AUDITORIA DE SISTEMAS

El uso creciente de las tecnologas de informacin como herramienta para lograr

ventaja competitiva, y tratar de controlar, a travs de sistemas computacionales, el
creciente volumen de transacciones generadas por las actividades comerciales y
financieras de las instituciones, han hecho que se requiera una vigilancia y evaluacin
constantes de estos sistemas.

Asimismo, en el devenir del tiempo, la profesin de auditor se ha fortalecido como la

disciplina fundamental para evaluar todas las reas de las instituciones pblicas y
privadas, incluyendo los sistemas computacionales.

Auditora informtica
Motivada por lo especializado de las actividades de cmputo, as como por el
espectacular avance que han tenido estos sistemas en los ltimos aos, ha surgido
una nueva necesidad de evaluacin para los auditores, quienes requieren una
especializacin cada vez ms profunda en sistemas computacionales para dedicarse a
este tipo de auditoras.
Por ello naci la necesidad de evaluar no slo los sistemas, sino tambin la
informacin, sus componentes y todo lo que est relacionado con dichos sistemas. La
definicin propuesta es la siguiente:

Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas

computacionales, software e informacin utilizados en una empresa, sean
individuales, compartidos y/o de redes, as como a sus instalaciones,
telecomunicaciones, mobiliario, equipos perifricos y dems componentes.
Dicha revisin se realiza de igual manera a la gestin informtica, el
aprovechamiento de sus recursos, las medidas de seguridad y los bienes de
consumo necesarios para el funcionamiento del centro de cmputo. El propsito
fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso
de los datos, el procesamiento adecuado de la informacin y la emisin
oportuna de sus resultados en la institucin, incluyendo la evaluacin en el
cumplimiento de las funciones, actividades y operaciones de funcionarios,
empleados y usuarios involucrados con los servicios que proporcionan los
sistemas computacionales a la empresa.

Las definiciones anteriores son las ms comunes y conocidas en el ambiente de la

auditora; sin embargo, existen otros tipos de auditoras ms especializados, por lo que
es de suma importancia conocer las definiciones de esos modelos, mismas que se
presentan a continuacin.

Auditora de sistemas computacionales (Auditora informtica)

Motivados por la importancia de continuar con la exposicin de las definiciones de
cada uno de los tipos de auditoras. Las definiciones propuestas para la auditora de
sistemas computacionales son las siguientes:
Auditora informtica
Auditora con la computadora
Auditora sin la computadora
Auditora a la gestin informtica
Auditora al sistema de cmputo
Auditora en el entorno de la computadora
Auditora sobre la seguridad de sistemas computacionales
Auditora a los sistemas de redes
 Auditora integral a los centros de cmputo
Auditora ISO-9000 a los sistemas computacionales
Auditora outsorcing
Auditora ergonmica de sistemas computacionales

Marco esquemtico de la auditora de sistemas computacionales

Evaluacin a:
Hardware
Plataforma de hardware
Tarjeta madre
Procesadores
Dispositivos perifricos
Arquitectura del sistema
Instalaciones elctricas, de datos y de telecomunicaciones
Innovaciones tecnolgicas de hardware y perifricos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas, paqueteras de aplicacin y bases de datos
Utileras, bibliotecas y aplicaciones
Software de telecomunicacin
Juegos y otros tipos de software
Gestin informtica
Actividad administrativa del rea de sistemas
Operacin del sistema de cmputo
Planeacin y control de actividades
Presupuestos y gastos de los recursos informticos
Gestin de la actividad informtica
Capacitacin y desarrollo del personal informtico
Administracin de estndares de operacin, programacin y desarrollo
Informacin
Administracin, seguridad y control de la informacin
Salvaguarda, proteccin y custodia de la informacin
Cumplimiento de las caractersticas de la informacin
Diseo de sistemas
Metodologas de desarrollo de sistemas
Estndares de programacin y desarrollo
Documentacin de sistemas
Bases de datos
Administracin de bases de datos
Diseo de bases de datos
30 Auditora en sistemas computacionales
Metodologas para el diseo y programacin de bases de datos
Seguridad, salvaguarda y proteccin de las bases de datos
Seguridad
Seguridad del rea de sistemas
Seguridad fsica
Seguridad lgica
Seguridad de las instalaciones elctricas, de datos y de
telecomunicaciones
Seguridad de la informacin, redes y bases de datos
Administracin y control de las bases de datos
Seguridad del personal informtico
Redes de cmputo
 Plataformas y configuracin de las redes
Protocolos de comunicaciones
Sistemas operativos y software
Administracin de las redes de cmputo
Administracin de la seguridad de las redes
Administracin de las bases de datos de las redes
Especializadas
Outsourcing
Helpdesk
Ergonoma en sistemas computacionales
ISO-9000
Internet/intranet
Sistemas multimedia

Objetivos de la auditora de sistemas

La evaluacin a los sistemas computacionales, a la administracin del centro de
cmputo, al desarrollo de proyectos informticos, a la seguridad de los sistemas
computacionales y a todo lo relacionado con ellos, ser considerada bajo los
siguientes objetivos:

Realizar una evaluacin con personal multidisciplinario y capacitado en el rea

de sistemas, con el fin de emitir un dictamen independiente sobre la
razonabilidad de las operaciones del sistema y la gestin administrativa del
rea de informtica.
Hacer una evaluacin sobre el uso de los recursos financieros en las reas del
centro de informacin, as como del aprovechamiento del sistema
computacional, sus equipos perifricos e instalaciones.
Evaluar el uso y aprovechamiento de los equipos de cmputo, sus perifricos,
las instalaciones y mobiliario del centro de cmputo, as como el uso de sus
recursos tcnicos y materiales para el procesamiento de informacin.
Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas
operativos, los lenguajes, programas y paqueteras de aplicacin y desarrollo,
as como el desarrollo e instalacin de nuevos sistemas.
Evaluar el cumplimiento de planes, programas, estndares, polticas, norma y
lineamientos que regulan las funciones y actividades de las reas y de los
sistemas de procesamiento de informacin, as como de su personal y de los
usuarios del centro de informacin.
Realizar la evaluacin de las reas, actividades y funciones de una empresa,
contando con el apoyo de los sistemas computacionales, de los programas
especiales para auditora y de la paquetera que sirve de soporte para el
desarrollo de auditoras por medio de la computadora.

Tcnicas de evaluacin aplicables en la auditora de sistemas

Examen
Inspeccin
Confirmacin
Comparacin
Revisin documental

Tcnicas especiales para la auditora de sistemas computacionales

Guas de evaluacin
Ponderacin
Simulacin
 Evaluacin
Diagrama del crculo de sistemas
Diagramas de sistemas
Matriz de evaluacin
Programas de verificacin
Seguimiento de programacin

Conceptos y definiciones del control interno

El control interno es la adopcin de una serie de medidas que se establecen en las
empresas, con el propsito de contar con instrumentos tendientes a salvaguardar la
integridad de los bienes institucionales y as ayudar a la administracin y cumplimiento
correctos de las actividades y operaciones de las empresas. Con la implantacin de
tales medidas se pueden conseguir los siguientes beneficios:
Proteger y salvaguardar los bienes de la empresa y a su personal.
Prevenir y, en su caso, descubrir la presencia de fraudes, robos y acciones
dolosas.
Obtener la informacin contable, financiera y administrativa de manera
confiable y oportuna.
Promover el desarrollo correcto de las funciones, operaciones y actividades de
la empresa.
Definiciones de control interno
Para entender cmo funciona el control interno en las empresas es conveniente
conocer los marcos conceptuales de este trmino. A continuacin se presentan las
aportaciones de algunos autores al respecto:
JOS ANTONIO ECHENIQUE
El control interno comprende el plan de organizacin y todos los mtodos y
procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar
sus actividades, verificar la razonabilidad y confiabilidad de su informacin financiera,
promover la eficiencia operacional y provocar la adherencia a las polticas prescritas
por la administracin.

HOLMES R. ARTHUR
El control interno es una funcin de la gerencia que tiene por objeto salvaguardar y
preservar los bienes de la empresa, evitar desembolsos indebidos de fondos, y ofrecer
la seguridad de que no se contraen obligaciones sin autorizacin.

El control interno es especialmente importante en las empresas, debido a que

proporciona el grado de confiabilidad que se requiere para:
- Proteger los activos.
- Asegurar la validez de la informacin.
- Promover la eficiencia en las operaciones.
- Estimular y asegurar el cumplimiento de las polticas y directrices emanadas de
la direccin.

Para el diseo e implantacin del sistema de control interno, se cuenta con el apoyo
de las siguientes tcnicas:
- Ejecucin del cuestionario de control.
- Anlisis del flujo de transacciones.
- Realizacin de pruebas de cumplimiento.
- Resultados.
- Medidas de correccin

Una vez hecho el anlisis de las anteriores aportaciones, podemos inferir su definicin:
El control interno es el establecimiento de los mecanismos y estndares de control
que se adoptan en las empresas, a fin de ayudarse en la administracin correcta de
sus recursos, en la satisfaccin de sus necesidades de seguridad, en la salvaguarda y
proteccin de los activos institucionales, en la ejecucin adecuada de sus funciones,
actividades y operaciones, y en el registro correcto de sus operaciones contables y
reportes de resultados financieros; todo ello para el mejor cumplimiento del objetivo
institucional.

Como complemento, ahora podemos sealar esta definicin de control interno con los
siguientes beneficios que se obtienen con su establecimiento:
- Salvaguardar los activos de la empresa.
- Determinar los mtodos y procedimientos necesarios para el buen desarrollo
de sus funciones y actividades.
- Establecer la elaboracin correcta de los registros contables y de los resultados
financieros.
- Contribuir con la direccin de la empresa en la implantacin y cumplimiento de
las normas, polticas y lineamientos que regularn su actuacin.

Objetivos del control interno

Tomando en cuenta que el control interno busca contribuir en la seguridad y
proteccin de los bienes de la empresa, en la obtencin de informacin correcta y
oportuna, en la promocin de la eficacia de la operacin y en la direccin adecuada de
la empresa, se puede establecer que su principal prioridad es la ayuda que
proporciona al buen funcionamiento de la institucin y a la salvaguarda de su
patrimonio. Sin embargo, hace falta una informacin adecuada para comprobar si se
satisfacen esas prioridades.

