Universidad Nacional Experimental de Guayana

Vicerrectorado-Académico
Coordinación General de Pregrado
Proyecto de Carrera: Ingeniería Informática
Cátedra: Auditoria de Sistemas
Sección: 01

Fase 1: Planeación de la Auditoria

Profesor: Integrantes:
Edelalcira Millán
Abreo Jessica C.I: 21.609.642
Madriz Saryross C.I 17.632.933
Montero José C.I: 20.037.142
Muñoz Cristobal C.I: 21.249.515
Roa Baiser C.I: 20.840.138

Ciudad Guayana, 2014

 INDICE

 Introducción…………………………………………………………………………......6
 Planeación de Auditoría…………………………………………………………………7
 Definición de planeación, planeación de trabajo…………………………………..7
 Conceptos de planificación de auditoria y su importancia…………………...........8
 Beneficios de una planificación de auditoria………………………………............9
 Etapas de la planificación de la auditoria……………………………………….............9
 Planificación Preliminar o Desarrollo de la estrategia de auditoría ………...........9
 Planificación Específica o Planificación detallada …………………….…...........10
 Auditoria de sistemas computacionales ……………………………………….............11
 Definición de Auditoría de Sistemas …………………………………….…...........11
 Fases de la planificación de auditoría en sistemas computacionales ……............11
1. Identificar el origen de la auditoría......................................................... . . . . ..12
1.1.Por Solicitud expresa de procedencia interna ……………………............13
1.1.1. A petición de accionistas, socios y dueños ………….……...........13
1.1.2. Por orden de la dirección general…………………………............14
1.1.3. Por orden de las gerencias o departamentos a nivel superior. . . . .14
1.1.4. A solicitud de funcionarios y empleados de otros niveles….........14
1.2.Por solicitud expresa de procedencia externa……………………….........14
1.2.1. Por mandato de autoridades judiciales………………………........14
1.2.2. Por ordenamiento de las autoridades fiscales……………….........15
1.2.3. Por revisiones de autoridades de seguridad social y del trabajo. . .15
1.2.4. Por revisiones de otras autoridades………………………….........15
1.2.5. Por solicitud de proveedores y acreedores………………….........16
1.2.6. Por solicitud de distribuidores y desarrolladores de software y
hardware……………………………………………………...........16
1.2.7. A petición de empresas externas…………………………….........16
1.3.Como consecuencia de emergencias y condiciones especiales…….........16
1.3.1. De incidencia interna………………………………………...........16
1.3.2. De incidencia externa………………………………………..........17
1.4.Por riesgos y contingencias informáticas…………………………...........17
1.4.1. Riesgos y contingencias del personal informático…………........17
1.4.2. Riesgos y contingencias físicas……………………………..........17
1.4.3. Riesgos y contingencias operativas (lógicas)……………… . . . . 18
1.4.4. Riesgos y contingencias de software………………………..........18
1.4.5. Riesgos y contingencias en las bases de datos……………...........18
1.4.6. Otros riesgos y contingencias en el área de sistemas……….........18
1.5.Como resultado de los planes de contingencia……………………..........18
1.5.1. Por la carencia de planes de contingencia…………………..........18
1.5.2. Por la elaboración de planes de contingencia……………........…18
 1.5.3. Por la aplicación de los planes de contingencia……………….......18
1.6.Por resultados obtenidos de otras auditorías…………………………........18
1.6.1 Como parte del programa integral de auditoría…………………........19
2. Realizar una visita preliminar al área que será evaluada…………………......20
2.1 Visita preliminar de arranque……………………………………….........20
2.2 Contacto inicial con funcionarios y empleados del área…………….......20
2.3 Identificación preliminar de la problemática del área de sistemas….......21
2.4 Prever los objetivos iniciales de la auditoría…………………………......21
2.5 Calcular los recursos y personas necesarias para la auditoría………......21
3. Establecer los objetivos de la auditoría…………………………………........22
3.1.Objetivo general………………………………………………………......22
3.2.Objetivos específicos………………………………………………….....22
4. Determinar los puntos que serán evaluados en la auditoría ………………....23
4.1.Evaluación de las funciones y actividades del personal del área de
sistemas…………………………………………………………………...23
4.2.Evaluación de las áreas y unidades administrativas del centro de
cómputo………………………………………………………………......23
4.3.Evaluación de la seguridad de los sistemas de información…………....24
4.4.Evaluación de la información, documentación y registros de los sistemas....
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
4.5.Evaluación de los sistemas, equipos, instalaciones y
componentes…………………………………………………………….....24
4.5.1. Evaluación de los recursos humanos del área de sistemas……....24
4.5.2. Evaluación del hardware……………………………………….....24
4.5.3. Evaluación del software………………………………………......24
4.5.4. Evaluación de equipos, instalaciones y demás componentes…....25
4.6.Elegir los tipos de auditoría que serán utilizados
4.7.Determinar los recursos que serán utilizados en la auditoría. . . . . . . . . ..25
4.7.1. Personal para la auditoría de sistemas…………………………......25
4.7.2. Personal del área que será evaluada…………………………….....25
4.7.3. Apoyo de los sistemas y equipos técnicos e informáticos……......25
4.7.4. Apoyos materiales y administrativos………………………….......25
4.7.5. Recursos económicos………………………………………….......26
