AUDITORIA DE SISTEMAS. MSC. ING.

LIZDEITH AÑEZ

UNIDAD IV. ESTANDARES DE DOCUMENTACIÓN

4.1. LISTA DE VERIFICACIÓN.

INSTRUMENTOS DE RECOPILACIÓN DE INFORMACIÓN APLICABLES EN

UNA AUDITORÍA DE SISTEMAS COMPUTACIONALES

 Entrevistas. Se realiza al personal que utiliza el sistema y que puede aportar

más al propósito pretendido. Se debe elaborar un guión previo de temas y
apartados a tratar para no dejar por fuera ningún asunto de interés. Durante el
desarrollo de la entrevista el auditor tomará las anotaciones imprescindibles. Entre
algunos tipos de entrevistas se encuentran la entrevista libre, dirigida, de
exploración, de comprobación, de información, informales.

 Encuestas. Son de utilidad para ayudar a determinar el alcance y objetivos de

la auditoría así como para materializar los objetivos relacionados con el nivel de
satisfacción de los usuarios. Se debe preparar un cuestionario que pueda ser
contestado rápidamente, y que exista un espacio para observaciones.

 Observación del trabajo realizado por los usuarios. Es conveniente observar

cómo un usuario hace uso de las transacciones más significativas por su volumen
o riesgo, lo que puede ayudar a detectar que aunque existan controles
establecidos efectivos, la eficiencia no esté en un nivel óptimo debido a vicios o
carencias de los usuarios debidos a falta de formación, o porque se necesita
mejorar el diseño para aumentar agilidad y productividad al usar la aplicación. Los
tipo de observación pueden ser directo, indirecto, oculta, participativa, no
participativa, introspección, extrospección, histórica, controlada.

 Inventarios: consiste en hacer un recuento físico de lo que se está auditando, a

fin de saber la cantidad existente de algún producto en una fecha determinada y
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

compararla con la que debería haber según los documentos en esa misma fecha.
Consiste propiamente en comparar las cantidades reales existentes con las que
debería haber para comprobar que sean iguales o, en caso contrario, para resaltar
las posibles diferencias e investigar sus causas. Existen inventario del software,
inventario físico del software, inventario del hardware, inventario físico del
hardware, inventario consumible, inventario de documentos, inventario de
inmuebles, instalación y equipos de sistemas.

TÉCNICAS DE EVALUACIÓN APLICABLES EN UNA AUDITORÍA DE

SISTEMAS COMPUTACIONALES.

 Examen del sistema: es utilizado con el propósito de investigar algún hecho,

comprobar alguna cosa, verificar la forma de realizar un proceso, evaluar la
aplicación de las técnicas, métodos y procedimientos de trabajo, verificar el
resultado de una transacción, comprobar la operación correcta de un sistema
computacional y para evaluar muchos otros aspectos.
Examen del comportamiento del sistema
Examen de los resultados del sistema
Pruebas de implantación
Pruebas de los programas de aplicación
Pruebas del sistema operativo
Exámenes de las instalaciones del centro de cómputo

 Inspección: está relacionada con la aplicación de los exámenes que se

realizan para evaluar el funcionamiento de dichos sistemas; mediante la
inspección se evalúa la eficiencia y eficacia del sistema, en cuanto a operación y
procesamiento de datos. Lo mismo ocurre para la gestión administrativa de un
centro de cómputo, en donde se hace una inspección detallada con el propósito
de evaluar el cumplimiento de sus funciones, actividades, estructura
organizacional y todos los demás aspectos administrativos.
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

 Comparación: de los datos obtenidos de una área o de toda la empresa,

cotejando esa información contra datos similares o iguales de un área o empresa
con características semejantes. Con la comparación de la información se pueden
encontrar las similitudes y diferencias entre ambas áreas o empresas, con lo cual
se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas.

 Revisión documental: se revisan los manuales, instructivos, procedimientos

diseñados para las funciones, actividades y operaciones, el registro de
resultados, estadísticas y otros instrumentos de registro formal de los alcances
obtenidos, la interpretación de los acuerdos, memorandos, normas, políticas y
todos los aspectos formales que se asientan por escrito para el cumplimiento de
las funciones y actividades en la administración cotidiana de las empresas.

 Matriz de evaluación: permite realizar cualquier tipo de valoración acerca

del cumplimiento de una función específica de la administración del centro de
cómputo, ya sea en la verificación de una serie de actividades de cualquier
función del área de sistemas, del sistema computacional, del desarrollo de
proyectos informáticos, del servicio a los usuarios del sistema o de muchas otras
actividades exclusivas del área de sistemas de la empresa; además tiene la gran
ventaja de poder valorar dicho cumplimiento con varios criterios que van desde lo
excelente hasta lo pésimo.