Adems, el control interno tambin sirve para evaluar el desarrollo correcto de las
actividades de las empresas, as como la aceptacin y cumplimiento adecuados de las
normas y polticas que regulan sus actividades.

Con base en lo anterior, se pueden establecer los siguientes puntos como los objetivos
fundamentales del control interno:
- Establecer la seguridad y proteccin de los activos de la empresa.
- Promover la confiabilidad, oportunidad y veracidad de los registros contables,
as como de la emisin de la informacin financiera de la empresa.
- Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y
actividades de la empresa.
- Establecer y hacer cumplir las normas, polticas y procedimientos que regulan
las actividades de la empresa.
- Implantar los mtodos, tcnicas y procedimientos que permitan desarrollar
adecuadamente las actividades, tareas y funciones de la empresa.

Importancia del control interno para la auditora

Todas las empresas, sean pblicas, privadas, de participacin estatal, paraestatales o
mixtas, deben contar con instrumentos adecuados de control que les permitan llevar
su administracin con eficiencia y eficacia. Por esta razn es tan importante contar con
un control interno en la empresa, para satisfacer sus expectativas en cuanto a la
salvaguarda y custodia de sus bienes, a la promocin de la confiabilidad, oportunidad
y veracidad de sus registros contables y la emisin de su informacin financiera, a la
implantacin correcta de los mtodos, tcnicas y procedimientos que le permitan
desarrollar adecuadamente sus actividades, tareas y funciones, as como al
establecimiento y cumplimiento de las normas, polticas y procedimientos que regulan
sus actividades. Lo mismo para empresas de giros comerciales, de servicios o de
cualquier otro giro, sin importar que sean pequeas, medianas, o grandes empresas o
consorcios. En todos los casos se deber establecer el control interno.
El establecimiento de un sistema de control interno facilita a las autoridades de la
empresa la evaluacin y supervisin y, en su caso, la correccin de los planes,
presupuestos y programas que determinarn el rumbo a seguir en la institucin, de
acuerdo con la misin, visin y objetivos de sta. Con slo cumplir lo anterior se
justificara la importancia del control interno.

Sin embargo, se puede agregar que la utilidad del control interno se distingue por el
establecimiento y vigilancia del cumplimiento de reglas, mtodos y procedimientos que
se determinan para mantener la integridad y seguridad de los bienes de la empresa,
as como para el manejo adecuado de los datos, para la confiabilidad en los registros y
archivos contables, para la emisin de resultados financieros y para la definicin de
normas, lineamientos, procedimientos y reglas de actuacin para el desarrollo de las
actividades de la empresa. Adems, con el control interno se establecen un conjunto
de medidas y reglas concretas, la mayora de carcter contable, que definen
concretamente los alcances y limitaciones de actuacin de los funcionarios y
empleados de la institucin.

Es precisamente en esas consideraciones donde se fundamenta la importancia de la

auditora, debido a que por medio del control interno se determinan las actividades,
acciones y dems elementos que permiten satisfacer las necesidades de las
instituciones.

Adems, recordemos que de la definicin de la auditora se desprende lo siguiente: es

la revisin de las funciones, acciones, operaciones o de cualquier actividad de una
entidad administrativa. Por esta razn, se evalan la existencia y el cumplimiento del
control interno en la empresa, as como la forma en que se aplica; tambin se evala
su utilidad en la salvaguarda y proteccin de archivos y en el desarrollo de las
actividades de la empresa, adems de la existencia de los elementos que integran el
sealado control interno. Es evidente que la importancia del control interno se
fundamenta en la evaluacin de lo que se determina por medio de l.

Normas de evaluacin:
El maestro Rodrguez Valencia analiza los estndares de control bajo otro criterio,
relacionando los estndares de evaluacin con normas que contribuyen al
establecimiento de los parmetros de evaluacin que se requieren para el
establecimiento del control interno necesario para realizar una auditora. Dichas
normas son las siguientes:
Normas cuantitativas
Son aquellas que permiten dar una cuanta medible en cifras significativas, con las
cuales se establecern parmetros vlidos para medir resultados. A continuacin
presentamos las siguientes normas sin hacer ningn comentario al respecto, ya que
son fciles de comprender.
Normas fsicas
Normas de costos
Normas de capital
Normas de ingresos
Normas de programas
Normas de productividad
Normas de posicin en el mercado

Normas cualitativas
Estas normas se establecen de forma no tan objetiva, y sirven de parmetros
cualitativos (que denotan una cualidad que se atribuye a algo); asimismo, ayudan a
medir ciertos aspectos no cuantificables en unidades fsicas, pero s medibles en otros
parmetros no numerarios. Al igual que las anteriores, mencionaremos esta lista de
normas sin ningn comentario.
Normas de publicidad
Normas de desarrollo de personal
Normas de informacin
Normas de hegemona del producto
Normas de actitudes de los empleados

Normas materiales
Estas normas se refieren a los criterios que permiten evaluar aspectos fundamentales
en el desempeo de las actividades de una empresa, los cuales pueden ayudarnos a
establecer estndares de evaluacin tiles en el control; estas normas estn divididas
en dos grandes grupos:
a. Normas de desempeo
Son aquellas que permiten medir los resultados alcanzados con una operacin normal
de una empresa; dichas normas son las siguientes.
Normas de cantidad
Normas de calidad
Normas de costos
Normas de tiempo
b. Normas complementarias
Estas normas se establecen para apoyar la evaluacin de las normas de desempeo,
con ello se complementan los estndares de medicin de las primeras; entre estas
normas encontramos las siguientes:
Normas de factores fsicos
Normas de comportamiento
Normas de funcin
Normas de polticas

Otras normas y estndares

Actualmente existen muchos tipos de estndares que buscan utilizarse para evaluar el
cumplimiento de lo alcanzado en relacin con lo esperado, por eso a continuacin se
indican algunos de estos ejemplos:

a. Estndares del IEEE

El IEEE (Instituto de Ingenieros Elctricos y Electrnicos) fue formado a
principios de los 80 para desarrollar estndares para las tecnologas
emergentes en muchas de las ramas de la ingeniera; para el caso especfico
del rea de sistemas computacionales y en especial para que los equipos de
redes de diferentes fabricantes pudieran trabajar juntos e integrarse sin
problemas, se form el comit de la serie IEEE 802, el cual est relacionado
con el Modelo ISO (Organizacin Internacional de Estndares) de la OSI,
especficamente su desarrollo es el siguiente:

En el ao de 1982 se public un borrador de los estndares para redes

CSMA/CS y Token Bus.

En 1983 se public el estndar 802.3, que describe una red de banda base
CSMA/CD similar a Ethernet. Desde entonces se le han hecho algunos anexos
dependiendo del tipo de medio fsico que se utilice. Estos anexos incluyen
redes como:
 - 10BASE-2. Red de banda base que opera con cable coaxial delgado a
10 Mbps.
- 1BASE-5. Red de banda base que opera con cable trenzado a 1 Mbps.
- 10BASE-T. Red de banda base que opera con cable trenzado a 10
Mpbs.
- 10BROAD-36. Red de banda base que opera con cable coaxial grueso
a 10 Mbps.
El siguiente estndar publicado fue el 802.4 que describe una red con paso de
token, orientada a transmisiones tanto de banda amplia como de banda base.

El tercer estndar fue el 802.5, se bas en las especificaciones de la red IBM

de Token-Ring. ste define una red Token-Ring con cable trenzado cubierto
con transmisin de datos de 1 a 4 Mbps. Se le han hecho mejoras al estndar
para incluir entre otras cosas una tasa de operacin de 16 Mbps.

b. Normas de la serie ISO-9000

La ISO elabor las normas de la serie ISO 9000 para la gestin y el
aseguramiento de la calidad y la primera edicin de las normas fue en 1987.
Posteriormente, en 1994 se hizo una revisin de las normas y se espera una
prxima revisin para el ao 2000. La serie ISO 9000 se compone de las
siguientes normas:
ISO 9000: incluye directrices para la seleccin y uso de las normas de la serie.
ISO 9001: da los requerimientos exigibles a la organizacin para el
aseguramiento de la calidad en las actividades de diseo, desarrollo,
produccin, instalacin, inspeccin y servicio posventa.
ISO 9002: determina los requerimientos exigibles para el aseguramiento de la
calidad en las actividades de produccin, instalacin y servicio posventa.
ISO 9003: establece los requerimientos exigibles para el aseguramiento de la
calidad slo en las actividades de inspeccin y ensayos finales.
ISO 9004: es una gua para la gestin de la calidad y elementos del sistema de
calidad.

Las normas complementarias de la serie son:

ISO 8402: es una recopilacin del vocabulario utilizado en las normas de la
serie.
ISO 10011-1/2/3: establecen criterios de auditoras, de calificacin de los
auditores y de gestin de programas de auditoras, respectivamente.
ISO 100013: es una gua para la elaboracin del manual de calidad para la
organizacin.
De todas las normas de la serie, las nicas certificables son la 9001, 9002 y
9003.

Estndares de educacin
La educacin, en cualquiera de sus niveles, demanda de constantes evaluaciones
de su cumplimiento en el desempeo de sus maestros, los resultados de sus
educandos, los planes y programas y muchos otros componentes de la educacin
que son susceptibles de evaluar; entre algunos de los componentes medulares de
la evaluacin curricular, como ejemplo comn en todos los estndares, sealamos
los siguientes aspectos.

