METODOLOGA PARA REALIZAR AUDITORAS DE SISTEMAS

COMPUTACIONALES

CHIQUIMULA, MARZO 2014

INDICE

NDICE

INTRODUCCIN 3
OBJETIVOS 4
METODOLOGA PARA REALIZAR AUDITORAS DE SISTEMAS
COMPUTACIONALES
1. METODOLOGA

2. MARCO CONCEPTUAL
2.1 Mtodo

2.2.Planeacin 9
2.3 Plan 9
2.4 Programa 10
2.5 Presupuesto
2.6 Evento

10

2.7 Actividad

10

2.8 Tiempo

11

2.9 Polticas

11

2.10 Tareas

11

10

2.11 Plan de Trabajo 11

3. METODOLOGA PARA REALIZAR AUDITORAS DE SISTEMAS
COMPUTACIONALES
11
3.1 Planeacin 12
3.2 Ejecucin 12
3.3 Dictamen de la auditora de sistemas computacionales

22

CONCLUSIONES28
BIBLIOGRAFA 29
2

INTRODUCCIN

Las metodologa para realizar auditoras de sistemas computacionales

nos permitir disear correctamente los pasos a seguir en la evaluacin
de las reas de sistemas y actividades elegidas, a fin de que el
seguimiento, desarrollo y aplicacin de las etapas y eventos propuestos
para esa auditora sean ms sencillos.
servir

para

establecer

las

La metodologa tambin nos

tcnicas,

mtodos

procedimientos

adaptables a las caractersticas especiales de la auditora del rea

especfica de sistemas a evaluar, incluyendo los recursos humanos,
tcnicos y materiales necesarios para dicha revisin. Para poder
implementar una metodologa para la aplicacin a las auditoras de
sistemas computacionales, es necesario enfocarnos en las 3 etapas:
Planeacin, Ejecucin y Dictamen. En la planeacin identificaremos el
origen de la auditora, realizar una visita preliminar al rea que ser
evaluada, establecer los objetivos de la auditora, los puntos que sern
evaluados en la auditora, planes, programas y presupuestos, mtodos,
herramientas,

instrumentos

procedimientos

necesarios

para

la

auditora, asignar los recursos y sistemas computacionales para la

auditora. Mientras que la ejecucin se realizar las acciones programadas
para la auditora, aplicar los instrumentos y herramientas para la
auditora,

elaborar

los

documentos

de

desviaciones,

elaborar

el

dictamen preliminar y presentarlo a discusin, integrar el legajo de

papeles de trabajo de la auditora.

OBJETIVO GENERAL:
Proponer una metodologa especfica que puede ser aplicable a la
realizacin de cualquier tipo de auditora en el campo de los sistemas
computacionales, con el propsito de: Mostrar una forma concreta de
llevar a cabo la planeacin, seleccin de herramientas, desarrollo y
presentacin de los resultados de estas auditoras, para que el lector
pueda adoptar esta metodologa y en su caso adaptarla a las
necesidades concretas de revisin en su ambiente de sistemas.

OBJETIVOS ESPECFICOS:
La aplicacin de una Metodologa para realizar auditora de
sistemas computacionales.
Aprender a la
computacionales

Planificacin

de

auditora

de

sistemas

Obtener el conocimiento de la Ejecucin de auditora de sistemas

computacionales.
Aplicar el enfoque que se debe dar a conocer en el dictamen de la
auditora de sistemas computacionales

METODOLOGA PARA REALIZAR AUDITORAS DE

SISTEMAS COMPUTACIONALES

1. METODOLOGA:
Las auditoras de sistemas computacionales requieren una serie
ordenada de acciones y procedimientos especficos, los cuales debern
ser diseados previamente de manera secuencial, cronolgica y
ordenada, de acuerdo a las etapas, eventos y actividades que se
requieran para su ejecucin, mismos que sern establecidos conforme a
las necesidades especiales de la institucin.
Adems, estos procedimientos se deben adaptar de acuerdo al tipo de
auditora de sistemas que se vaya a realizar, y con estricto apego a las
necesidades,

tcnicas

sistematizacin.

mtodos

de

evaluacin

del

rea

de

Dichos mtodos debern seguirse tambin para la

determinacin de las herramientas e instrumentos de revisin que sern

utilizados en la evaluacin.
Dicha metodologa

nos permitir disear correctamente los pasos a

seguir en la evaluacin de las reas de sistemas y actividades elegidas,

a fin de que el seguimiento, desarrollo y aplicacin de las etapas y
eventos propuestos para esa auditora sean ms sencillos.
5

La metodologa tambin nos servir para establecer las tcnicas,

mtodos y procedimientos adaptables a las caractersticas especiales de
la auditora del rea especfica de sistemas a evaluar, incluyendo los
recursos humanos, tcnicos y materiales necesarios para dicha revisin.