5. Elaborar planes, programas y presupuestos para realizar la auditoría …….....26
5.1.Elaborar el documento formal de los planes de trabajo para la auditoría..26
5.1.1. Carátula de identificación del plan de auditoría………………...…27
5.1.2. Índice de contenido………………………………………………..28
5.1.3. Contenido de los planes para realizar la auditoría ……………..…29
5.1.3.1.Definición de objetivos………………………………………..29
5.1.3.2. Delimitación de estrategias para el desarrollo de la
auditoría…………………………………………………….....29
 5.1.3.3.Planes de auditoría………………………………………….....29
5.1.3.4.Definición de normas, políticas y lineamientos para el desarrollo
la auditoría………………………………………………….....29
5.1.3.5.Diseñar las etapas, eventos y tareas en que se dividirá la
auditoría…………………………………………………….....30
5.1.3.6.Calcular la duración de las tareas y eventos para satisfacer los
objetivos de la auditoría…………………………………….....30
5.1.3.7.Distribuir los recursos que serán utilizados en las diferentes
etapas, actividades y tareas de la auditoría……………….......30
5.1.3.8.Confeccionar los planes concretos para la auditoría………....30
5.2.Elaborar el documento formal de los programas de auditoría……….......31
5.2.1. Gráfica del programa de actividades………………………….......31
5.2.1.1.Definición de las etapas y eventos que se deben llevar a cabo
5.2.1.2.Definición de las actividades y tareas…………………….......32
5.2.1.3.Elaborar los programas de actividades para realizar la
auditoría…………………………………………………….....32
5.2.1.3.1. Definir de manera precisa las etapas de la auditoría..33
5.2.1.3.2. Identificar concretamente los eventos que se deben llevar
a cabo en cada etapa de la auditoría…………………33
5.2.1.3.3. Delimitar lo más claramente posible las actividades
tareas y acciones para cada evento…………………..33
5.2.1.4.Distribuir los recursos que serán utilizados en las diferentes
etapas, eventos, actividades y tareas………………………....34
5.2.1.5.Calcular la duración de las etapas, actividades y tareas planeadas
para la auditoría……………………………………………....34
5.3.Elaborar los presupuestos para la auditoría……………………………...34
5.3.1. Asignación de los costos de los recursos ……………………….34
5.3.2. Control de los costos de los recursos…………………………....34
6. Identificar y seleccionar los métodos, procedimientos, instrumentos y
herramientas necesarias para la auditoría …………………………………....35
6.1.Establecer la guía de ponderación de los puntos que serán evaluados….35
6.1.1. Definir las áreas y puntos de sistemas que serán auditados……..35
6.1.2. Definir el peso de la ponderación por las áreas y puntos que serán
evaluados………………………………………………………....36
6.1.3. Realizar el documento de ponderación de la auditoría………….36
6.2.Elaborar la guía de la auditoría…………………………………………...37
6.2.1. Determinar las áreas y puntos concretos que serán evaluados en el
ambiente de sistemas……………………………………………...37
6.2.2. Seleccionar los métodos, procedimientos, herramientas e
instrumentos de evaluación……………………………………….37
6.2.3. Elaborar el documento formal de la guía de evaluación…………38
 6.3.Elaborar los documentos necesarios para la auditoría…………………..38
6.3.1. Diseñar los instrumentos de recopilación de información para la
auditoría……………………………………………………….....38
6.3.2. Diseñar los cuestionarios, entrevistas y encuestas................... . ..38
6.3.3. Diseñar los modelos y formatos para los inventarios del área de
sistemas……………………………………………………….......39
6.3.4. Diseñar los métodos e instrumentos de muestreo……………......39
6.4.Determinar herramientas, métodos y procedimientos para la auditoria de
sistemas……………………………………………………………….......39
6.4.1. Establecer los métodos y procedimientos que serán utilizados en la
auditoría………………………………………………………......39
6.4.2. Determinar las técnicas y procesos específicos que serán utilizados
en la auditoría…………………………………………………......40
6.4.3. Elaborar los documentos formales para los procedimientos,
métodos, herramientas e instrumentos que serán utilizados en la
auditoría…………………………………………………………..40
6.5.Diseñar los sistemas, programas y métodos de pruebas para la auditoría..40
6.5.1. Determinar los puntos de interés, programas, bases de datos,
archivos y sistemas que serán evaluados mediante programas y
pruebas de cómputo…………………………………………….....40
6.5.2. Diseñar las pruebas, programas y sistemas para realizar las
evaluaciones necesarias para el funcionamiento de los sistemas
computacionales, bases de datos y archivos……………………...41
6.5.3. Aplicar y obtener los resultados de las pruebas, programas y
sistemas para realizar las evaluaciones necesarias………………..41
6.5.4. Diseñar, aplicar y evaluar los resultados de los programas, métodos
y pruebas de simulación al sistema................................................41
7. Asignar los recursos y sistemas computacionales para la auditoria …………42
7.1.Asignar los recursos humanos para la realización de la auditoría……….42
7.2.Asignar los recursos informáticos y tecnológicos para la realización de la
auditoría…………………………………………………………………...42
7.3.Asignar los recursos materiales y de consumo para la realización de la
auditoría…………………………………………………………………...42
7.4.Asignar los demás recursos para la realización de la auditoría…………..43
 Conclusión……………………………………………………………………………..44
 Bibliografía…………………………………………………………………………….45
 Introducción