Conocimientos: conceptos, ideas, datos, divergencias, principios, teoras,

tecnologa, paradigmas, leyes.
Valores, actitudes y virtudes humanas: tica, dignidad, solidaridad, igualdad,
integridad, autocontrol, responsabilidad, socializacin.
 Diseos curriculares: Componentes, perfiles de egresados, objetivos, mapas
curriculares, programas analticos y detallados, evaluacin y otros
componentes que sealan las caractersticas de una educacin primaria,
secundaria, media superior, estudios universitarios o de posgrado.
Destrezas y competencias: vida, reflexin, pensamiento, comunicacin,
estudio, investigacin, adaptacin, trabajo, tecnologa, integracin, teorizacin.
Estudio y trabajo: calidad total, compromiso, dedicacin, servicio, produccin,
tecnologa, empleabilidad, economa y desarrollo global.
Diversidad cultural: etnicidad, raza, edad y gnero, procedencia, status
socioeconmico, tipo de familia, excepcionalidad, escolaridad.
Prevencin: salud, higiene, conservacin de recursos, violencia, drogas,
alcohol y armas.
Otras normas y estndares
stos slo los mencionaremos sin hacer ya ningn comentario:
- Normas y estndares de diseo
- Normas y estndares de protocolos y comunicacin
- Normas y estndares de seguridad informtica
- Normas y estndares de software

CONTROL INTERNO INFORMTICO

Para hacer este anlisis, propondremos los siguientes puntos como objetivos
especficos del control interno informtico:
- Establecer como prioridad la seguridad y proteccin de la informacin,
del sistema computacional y de los recursos informticos de la
empresa.
- Promover la confiabilidad, oportunidad y veracidad de la captacin de
datos, su procesamiento en el sistema y la emisin de informes en la
empresa.
- Implementar los mtodos, tcnicas y procedimientos necesarios para
coadyuvar al eficiente desarrollo de las funciones, actividades y tareas
de los servicios computacionales, para satisfacer los requerimientos de
sistemas en la empresa.
- Instaurar y hacer cumplir las normas, polticas y procedimientos que
regulen las actividades de sistematizacin de la empresa.
- Establecer las acciones necesarias para el adecuado diseo e
implementacin de sistemas computarizados, a fin de que permitan
proporcionar eficientemente los servicios de procesamiento de
informacin en la empresa.

Elementos fundamentales del control interno informtico

- Controles internos sobre la organizacin del rea de informtica.
- Controles internos sobre el anlisis, desarrollo e implementacin de
sistemas.
- Controles internos sobre la operacin del sistema.
- Controles internos sobre los procedimientos de entrada de datos, el
procesamiento de informacin y la emisin de resultados.
- Controles internos sobre la seguridad del rea de sistemas.
Como parte del presente estudio, a continuacin se presenta un cuadro concentrado
del control interno aplicable a la informtica:
Cuadro de control interno en el rea de informtica
Controles internos sobre la organizacin del rea de informtica
Direccin
Divisin del trabajo
Asignacin de responsabilidad y autoridad
Establecimiento de estndares y mtodos
Perfiles de puestos

Controles internos sobre el anlisis, desarrollo e implementacin de sistemas

Estandarizacin de metodologas para el desarrollo de proyectos
Asegurar que el beneficio de los sistemas sea el ptimo
Elaborar estudios de factibilidad del sistema
Garantizar la eficiencia y eficacia en el anlisis y diseo de sistemas
Vigilar la efectividad y eficiencia en la implementacin y mantenimiento del
sistema
Optimizar el uso del sistema por medio de su documentacin

Controles internos sobre la operacin del sistema

Prevenir y corregir los errores de operacin
Prevenir y evitar la manipulacin fraudulenta de la informacin
Implementar y mantener la seguridad en la operacin
Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el
procesamiento de la informacin de la institucin

Controles internos sobre los procedimientos de entrada de datos, el

procesamiento de informacin y la emisin de resultados
Verificar la existencia y funcionamiento de los procedimientos de captura de
datos
Comprobar que todos los datos sean debidamente procesados
Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos
Comprobar la oportunidad, confiabilidad y veracidad en la emisin de los
resultados del procesamiento de informacin

Controles internos sobre la seguridad del rea de sistemas

Controles para prevenir y evitar las amenazas, riesgos y contingencias que
inciden en las reas de sistematizacin
Controles sobre la seguridad fsica del rea de sistemas
Controles sobre la seguridad lgica de los sistemas
Controles sobre la seguridad de las bases de datos
Controles sobre la operacin de los sistemas computacionales
Controles sobre la seguridad del personal de informtica
Controles sobre la seguridad de la telecomunicacin de datos
Controles sobre la seguridad de redes y sistemas multiusuarios
Metodologa para realizar auditoras de sistemas computacionales

Llevar a cabo una auditora de sistemas computacionales requiere una serie ordenada
de acciones y procedimientos especficos, los cuales debern ser diseados
previamente de manera secuencial, cronolgica y ordenada, de acuerdo a las etapas,
eventos y actividades que se requieran para su ejecucin, mismos que sern
establecidos conforme a las necesidades especiales de la institucin.
Adems, estos procedimientos se deben adaptar de acuerdo al tipo de auditora de
sistemas que se vaya a realizar, y con estricto apego a las necesidades, tcnicas y
mtodos de evaluacin del rea de sistematizacin.
Dichos mtodos debern seguirse tambin para la determinacin de las herramientas
e instrumentos de revisin que sern utilizados en la evaluacin
1. Origen de la auditora
2. Visita preliminar
3. Establecer objetivos
4. Determinar los puntos que deben ser evaluados
5. Elaborar planes, presupuestos y programas
6. Seleccionar las herramientas, tcnicas, mtodos y procedimientos que sern
utilizados en la auditora
7. Asignar los recursos y sistemas para la auditora
8. Aplicar la auditora
9. Identificar desviaciones y elaborar borrador de informe
10. Presentar desviaciones a discusin
11. Elaborar borrador final de desviaciones
12. Presentar el informe de auditora

Con base en lo anterior podemos entender la necesidad de establecer una

metodologa especfica de revisin, la cual nos permitir disear correctamente los
pasos a seguir en la evaluacin de las reas de sistemas y actividades elegidas, a fin
de que el seguimiento, desarrollo y aplicacin de las etapas y eventos propuestos para
esa auditora sean ms sencillos. Dicha metodologa tambin nos servir para
establecer las tcnicas, mtodos y procedimientos adaptables a las caractersticas
especiales de la auditora del rea especfica de sistemas a evaluar, incluyendo los
recursos humanos, tcnicos y materiales necesarios para dicha revisin.

Esta metodologa tiene tres etapas fundamentales:

1 ETAPA: PLANEACIN DE LA AUDITORA DE SISTEMAS COMPUTACIONALES
2 ETAPA: EJECUCIN DE LA AUDITORA DE SISTEMAS COMPUTACIONALES
3 ETAPA: DICTAMEN DE LA AUDITORA DE SISTEMAS COMPUTACIONALES

Con el propsito de interpretar adecuadamente la aplicacin de esta metodologa para

realizar auditoras de sistemas, la cual puede ser aplicable para cualquier tipo de
auditora dentro del campo de sistemas, a continuacin presentamos, en forma
genrica, todas aquellas fases y pasos que se deben considerar en la planeacin de la
evaluacin. Inicialmente sealaremos, en tres grandes apartados, las principales
etapas que nos servirn de gua para la realizacin de una evaluacin dentro del
ambiente de sistemas computacionales.
1 etapa: Planeacin de la auditora de sistemas computacionales
P.1 Identificar el origen de la auditora
P.2 Realizar una visita preliminar al rea que ser evaluada
P.3 Establecer los objetivos de la auditora
P.4 Determinar los puntos que sern evaluados en la auditora
 P.5 Elaborar planes, programas y presupuestos para realizar la auditora
P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditora
P.7 Asignar los recursos y sistemas computacionales para la auditora

2 etapa: Ejecucin de la auditora de sistemas computacionales

E.1 Realizar las acciones programadas para la auditora
E.2 Aplicar los instrumentos y herramientas para la auditora
E.3 Identificar y elaborar los documentos de desviaciones encontradas
E.4 Elaborar el dictamen preliminar y presentarlo a discusin
E.5 Integrar el legajo de papeles de trabajo de la auditora

3 etapa: Dictamen de la auditora de sistemas computacionales

D.1 Analizar la informacin y elaborar un informe de situaciones detectadas
D.2 Elaborar el dictamen final
D.3 Presentar el informe de auditora

1 etapa: Planeacin de la auditora de sistemas computacionales

El primer paso para realizar una auditora en sistemas computacionales es definir las
actividades necesarias para su ejecucin, lo cual se lograr mediante una adecuada
planeacin de stas; es decir, se deben identificar claramente las razones por las que
se va a realizar la auditora y la determinacin del objetivo de la misma, as como el
diseo de los mtodos, tcnicas y procedimientos necesarios para llevarla a cabo y
para preparar los documentos que servirn de apoyo para su ejecucin, culminando
con la elaboracin documental de los planes, programas y presupuestos para dicha
auditora.

Concretamente, el responsable de la planeacin de esta primera etapa de la

metodologa para realizar una auditora de sistemas computacionales deber iniciar
con el planteamiento de los siguientes interrogantes:
Por qu se realizar la auditora?
Se debe hacer una visita preliminar al rea de sistemas?
Cul es el objetivo que se pretende alcanzar con esta auditora?

Cuadro de 1 etapa: Planeacin de la auditora de sistemas computacionales

Debido a la importancia de identificar cada uno de los puntos que integran esta
primera etapa de la metodologa para la auditora de sistemas computacionales, a
continuacin presentamos un cuadro completo de los principales puntos propuestos
para la planeacin de dicha auditora:
P.1 Identificar el origen de la auditora
P.1.1 Por solicitud expresa de procedencia interna
P.1.1.1 A peticin de accionistas, socios y dueos
P.1.1.2 Por orden de la direccin general
P.1.1.3 Por orden de las gerencias o departamentos a nivel superior
P.1.1.4 A solicitud de funcionarios y empleados de otros niveles

P.1.2 Por solicitud expresa de procedencia externa

P.1.2.1 Por mandato de autoridades judiciales
P.1.2.2 Por ordenamiento de las autoridades fiscales
P.1.2.3 Por revisiones de autoridades de seguridad social y del trabajo
P.1.2.4 Por revisiones de otras autoridades
P.1.2.5 Por solicitud de proveedores y acreedores
P.1.2.6 Por solicitud de distribuidores y desarrolladores de software y
hardware
 P.1.2.7 A peticin de empresas externas
P.1.3 Como consecuencia de emergencias y condiciones
especiales
P.1.3.1 De incidencia interna
P.1.3.2 De incidencia externa

P.1.4 Por riesgos y contingencias informticas

P.1.4.1 Riesgos y contingencias del personal informtico
P.1.4.2 Riesgos y contingencias fsicas
P.1.4.3 Riesgos y contingencias operativas (lgicas)
P.1.4.4 Riesgos y contingencias de software
P.1.4.5 Riesgos y contingencias en las bases de datos
P.1.4.6 Otros riesgos y contingencias en el rea de sistemas