Esta metodologa tiene tres etapas fundamentales siendo las siguientes:

1.

ETAPA:

Planeacin

de

la

Auditora

de

Sistemas

Computacionales
2. ETAPA: Ejecucin de la Auditora de Sistemas Computacionales
3. ETAPA: Dictamen de la Auditora de Sistemas Computacionales

Grficamente representaremos cual sera una propuesta para la

aplicacin de una auditora de sistemas:

Grfico No.1

2. MARCO CONCEPTUAL:
Con el fin de facilitar el desarrollo de una auditora de sistemas
computacionales se definirn una serie de conceptos aplicables a esta
metodologa:
2.1. Mtodo:
Se deriva del griego:
Methodos, = meta, y;
Odos, = va. Modo razonado de obrar y hablar
Y corresponde al procedimiento, tcnica, teora, tratamiento, o sistema.
Tambin es la marcha racional del espritu para llegar al conocimiento de
la verdad realizando las cosas con orden.
Como concepto general es el modo prescrito para ejecutar una tarea o
trabajo determinado, por el cual se pretende alcanzar un objetivo
establecido. Procedimiento que generalmente se sigue en las ciencias,
por medio del cual se llega a un resultado vlido. Los mtodos
fundamentales son: Analtico, sinttico, inductivo y deductivo.
2.1.1. Mtodo Analtico:
2.1.2. Mtodo Sinttico
2.1.3. Mtodo Inductivo:
8

2.1.4. Mtodo Deductivo:

2.2. Metodologa:
Se deriva del griego:
Methodos, = metodo, y;
Logos = tratado. Ciencia que trata del mtodo
Estudio de los mtodos que se siguen en una investigacin, un
conocimiento o una interpretacin. Descripcin secuencial de la manera
de efectuar una operacin o serie de operaciones.
2.3.

Planeacin:

Es el proceso de decidir de antemano qu se har y de qu manera.

Incluye determinar las misiones globales, identificar resultados claves y
fijar objetivos especficos, as como polticas de desarrollo, programas y
procedimientos para alcanzarlos
Conjunto sistematizado de acciones que provienen de una estructura
racional de anlisis que contiene los elementos informativos y de juicio
suficientes y necesarios para fijar prioridades, elegir entre alternativas,
establecer objetivos y metas en el tiempo y en el espacio, ordenar las
acciones que permitan alcanzarlas con base en la asignacin correcta de
recursos. La coordinacin de esfuerzos y la imputacin precisa de
responsabilidades que permitan controlar y evaluar sistemticamente
los procedimientos, avances y resultados para poder introducir con
oportunidad los cambios necesarios.
2.4.

Plan:

El plan es un mtodo detallado, formulado de antemano, para hacer

algo. Un plan es un curso de accin predeterminado. Esencialmente, un
plan tiene tres caractersticas.
9

 Primero, debe referirse al futuro.

Segundo, debe sealar acciones.
Tercero, existe
Los planes se derivan de las decisiones y ofrecen informacin por
adelantado para guiar el comportamiento subsecuente.
Es un instrumento diseado para alcanzar determinados objetivos, en
que se definen, en espacio, tiempo y los medios utilizables para su
alcance, se contemplan en forma ordenada, sistemtica y coherente las
metas y polticas, as como los instrumentos y acciones que se utilizarn.
2.5.

Programa:

Conjunto estructurado de diversas actividades con un cierto grado de

homogeneidad respecto del producto o resultado final, al cual se le
asignan recursos humanos, materiales y financieros con el fin de que
produzca en un tiempo determinado bienes o servicios destinados a la
satisfaccin total o parcial de los objetivos sealados a una funcin
dentro del marco de la planeacin.
Son cursos de accin detallados que sealan los pasos especficos que
habrn de realizarse para lograr los objetivos, indicando la secuencia
cronolgica y los tiempos de duracin de dichos pasos.
2.6.

Presupuesto:

Estimacin programada en forma sistemtica de los ingresos y egresos

que

maneja

un

organismo

en

un

periodo

determinado;

puede

considerarse como un plan de accin expresado en trminos monetarios

y cuyo ejercicio abarca generalmente un ao de actividad.

10

2.7.

Evento:

Es la determinacin de acontecimientos que llevan fines especficos de

transmisin de ideas, de imgenes y sonidos, para un fin determinado.
Suceso esperado al cual se debe llegar despus de una serie de
actividades.
2.8.

Actividad:

Es el conjunto de operaciones ejecutadas o de actos desarrollados por

una o varias personas y que contribuyen al logro de una funcin.