La auditoría tiene como objetivo específico evaluar la eficiencia y eficacia con la que se
está realizando cualquier actividad de cualquier empresa, esto con el fin de que se tomen
decisiones que permitan corregir o mejorar los procesos que conforman la realización de
actividades competentes de la organización.

Toda auditoria está formada o consta de tres fases para su realización:

 Planeación
 Ejecución
 Informe

La planeación como primera fase, consta en establecer relaciones entre los auditores y
la entidad que se va a auditar, determinar alcance y objetivos, y finalmente realizar un
bosquejo de la situación de la entidad.

La segunda fase ejecución, está integrada por la realización de diferentes pruebas y

análisis, así como también evaluar los resultados que se consigan. Detectar errores y fallas
si existen, elaborar conclusiones y recomendaciones para comunicarlas a la unidad
auditora.

Finalmente tenemos la tercera fase informe, como fase final debe presentar un reporte
completo sobre la estructura del control interno de la entidad, realizar conclusiones y
recomendaciones resultantes de la auditoria y finalmente detallarse en forma clara y
sencilla los hallazgos encontrados.

Para motivos de estudios, nos enfocaremos en la primera fase la Planeación, la misma

será estudiada a detalle, se presentaran cada una de las etapas que esta cumple y que se
debe realizar en cada fase para realizar una planeación de manera correcta.
 Primera Fase: Planeación de la Auditoria

El primer paso para la realización de una auditoria es definir las actividades necesarias
para poder llevarla a cabo, para esto se debe realizar una adecuada planificación de estas
actividades, donde deben identificarse las razones o el motivo por el que se va a llevar a
cabo la auditoria y determinar los objetivos de la misma, diseñar los métodos, técnicas y
procedimientos necesarios para llevarla a cabo, preparar planes, programas y presupuestos
de la auditoria.

En pocas palabras, el responsable de la planeación debe iniciar todas estas labores con
el planteamiento de las siguientes preguntas:

 ¿Por qué realizar la auditoria?

 ¿Se debe realizar una vista preliminar al área?
 ¿Cuál es el objetivo que se pretende alcanzar con esta auditoria?

Definición de la planeación, planeación de trabajo.

La planeación implica crear el futuro desde el presente con una visión prospectiva,
es decir como una prolongación de éste y comprende por lo tanto el establecimiento
anticipado de objetivos, políticas, estrategias, reglas, procedimientos, programas,
presupuestos, pronósticos, etc.

La planeación es la determinación de lo que va a hacerse, incluye decisiones de

importancia, como el establecimiento de políticas, objetivos, etc., con el fin de que se pueda
tratar de identificar acciones a través del desarrollo de una estrategia general y un enfoque
detallado, para que se logre generar efectos esperados, o sea también para proyectar un
futuro deseado y los medios efectivos para lograrlo.

La planeación de trabajo

Es la representación gráfica en la que se muestran las actividades de un proyecto

(actividades, tiempo, recursos, responsables)
 La planeación adecuada del trabajo de auditoría ayuda a asegurar que se presta
atención adecuada a áreas importantes de la auditoría, que los problemas potenciales son
identificados y que el trabajo es completado en forma expedita. La planeación también
ayuda para la apropiada asignación de trabajo a los auxiliares y para la coordinación del
trabajo hecho por otros auditores y expertos. [ NIA, 1998 ].

Conceptos de la planificación de auditoria y su importancia

La planificación de auditoría es la fase inicial del proceso de auditoría, comprende

el desarrollo de una estrategia global para su administración, al igual que el establecimiento
de un enfoque apropiado sobre la oportunidad y alcance de los procedimientos de auditoría
que deben aplicarse.

La importancia de planificación de auditoria es que de darse la adecuada

planificación y supervisión el auditor podrá garantizar que se obtenga resultados
satisfactorios que le servirán de base para sustentar su opinión manifestada en su dictamen.
Ya que la planificación de la auditoría permite establecer el alcance de las pruebas a
utilizarse y la supervisión sobre el recurso humano que le colaborará durante el desarrollo
del trabajo, así como también:

 Conocer el manejo de la institución y así destacar los problemas que aquejan.