 Matriz DOFA (Debilidades, oportunidades, fortalezas, amenazas): permite

recopilar información más versátil, y además admite evaluar el desempeño de los
sistemas computacionales; asimismo, por medio de este documento se puede
tener una apreciación preliminar sobre las fortalezas y debilidades del propio
centro de información de la empresa, y se pueden analizar sus posibles
amenazas y áreas de oportunidad; con dicho análisis, el auditor evalúa el
cumplimiento de la misión y objetivo general del área de sistemas
computacionales de la empresa.
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

TÉCNICAS ESPECIALES PARA LA AUDITORÍA DE SISTEMAS

COMPUTACIONALES

 Guías de evaluación: son un documento formal que indica el procedimiento

de evaluación que debe seguir el auditor; asimismo, en este instrumento se
indican todos los puntos, aspectos concretos y áreas que deben ser revisados, así
como las técnicas, herramientas y procedimientos que deben ser utilizados en la
auditoría de sistemas computacionales.

 Ponderación: se procura darle un peso específico a cada una de las partes

que serán evaluadas; su objetivo es tratar de compensar el valor que les
asignamos a las actividades o tópicos que tienen poca importancia en la
evaluación, en relación con los que tienen mayor importancia.

 Modelos de simulación: se simula el comportamiento de un sistema

computacional, de un programa, de una base de datos, de una operación, de una
actividad o de cualquier tarea de sistemas que tenga que ser revisada, con el
propósito de investigar cuál es, fue o será el comportamiento del fenómeno de
sistemas en estudio, bajo ciertas condiciones y características concretas, en las
que se presentan todas las simulaciones necesarias que se asemejen al medio
ambiente real en donde actúa dicho fenómeno para valorar su auténtico
aprovechamiento, sus eficiencias y deficiencias de funcionamiento, sus principales
problemas, etcétera.
Simulación a través de ciclos de vidas
Simulación a través de metodologías de desarrollo
Simulación a través de diagramas de flujo de sistemas
Simulación a través del diseño de circuitos lógicos
Simulación a través de otros documentos gráficos
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

 Evaluación: permite determinar, mediante pruebas concretas, si lo

cuantificado (o cualificado) es lo que se esperaba obtener de lo que se está
evaluando; así se determina si se está cumpliendo con la actividad revisada,
conforme a lo que se esperaba de ella.
Evaluación de la gestión administrativa
Evaluación en cuanto a la gestión de los sistemas computacionales
Evolución del equipo de cómputo
Evaluación integral de sistemas
Evaluación de la calidad ISO 9000

 Diagrama del círculo de sistemas: sirven para dar valora, visualmente, el

comportamiento de los aspectos de los sistemas que están siendo auditados, así
como su cumplimiento y limitaciones. Este diagrama también se puede utilizar
para hacer la presentación gráfica de los principales problemas encontrados en
aspectos específicos de computación en la empresa, ya que con dicha
presentación es más fácil comprender las desviaciones que se reportan.

 Lista de verificación o chequeo: consiste en la elaboración de una lista

ordenada, en la cual se anotan todos los aspectos que se tienen que revisar del
funcionamiento de un sistema, de sus componentes, del desarrollo de una
actividad, del cumplimiento de una operación o de cualquier otro aspecto
relacionado con la evaluación del área de sistemas; esta lista se complementa con
una o varias columnas en las que se califica el cumplimiento del aspecto evaluado.
Por lo general se palomea el cumplimiento (), se tacha el incumplimiento (X) o
se deja en blanco. Con esto se identifica a simple vista el cumplimiento o
incumplimiento del aspecto evaluado.

 Análisis de la diagramación de sistemas: por medio de estos diagramas el

analista puede representar los flujos de información, actividades, operaciones,
procesos y los demás aspectos que intervendrán en el desarrollo de los propios
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

sistemas; además, por medio de los diagramas el programador puede visualizar el

panorama específico del sistema, para elaborar de manera más precisa la
codificación de instrucciones para el programa
Modelos de sistemas
Diccionario de datos
Diagrama de flujos de datos
Diagrama modular

PAPELES DE TRABAJO: son todos los documentos recopilados durante la

auditoría y registrarlos formalmente; estos documentos pueden ser manuscritos,
manuales, instructivos, gráficas, resultados de procesamientos, concentrados de
bases de datos en disquetes, respaldos (backups) o cualquier otro medio escrito o
electromagnético, en los cuales recopilará los hechos, pruebas, tabulaciones,
interpretaciones, así como el análisis de los datos obtenidos. Con todo lo anterior,
el auditor tendrá un apoyo para confirmar los hechos y validar la información que
utilizará como base para elaborar el informe de auditoría.