2.9.

Tiempo:

Del latn Tempus, duracin de los fenmenos.

Duracin de las cosas

sujetas a cambios. Sucesin continuada de momentos que constituyen

el devenir de lo existente.
2.10. Polticas:
Criterio de accin que es elegido como gua en el proceso de toma de
decisiones al poner en prctica o ejecutar las estrategias, programas y
proyectos especficos a nivel institucional.
Son esencialmente un principio o varios relacionados entre s con sus
consiguientes reglas de accin que condicionan y gobiernan al logro de
un objetivo.
2.11. Tarea:
Es la subdivisin del trabajo para concretizar una actividad.
2.12. Plan de trabajo (grfica de Gantt):

11

Es la representacin grfica en la que se muestran las actividades que

integran un proyecto, el periodo de tiempo necesario para realizar cada
una de ellas y sus responsables as como los de cada actividad.

3. METODOLOGA PARA REALIZAR AUDITORAS DE SISTEMAS

COMPUTACIONALES:
Para poder implementar una metodologa para la aplicacin a las
auditoras de sistemas computacionales, es necesario enfocarnos en las
3 etapas: Planeacin, Ejecucin y Dictamen. A continuacin veremos la
subdivisin de fases que se dan en la etapa de la planeacin.

3.1.

PLANEACIN

El primer paso para realizar una auditora en sistemas computacionales

es definir las actividades necesarias para su ejecucin, lo cual se lograr
mediante una adecuada planeacin de stas; es decir, se deben
identificar claramente las razones por las que se va a realizar la
auditora y la determinacin del objetivo de la misma, as como el diseo
de los mtodos, tcnicas y procedimientos necesarios para llevarla a
cabo y para preparar los documentos que servirn de apoyo para su
ejecucin, culminando con la elaboracin documental de los planes,
programas y presupuestos para dicha auditora.
PRIMERA ETAPA
AUDITORA DE SISTEMAS COMPUTACIONALES
Identificar el origen de la auditora
Realizar una visita preliminar al rea que ser evaluada
Establecer los objetivos de la auditora
12

 Determinar los puntos que sern evaluados en la auditora

Elaborar planes, programas y presupuestos para realizar la
auditora
Identificar y seleccionar los mtodos, herramientas, instrumentos
y procedimientos necesarios para la auditora
Asignar los recursos y sistemas computacionales para la auditora
3.1.1. Identificar el Origen de la Auditora
El primer paso formal para iniciar la planeacin de una auditora en el
rea de sistemas es identificar el origen de la auditora; es decir, lo
primero es saber por qu surge la necesidad o inquietud de realizar una
auditora. Para esto nos debemos preguntar:
de dnde?,
por qu?,
quin? o
para qu se requiere hacer la evaluacin
Es de suma importancia identificar el origen de la auditora, debido a
que adems de proporcionarle los elementos necesarios para hacer una
buena planeacin de la revisin, tambin le ayuda a definir los
elementos de juicio que contribuirn a normar su criterio de evaluacin.
Adems, conociendo el origen de la auditora, el auditor tambin puede
definir la manera de enfocar la revisin, as mismo saber de antemano
cules sern los aspectos primordiales en la evaluacin; es decir, puede
saber cules sern los asuntos ms relevantes sobre los que deber
trabajar, a fin de satisfacer lo que se espera de la auditora de sistemas.
a. Por solicitud expresa de procedencia interna:
Surge de una peticin formal de alguien que pertenece a la empresa.
Esta peticin de revisin a los sistemas de la empresa puede obedecer a
13

muchas causas y generalmente se encomienda a un auditor externo, ya

sea a una empresa, despacho o profesionista independiente que no
tiene ninguna relacin laboral con la empresa o, segn la estructura y
necesidades de la evaluacin, se puede encomendar a los mismos
empleados de la institucin, si es que sta cuenta con una rea de
auditora. Quienes pertenecen a la empresa pueden ser:
Accionistas, socios o dueos
Por orden de la direccin general
Por orden de las gerencias o departamentos a nivel superior
A solicitud de funcionarios y empleados de otros niveles
b. Por solicitud expresa de procedencia interna:
ste es otro origen oficial sobre la necesidad de realizar una auditora al
rea de sistemas en la empresa, debido a que surge de una peticin
formal de alguien ajeno a la empresa, a quien, por alguna causa, le
interesa que sean auditados los sistemas computacionales de sta.
Este tipo de solicitud puede ser obligatorio si es por mandato expreso de
alguna autoridad, o bien a voluntad de la empresa si alguien ajeno a
sta solicita la auditora por tener algn vnculo leve o amplio con ella;
en estos casos, la empresa no tiene la obligacin de acatar estas
solicitudes de auditoras. Estos casos se clasifican de la siguiente
manera:
Por mandato de autoridades judiciales
Por ordenamiento de las autoridades fiscales
Por revisiones de autoridades de seguridad social y de trabajo
Por revisiones de otras autoridades:
Por solicitud de proveedores y acreedores:

14

 Por solicitud de distribuidores y desarrolladores de software y

hardware:
A peticin de Empresas externas:
c. Como consecuencia de emergencias y condiciones especiales:
stas auditoras se realiza

cuando se presentan situaciones de

emergencia y condiciones extraordinarias en el rea de sistemas, las

cuales estn fuera de control y parmetros normales de operacin en el
centro de cmputo, en dichas situaciones,
la auditora se realiza casi de inmediato y, en muchos casos, sin que
medie la autorizacin de funcionarios.
Tambin se realizan debido a la necesidad de medir y valorar las
repercusiones

que

tuvieron

esas

emergencias

y/o

condiciones

especiales, ya que se tienen que evaluar el impacto y posibles daos a

las actividades y funciones del rea de sistemas de la empresa, los
cuales pueden ser desde leves problemas hasta verdaderas catstrofes.
Concretamente, encontramos que los orgenes de estas auditoras
pueden ser los siguientes:
De incidencia interna
De incidencia externa

d. Por riesgos y contingencias informticas:

Solicitada por personal o usuarios del rea de sistemas cuando ha
ocurrido

alguna

contingencia

que

afecte

el

procesamiento

de

informacin en la empresa; aunque tambin puede suceder cuando

existe algn riesgo que pueda repercutir en las actividades y funciones
del rea de sistematizacin, as como en el manejo de los recursos que
se le han asignado.

15

Por esta razn se deben evaluar, mediante una auditora de sistemas,

las repercusiones de cualquiera de estas incidencias, ya sean por riesgos
o por la ocurrencia de alguna contingencia de carcter informtico. Los
siguientes son algunos de los riegos o contingencias informticas ms
comunes de estas reas:
Riesgos y contingencias del personal informtico
Riesgos y contingencias fsicas
Riesgos y contingencias operativas (lgicas)
Riesgos y contingencias de software
Riesgos y contingencias de bases de datos
Otros riesgos y contingencias en el rea de sistemas
e. Como resultado de los planes de contingencia:
Otro de los posibles orgenes de una solicitud de auditora en el rea de
sistemas lo constituyen los planes de contingencia; ya sea que se
carezca de stos en el rea de sistemas y se necesite evaluar su posible
efecto, o que ya estn establecidos y se requiera evaluar su
funcionamiento

grado

de

utilidad

para

dichos

sistemas.

Concretamente, una auditora de este tipo se puede originar por los

siguientes aspectos:
Por la carencia de planes de contingencia
Por la elaboracin de planes de contingencia
Por la aplicacin de los planes de contingencia
f. Por resultados obtenidos en otras auditoras:
Esta solicitud tambin puede originarse por algn aspecto especial
derivado de los resultados de una auditora anterior, los cuales por
alguna razn repercuten en dicho aspecto, el cual se debe evaluar ya
que puede afectar el comportamiento de los sistemas computacionales
de la empresa.
16

g. Como parte de un programa integral de auditora:

Se da cuando existan programas concretos de auditora integral o global,
los cuales

se aplican en la empresa para

evaluar la correcta

administracin y comportamiento de todas sus reas; en este caso, la

solicitud de auditora de sistemas forma parte de dichos proyectos de
evaluacin integral.
Estos programas pueden ser de carcter global y se pueden aplicar una
sola vez, cuando la auditora se realiza en forma conjunta, a fin de hacer
la evaluacin de todas las unidades de la institucin. Tambin puede ser
que, dependiendo del programa, se pueda cubrir por etapas cada una de
sus reas en forma progresiva y secuencial. Todo ello depender del
estilo de direccin, la forma en que la empresa realiza las auditoras y si
stas se realizan de manera externa o interna.
3.1.2. Realizar una visita preliminar al rea que ser evaluada
El auditor debe realizar una visita preliminar al rea de informtica que
ser auditada, justo despus de conocer el origen de la peticin de
auditora, y antes de iniciarla formalmente; el propsito es que tenga un
contacto inicial con el personal de dicha rea y que observe cmo se
encuentran distribuidos los sistemas, cuntos y cules son los equipos
que estn instalados en el centro de cmputo, cules son sus principales
caractersticas, de qu tipo son las instalaciones, cules son las medidas
de seguridad visibles que existen, y en s, que conozca la problemtica a
la cual se enfrentar, de manera muy simple y de carcter tentativo.
Para ello, el auditor debe contemplar los siguientes aspectos en dicha
visita:
Visita preliminar de arranque
Contacto inicial con funcionarios y empleados del rea
Identificar preliminar de la problemtica de sistemas
17