 Conocer las instalaciones físicas.
 Adquirir conocimientos del sistema de contabilidad del cliente, políticas y
procedimientos del control interno.
 Establecer el estado de confianza que se espera tener en el control interno.
 Determinar y programar la oportunidad de los procedimientos de la auditoría que se
llevarán a cabo.
 Coordinar el trabajo que habrá de efectuarse.
 Beneficios de una planificación

El auditor es el que se encarga de darlas pautas y aspectos necesarios e importantes a

ser tomados en cuenta en el Programa de Auditoría que elabora para poder realizar un
trabajo profesional determinado. El Programa de Auditoría bien elaborado, ofrece los
siguientes beneficios:

 Fijación de la responsabilidad por cada procedimiento establecido.

 Realizar una adecuada distribución del trabajo entre los componentes del equipo de
auditoría, y una permanente coordinación de labores entre los
 mismos.
 Establece una rutina de trabajo económico y eficiente.
 Ayuda a evitar la omisión de procedimientos necesarios.
 Sirve como un historial del trabajo efectuado y como una guía para futuros trabajos.
 Facilita la revisión del trabajo por un supervisor o socio.
 Asegura una adherencia a los Principios y Normas de Auditoría.
 Proporciona las pruebas que demuestren que el trabajo fue efectivamente realizado
cuando era necesario
Etapas de planificación
Planificación Preliminar o Desarrollo de la estrategia de auditoría.

La Planificación Preliminar tiene el propósito d obtener o actualizar la información

general sobre la entidad y las principales actividades sustantivas y adjetivas, a fin de
identificar globalmente las condiciones existente para ejecutar la auditoría.

La información necesaria para cumplir con la fase de planificación preliminar de la

auditoría contendrá como mínimo lo siguiente:

 Conocimiento del ente o área a examinar y su naturaleza jurídica

 Conocimiento de las principales actividades, operaciones, instalaciones,
metas u objetivos a cumplir.
 Determinación dl grado de confiabilidad de la información que la
entidad proporcionara en relación a sus políticas ambientales,
 prevención de riesgos laborales y seguridad industrial.

La planificación preliminar es un proceso que se inicia con la emisión de la orden de

trabajo, se elabora una guía para la visita previa para obtener información sobre la entidad a
ser examinada, continúa con la aplicación de un programa general de auditoría y culmina
con la emisión de un reporte para conocimiento de la Dirección o Jefatura de la unidad de
auditoría, en el que se validan los estándares definidos en la orden de trabajo y se
determinan los componentes a ser evaluados en la siguiente fase de la auditoría

Planificación específica o planeación detallada

En esta fase se define la estrategia a seguir en el trabajo de campo. Tiene incidencia

en la eficiente utilización de los recursos y en el logro de las metas y objetivos definidos
para la auditoría. Se fundamenta en la información obtenida inicialmente durante la
planificación preliminar.

La planificación específica tiene como propósito principal evaluar el control interno,

para obtener información adicional, evaluar y calificar los riesgos de la auditoría y
seleccionar los procedimientos de auditoría a ser aplicados a cada componente en la fase de
ejecución, mediante los programas respectivos.

Se deberán cumplir, entre otros, los siguientes pasos durante la planificación específica:

 Considerar el objetivo general de la auditoria y el reporte de la planificación

preliminar para determinar los componentes a ser evaluados.
 Obtener información adicional de acuerdo con las instrucciones establecidas en la
planificación preliminar.
 Evaluar la estructura de control interno del ente o área a examinar.

Estos aspectos se analizan con mayor detalle en los manuales especializados de

auditoría, emitidos para el efecto por la Contraloría General del Estado.
 PLANEACIÒN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

Auditoría de Sistemas: Es la revisión técnica, especializada y exhaustiva que se

realiza a los sistemas computacionales, software e información utilizados en una empresa,
sean individuales, compartidos y/o de redes, así como a sus instalaciones,
telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión
se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las
medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro
de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el
correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión
oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento
de las funciones, actividades y operaciones de funcionarios, empleados y usuarios
involucrados con los servicios que proporcionan los sistemas computacionales a la
empresa.

La auditoría en informática es de vital importancia para el buen desempeño de los

sistemas de información, ya que proporciona los controles necesarios para que los sistemas
sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática,
organización de centros de información, hardware y software).

Fases de la planificación de auditoría en sistemas computacionales

La planeación de la auditoria tiene tres fases principales:

Primera: Investigación de aspectos generales y particulares de la empresa a
examinar. Comprende el estudio de todas aquellas cosas que hacen distintivas a la empresa
que se habrá de auditar, para poder, con ese conocimiento genérico, decidir los aspectos
específicos que deberá cubrir la planeación de dicha auditoria.
Segunda: Estudio y evaluación del control Interno. Desde el punto de vista técnico
ésta es la fase de planeación más importante e implica el conocimiento formal de los
métodos y rutinas que la empresa tiene establecidos para su operación y administración.
 Tercera: Programación del trabajo de detalle específicamente aplicable. Es decir, la
formulación del programa de trabajo que indique -punto por punto- cada uno de los trabajos
específicos a realizar para lograr la obtención de evidencia suficiente y competente que
apoye las conclusiones de la revisión, sobre las que se basa la opinión final o dictamen.