P.1.5 Como resultado de los planes de contingencia

P.1.5.1 Por la carencia de planes de contingencia
P.1.5.2 Por la elaboracin de planes de contingencia
P.1.5.3 Por la aplicacin de los planes de contingencia

P.1.6 Por resultados obtenidos de otras auditoras

P.1.7 Como parte del programa integral de auditora

P.2 Realizar una visita preliminar al rea que ser evaluada

P.2.1 Visita preliminar de arranque
P.2.2 Contacto inicial con funcionarios y empleados del rea
P.2.3 Identificacin preliminar de la problemtica del rea de sistemas
P.2.4 Prever los objetivos iniciales de la auditora
P.2.5 Calcular los recursos y personas necesarias para la auditora
P.3 Establecer los objetivo de la auditora
P.3.1 Objetivo general
P.3.2 Objetivos particulares
P.3.3 Objetivos especficos de la auditora de sistemas computacionales
P.4 Determinar los puntos que sern evaluados en la auditora
P.4.1 Evaluacin de las funciones y actividades del personal del rea de
sistemas
P.4.2 Evaluacin de las reas y unidades administrativas del centro de
cmputo
P.4.3 Evaluacin de la seguridad de los sistemas de informacin
P.4.4 Evaluacin de la informacin, documentacin y registros de los
sistemas
P.4.5 Evaluacin de los sistemas, equipos, instalaciones y componentes
P.4.5.1 Evaluacin de los recursos humanos del rea de sistemas
P.4.5.2 Evaluacin del hardware
P.4.5.3 Evaluacin del software
P.4.5.4 Evaluacin de la informacin y las bases de datos
P.4.5.5 Evaluacin de otros recursos informticos
P.4.5.6 Evaluacin de equipos, instalaciones y dems componentes
P.4.6 Elegir los tipos de auditora que sern utilizados
P.4.7 Determinar los recursos que sern utilizados en la auditora
P.4.7.1 Personal para la auditora de sistemas
P.4.7.2 Personal del rea que ser evaluada
P.4.7.3 Apoyo de los sistemas y equipos tcnicos e informticos
P.4.7.4 Apoyos materiales y administrativos
P.4.7.5 Otros apoyos
 P.4.7.6 Recursos econmicos
P.5 Elaborar planes, programas y presupuestos para realizar la auditora
P.5.1 Elaborar el documento formal de los planes de trabajo para la
auditora
P.5.1.1 Cartula de identificacin del plan de auditora
P.5.1.2 ndice de contenido
P.5.1.3 Definicin de objetivos
P.5.1.4 Delimitacin de estrategias para el desarrollo de la auditora
P.5.1.5 Planes de auditora
P.5.1.6 Definicin de normas, polticas y lineamientos para el desarrollo
de la auditora

P.5.2 Contenido de los planes para realizar la auditora

P.5.2.1 Definir los objetivos finales de la auditora
P.5.2.2 Establecer las estrategias para realizar la auditora
P.5.2.3 Disear las etapas, eventos y tareas en que se dividir la
auditora
P.5.2.4 Calcular la duracin de las tareas y eventos para satisfacer los
objetivos de la auditora
P.5.2.5 Distribuir los recursos que sern utilizados en las diferentes
etapas, actividades y tareas de la auditora
P.5.2.6 Confeccionar los planes concretos para la auditora

P.5.3 Elaborar el documento formal de los programas de auditora

P.5.3.1 Grfica del programa de actividades
P.5.3.2 Definicin de las etapas y eventos que se deben llevar a cabo
P.5.3.3 Definicin de las actividades y tareas

P.5.4 Elaborar los programas de actividades para realizar la

auditora
P.5.4.1 Definir de manera precisa las etapas de la auditora
P.5.4.2 Identificar concretamente los eventos que se deben llevar a
cabo en cada etapa de la auditora
P.5.4.3 Delimitar lo ms claramente posible las actividades, tareas y
acciones para cada evento
P.5.4.4 Distribuir los recursos que sern utilizados en las diferentes
etapas, eventos actividades y tareas
P.5.4.5 Calcular la duracin de las etapas, actividades y tareas
planeadas para la auditora
P.5.4.6 Determinar fechas de inicio y fin de las etapas, actividades y
tareas

P.5.5 Elaborar los presupuestos para la auditora

P.5.5.1 Asignacin de los costos de los recursos
P.5.5.2 Control de los costos de los recursos
P.5.5.3 Seguimiento y control de los planes, programas y presupuestos
P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditora
P.6.1 Establecer la gua de ponderacin de los puntos que sern
evaluados
P.6.1.1 Definir las reas y puntos de sistemas que sern auditados
P.6.1.2 Definir el peso de la ponderacin por las reas y puntos que
sern Evaluados
P.6.1.3 Realizar el documento de ponderacin de la auditora
 P.6.2 Elaborar la gua de la auditora
P.6.2.1 Determinar las reas y puntos concretos que sern evaluados
en el ambiente de sistemas
P.6.2.2 Seleccionar los mtodos, procedimientos, herramientas e
instrumentos de evaluacin
P.6.2.3 Elaborar el documento formal de la gua de evaluacin

P.6.3 Elaborar los documentos necesarios para la auditora

P.6.3.1 Disear los instrumentos de recopilacin de informacin para la
auditora
P.6.3.2 Disear los cuestionarios
P.6.3.3 Disear las guas para realizar entrevistas
P.6.3.4 Disear los formularios para encuestas
P.6.3.5 Disear los modelos y formatos para los inventarios del rea de
sistemas
P.6.3.6 Disear los mtodos e instrumentos de muestreo
P.6.3.7 Disear los instrumentos especiales de evaluacin de sistemas
P.6.3.8 Determinar los puntos que sern evaluados con pruebas
P.6.3.9 Disear las pruebas para la evaluacin
P.6.3.10 Disear los instrumentos y herramientas para pruebas de
evaluacin

P.6.4 Determinar herramientas, mtodos, y procedimientos para la

auditora de sistemas
P.6.4.1 Disear las herramientas e instrumentos que sern utilizados en
la evaluacin
P.6.4.2 Establecer los mtodos y procedimientos que sern utilizados
en la auditora
P.6.4.3 Determinar las tcnicas y procesos especficos que sern
utilizados en la auditora
P.6.4.4 Elaborar los documentos formales para los procedimientos,
mtodos, herramientas e instrumentos que sern utilizados en la
auditora

P.6.5 Disear los sistemas, programas y mtodos de pruebas para

la auditora
P.6.5.1 Determinar los puntos de inters, programas, bases de datos,
archivos y sistemas que sern evaluados mediante programas y
pruebas de cmputo
P.6.5.2 Disear las pruebas, programas y sistemas para realizar las
evaluaciones necesarias para el funcionamiento de los sistemas
computacionales, bases de datos y archivos
P.6.5.3 Aplicar y obtener los resultados de las pruebas, programas y
sistemas para realizar las evaluaciones necesarias
P.6.5.4 Disear, aplicar y evaluar los resultados de los programas,
mtodos y pruebas de simulacin al sistema
P.6.5.5 Disear otros instrumentos de recopilacin
P.6.5.6 Elaborar otros documentos de revisin
P.7 Asignar los recursos y sistemas computacionales para la auditora
P.7.1 Asignar los recursos humanos para la realizacin de la auditora
P.7.2 Asignar los recursos informticos y tecnolgicos para la
realizacin de la auditora
P.7.3 Asignar los recursos materiales y de consumo para la realizacin
de la auditora
 P.7.4 Asignar los dems recursos para la realizacin de la auditora
P.2 Realizar una visita preliminar al rea que ser evaluada
Es recomendable, diramos que casi imprescindible, que el auditor realice una
visita preliminar al rea de informtica que ser auditada, justo despus de
conocer el origen de la peticin de auditora, y antes de iniciarla formalmente; el
propsito es que tenga un contacto inicial con el personal de dicha rea y que
observe cmo se encuentran distribuidos los sistemas, cuntos y cules son
los equipos que estn instalados en el centro de cmputo, cules son sus
principales caractersticas, de qu tipo son las instalaciones, cules son las
medidas de seguridad visibles que existen, y en s, que conozca la
problemtica a la cual se enfrentar, de manera muy simple y de carcter
tentativo.
Para ello, el auditor debe contemplar los siguientes aspectos en dicha visita:

P2.1 Visita preliminar de arranque

sta es una visita preparatoria al rea de informtica que ser auditada, la cual
tiene como finalidad que el auditor advierta de manera preliminar alguna de
estas cuestiones:

Cmo se encuentran distribuidos los sistemas en el rea?

Cuntos, cules, cmo y de qu tipo son los equipos que estn instalados en
el centro de sistemas que sern auditados?
Qu tipo de instalaciones y conexiones fsicas hay en el rea de sistemas, y
cmo estn distribuidas?
Cmo reacciona el personal ante la visita del auditor?
Cules son las medidas de seguridad visibles que existen?
Cmo actan los usuarios y el personal del rea; ya sea que ignoren la
posible auditora o cuando ya lo saben?
Qu limitaciones se observan para la realizacin de la auditora?

En s, el auditor debe obtener un panorama general del rea que va a auditar, a

fin de conocer la problemtica que se le presentar en la auditora. Contando
con ese conocimiento inicial, podr disear las medidas necesarias para una
adecuada planeacin de la auditora y podr establecer acciones concretas que
le sern de gran ayuda en el desarrollo de dicha evaluacin.

P2.2 Contacto inicial con funcionarios y empleados del rea

Dentro de esta visita preliminar, el auditor tambin aprovecha para establecer
un contacto inicial con los funcionarios, empleados y usuarios del rea de
sistemas; el propsito es que observe sus reacciones ante la realizacin de la
auditora, y que identifique las posibles limitaciones y temores que influirn en
la cooperacin de dicho personal.
Conviene destacar que la visita del auditor casi nunca es bien recibida, ms
bien ocurre lo contrario, crea molestias en el personal, hace que ste se ponga
a la defensiva y casi mecnicamente trate de evadir cualquier contacto con el
auditor; en muchos casos tiende a ocultar informacin y presenta resistencia o
se niega a cooperar en la auditora; a veces busca bloquear la evaluacin,
entre muchos otros problemas a los cuales se enfrenta el auditor.