 Prever los objetivos iniciales de auditora

Calcular los recursos y personas necesarias para la auditora

3.1.3. Establecer los objetivos de la auditora

Establecer lo ms claramente posible el (los) objetivo(s) de la auditora,
ajustndose lo ms posible a las necesidades de la evaluacin. El
propsito es establecer claramente lo que se busca con este tipo de
trabajo.
Recordemos

que

OBJETIVO;

En

trminos

sencillos,

los

objetivos

representan las condiciones futuras deseadas que los individuos, grupos

u organizaciones luchan por alcanzar. En ese sentido se incluyen
misiones, propsitos, metas, fines, cuotas y plazos.
Dichos objetivos tambin se pueden complementar, de acuerdo con su
ambiente

de

aplicacin,

con

los

aspectos

que

analizaremos

continuacin:
Objetivo general
Objetivos especficos
Objetivos especficos de la auditora de sistemas computacionales
3.1.4. Objetivos

especficos

de

la

auditora

de

sistemas

computacionales:
Es la determinacin, en forma detallada, de los fines que se pretenden
alcanzar con la auditora de sistemas, sealando concretamente las
reas a evaluar y, especficamente, los sistemas, componentes o
elementos concretos que deben ser evaluados. Por ejemplo:

18

 Evaluar la utilizacin y aprovechamiento de los equipos de

cmputo, de sus perifricos, de las instalaciones, mobiliario y
equipos del centro de cmputo, as como del uso de sus recursos
tcnicos y materiales para el procesamiento de informacin.
Realizar una revisin con personal multidisciplinario y capacitado
en el rea de sistemas, a fin de evaluar dicha rea y emitir un
dictamen independiente sobre las operaciones del sistema y la
gestin administrativa del rea de informtica.

3.1.5. Determinar los puntos que sern evaluados en la auditora:

Esta definicin de los puntos que tienen que ser evaluados debe ser
realizada considerando aspectos muy especficos de los sistemas
computacionales, tales como los siguientes:
La gestin administrativa e informtica del centro de cmputo
El cumplimiento de las funciones del personal informtico y
usuarios de los sistemas
El anlisis, diseo y desarrollo de los sistemas computacionales
La operacin de los sistemas computacionales
La capacitacin y adiestramiento del personal y usuarios del
sistema
La proteccin, custodia y niveles de acceso a las bases de datos
La proteccin y respaldo de archivos e informacin
La seguridad y proteccin de los usuarios, de la informacin, de los
archivos y en general del centro de cmputo
Muchos otros aspectos que se deben considerar
3.1.6. Elaborar planes, programas y presupuestos para realizar la
auditora:
19

En esta fase se concreten los planes, programas y presupuestos para

dicha auditora; es decir, se deben elaborar los documentos que
contemplen los planes formales para el desarrollo de la auditora, los
programas en donde se delimiten perfectamente las etapas, eventos,
actividades y los tiempos de ejecucin para cumplir con el objetivo, as
como los presupuestos de la auditora, documentos en donde se deben
asignar los costos de los recursos que sern utilizados y el tiempo que
sern utilizados para determinada actividad, tomando en cuenta:
Elaborar el documento formal de los planes de trabajo para la
auditora
Contenido de los planes para realizar la auditora
Elaborar el documento formal de los programas de auditora
Elaborar los programas de actividades para realizar la auditora
Elaborar el presupuesto de la auditora.
3.1.7. Identificar

seleccionar

los

mtodos,

herramientas,

instrumentos y procedimientos necesarios para la auditora

Se determina los documentos y medios con los cuales se llevar a cabo
la revisin a los sistemas de la empresa, lo cual se lograr a travs de la
seleccin o diseo de los mtodos, procedimientos, herramientas e
instrumentos necesarios, de acuerdo con lo indicado en los planes,
presupuestos y programas establecidos para la auditora. Para lograr
esto, sugerimos considerar los siguientes puntos:
Establecer la gua de ponderacin de los puntos que sern
evaluados
Elaborar la gia de auditora
Elaborar los documentos necesarios para realizar la auditora
Determinar herramientas mtodos y procedimientos para la
auditora de sistemas

20

 Disear los sistemas programas y mtodos de pruebas para la

auditora

3.1.8. Asignar los recursos y sistemas computacionales para la

auditora
Con la asignacin de estos recursos especializados, sean humanos,
informticos, tecnolgicos o cualesquiera otros que se hayan establecido
para la auditora, es como se lleva a cabo la misma, los principales
puntos que el responsable debe establecer para la realizacin de la
auditora:
Asignar los recursos humanos para la realizacin de la auditora
Asignar los recursos informticos y tecnolgicos para la realizacin
de la auditora
Asignar los recursos materiales y de consumo para la realizacin
de la auditora
Asignar los dems recursos para la realizacin de la auditora

3.2.