Estas tres fases se pueden subdividir en 7 etapas las cuales son:

1. Identificar el origen de la auditoría.
2. Realizar una visita preliminar al área que será evaluada.
3. Establecer los objetivos de la auditoría.
4. Determinar los puntos que serán evaluados en la auditoría.
5. Elaborar planes, programas y presupuestos para realizar la auditoría.
6. Identificar y seleccionar los métodos, procedimientos, instrumentos y herramientas
necesarias para la auditoría.
Asignar los recursos y sistemas computacionales para la auditoria.

1. Identificar el origen de la auditoría.

Iniciar la planificación de una auditoría en el área de sistemas es identificar el origen
de la auditoría; es decir, lo primero es saber porque surge la necesidad o inquietud de
realizar una auditoría. Para esto nos debemos preguntar ¿de dónde? ¿Por qué? ¿Quién? o
para que se requieren hacer la evaluación de algún aspecto de sistemas de la empresa.
Para el responsable de realizar la plantación de la auditoría de sistema es de suma
importancia identificar el origen de la auditoría, debido a que además de proporcionarle los
elementos necesarios para hacer una buena plantación de la revisión, también le ayuda a
definir los elementos de juicio que contribuirán a normar su criterio de evaluación.
Conociendo el origen de la auditoría, el auditor también puede definir la manera de enfocar
la revisión.
También puede saber cuáles serán los aspectos primordiales en las evaluaciones, dentro
de la auditoría de sistemas encontramos posibles causas:
 Por solicitud expresa de procedencia interna.
 Por solicitud expresa de procedencia externa.
 Como consecuencia de emergencias y condiciones especiales.
  Por riesgos y contingencias informáticas.
 Como resultado de los planes de contingencias.
 Por resultado obtenidos de otras auditorías.
 Como parte del programa integral de auditoría.

1.1 Por Solicitud expresa de Procedencia Interna

Por solicitud expresa de procedencia interna: Es un origen oficial sobre las
necesidades de realizar una auditoría al área de sistemas de la empresa. Con esta solicitud
se marca el requisito formal para poder llevar a cabo una evaluación en el área de sistema.
Esta petición de revisión a los sistemas de la empresa puede obedecer a muchas causas y
generalmente se encomienda a un auditor externo.

1.1.1 A Petición de Accionistas, Socios y Dueños

Este es el más común de los orígenes de una auditoria, en el caso de los sistemas, la
solicitud de auditoría va enfocada hacia el aprovechamiento de los recursos del área de
sistematización de la empresa. Y está en su mayor parte de veces esta revisiones se
encargan a auditores externos sean empresas, profesionistas o despachados independientes,
siempre y cuando sean ajenos a la empresa, con el propósito de contar con un crítico más
objetivo, imparcial y profesional sobre el aprovechamiento de los sistemas
computacionales. En contados casos, esta auditoría también se realiza la manera interna, ya
sea como parte de la evaluación total de la empresa, por revisión especial de algún aspecto.
En estos casos la solicitud de auditoría se considera como una orden y se hace la
revisión casi por obligación.

1.1.2 Por Orden de la Dirección General

Esta revisión se realiza por una orden directa de quien ejerce la máxima autoridad
en la empresa, pudiendo tener múltiples motivo, tales como una evolución periódica del
área del sistema, por desconfianza de la actuación de los dirigentes del área, para verificar
el cumplimiento de las actividades, para verificar el aprovechamiento de los sistemas más
computacionales de la institución o por algún otro motivo.
1.1.3 Por Orden de las gerencias o departamentos a Nivel Superior
Esta auditoría se origina por una petición de las gerencias y departamento de
mando superior de la empresa, según sus características, estructura de organización y
funciones que desempeñan la misma; en este caso, por alguna razón laboral valida, estos
funcionarios demandan la realización de una auditoria al área del sistema computacional de
la empresa.

1.1.4 A Solicitud de Funcionarios y Empleados de otros niveles

El origen de esta auditoría es algo irregular y poco usual en la empresa, ya que la
solicitudes de auditoría de los niveles más bajos de la jerarquía institucional y, según las
políticas y procedimientos de la empresa, para que esta solicitud sea atendida, en muchos
de los casos se tiene que seguir los canales formales de comunicación y autorización
establecida en la empresa.

1.2 Por Solicitud Expresa de Procedencia Externa

Esta solicitud es hecha por alguien ajeno a la empresa, este tipo de solicitud puede
ser obligatoria si es por mandato expreso de alguna autoridad, o bien por voluntad de la
empresa si alguien ajeno a ésta solicita la auditoria por tener un vínculo leve o amplio con
ella, en este caso la empresa no tiene la obligación de acatar esta solicitudes de auditoría.

