera que cualquier otra auditoria. Para evaluar la calidad del trabajo de auditora
en informtica debern practicarse revisiones externas.

2.1.5 PRUEBAS DE CONTROLES DE USUARIO.

En algunos casos el auditor puede decidirse el no confiar en los controles internos dentro de las
instalaciones informticas, porque el usuario ejerce controles que compensan cualquier
debilidad dentro de los controles internos de informtica. Estas pruebas que compensan las
deficiencias de los controles internos se pueden realizar mediante cuestionarios,
entrevistas, vistas y evaluaciones hechas directamente con los usuarios.
2.1.6 PRUEBAS SUSTANTIVAS.

El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita

al auditor emitir su juicio en las conclusiones acerca de cundo pueden ocurrir prdidas
materiales durante el procesamiento de la informacin. El auditor externo expresara este juicio
en forma de opinin sobre cundo puede existir un proceso equivocado o falta de control de la
informacin. Se pueden identificar ocho diferentes pruebas sustantivas:
1. Pruebas para identificar errores en el procesamiento o de falta de seguridad o
confidencialidad.
2. Pruebas para asegurar la calidad de los datos.
3. Pruebas para identificar la inconsistencia de los datos.
4. Pruebas para comparar con los datos o contadores fsicos.
5. Confirmacin de datos con fuentes externas.
6. Pruebas para confirmar la adecuada comunicacin.
7. Pruebas para determinar falta de seguridad.
8. Pruebas para determinar problemas de legalidad.
Debemos cuestionarnos el beneficio de tener un excesivo control o bien evaluar el beneficio
marginal de tener mayor control contra el costo que representa ste. Para ello es
necesario evaluar el costo por falla del sistema, y sus repercusiones para determinar el grado
de riesgo y confianza necesarios contra el costo de implantacin de controles y el costo de
recuperacin de la informacin o eliminacin de las repercusiones. El auditor debe participar
en tres estados del sistema:
1. Durante la fase de diseo del sistema.
2. Durante la fase de operacin.
3. Durante la fase posterior a la auditoria.
En general, la opinin del gerente de informtica de la alta gerencia considera que el que
el auditor participe en la fase de diseo disminuye la independencia del auditor, pero
existen varias formas en las cuales se puede eliminar esto:
Aumentando los conocimientos en informtica del auditor.
Asignar diferentes auditores a la fase de diseo, al trabajo de auditora y al posterior a la
auditoria.
Crear una seccin de auditora en informtica dentro del departamento de auditora
interno, especializado en auditora en informtica.
Obtener mayor soporte de la alta gerencia.
Realizar una auditora en informtica es un trabajo complejo. Por ello, para lograr los
objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas, y en forma
agregada evaluar cada subsistema hasta llegar a una evaluacin global sobre la confianza total
del sistema.
2.2 EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESGO.
Una de las formas de evaluar la importancia que puede tener para la organizacin un
determinado sistema, es considerar el riesgo que implica el que no sea utilizado
adecuadamente, la prdida de la informacin o bien el que sea usado por personal ajeno a la
organizacin. Algunos sistemas de aplicaciones son de ms alto riesgo que otros debido a que:
Son susceptibles a diferentes tipos de prdida econmica.
Fraudes y desfalcos entre los cuales estn los sistemas financieros. El auditor debe
de poner especial atencin a aquellos sistemas que requieran de un adecuado
control financiero.

Flujo de caja, inversiones, cuentas por pagar y cobrar, nmina. Las fallas pueden
impactar grandemente a la organizacin. Una falla en el procesamiento de la nmina
puede tener como consecuencia el que se tenga una huelga.
Interfieren con otros sistemas, y los errores generados permean a otros sistemas.
Potencialmente, alto riesgo debido a daos en la competencia. Algunos sistemas le dan a
la organizacin un nivel competitivo muy alto dentro de un mercado.
Sistema de planeacin estratgica. Patentes, derechos de autor, los cuales son las
mayores fuentes de recursos de la organizacin. Otros a travs de los cuales su prdida
puede destruir la imagen de la organizacin.
Sistemas de tecnologa de punta o avanzada. Si los sistemas utilizan tecnologa
avanzada o de punta.
Sistemas de bases de datos, sistemas distribuidos o de comunicacin, tecnologa
sobre la cual la organizacin tenga muy poca experiencia o respaldo, la cual es ms
probable que sea una fuente de problemas de control.
Sistemas de alto costo. Sistemas que son muy costosos de desarrollar, los cuales son
frecuentemente sistemas complejos que pueden presentar muchos problemas de control.