EJECUCIN

Estar determinada por las caractersticas concretas, los puntos y

requerimientos que se estimaron en la etapa de planeacin.
Debido a que esta etapa es de realizacin especial, de acuerdo con la
planeacin de la auditora, en este inciso slo se indican sus puntos ms
importantes, en la inteligencia de que se aplicar verdaderamente de
acuerdo a las caractersticas especficas de la auditora que se trate.
SEGUNDA ETAPA
AUDITORA DE SISTEMAS COMPUTACIONALES
21

Los principales puntos son los siguientes:

Grfico No. 2

Concretamente, tenemos los siguientes conceptos:

Realizar las acciones programadas para la auditora
Aplicar los instrumentos y herramientas para la auditora
Identificar y elaborar los documentos de desviaciones
Elaborar el dictamen preliminar y presentarlo a discusin
Integrar el legajo de papeles de trabajo de la auditora
3.2.1. Realizar las acciones programadas para la auditora:
De acuerdo con el programa de auditora, cada auditor tiene que realizar
las actividades que le corresponden conforme fueron diseadas, en la
22

cronologa que le fue asignada a cada una, y de acuerdo con los tiempos
y recursos que le corresponde utilizar; el propsito es ejecutar los
eventos programados y alcanzar el objetivo de la auditora.
3.2.2. Aplicar los instrumentos y herramientas para la auditora:
Se tienen que utilizar, uno a uno, los instrumentos y herramientas
elegidos para llevar a cabo la evaluacin, ya sea mediante la
recopilacin y anlisis de la informacin, la observacin, las pruebas y
simulaciones de los sistemas, o mediante cualquier otro instrumento de
los que se disearon previamente para esta revisin.
3.2.3. Identificar

elaborar

los

documentos

de

desviaciones

encontradas
En esta fase se buscan las posibles desviaciones y se procede a elaborar
los documentos de desviaciones, en los cuales se anotan las situaciones
encontradas, las causas que las originaron y sus posibles soluciones, as
como los responsables de solucionar dichas desviaciones y las posibles
fechas para hacerlo.
El auditor puede elaborar este documento cuando lo considere
necesario; es decir, lo puede elaborar conforme va realizando cada
evaluacin, conforme va evaluando reas completas, conforme va
realizando cada evento programado o conforme a cualquier otro criterio.
Lo importante es que conforme el auditor detecte las desviaciones,
elabore de inmediato el documento de desviaciones.
3.2.4. Elaborar el dictamen preliminar y presentarlo a discusin:
Una vez que el auditor determin las desviaciones encontradas durante
la evaluacin, debe elaborar un documento que contenga todas las
desviaciones detectadas, o lo puede elaborar con cada una de las
desviaciones por separado, de acuerdo a las necesidades de la empresa.
Una vez hecho esto, es obligacin del auditor comentarlas con las
23

personas que estn involucradas directamente en las desviaciones, a fin

de encontrar de manera conjunta las causas que las originaron y,
derivado de este intercambio de opiniones, debe determinar las posibles
soluciones para cada una de estas causas. Tambin puede asignar a los
responsables de solucionarlas y, de ser posible, las fechas para hacerlo.
Es muy conveniente sealar que la importancia de la auditora no slo
estriba en reportar las desviaciones encontradas en una operacin
normal, sino que las personas que estn involucradas directamente en la
operacin deben conocerlas; el propsito es que estn conscientes de
las desviaciones encontradas en su trabajo para que puedan emprender
las acciones necesarias para corregirlas, si es que las correcciones estn
en sus manos.
3.2.5. Integrar el legajo de papeles de trabajo de la auditora:
El auditor tiene la obligacin de conservar en el llamado legajo de
papeles de la auditora cada uno de los instrumentos aplicados en la
evaluacin, con el propsito de sustentar, llegado el caso, las
observaciones reportadas.

3.3.