1.2.1 Por Mandato de Autoridades Judiciales

Este origen es el más común y siempre se deriva de un mandato de las autoridades
judiciales, quienes por algún motivo solicita (imponen) la realización de una auditoria a la
empresa, esta auditoría puede tener varios orígenes específicos: como resultado de alguna
auditoria anterior, a petición de algún tercero, por la suposición de un delito o por cualquier
otro motivo.
En el caso concreto de los sistemas computacionales, éstos son algunos de los orígenes
más comunes:
 Casi siempre es por la sospecha de piratería
 Por una suposición de carencia de licencias para uso de software
  Por presunción de utilización indebida del mismo software o de la información de
los sistemas
 Por sospechas de un supuesto delito de carácter informático

1.2.2 Por ordenamiento de las autoridades fiscales

Este es uno de los orígenes más importantes de una auditoría externa y es cuando las
autoridades fiscales solicitan (imponen) la realización de una auditoria; por lo general ésta
es de tipo externo, realizada por una empresa, despacho o auditor independiente, casi
siempre está enfocada a revisar la información de tipo impositivo que se procesa en los
sistemas computacionales de la empresa.
Para el caso concreto de los sistemas, estas auditorías por lo general son de tipo externo y
se derivan de algún mandato de carácter fiscal, en el cual se deben aclarar específicamente
todos los aspectos que se requieren evaluar.
Estas auditorías también pueden realizarse ocasionalmente para verificar las
licencias de uso del software y la paquetería institucional, con el fin de evitar la piratería
informática o para algún aspecto similar de los sistemas computacionales.
Cabe aclarar que estas solicitudes de auditoría solamente pueden ser obligatorias
cuando son por un mandato de las autoridades fiscales (formalizado por oficio).