2.3 INVESTIGACIN PRELIMINAR.

Es necesario iniciar el trabajo de obtencin de datos con un contacto preliminar que
permita una primera idea global. El objeto de este primer contacto es percibir
rpidamente las estructuras fundamentales y diferencias principales entre el
organismo a auditar y otras organizaciones que se hayan investigado. La investigacin
preliminar debe incorporar fases de evaluacin del control gerencial y del control de las
aplicaciones. Durante la revisin de los controles gerenciales el auditor debe entender a la
organizacin y las polticas y prcticas gerenciales usadas en cada uno de los niveles, dentro de
la jerarqua de la instalacin en que se encuentran las computadoras. Durante la revisin de los
controles de las aplicaciones, el auditor debe entender los controles ejercidos sobre el
mayor tipo de transacciones que fluyen a travs de los sistemas de aplicaciones ms
significativos dentro de la instalacin de computadoras.
Se debe recopilar informacin para obtener una visin general del departamento por
medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es
definir el objetivo y alcance del estudio, as como el programa detallado de la investigacin.
En el caso de la auditora en informtica debemos comenzar la investigacin preliminar con una
visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar una serie de
documentos.
La investigacin preliminar se debe hacer solicitando y revisando la informacin de cada
una de las reas, basndose en los siguientes puntos:
Administracin. Se recopila la informacin para obtener una visin del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir
el objetivo y alcances del departamento. La eficiencia en el departamento de informtica slo se
puede lograr si sus objetivos estn integrados con los de la institucin y si
permanentemente se adapta a los posibles cambios de stos. Esta adaptacin nicamente
puede ser posible si los altos ejecutivos y los usuarios de los sistemas toman parte
activa en las decisiones referentes a la direccin y utilizacin de los sistemas de informacin,
y si el responsable de dicho sistema constantemente consulta y pide asesora y
cooperacin a los ejecutivos y usuarios. Asimismo el control de la direccin de informtica
no es posible, a menos que el personal responsable aplique la misma disciplina de trabajo y los

mtodos que se exigen normalmente a los usuarios. Podemos hablar de tener el control,
nicamente cuando se contemplaron los objetivos, se estableci un presupuesto y se
registraron correctamente los costos en el desarrollo de la aplicacin, y cuando sta contempla
el nivel de servicio en trminos de calidad y tiempos mnimos de entrega de resultados de
la operacin del computador. El xito de la direccin de informtica dentro de una
organizacin depende finalmente de que todas las personas responsables adoptan una
actitud positiva respecto a su trabajo y evalen constantemente la eficiencia en su
propio trabajo, as como el desarrollado en su rea, estableciendo metas y estndares que
incrementen su productividad.
La direccin de informtica, segn las diferentes reas de la organizacin es evaluada desde
diferentes puntos de vista.
Los usuarios a nivel operativo generalmente la ven como una herramienta para
incrementar su eficiencia en el trabajo. Para estos usuarios, la direccin de informtica
es una funcin de servicio. Cada grupo de usuarios tiene su propia expectativa del tipo y
nivel de servicio, sin considerar el costo del mismo y normalmente sin tomar en cuenta las
necesidades de otros grupos de usuarios. Los altos ejecutivos consideran a la direccin de
informtica como una inversin importante, que tiene la funcin de participar activamente
en el cumplimiento de los objetivos de la organizacin. Por ello, esperan un mximo del
retorno de su inversin; esperan que los recursos destinados a la direccin de informtica
proporcionen un beneficio mximo a la organizacin y que sta participe en la administracin
eficiente y en la minimizacin de los costos mediante informacin que permita una adecuada
toma de decisiones. Los directivos, con toda la razn, consideran que la organizacin cada
da depende ms del rea de informtica y consecuentemente esperan que se deba administrar
lo ms eficiente y eficaz posible. Esencialmente, la meta principal de los administradores
de la direccin de informtica es la misma que inspira cualquier departamento de servicio:
combinar un servicio adecuado con una operacin econmica. El problema estriba en
balancear el nivel de servicio a los usuarios, que siempre puede ser incrementado a costa
de un incremento del factor econmico o viceversa. Para poder analizar y dimensionar la
estructura a auditar se debe solicitar:
A nivel organizacin total:
o Objetivos a corto y largo plazos.
o Manual de la organizacin.
o Antecedentes o historia del organismo.
o Polticas generales.

A nivel de rea de informtica:

o Objetivos a corto y largo plazos.
o Manual de organizacin del rea que incluya puestos, funciones, niveles jerrquicos
y tramos de mando.
o Manual de polticas, reglamentos internos y lineamientos generales.
o Nmero de personas y puestos en el rea.
o Procedimientos administrativos del rea.
o Presupuestos y costos del rea.
o Recursos materiales y tcnicos:

Solicitar documentos sobre los equipos, as como el nmero de ellos, su

localizacin y sus caractersticas (de los equipos instalados, por instalar y
programados).
Estudios de viabilidad.
Fechas de instalacin de los equipos y planes de instalacin.

Contratos vigentes de compra, renta y servicio de mantenimiento.

Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Configuracin de equipos de comunicacin (redes internas y externas) y
localizacin de los equipos.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas de uso de equipos.
Polticas de seguridad fsica y prevencin contra contingencias internas y
externas.
Sistemas:

Descripcin general de los sistemas instalados y de los que estn por

instalarse, que contengan volmenes de informacin.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salida.
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
Bases de datos, propietarios de la informacin y usuarios de la misma.
Procedimientos y polticas en casos de desastre.
Sistemas propios.
Rentados y adquiridos.

En el momento de hacer la planeacin de la auditora o bien en su realizacin, debemos

evaluar que pueden presentarse las siguientes situaciones.
Se solicita la informacin y se ve que:
o No se tiene y se necesita.
En el caso de que no se tenga la informacin pero que sea necesaria,
se debe recomendar que se elabore de acuerdo con las necesidades y
con el uso que se le va a dar.
o No se tiene y no se necesita.
En el caso de que no se disponga de la informacin y se considere que
no se necesita, se debe evaluar la causa por la que no es necesaria, ya
que se puede estar solicitando un tipo de informacin que debido a las
caractersticas del organismo no se requiera. Eso nos dar un
parmetro muy importante para hacer una adecuada planeacin de la
auditora.
Se tiene la informacin pero:
o No se usa.
o Es incompleta.
o No est actualizada.
o No es la adecuada.
o Se usa, est actualizada, es la adecuada y est completa.

En el caso de que se tenga la informacin pero que no se utilice, se debe analizar por qu
no se usa. El motivo puede ser que est incompleta, que no est actualizada, que no sea
la adecuada, etc. Hay que analizar y definir las causas para sealar alternativas de
solucin, lo que nos lleva a la utilizacin de la informacin.
En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si
es la adecuada y si est completa; de ser as, se considerar dentro de las conclusiones
de la evaluacin, ya que como se dijo la auditora no slo debe considerar errores, sino
tambin sealar los aciertos.
Antes de concluir esta etapa no se olvide que el xito de anlisis crtico depende de las
consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin
fundamento).
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.
2.4 PERSONAL PARTICIPANTE.
Una de las partes ms importantes en la planeacin de la auditora en informtica es el
personal que deber participar. En este punto no veremos el nmero de personas que
debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas
y de los equipos; lo que se deber considerar son las caractersticas del personal que
habr de participar en la auditora. Uno de los esquemas generalmente aceptados para
tener un adecuado control es que el personal que intervenga est debidamente
capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de
recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases
debemos considerar los conocimientos, la prctica profesional y la capacitacin que
debe tener el personal que intervendr en la auditora. En primer lugar, debemos pensar
que hay personal asignado por la organizacin, que deba tener el suficiente nivel para poder
coordinar el desarrollo de la auditora, proporcionarnos toda la informacin que se solicite y
programar las reuniones y entrevistas requeridas. ste es un punto muy importante ya que, de
no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn
presentes una o varias personas del rea a auditar, ser casi imposible obtener informacin en
el momento y con las caractersticas deseadas. Tambin se debe contar con personas
asignadas por los usuarios para que en el momento que se solicite informacin, o bien se
efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est
solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el
punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para
complementar el grupo, como colaboradores directos en la realizacin de la auditora, se deben
tener personas con las siguientes caractersticas:
Tcnico en informtica.
Conocimiento de administracin, contadura y finanzas.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos y experiencia en psicologa industrial.

Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones,

dependiendo del rea y caractersticas a auditar. En el caso de sistemas complejos se
deber contar con personal con conocimientos y experiencia en reas especficas como
base de datos, redes, comunicaciones, etctera.
Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias
sealadas, pero s que deben intervenir una o varias personas con las caractersticas apuntadas.
CONCLUSIN
La creciente importancia asignada a los sistemas de informacin como ayuda inestimable e
imprescindible en el desarrollo de los procesos de negocio, aportando informacin, que apoye la
correcta toma de decisiones, se le atribuye esa misma importancia a la auditora de los sistemas
de informacin.
La planificacin de la auditoria de sistemas de informacin, si bien es una etapa de la auditoria,
es un proceso en si mismo, son una serie de actos u operaciones que conducen a un fin
especfico. Ese fin ser determinar cules sern los procedimientos de auditora a emplear que
permitan obtener la satisfaccin necesaria para emitir una opinin mediante un informe que
apoye a las organizaciones Una planificacin adecuada es el primer paso necesario para realizar
auditoras de sistema eficaces, el auditor de sistemas debe comprender el ambiente del negocio
en el que se ha de realizar la auditora as como los riesgos del negocio y control asociado. La
auditara de sistemas es un examen crtico que se realiza con el fin de evaluar la eficacia y
eficiencia de los sistemas que operan en la organizacin. Es una herramienta poco conocida y
muy valiosa a la hora de tomar decisiones en lo que a TIC/SI se refiere. Una auditora (externa o
interna) nos brinda la informacin necesaria para tomar decisiones sobre una base slida y con
garantas de xito.