Dictamen de la auditora de sistemas computacionales:

Es el resultado final de la auditora de sistemas computacionales. Para

ello presentamos los siguientes puntos:
Analizar la informacin y elaborar un informe de situaciones
detectadas
Elaborar el dictamen final
Presentar el informe de auditora
3.3.1. Analizar la informacin y elaborar un informe de situaciones
detectadas:
24

El anlisis de los papeles de trabajo y la elaboracin en borrador de las

llamadas situaciones detectadas; el propsito es que el auditor elabore
su borrador y comente las desviaciones con los auditados. Despus de
comentarlas, debe elaborar las modificaciones pertinentes, as como el
informe definitivo de las situaciones encontradas.
Es necesario advertir que el fin de una auditora de sistemas
computacionales no es encontrar culpables, sino ayudar a corregir las
desviaciones encontradas en la operacin normal de dichos sistemas;
esto se logra comentando las desviaciones con los responsables
directos, con el fin de que las conozcan y tomen las acciones necesarias
para su correccin. Concretamente, este punto contendr las siguientes
actividades:
3.3.1.1. Analizar los papeles de trabajo:
El auditor debe hacer un estudio de los papeles de trabajo resultantes de
la auditora, con el propsito de detectar las posibles desviaciones en la
operacin normal del rea
o sistema computacional que est auditando. Despus debe plasmar las
desviaciones que encontr en el formato de situaciones, causas y
soluciones, mismo que debe elaborar primero en borrador para
comentar estos aspectos con los involucrados, y despus debe
elaborarlo en forma definitiva.
3.3.1.2. Sealar las situaciones encontradas:
El auditor debe plasmar en forma especfica y lo ms concretamente
posible las desviaciones encontradas en la operacin del sistema o en el
rea que est evaluando y, si es posible, debe sealar las causas que las
generaron.

25

El auditor, ya sea el responsable de la auditora o el encargado de

aplicarla, ser quien, basndose en los papeles de trabajo, su
experiencia en el ramo y las situaciones encontradas, elaborar el
borrador de las desviaciones que encontr durante la evaluacin de los
sistemas, procurando detallar, hasta donde le sea posible, en que
consisten, su repercusin y los dems aspectos que crea pertinentes, a
fin de sealar concretamente lo observado.
3.3.1.3. Comentar las situaciones encontradas con el personal de las
reas afectadas:
Es obligacin ineludible del auditor comentarlas en forma directa y
abierta con los responsables de la operacin, a fin de que las conozcan,
acepten, aclaren, complementen y/o las modifiquen con detalles y
pruebas.
El auditor no debe, en ningn caso y bajo ningn concepto, presentar las
desviaciones encontradas sin antes haberlas comentado con el auditado.
Sin embargo, si el auditor no tiene la suficiente experiencia, los
comentarios con los auditados se pueden desviar
e incluso provocar fricciones que es necesario evitar.
Es un requisito que el auditor comente las desviaciones encontradas,
debido a que adems de servirle para refirmar sus observaciones, le
ayudar a comprobarlas, complementarlas y en su caso ampliarlas; esto
tambin le ayudar a establecer las causas que ocasionaron las
desviaciones, as como sus posibles soluciones.
En algunos casos, el auditor puede obtener la firma del auditado para
comprobar que se han comentado y aceptado las desviaciones, aunque
a veces esto no es posible.

26

3.3.1.4. Realizar las modificaciones necesarias:

Despus

de

que

el

auditor

haya

comentado

ampliamente

las

desviaciones con los involucrados, deber ratificar las observaciones y,

de ser necesario, elaborar las correcciones que sean pertinentes,
modificando el borrador, las causas o las posibles soluciones.
Tambin podra elaborar nuevamente el borrador del informe, e incluso
lo podra comentar nuevamente si fuera necesario. Es menester que el
auditor comente con el auditado, en forma abierta y clara, las
desviaciones encontradas, a fin de que ste lo retroalimente, modifique
tales desviaciones y, si es el caso, le ayude a complementarlas o a
determinar sus posibles correcciones.
3.3.1.5. Elaborar un documento de situaciones relevantes:
Una vez que el auditor ha comentado y corregido el borrador inicial,
conforme a lo sealado en los puntos anteriores, debe proceder a
elaborar un documento que contenga las situaciones relevantes que
encontr durante la auditora y, segn el plan de trabajo y la costumbre
laborar, puede continuar con la elaboracin del dictamen de auditora.
El auditor puede elaborar los documentos y comentarlos con los
responsables de las reas auditadas conforme va concluyendo las
evaluaciones

y,

si

es

necesario,

conforme

va

detectando

las

desviaciones; todo de acuerdo con su forma de trabajar y con la forma

de supervisin establecida en la planeacin inicial de la auditora.
3.3.2. Elaborar el dictamen final:
El auditor debe terminar de elaborar el informe de auditora de sistemas
y complementarlo con el dictamen final (opinin del auditor), y despus
presentarlo a los directivos del rea de sistemas auditada para que