1.2.3 Por revisiones de autoridades de seguridad social y del trabajo

Este tipo de solicitud de auditoría, aunque también es de tipo impositivo, es de
origen muy especial, debido a que solo puede ser derivado de casos inesperados que afecten
a los trabajadores y patrones o por la sospecha de algún delito o irregularidad que repercuta
en la seguridad social y la del trabajo. Se debe especificar mediante mandato judicial, el
tipo de auditoría de sistemas computacionales que se solicite (imponga)
1.2.4 Por revisiones de otras autoridades
Serían muy escasas y poco probables las auditorías de sistemas solicitadas
(ordenadas) por autoridades federales, estatales o municipales.
1.2.5 Por solicitud de proveedores y acreedores
Actualmente no es difícil encontrar una solicitud de auditoría de sistemas por parte
de los proveedores y acreedores de una empresa pero no pasa de ser una solicitud, ya que la
empresa a la que se pretende auditar no está obligada a dar acceso a su información, ni a
sus sistemas, ni a sus bases de datos.
Estas auditorías únicamente pueden realizarse con la autorización de la empresa y
sólo bajo las condiciones y e los campos de sistemas en donde ésta lo permita.
1.2.6 Por solicitud de distribuidores y desarrolladores de software y hardware
La solicitud de auditoría parte de los distribuidores y desarrolladores de hardware y
software, la empresa tiene la facultad de acceder a realizarla o de negarse a ello, según sus
intereses particulares, pero jamás puede ser una auditoría de carácter impositivo.
Una gran parte de estas solicitudes se origina por la suposición de que existen
delitos informáticos relacionados con la piratería de software presunción de carencia de
licencias y/o desconfianza acerca del buen uso del hardware o de los sistemas de la
empresa.
1.2.7 A petición de empresas externas
Esta auditoría se realiza a petición de una institución ajena a la empresa; para este
caso, dicha auditoría solamente se puede llegar a ejecutar si es la voluntad de la empresa, la
cual tiene la facultad de rechazar la evaluación o aceptar que ésta se realice, especificando
sus condiciones, alcances y límites.
1.3 Como consecuencia de emergencias y condiciones especiales
Este tipo de auditorías se realiza cuando se presentan situaciones de emergencia y
condiciones extraordinarias en el área de sistemas, las cuales están fuera de control y
parámetros normales de operación en el centro de cómputo, en dichas situaciones, la
auditoría se realiza casi de inmediato y, en muchos casos, sin que medie la autorización de
funcionarios; de igual forma tiene que evaluar l impacto y posibles daños a las actividades
y funciones del área de sistemas de la empresa, los cuales pueden ser desde leves problemas
hasta verdaderas catástrofes.
1.3.1 De incidencia interna
Estas auditorías se realizan cuando se presenta alguna emergencia o incidencia de
tipo interno en el área de sistemas, la cual repercute en alguno de sus recursos informáticos,
ya sea en el personal o los usuarios, en el equipo de cómputo, la información, instalaciones
o en algún otro elemento relacionado con el área de sistemas. Dicha contingencia interna
puede ser causada por alguna negligencia, por sabotaje, piratería de información o por
algún otro elemento accidental ocurrido dentro de la propia área que pueda influir en el
procesamiento de la información.
1.3.2 De incidencia externa
Esta solicitud de auditoría se presenta por contingencias, emergencias y/o
incidencias de carácter externo que afectan al área de informática, ya sean ocasionadas por
alguna otra área de la empresa, por empresas ajenas o por algún otro agente externo que
tenga contacto con la institución.
Al presentarse las contingencias externas en la empresa, repercuten directamente en
el área de informática, lo cual hace necesaria la realización de una auditoría a los sistemas.
Tomemos como ejemplos las contingencias ocasionadas por virus informáticos, un temblor,
una inundación, etc.
1.4 Por riesgos y contingencias informáticas
Es frecuente que funcionarios, personal o usuarios de sistemas soliciten la realización
de alguna auditoría cuando ha ocurrido alguna contingencia que afecte el procesamiento de
información en la empresa; aunque también puede suceder cuando existe algún riesgo que
pueda repercutir en las actividades y funciones del área de sistematización, así como en el
manejo de los recursos que se le ha asignado.
1.4.1 Riesgos y contingencias del personal informático
Esta solicitud de auditoría se origina por los posibles riesgos derivados de la
actuación del factor humano del área de sistemas, ya sea del personal, de los usuarios, los
asesores o consultores y de los desarrolladores o proveedores de sistemas de la empresa
asimismo, se origina por las contingencias que le pueden ocurrir a este personal.
1.4.2 Riesgos y contingencias físicas
La solicitud de una auditoría de este tipo se origina por una contingencia o posible
riesgo derivado de los aspectos tangibles de la empresa, es decir, de aspectos físicos como
acceso del personal al equipo de cómputo, periféricos y componentes, y en sí a todo lo que
corresponde el hardware del área de sistemas, así como en lo relacionado con las
instalaciones.
1.4.3 Riesgos y contingencias operativas (lógicas)
Son las solicitudes de auditoría de sistemas derivadas de las contingencias y riesgos
que posiblemente repercutirán en el funcionamiento operativo (lógico) del sistema, en
cuanto al comportamiento de sus lenguajes y programas, así como en los niveles de
accesos, privilegios y limitaciones en el manejo de sus archivos, bases de datos, formas de
procesamiento de información.
1.4.4 Riesgos y contingencias de software
El origen de esta solicitud se debe a las contingencias y riesgos que se pueden
presentar debido al manejo de los sistemas operativos, los lenguajes de programación y las
paqueterías de aplicación del área de sistemas.
Las solicitudes de este tipo se originan por mal uso del software, piratería, robos,
falta de licencias y otros delitos informáticos.
1.4.5 Riesgos y contingencias en las bases de datos
Esta solicitud de auditoría se hace exclusivamente para evaluar el manejo de los
datos de la empresa, los cuales están contemplados en la operación de las bases de datos; en
este caso la auditoría se enfocará en forma exclusiva a las contingencias y posibles riesgos
derivados de la administración, procesamiento, custodia, acceso y uso de los datos, ya sea
para detectar alguna negligencia, alteración, dolo o cualquier otra afectación en la
información de la empresa.
1.4.6 Otros riesgos y contingencias en el área de sistemas
Los riesgos y contingencias que se derivan de otros aspectos relacionados con los
sistemas, cuando la solicitud de auditoría tiene este origen dichos aspectos están muy
relacionados con las características y necesidades concretas de procesamiento de
información de la empresa; en este caso, identificar el origen de la solicitud de auditoría es
de suma importancia, ya que de esta manera se enfocará la evaluación en los aspectos de
sistemas que se quieren auditar.
1.5 Como resultado de los planes de contingencia
Una solicitud de auditoría en el área de sistemas la constituyen los planes de
contingencia; ya sea que se carezca de éstos en el área de sistemas y se necesitan evaluar su
posible efecto, o que ya estén establecidos y se requiera evaluar su funcionamiento y grado
de utilidad para dichos sistemas.
1.5.1 Por la Carencia de planes de contingencia
El origen de esta auditoría de sistemas se debe a que no existe ningún plan de
contingencia, ni un documento similar en donde se contempla medidas preventivas o
correctivas relacionadas con la seguridad de la información del área de sistemas.
1.5.2 Por la elaboración de planes de contingencia
Esta solicitud de auditoría se origina debido a que se observan ciertas deficiencias
en la elaboración de algún plan de riesgo y contingencias, ya sea preventivo o correctivo,
ya que mediante esta auditoría se pueden prevenir dichas deficiencias.
1.5.3 Por la aplicación de los planes de contingencia
Cuando la solicitud de la auditoría se debe a la aplicación del plan de contingencia,
es porque se observa deficiencia en los sistemas computacionales, y en muchos casos es
necesario evaluar su funcionamiento y correcta aplicación mediante una auditoría
1.6 Por resultados obtenidos de otras auditorías
Como resultado de la práctica de una auditoría en otra área de la empresa, o aún
dentro de la propia área de sistemas, surja algún aspecto específico que se tiene que evaluar
mediante una auditoría más detallada.
1.6.1 Como parte de un programa integral de auditoría
También es frecuente que existan programas concretos de auditoría integral o
global, los cuales se aplican en la empresa para evaluar la correcta administración y
comportamiento de todas sus áreas; en este caso, la solicitud de auditoría de sistemas forma
parte de dichos proyectos de evaluación integral.
Estos programas pueden ser de carácter global y se pueden aplicar una sola vez,
cuando la auditoría se realiza en forma conjunta, a fin de hacer la evaluación de todas las
unidades de institución.
Lo importante a destacar en este caso es que el origen de esta auditoría se debe a los
resultados de una auditoría anterior.
 2. Realizar una visita preliminar al área que será evaluada