El legajo de papeles de trabajo, por su naturaleza y contenido, es el aspecto

fundamental para elaborar el dictamen de la auditoría, y su uso es confidencial y
exclusivo del auditor de sistemas, debido a que éste va integrando en estos
papeles de trabajo los documentos reservados y de uso exclusivo de la empresa,
mismos que recopila durante su revisión y los complementa con los registros, en
papel o en medios electromagnéticos, que obtiene como evidencias formales de
alguna desviación en el área de sistemas auditada.

LOS PAPELES DE TRABAJO PUEDEN SER:

 Documentos propios del ente auditor
 Documentos generados por la actividad analítica de los auditores
 Evidencias recabadas del auditado
 Evidencias recabadas de terceros (origen externo)
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

Documentos propios del ente Documentos generados por la

auditor actividad analítica de los auditores

procedimientos utilizados

conciliación

Evidencias recabadas del auditado Evidencias recabadas de terceros

Documentos en copias certificadas

aspectos significativos
control interno os.

conciliación
aspectos significativos
certificados.

A continuación presentaremos una propuesta para integrar estos papeles:

Hoja de identificación
Índice de contenido de los papeles de trabajo
Dictamen preliminar (borrador)
Resumen de desviaciones detectadas (las más importantes)
Situaciones encontradas (situaciones, causas y soluciones)
Programa de trabajo de auditoría
Guía de auditoría
Inventario de software
Inventario de hardware
Inventario de consumibles
Manual de organización
Descripción de puestos
Reportes de pruebas y resultados
Respaldos (backups) de datos, disquetes y programas de aplicación de
auditoría
Respaldos (backups) de las bases de datos y de los sistemas
Guías de claves para el señalamiento de los papeles de trabajo
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

Cuadros y estadísticas concentradores de información

Anexos de recopilación de información
Diagramas de flujo, de programación y de desarrollo de sistemas
Testimoniales, actas y documentos legales de comprobación y confirmación
Análisis y estadísticas de resultados, datos y pruebas de comportamiento
del sistema
Otros documentos de apoyo para el auditor

 Claves del auditor para marcar papeles de trabajo: Son las marcas de
carácter informal que utiliza exclusivamente el auditor o el grupo de auditores que
realizan la auditoría, con el fin de facilitar la uniformidad de los papeles de trabajo
y para identificarlos mejor.

Propuesta de símbolos convencionales utilizados en una auditoria de

sistemas computacionales:

Informe final de la auditoría: es un documento en el que se hace la presentación

formal de los resultados obtenidos durante la auditoría.
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

Características de la presentación del informe de auditoría: entre las

características deben tener el informe final son la redacción y la presentación; para
lograr mejores resultados en la elaboración del citado informe, el auditor debe
tomar en cuenta las características que proponemos a continuación:

Claridad Exactitud
Confiabilidad Imparcialidad
Propiedad Objetividad
Concisión Congruencia
Sencillez Familiaridad
Asertividad Veracidad
Ilación Efectividad
Tono y fuerza Positividad
Oportunidad Sintaxis
Precisión

Estructura del informe de auditoría de sistemas computacionales: Aunque

hay muchas formas de presentar el informe de auditoría de sistemas
computacionales, de acuerdo con las preferencias de la empresa o del auditor que
realiza la auditoría, a continuación proponemos un modelo para presentarlo.

 Oficio de presentación
 Introducción
 Dictamen de la auditoría
 Situaciones relevantes
 Situaciones detectadas
 Anexos
 Confirmaciones en papeles de trabajo
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

4.2. AUDITORIA EN EL DESARROLLO DE SISTEMAS

2ª etapa: Ejecución de la auditoría de sistemas computacionales

E.1 Realizar las acciones programadas para la auditoría
E.2 Aplicar los instrumentos y herramientas para la auditoría
E.3 Identificar y elaborar los documentos de desviaciones encontradas
E.4 Elaborar el dictamen preliminar y presentarlo a discusión
E.5 Integrar el legajo de papeles de trabajo de la auditoría

3ª etapa: Dictamen de la auditoría de sistemas computacionales

D.1 Analizar la información y elaborar un informe de situaciones detectadas
D.1.1 Analizar los papeles de trabajo
D.1.2 Señalar las situaciones encontradas
D.1.3 Comentar las situaciones encontradas con el personal de las áreas
afectadas
 AUDITORIA DE SISTEMAS. MSC. ING. LIZDEITH AÑEZ

D.1.4 Realizar las modificaciones necesarias

D.1.5 Elaborar un documento de situaciones relevantes
D.2 Elaborar el dictamen final
D.2.1 Analizar la información y elaborar un documento de desviaciones
detectadas
D.2.2 Elaborar el informe y el dictamen formales
D.2.3 Comentar el informe y el dictamen con los directivos del área
D.2.4 Realizar las modificaciones necesarias
D.3 Presentar el informe de auditoría
D.3.1 Elaboración del dictamen formar
D.3.2 Integración del informe de auditoria
D.3.3 Presentación del informe de auditoria
D.3.4 Integración de los papeles de trabajo