P2.3 Identificacin preliminar de la problemtica de sistemas

Adems de lo anterior, en esta visita preliminar el auditor puede (y debe)
aprovechar para saber cul es la principal problemtica a la que se enfrenta el
rea de sistemas, su personal y usuarios, su procesamiento de informacin y la
administracin de sus bases de datos, etctera, aunque sta sea slo de
carcter preliminar.
Lo que se pretende con esta identificacin preliminar de las posibles
dificultades que hay en los sistemas de la empresa, es que el auditor tenga un
panorama anticipado del comportamiento de dichos sistemas, aunque ste sea
de carcter muy somero y de dudosa confiabilidad.

P2.4 Prever los objetivos iniciales de la auditora

Otro aspecto que tambin se puede obtener de esta visita al rea que ser
auditada, es que se puede anticipar cules objetivos se pueden satisfacer con
la auditora, o por lo menos tratar de entender cules son las metas que se
quieren alcanzar con la evaluacin.
Evidentemente, estos objetivos seran muy poco confiables y podran desviar al
auditor de los verdaderos objetivos de la auditora; sin embargo, le serviran
para normar su criterio respecto al objetivo que pretende alcanzar con dicha
auditora.
En el mejor de los casos, y contando con la habilidad, experiencia y
conocimientos para identificarlos, el auditor podra sealar los objetivos que se
pretenden satisfacer con su auditora, o tal vez podra seleccionarlos con esta
visita preliminar.

P2.5 Calcular los recursos y personas necesarias para la

auditora
Otro beneficio de esta visita preliminar al rea que ser auditada, es la
posibilidad de calcular tanto el tipo como la cantidad de recursos que sern
necesarios para llevar a cabo la evaluacin, contemplando los recursos de
carcter humano, informtico, material, tcnico y econmico.
Dicho clculo se refiere al personal necesario para realizar la auditora y al
apoyo informtico, as como a los recursos del rea que se requieren en la
revisin, entre los cuales destacan el personal informtico y los apoyos
adicionales del hardware, software, informacin, bases de datos, equipos y
dems aspectos relacionados con el centro de cmputo.

P3. Establecer los objetivos de la auditora

El siguiente paso, despus de haber identificado el origen de la auditora y
haber realizado una visita preliminar al rea que ser auditada, es establecer lo
ms claramente posible el (los) objetivo(s) de la auditora, ajustndose lo ms
posible a las necesidades de la evaluacin. El propsito es establecer
claramente lo que se busca con este tipo de trabajo.
Conviene que iniciemos el tratamiento de este inciso con la siguiente definicin:
Objetivo:
En trminos sencillos, los objetivos representan las condiciones futuras
deseadas que los individuos, grupos u organizaciones luchan por alcanzar. En
ese sentido se incluyen misiones, propsitos, metas, fines, cuotas y plazos [...]
En ocasiones se utilizan para legitimar y justificar la funcin de la organizacin
en la sociedad [...] En otro sentido, los objetivos podran ser considerados
como el conjunto de limitaciones a las que debe restringirse la organizacin [...]
Los objetivos pueden ser considerados desde tres perspectivas primordiales: 1)
el ambiental, limitaciones impuestas a la organizacin por la sociedad; 2) el
organizacional, los objetivos de la organizacin, 3) el individual, los objetivos de
los participantes en la organizacin [...]

P3.1 Objetivo general

Es el fin global que se pretende alcanzar con el desarrollo de la auditora de
sistemas, en el cual se plantean todos los aspectos que se pretenden evaluar.
De hecho, la determinacin de este objetivo dar el fundamento en la
realizacin de la auditora y la idea total de lo que se va a cubrir con dicha
auditora.

P3.2 Objetivos particulares

Son los fines individuales que se pretenden alcanzar con el desarrollo de la
auditora, ya sea de un rea especfica, de un sistema en especial o de alguna
funcin en particular.
stos pueden ser mltiples, de acuerdo con las necesidades concretas de
evaluacin.
P3.3 Objetivos especficos de la auditora de sistemas
computacionales
Es la determinacin, en forma detallada, de los fines que se pretenden alcanzar
con la auditora de sistemas, sealando concretamente las reas a evaluar y,
especficamente, los sistemas, componentes o elementos concretos que deben
ser evaluados.
A continuacin citaremos algunos ejemplos que pueden ser tomados como
referencia para elaborar los objetivos de una auditora de sistemas
computacionales, de acuerdo con la empresa donde se realizar dicha
auditora:
Realizar una revisin con personal multidisciplinario y capacitado en el rea de
sistemas, a fin de evaluar dicha rea y emitir un dictamen independiente sobre
las operaciones del sistema y la gestin administrativa del rea de informtica.
Hacer una evaluacin sobre el aspecto financiero, la utilizacin de los recursos
financieros en las reas del centro de informacin y el aprovechamiento del
sistema computacional, sus equipos perifricos e instalaciones.
Evaluar la utilizacin y aprovechamiento de los equipos de cmputo, de sus
perifricos, de las instalaciones, mobiliario y equipos del centro de cmputo, as
como del uso de sus recursos tcnicos y materiales para el procesamiento de
informacin.
Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas
operativos, los lenguajes, programas y paqueteras de aplicacin y desarrollo,
as como el desarrollo e instalacin de nuevos sistemas.
Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y
lineamientos que regulan las funciones y actividades de las reas y de los
sistemas de procesamiento de informacin, as como de su personal y de sus
usuarios.
Realizar la evaluacin de las reas, actividades y funciones de la empresa,
contando con el apoyo de los sistemas computacionales, los programas
especiales y la paquetera que sirve de soporte para el desarrollo de auditoras
por medio de la computadora.

P4 Determinar los puntos que sern evaluados en la auditora

Despus de haber determinado el origen de la auditora y de establecer los
objetivos concretos que se pretenden alcanzar con sta, el siguiente paso es
determinar los puntos concretos que sern evaluados.
Esta definicin de los puntos que tienen que ser evaluados debe ser realizada
considerando aspectos muy especficos de los sistemas computacionales, tales
como los siguientes:

La gestin administrativa e informtica del centro de cmputo

El cumplimiento de las funciones del personal informtico y usuarios de
los sistemas
El anlisis, diseo y desarrollo de los sistemas computacionales
La operacin de los sistemas computacionales
La capacitacin y adiestramiento del personal y usuarios del sistema
 La proteccin, custodia y niveles de acceso a las bases de datos
La proteccin y respaldo de archivos e informacin
La seguridad y proteccin de los usuarios, de la informacin, de los
archivos y en general del centro de cmputo
Muchos otros aspectos que se deben considerar

Debido a esa mltiple opcin para definir los puntos que sern evaluados en
una auditora, a continuacin proponemos una serie de puntos especficos, con
los cuales slo pretendemos anticipar un criterio de seleccin, ms o menos
homogneo, de aquellos aspectos fundamentales que se debern evaluar en
una auditora de sistemas.
Cabe aclarar que este criterio de seleccin es de carcter general y slo se
presenta al nivel de sugerencia, y el responsable de la auditora deber
determinar su aplicacin real, de acuerdo con las necesidades de evaluacin,
con su experiencia profesional y con los conocimientos que tenga sobre este
trabajo. Los puntos que se deben evaluar se pueden agrupar de la siguiente
manera:

Evaluacin de las funciones y actividades del personal del rea de

sistemas
Evaluacin de las reas y unidades administrativas del centro de
cmputo
Evaluacin de la seguridad de los sistemas de informacin
Evaluacin de la informacin, documentacin y registros de los sistemas
Evaluacin de los sistemas, equipos, instalaciones y componentes
Evaluacin de los recursos humanos del rea de sistemas
Evaluacin del hardware
Evaluacin del software
Evaluacin de la informacin y bases de datos
Evaluacin de otros recursos informticos
Evaluacin de equipos, instalaciones y dems componentes
Elegir los tipos de auditora que sern utilizados
Determinar los recursos que sern utilizados en la auditora
Personal de auditora de sistemas
Personal del rea que ser evaluada
Apoyo de los sistemas y equipos tcnicos e informticos
Apoyos materiales y administrativos
Otros apoyos
Recursos econmicos

P5 Elaborar planes programas y presupuestos para realizar la

auditora
Despus de haber considerado todos los puntos antes sealados, el siguiente
paso es realizar la planeacin formal de la auditora de sistemas, en la cual se
concreten los planes, programas y presupuestos para dicha auditora; es decir,
se deben elaborar los documentos que contemplen los planes formales para el
desarrollo de la auditora, los programas en donde se delimiten perfectamente
las etapas, eventos, actividades y los tiempos de ejecucin para cumplir con el
objetivo, as como los presupuestos de la auditora, documentos en donde se
deben asignar los costos de los recursos que sern utilizados y el tiempo que
sern utilizados para determinada actividad.
Antes de continuar, conviene recordar que en las definiciones de la seccin 6.3.
(1 etapa: Planeacin de la auditora de sistemas computacionales) se sealan
los aspectos que se deben considerar en esta actividad.
 P5.1 Elaborar el documento formal de los planes de trabajo
para la auditora
Es la elaboracin especfica y escrupulosa de los planes formales de trabajo
para la auditora de sistemas computacionales. Estos planes se presentan en
un documento oficial llamado plan de auditora de sistemas, el cual contiene
todos los aspectos relacionados con la realizacin de dicha auditora. A
continuacin tenemos algunos de estos aspectos:

- Las actividades que se van a realizar, los responsables de

realizarlas, los recursos materiales y los tiempos
- Los eventos que servirn de gua de accin
- La estimacin de los recursos humanos, materiales e
informticos que sern utilizados
- Los tiempos estimados para las actividades y para la propia
auditora
- Los auditores responsables y participantes en dichas actividades
- Las dems especificaciones del programa de trabajo para la
auditora.

El auditor responsable de elaborar la planeacin de la auditora determinar, en

base a sus conocimientos, habilidades y experiencia, el contenido formal de
este documento; sin embargo, en este inciso presentamos los aspectos de
forma y contenido que se deben considerar en el documento formal.