27

conozcan la situacin actual de dicha rea, antes de presentarlo al

responsable de la empresa.
3.3.2.1. Analizar la

informacin

y elaborar

un documento

de

desviaciones detectadas:
Por lo general, el auditor responsable de la auditora es quien analiza las
desviaciones que coment con los auditados, para despus elaborar el
informe final de las desviaciones encontradas, lo cual es una garanta de
que los auditados ya aceptaron dichas desviaciones, mismas que
plasmar en el documento llamado Desviaciones encontradas.
3.3.2.2. Elaborar el informe y dictamen formales:
El auditor debe elaborar, de manera formal, el informe de las
desviaciones encontradas, especificndolas por rea, por servicio o por
cualquier otro formato de presentacin, de manera clara y precisa.
Tambin deber presentar las desviaciones conforme a la costumbre de
la empresa; ya sea por importancia, por orden cronolgico, por
secuencia de operaciones o por cualquier otro criterio, siempre y cuando
ste sea igual en toda la elaboracin del informe.
Cuando el auditor elabora su dictamen debe tomar en cuenta todas las
desviaciones, analizarlas y emitir su opinin acerca de la situacin de las
reas y sistemas auditados, especificando, lo ms clara y sinceramente
posible, su opinin respecto a dichas desviaciones y, de ser posible,
debe presentar una sugerencia profesional para corregirlas.
3.3.2.3. Comentar el informe y el dictamen con los directivos de
rea:
As como el borrador del informe de auditora se debe comentar con los
auditados, este informe final se debe comentar con los directivos del
rea de sistemas; ya sea con
28

el jefe inmediato, con el gerente o con el directivo principal de esta rea,

segn las polticas de la empresa auditora.
Debemos aclarar que el informe de auditora se debe comentar
exclusivamente con los directivos del rea; pero se debe tener especial
cuidado para poder comentar y aclarar lo necesario en este tipo de
reuniones.
3.3.2.4. Realizar las modificaciones necesarias:
El auditor podr ratificar o rectificar las observaciones presentadas en
estos documentos.
Despus de hacer las modificaciones necesarias, podr elaborar el
informe y dictamen finales de la auditora. Si en opinin del auditor no
procede

ninguna

modificacin,

si

sus

observaciones

fueron

sustancialmente modificadas, puede volver a comentar el informe y el

dictamen, si lo considera necesario.
3.3.3. Presentar el informe de auditora:
Se presenta formalmente el dictamen de la auditora al ms alto
directivo de la empresa, con el propsito de informarle los resultados de
dicha auditora. Esta presentacin se debe hacer con toda la formalidad
del caso, con la elaboracin correcta y profesional del dictamen de la
auditora, y en medio de una reunin directiva. El informe de auditora
debe contener los siguientes puntos:
La carta de presentacin
El dictamen de la auditora
El informe de situaciones relevantes
Anexos y cuadros adicionales

29

CONCLUSIONES
La aplicacin de una metodologa en auditoria en sistemas
computacionales pretende

una serie ordenada de tareas y

procedimientos determinados, los cuales debern ser trazados

anticipadamente de manera secuencial, cronolgica y ordenada,
de acuerdo a las etapas, eventos y actividades que se requieran
para su ejecucin, mismos que sern establecidos conforme a las
necesidades especiales de la institucin.
En una auditora en sistemas computacionales la planificacin es
la etapa una etapa decisiva e importante para el desarrollo de las
actividades de forma ordenada. En esta etapa se definen las
actividades necesarias para su ejecucin se deben identificar
claramente las razones por las que se va a realizar la auditora y la
determinacin del objetivo de la misma, as como el diseo de los
mtodos, tcnicas y procedimientos necesarios para llevarla a
cabo y para preparar los documentos que servirn de apoyo para
su ejecucin, culminando con la elaboracin documental de los
planes, programas y presupuestos para dicha auditora.

La ejecucin

en sistemas computacionales Estar determinada

por las caractersticas concretas, los puntos y requerimientos que

se estimaron en la etapa de planeacin. Es realizar las acciones
de acuerdo con la planeacin establecida de la auditora y aplicar
los instrumentos y herramientas de la auditoria para llevar a cabo
la evaluacin.

En una auditora de sistemas computacionales es necesario

advertir que el fin de no es encontrar culpables, sino ayudar a
30

corregir las desviaciones encontradas en la operacin normal de

dichos sistemas que se logra comentando las desviaciones con los
responsables directos, con el fin de que las conozcan y tomen las
acciones necesarias para su correccin.

BIBLIOGRAFA

Carlos Muoz Razo, Auditora en Sistemas Computaciones, Captulo

VI, Pginas 178, Edicin.

31