P5.1.1 Cartula de identificacin del plan de auditora

- Nombre y logotipo de la empresa responsable de la auditora
- Indicacin del nombre del documento
- Nombre de la empresa (rea) auditada
- Nombre del responsable de elaborar el plan de auditora
- Fecha de vigencia del plan

P5.1.2 ndice de contenido

P5.1.3 Definicin de objetivos
P5.1.4 Delimitacin de estrategias para el desarrollo de la
auditora
P5.1.5 Planes de auditora
P5.1.6 Definicin de normas, polticas y lineamientos para el
desarrollo de la auditora

P5.2 Contenido de los planes para realizar la auditora

Es la elaboracin escrupulosa de todos los planes formales que el auditor debe
plasmar en un documento oficial llamado plan de auditora de sistemas, el cual
debe contener muy detalladamente las fases, etapas, actividades, recursos y
tiempos para realizar la auditora.
Es evidente que el auditor determinar el contenido mnimo de estos planes, en
base a sus conocimientos y experiencia; sin embargo, en la elaboracin de
este documento gua de auditora, cuando menos se debe considerar los
siguientes aspectos:

P5.2.1 Definir los objetivos finales de la auditora

Es la definicin formal de los objetivos finales de la auditora, mismos que
establecimos perfectamente en el punto P.3, Establecer los objetivo de la
auditora, de esta primera etapa de planeacin.
Estos objetivos se deben redactar de manera sencilla, objetiva y concreta en el
documento oficial de la auditora.

P5.2.2 Establecer las estrategias para realizar la auditora

Como producto de las anteriores etapas de planeacin, en este documento se
redactan en forma precisa las estrategias para realizar la auditora, con el fin de
que los auditores las entiendan rpida y perfectamente.

P5.2.3 Disear las etapas, eventos y tareas en que se dividir

la auditora
Es la determinacin precisa y detallada de cada una de las etapas, eventos y
tareas que deber cumplir el personal encargado de realizar la auditora, de
acuerdo a lo definido en los anteriores puntos de esta planeacin.

P5.2.4 Calcular la duracin de las tareas y eventos para

satisfacer los objetivos de la auditora
Una vez que fueron precisadas las etapas, eventos y tareas concretas del plan
para la auditora, el siguiente paso es estimar, lo ms exacto posible, su
duracin, de acuerdo con su importancia, necesidades concretas y forma en
que se satisfacer en objetivo concreto de la auditora. Tambin se debe
considerar la disponibilidad de los recursos para la auditora.

P5.2.5 Distribuir los recursos que sern utilizados en las

diferentes etapas, actividades y tareas de la auditora
Con base en los aspectos que analizamos en la etapa de planeacin, y con la
perfecta definicin de las etapas, eventos y tareas indicadas en la parte
anterior, en esta parte se establece, en forma precisa y lo ms detalladamente
posible, la asignacin de los recursos que sern utilizados en la auditora, as
como el tipo de recursos, el tiempo que sern utilizados en la tarea, y en s
todos los detalles sobre su utilizacin.

P5.2.6 Confeccionar los planes concretos para la auditora

Es el establecimiento formal, de preferencia por escrito y de manera grfica, de
las etapas, eventos, tareas y actividades que integran el plan de auditora,
incluyendo la duracin de cada uno de estos aspectos, as como el tiempo de
asignacin de los recursos, el tipo de recursos y en s todos los aspectos
formales del plan de auditora, los cuales hacen que este documento sirva de
base a los auditores para realizar la evaluacin.
Debemos reiterar que el auditor es el responsable de identificar y establecer los
puntos que sern evaluados, con base en un estudio concienzudo de lo
sealado en las secciones anteriores.

P5.3 Elaborar el documento formal de los programas de

auditora
En este documento se anotan, de preferencia en forma de grfica, todas las
etapas, eventos y actividades que se realizarn durante la auditora; adems,
se anota el perodo de duracin de cada una de las partes en que se dividi el
trabajo de evaluacin.
En algunos casos, tambin se anotan los recursos que sern utilizados y la
forma de identificarles, y si es necesario, su costo.

P5.3.1 Grfica del programa de actividades

 P5.3.2 Definicin de las etapas y eventos que se deben llevar a
cabo
P5.3.3 Definicin de las actividades y tareas

P5.4 Elaborar los programas de actividades para realizar la

auditora
En este punto se establecen por escrito y de preferencia en forma de grfica,
todos los tiempos en que se llevar a cabo cada una de las etapas, eventos y
actividades de la auditora, considerando para ello el perodo de duracin de
cada una de la partes en que se dividi el trabajo de evaluacin. En algunos
casos tambin se anota el tiempo que se utilizarn los recursos y, de ser
necesario, sus periodos de asignacin, descanso y cualquier otro uso de estos
recursos, tanto en lo individual como en lo colectivo.

Este documento se elabora con el anterior, ya que es parte integral del

documento de planeacin, y debe contener los mismos aspectos sealados
para el plan de auditora.
P5.4.1 Definir de manera precisa las etapas de la auditora
P5.4.2 Identificar concretamente los eventos que se deben
llevar a cabo en cada etapa de la auditora
P5.4.3 Delimitar lo ms claramente posible las actividades,
tareas y acciones para cada evento
P5.4.4 Distribuir los recursos que sern utilizados en las
diferentes etapas, eventos, actividades y tareas
P5.4.5 Calcular la duracin de las etapas actividades y tareas
planeadas para la auditora
P5.4.6 Determinar fechas de inicio y fin de las etapas,
actividades y tareas

P5.5 Elaborar los presupuestos para la auditora

Este presupuesto es parte integral los dos documentos anteriormente
analizados, ya que se contemplan los recursos que se utilizarn en el plan y
programa de trabajo, slo que se agregan los costos y el tiempo que se
utilizarn estos recursos durante la evaluacin.
Para complementar los anteriores documentos, veremos que en la elaboracin
de presupuestos se deben contemplar, dentro de un mismo documento, cada
uno de los siguientes aspectos:

P5.5.1 Asignacin de los costos de los recursos

P5.5.2 Control de los costos de los recursos
P5.5.3 Seguimiento y control de los planes, programas y
presupuestos

P6 Identificar y seleccionar los mtodos, herramientas,

instrumentos y procedimientos necesarios para la auditora
El siguiente paso es determinar los documentos y medios con los cuales se
llevar a cabo la revisin a los sistemas de la empresa, lo cual se lograr a
travs de la seleccin o diseo de los mtodos, procedimientos, herramientas e
instrumentos necesarios, de acuerdo con lo indicado en los planes,
presupuestos y programas establecidos para la auditora. Para lograr esto,
sugerimos considerar los siguientes puntos:
 P6.1 Establecer la gua de ponderacin de los puntos que
sern evaluados
Una de los aspectos ms importantes que se deben considerar para realizar
una auditora de sistemas es la tcnica de ponderacin, la cual, es un mtodo
especial que ayuda a definir la forma de valorar cada una de las partes
importantes del rea de sistemas, con el fin de aplicar los mismos criterios de
evaluacin en todos los aspectos que sern evaluados.
El propsito de utilizar esta herramienta es buscar un equilibrio entre las reas
o sistemas de informtica que tienen mayor peso y trascendencia, con aquellas
que tienen poco peso e importancia en la evaluacin; es decir, para que el
auditor realice la evaluacin de todas las reas y sistemas de la misma
manera, y de acuerdo con lo establecido en los planes, programas y
presupuestos de la auditora.
Como hemos visto, esta tcnica de evaluacin es un instrumento que permite
al auditor compensar las posibles descompensaciones de las reas o sistemas
de informtica que tienen mayor peso e importancia en la evaluacin,
comparadas con aquellas que tienen poco peso e importancia. Esta
ponderacin se logra mediante los siguientes puntos:

P6.1.1 Definir las reas y puntos de sistemas que sern

auditados
De acuerdo con la planeacin de la auditora, el primer paso es definir
las reas, los aspectos de sistemas o los puntos de inters que se van a
evaluar, dndole un peso especfico a cada factor; el auditor establece
ese peso a su libre albedro, y de acuerdo a su experiencia, habilidad y
conocimientos sobre el tema.
Lo que se busca en este paso es definir los factores de mayor jerarqua
o los ms representativos de un grupo o sector de sistemas que se
desea evaluar. El propsito fundamental de esta definicin es darle a
cada uno de estos factores un valor porcentual (peso especfico), el cual
representar la importancia de cada factor en toda la evaluacin.

P6.1.2 Definir el peso de la ponderacin por las reas y puntos

que sern evaluados
Una vez que fueron definidas las reas, tpicos o aspectos que sern
ponderados, el siguiente paso es asignarle un valor porcentual a cada
uno de los factores elegidos, el cual es un valor particular que establece
el auditor para cada una de las actividades que sern evaluadas, de
acuerdo a su libre albedro. La suma total de estas actividades
invariablemente ser 100%. El ejemplo del siguiente cuadro es una
aplicacin de un peso especfico determinado para una gestin
informtica.
 P6.1.3 Realizar el documento de ponderacin de la auditora
Despus de los puntos anteriores, el siguiente paso es elaborar el
documento de ponderacin de manera formal, sometindolo a la opinin
y consenso de los dems participantes en la auditora, a fin de que entre
todos elijan criterios ms o menos homogneos de ponderacin; esto
tiene el propsito de buscar que todos los tpicos que sern evaluados
sean aplicables de manera similar.
Este documento se presenta a todo el personal de auditora, a fin de
que cada auditor entienda cul ser su participacin en esta evaluacin
de sistemas.

P6.2 Elaborar la gua de la auditora

Despus de disear la ponderacin de la auditora de sistemas, el siguiente
paso es elaborar la gua de la auditora; ste es un documento de carcter
formal, en el cual se anotan todos los puntos que debern ser evaluados, ya
sea del centro de cmputo, del sistema en evaluacin, de la gestin informtica
o de cualquiera de los aspectos del rea de sistemas. Tambin se anotan la
tcnica y la forma en que ser evaluado cada punto, as como su ponderacin
o peso especfico.
Ya sea que el auditor tenga experiencia o que carezca de ella, la gua de
evaluacin ser el documento que le permitir realizar, en forma eficiente y
efectiva, su investigacin para la auditora del sistema, centro de cmputo,
gestin informtica o de cualquiera de los puntos que se tenga que evaluar, ya
que le indicar todo el procedimiento que deber seguir, los puntos que deber
evaluar y las herramientas e instrumentos que deber utilizar para hacer su
revisin. Es decir, este documento le puede guiar paso a paso en todos los
aspectos que sern auditados.
Entre los principales aspectos que se deben considerar en la elaboracin de la
gua de la auditora encontramos los siguientes:

P6.2.1 Determinar las reas y puntos concretos que sern

P6.2.2 Seleccionar los mtodos, procedimientos, herramientas
e instrumentos de evaluacin
P6.2.3 Elaborar el documento formal de la gua de auditora

P6.3 Elaborar los documentos necesarios para la auditora

Una vez definidos todos los aspectos sealados en las fases anteriores, y de
acuerdo con lo indicado en los documentos terminados de la ponderacin de la
auditora y la gua de auditora de sistemas, el siguiente paso es elaborar los
documentos formales que servirn para recopilar la informacin til para hacer
la valoracin de los aspectos que sern auditados en el rea de sistemas.
Concretamente, y de acuerdo con lo establecido en la gua de auditora, se
deben disear, seleccionar o elaborar los documentos formales que se
utilizarn para la recopilacin de informacin y para la aplicacin y uso de
pruebas e instrumentos que servirn para comprobar el buen funcionamiento
de los sistemas de la empresa.
El propsito es contar con las herramientas, procedimientos e instrumentos que
permitan obtener informacin til para la auditora a los sistemas
computacionales de la empresa, lo cual se logra por medio de los siguientes
puntos:
P6.3.1 Disear los instrumentos y herramientas de recopilacin
de informacin para la auditora
P6.3.2 Disear los cuestionarios
 P6.3.3 Disear las guas para realizar entrevistas
P6.3.4 Disear los formularios para encuestas
P6.3.5 Disear los modelos y formatos para los inventarios del
rea de sistemas
P6.3.6 Disear los mtodos e instrumentos de muestreo
P6.3.7 Disear los instrumentos especiales de evaluacin de
sistemas
P6.3.8 Determinar los puntos que sern evaluados con pruebas
P6.3.9 Disear las pruebas para la evaluacin
P6.3.10 Disear los instrumentos y herramientas para pruebas
de evaluacin

P6.4 Determinar herramientas, mtodos y procedimientos

para la auditora de sistemas
Una vez que ya fueron definidos los puntos sealados en las fases anteriores y
que ya se cuenta con los documentos necesarios para aplicarse a las
necesidades de auditora establecidos en la ponderacin de auditora de
sistemas y la gua de auditora de sistemas, el siguiente paso es determinar las
herramientas, mtodos y procedimientos que se utilizarn para llevar a cabo la
evaluacin en el ambiente de sistemas que se auditar.
En la seccin P.6.3 sealamos que es necesario definir los documentos a
utilizar mientras que en esta etapa tenemos que seleccionar los instrumentos a
utilizar en la auditora, ya sea que se elijan los instrumentos que ya se han
probado con anterioridad, de los que se necesitan redisear para esta
evaluacin o de aquellos que tienen que disearse para aplicar a las
necesidades de esta auditora. Todo en funcin de las caractersticas de los
sistemas que se estn auditando.

P6.4.1 Disear las herramientas e instrumentos que sern

utilizados en la evaluacin
P6.4.2 Establecer los mtodos y procedimientos que sern
utilizados en la auditora
P6.4.3 Determinar las tcnicas y procesos especficos que
sern utilizados en la auditora
P6.4.4 Elaborar los documentos formales para los
procedimientos, mtodos, herramientas e instrumentos que
sern utilizados en la auditora

P6.5 Disear los sistemas, programas y mtodos de pruebas

para la auditora
En una auditora de los sistemas computacionales, entre otras muchas cosas,
en auditor debe evaluar, forzosamente, el adecuado funcionamiento de los
sistemas computacionales de la empresa, lo cual se realiza a travs del diseo
de programas especficos que aplica en esos sistemas, as como de mtodos
de pruebas especiales, exclusivos de estos sistemas computacionales. stos,
en su conjunto, constituyen la evaluacin tcnica al funcionamiento de los
sistemas de la empresa.
Precisamente como resultado de la planeacin de auditora y de manera
especfica en la gua de auditora, el responsable de la auditora debe plasmar,
formalmente, los sistemas, programas y mtodos que aplicar, en forma de
pruebas, para evaluar los sistemas computacionales de la empresa.
 P6.5.1 Determinar los puntos de inters, programas, bases de
datos, archivos y sistemas que sern evaluados mediante
programas y pruebas de cmputo
P6.5.2 Disear las pruebas, programas y sistemas para realizar
las evaluaciones necesarias para el funcionamiento de los
sistemas computacionales, bases de datos y archivos
P6.5.3 Aplicar y obtener los resultados de las pruebas
programas y sistemas para realizar las evaluaciones
necesarias
P6.5.4 Disear, aplicar y evaluar los resultados de los
programas, mtodos y pruebas de simulacin al sistema
P6.5.5 Disear otros instrumentos de recopilacin
P6.5.6 Elaborar otros documentos de revisin

P7 Asignar los recursos y sistemas computacionales para la

auditora
Una vez definidos todos los aspectos sealados en las fases anteriores, el
siguiente paso es asignar los recursos que sern utilizados para realizar la
auditora, de acuerdo con los aspectos ya establecidos con anterioridad. Con la
asignacin de estos recursos especializados, sean humanos, informticos,
tecnolgicos o cualesquiera otros que se hayan establecido para la auditora,
es como se lleva a cabo la misma.
A continuacin sealo los principales puntos que el responsable debe
establecer para la realizacin de la auditora:

P7.1 Asignar los recursos humanos para la realizacin de la

auditora
Los responsables de realizar la auditora son los recursos humanos
especializados en informtica y auditora, ya que con ellos se llevan a cabo
todas las actividades programadas para la revisin de los sistemas, la
elaboracin de pruebas, operacin de los sistemas, la evaluacin al
funcionamiento de los sistemas, sus bases de datos, el uso correcto y
adecuado de la informacin, y en s de todos los aspectos informticos que
sern evaluados.

P7.2 Asignar los recursos informticos y tecnolgicos para la

realizacin de la auditora
As como se asignaron los recursos humanos para la auditora, tambin se
tienen que asignar los recursos informticos y tecnolgicos que requiere el
auditor para realizar su auditora, los cuales vienen a ser sus herramientas de
trabajo.
Estos recursos informticos pueden ser los sistemas computacionales que
utilizar durante su evaluacin, que incluyen los propios sistemas, sus
componentes y perifricos, adems de los programas, paquetes y utileras
especializadas de evaluacin, las bases de datos e informacin (real o
simulada) del sistema y en s todo el hardware, software, bases de datos y
dems componentes de sistemas que utilizar durante su auditora. Todo de
acuerdo con la determinacin de los recursos establecida en las etapas
anteriores.
Igual con los recursos tecnolgicos especializados que se lleguen a necesitar
para la evaluacin de los sistemas; segn las especificaciones tcnicas de la
evaluacin que realice.
 P7.3 Asignar los recursos materiales y de consumo para la
realizacin de la auditora
Al igual que los anteriores, tambin se tienen que asignar los materiales y
consumibles que sern utilizados durante la auditora, a fin de que el auditor
cuente con todos los elementos necesarios para su evaluacin, que pueden ser
desde disquetes, cintas, papelera, equipos de oficina, como de cualesquiera
otros elementos no especializados que utilice durante su evaluacin.

P7.4 Asignar los dems recursos para la realizacin de la

auditora
Aqu se incluyen todos los dems recursos ajenos a los anteriores que sern
utilizados por el auditor, de los cuales destacamos los apoyos materiales y
financieros, los viticos, pasajes y otros gastos, por citar slo algunos.

2 etapa: Ejecucin de la auditora de sistemas computacionales

El siguiente paso despus de la planeacin de la auditora es su ejecucin, la cual
estar determinada por las caractersticas concretas, los puntos y requerimientos que
se estimaron en la etapa de planeacin.
Debido a que esta etapa es de realizacin especial, de acuerdo con la planeacin de
la auditora, en este inciso slo se indican sus puntos ms importantes, en la
inteligencia de que se aplicar verdaderamente de acuerdo a las caractersticas
especficas de la auditora que se trate. Los principales puntos son los siguientes:

Concretamente, tenemos los siguientes conceptos:

Realizar las acciones programadas para la auditora
Aplicar los instrumentos y herramientas para la auditora
Identificar y elaborar los documentos de desviaciones
Elaborar el dictamen preliminar y presentarlo a discusin
Integrar el legajo de papeles de trabajo de la auditora
Como stas ya son las actividades concretas, resultado de la prctica de la auditora
de sistemas, a continuacin haremos un breve anlisis de los puntos sealados en
esta parte:
E1 Realizar las acciones programadas para la auditora
De acuerdo con el programa de auditora, cada auditor tiene que realizar las
actividades que le corresponden conforme fueron diseadas, en la cronologa que le
fue asignada a cada una, y de acuerdo con los tiempos y recursos que le corresponde
utilizar; el propsito es ejecutar los eventos programados y alcanzar el objetivo de la
auditora.
E2 Aplicar los instrumentos y herramientas para la auditora
Aqu lo importante es que, conforme a la gua de auditora, se tienen que utilizar, uno a
uno, los instrumentos y herramientas elegidos para llevar a cabo la evaluacin, ya sea
mediante la recopilacin y anlisis de la informacin, la observacin, las pruebas y
simulaciones de los sistemas, o mediante cualquier otro instrumento de los que se
disearon previamente para esta revisin.
E3 Identificar y elaborar los documentos de desviaciones encontradas
Una vez que se realizaron las actividades diseadas en el programa de trabajo de
auditora, que se utilizaron los instrumentos de recopilacin de informacin y/o se
utilizaron los instrumentos determinados para la auditora, entonces se buscan las
posibles desviaciones y se procede a elaborar los documentos de desviaciones, en los
cuales se anotan las situaciones encontradas, las causas que las originaron y sus
posibles soluciones, as como los responsables de solucionar dichas desviaciones y
las posibles fechas para hacerlo. En el captulo 8, inciso 8.4, analizaremos ms a
fondo este tpico.
El auditor puede elaborar este documento cuando lo considere necesario; es decir, lo
puede elaborar conforme va realizando cada evaluacin, conforme va evaluando reas
completas, conforme va realizando cada evento programado o conforme a cualquier
otro criterio. Lo importante es que conforme el auditor detecte las desviaciones,
elabore de inmediato el documento de desviaciones.
E4 Elaborar el dictamen preliminar y presentarlo a discusin
Una vez que el auditor determin las desviaciones encontradas durante la evaluacin,
debe elaborar un documento que contenga todas las desviaciones detectadas, o lo
puede elaborar con cada una de las desviaciones por separado, de acuerdo a las
necesidades de la empresa. Una vez hecho esto, es obligacin del auditor
comentarlas con las personas que estn involucradas directamente en las
desviaciones, a fin de encontrar de manera conjunta las causas que las originaron y,
derivado de este intercambio de opiniones, debe determinar las posibles soluciones
para cada una de estas causas. Tambin puede asignar a los responsables de
solucionarlas y, de ser posible, las fechas para hacerlo.
E5 Integrar el legajo de papeles de trabajo de la auditora
El auditor tiene la obligacin de conservar en el llamado legajo de papeles de la
auditora cada uno de los instrumentos aplicados en la evaluacin, con el propsito de
sustentar, llegado el caso, las observaciones reportadas. En el siguiente captulo se
hace un profundo anlisis de este documento y su importancia.
3 etapa: Dictamen de la auditora de sistemas computacionales
El ltimo paso de la metodologa que hemos estudiado es emitir el dictamen, el cual es
el resultado final de la auditora de sistemas computacionales. Para ello presentamos
los siguientes puntos:
- Analizar la informacin y elaborar un informe de situaciones detectadas
- Elaborar el dictamen final
- Presentar el informe de auditora

D1 Analizar la informacin y elaborar un informe de situaciones

detectadas
La actividad previa, o ms bien paralela, a la deteccin de las desviaciones, es el
anlisis de los papeles de trabajo y la elaboracin en borrador de las llamadas
situaciones detectadas; el propsito es que el auditor elabore su borrador y comente
las desviaciones con los auditados. Despus de comentarlas, debe elaborar las
modificaciones pertinentes, as como el informe definitivo de las situaciones
encontradas.
Es necesario advertir que el fin de una auditora de sistemas computacionales no es
encontrar culpables, sino ayudar a corregir las desviaciones encontradas en la
operacin normal de dichos sistemas; esto se logra comentando las desviaciones con
los responsables directos, con el fin de que las conozcan y tomen las acciones
necesarias para su correccin.
Concretamente, este punto contendr las siguientes actividades:

D1.1 Analizar los papeles de trabajo

El auditor debe hacer un estudio de los papeles de trabajo* resultantes de la
auditora, con el propsito de detectar las posibles desviaciones en la
operacin normal del rea o sistema computacional que est auditando.
Despus debe plasmar las desviaciones que encontr en el formato** de
situaciones, causas y soluciones, mismo que debe elaborar primero en
borrador para comentar estos aspectos con los involucrados, y despus debe
elaborarlo en forma definitiva.

D1.2 Sealar las situaciones encontradas

El auditor debe plasmar en forma especfica y lo ms concretamente posible
las desviaciones encontradas en la operacin del sistema o en el rea que est
evaluando y, si es posible, debe sealar las causas que las generaron.
El auditor, ya sea el responsable de la auditora o el encargado de aplicarla,
ser quien, basndose en los papeles de trabajo, su experiencia en el ramo y
las situaciones encontradas, elaborar el borrador de las desviaciones que
encontr durante la evaluacin de los sistemas, procurando detallar, hasta
donde le sea posible, en que consisten, su repercusin y los dems aspectos
que crea pertinentes, a fin de sealar concretamente lo observado.

D1.3 Comentar las situaciones encontradas con el personal de las

reas afectadas
Una vez que ha detectado las desviaciones, es obligacin ineludible del auditor
comentarlas en forma directa y abierta con los responsables de la operacin, a
fin de que las conozcan, acepten, aclaren, complementen y/o las modifiquen
con detalles y pruebas.
El auditor no debe, en ningn caso y bajo ningn concepto, presentar las
desviaciones encontradas sin antes haberlas comentado con el auditado. Sin
embargo, si el auditor no tiene la suficiente experiencia, los comentarios con los
auditados se pueden desviar e incluso provocar fricciones que es necesario
evitar.
 Es un requisito que el auditor comente las desviaciones encontradas, debido a
que adems de servirle para refirmar sus observaciones, le ayudar a
comprobarlas, complementarlas y en su caso ampliarlas; esto tambin le
ayudar a establecer las causas que ocasionaron las desviaciones, as como
sus posibles soluciones.

D1.4 Realizar las modificaciones necesarias

Despus de que el auditor haya comentado ampliamente las desviaciones con
los involucrados, deber ratificar las observaciones y, de ser necesario,
elaborar las correcciones que sean pertinentes, modificando el borrador, las
causas o las posibles soluciones.
Tambin podra elaborar nuevamente el borrador del informe, e incluso lo
podra comentar nuevamente si fuera necesario.
Es menester que el auditor comente con el auditado, en forma abierta y clara,
las desviaciones encontradas, a fin de que ste lo retroalimente, modifique
tales desviaciones y, si es el caso, le ayude a complementarlas o a determinar
sus posibles correcciones.

D1.5 Elaborar un documento de situaciones relevantes u

observaciones
Una vez que el auditor ha comentado y corregido el borrador inicial, conforme a
lo sealado en los puntos anteriores, debe proceder a elaborar un documento
que contenga las situaciones relevantes u observaciones que encontr durante
la auditora y, segn el plan de trabajo y la costumbre laborar, puede continuar
con la elaboracin del dictamen de auditora.
El auditor puede elaborar los documentos y comentarlos con los responsables
de las reas auditadas conforme va concluyendo las evaluaciones y, si es
necesario, conforme va detectando las desviaciones; todo de acuerdo con su
forma de trabajar y con la forma de supervisin establecida en la planeacin
inicial de la auditora.

D2 Elaborar el dictamen final

El auditor debe terminar de elaborar el informe de auditora de sistemas y
complementarlo con el dictamen final (opinin del auditor), y despus presentarlo a los
directivos del rea de sistemas auditada para que conozcan la situacin actual de
dicha rea, antes de presentarlo al responsable de la empresa.
D2.1 Analizar la informacin y elaborar un documento de
desviaciones detectadas
Por lo general, el auditor responsable de la auditora es quien analiza las
desviaciones que coment con los auditados, para despus elaborar el informe
final de las desviaciones encontradas, lo cual es una garanta de que los
auditados ya aceptaron dichas desviaciones, mismas que plasmar en el
documento llamado Desviaciones encontradas.
En el siguiente captulo trataremos ampliamente ste y otros formatos.

D2.2 Elaborar el informe y el dictamen formales

Despus de analizar los informes anteriores (el borrador inicial comentado), el
auditor debe elaborar, de manera formal, el informe de las desviaciones
encontradas, especificndolas por rea, por servicio o por cualquier otro
formato de presentacin, de manera clara y precisa. Tambin deber presentar
las desviaciones conforme a la costumbre de la empresa; ya sea por
importancia, por orden cronolgico, por secuencia de operaciones o por
cualquier otro criterio, siempre y cuando ste sea igual en toda la elaboracin
del informe.
 D2.3 Comentar el informe y el dictamen con los directivos del rea
As como el borrador del informe de auditora se debe comentar con los
auditados, este informe final se debe comentar con los directivos del rea de
sistemas; ya sea con el jefe inmediato, con el gerente o con el directivo
principal de esta rea, segn las polticas de la empresa auditora.
Debemos aclarar que el informe de auditora se debe comentar exclusivamente
con los directivos del rea; pero se debe tener especial cuidado para poder
comentar y aclarar lo necesario en este tipo de reuniones.

D2.4 Realizar las modificaciones necesarias

Despus de comentar el informe y el dictamen con los directivos del rea de
sistemas, el auditor podr ratificar o rectificar las observaciones presentadas en
estos documentos.
Despus de hacer las modificaciones necesarias, podr elaborar el informe y
dictamen finales de la auditora.
Si en opinin del auditor no procede ninguna modificacin, o si sus
observaciones fueron sustancialmente modificadas, puede volver a comentar el
informe y el dictamen, si lo considera necesario.

D3 Presentar el informe de auditora

El ltimo paso de esta metodologa que hemos estudiado, es presentarle formalmente
el dictamen de la auditora al ms alto directivo de la empresa, con el propsito de
informarle los resultados de dicha auditora. Esta presentacin se debe hacer con toda
la formalidad del caso, con la elaboracin correcta y profesional del dictamen de la
auditora, y en medio de una reunin directiva. El informe de auditora debe contener
los siguientes puntos:
La carta de presentacin
El dictamen de la auditora
El informe de situaciones relevantes
Anexos y cuadros adicionales

D3.1 Elaboracin del dictamen formal

En esta fase son fundamentales la experiencia, los conocimientos y la
capacidad del auditor para elaborar, lo ms profesionalmente posible, el
dictamen de la auditora y el informe de las desviaciones encontradas durante
la revisin; el auditor debe hacer el dictamen tomando en cuenta el informe
comentado con los directivos, el formato de desviaciones y los papeles del
trabajo de los dems auditores.

D3.2 Integracin del informe de auditora

Es de suma importancia destacar que el dictamen y el informe final de la
auditora deben ser elaborados perfectamente y no deben tener error alguno.
Tambin deben contener, de la manera ms clara y concreta, las desviaciones
detectadas en la evaluacin.

D3.3 Presentacin del informe de auditora

Es la reunin plenaria con el nivel directivo ms alto, para entregarle en mano
el dictamen de la auditora realizada; en este caso ya no existen comentarios ni
aclaraciones sobre el informe, slo es la lectura o entrega fsica del dictamen y
el informe final de la auditora. Esta presentacin es de carcter formal y
protocolario.
 D3.4 Integracin de los papeles de trabajo
El paso siguiente despus de presentar el informe de auditora (dictamen e
informe final), es que la empresa auditora debe integrar perfectamente los
papeles de trabajo,
ya que servirn en caso de aclaraciones posteriores y para dar seguimiento a
las soluciones de las desviaciones encontradas. Esto ser ampliado en el
captulo correspondiente a los papeles de trabajo.

BIBLIOGRAFA

Cdigo de
LIBROS, REVISTAS, ARTCULOS, TESIS, PGINAS WEB.
biblioteca
Carlos Muoz Razo, Auditoria en sistemas Computacionales. Pearson Educacin, Mxico, 2002
file:///C:/Users/Usuario/Documents/libro%20Auditoria%20en%20Sistemas%20Computacionales.pdf
Servieu Yann. Tcnicas de la Auditora Informtica. Mjico. 1994