Es de suma importancia que el auditor realice una visita previa al área de sistemas
que será auditada, justo después de conocer el origen de la petición de auditoria y antes de
iniciarla formalmente. Esto con el fin de tener un contacto inicial con el personal de dicha
área, además poder observar la distribución de los distintos sistemas, contabilizar la
cantidad de equipos junto con sus principales características, verificar los tipos de
instalaciones y conexiones físicas que existen en el área de sistemas. etc. Y lo más
importante, conocer la problemática a la que se enfrentara en la ejecución de la auditoria y
poder prepararse para la misma.

Para poder realizar esta visita preliminar de manera eficiente, es recomendable que
el auditor siga o cumpla los siguientes puntos:

Visita preliminar de arranque: como lo indica su título, trata sobre una visita preparatoria
al área que será auditada, con el fin de que el auditor pueda apreciar de manera previa las
siguientes interrogantes.

¿Cuántos, cuáles y como son los equipos utilizados para la realización del trabajo?
¿Cómo reacciona el personal ante la visita del auditor?
¿Cuáles son las medidas de seguridad visibles existentes?
¿Qué limitaciones se observan para la realización de la auditoria?

En resumen, el auditor debe obtener un panorama general del área que será
auditada, a fin de conocer la problemática que se le pueda presentar y estar preparado para
la misma. Una vez se cuente con esta información, el auditor podrá como se menciona
anteriormente, diseñar medidas necesarias para una adecuada planeación de la auditoria.

Contacto inicial con funcionarios y empleados del área: durante esta visita preliminar, el
auditor debe establecer un contacto inicial con los funcionarios o empleados del área, esto
con el fin de observar sus reacciones ante la realización de la auditoria e identificar las
posibles limitaciones y temores que influirán en la cooperación del personal.
 Cabe destacar, que la visita al auditor casi siempre es mal recibida, ya que crea
molestias en el personal, provoca que este se ponga a la defensiva, oculte información y
trate de evadir cualquier contacto con el auditor.

He aquí donde recae la importancia de este primer contacto con el personal laboral
del área a ser auditada, ya que esto permite de alguna manera “limar asperezas” como se
dice popularmente antes de iniciar la evaluación, y así de alguna forma lograr la
cooperación del personal. También poder vislumbrar el panorama al que se enfrentara
durante la ejecución de la auditoria y preparar una estrategia para el desarrollo de la misma
con la expectativa de los funcionarios.

Identificación preliminar de la problemática de sistemas: En la visita preliminar, el autor

debe aprovechar para conocer o saber cuál es la principal problemática a la que se enfrenta
el área de sistemas, su procesamiento de información, administración de bases de datos, etc.

Esto con el fin de que el auditor tenga un panorama anticipado del comportamiento
de dichos sistemas que se utilizan en esta área.

Prever los objetivos iniciales de la auditoria: Otro plus que se puede obtener de esta visita
preliminar es la anticipación de los objetivos que se pueden satisfacer con la auditoria, o
por lo menos tratar de entender cuáles son las metas que se esperan alcanzar con la
evaluación.

Contando con la habilidad, experiencia y conocimientos para la identificación, el

auditor podría señalar los objetivos que se pretenden satisfacer con su auditoria o tal vez
podría seleccionarlos en esta visita preliminar.

Calcular los recursos y personal necesario para la auditoria: En esta visita preliminar,
también se puede o se debe presentar la posibilidad de calcular el tiempo y la cantidad de
recursos que serán necesarios para llevar a cabo la evaluación, contemplando los recursos
de carácter humano, informáticos, materiales y económicos.

Una vez completado estos pasos, se puede terminar o culminar esta etapa de la
planeación la cual es la visita preliminar al área que será auditada. Ya se cuenta con todos
los datos necesarios para iniciar de manera formal la fase 1 de toda auditoria, es decir la
planeación.

3. Establecer los Objetivos de la Auditoria

Luego de haber identificado el origen de la auditoria y haber realizado una visita

preliminar al área que será auditada, se debe establecer lo más clara posible el o los
objetivos de la auditoria, ajustándose a las necesidades de la evaluación. Esto con el fin de
establecer exactamente qué es lo que se busca con este trabajo.

Se pueden determinar los siguientes tipos de objetivos:

Objetivo General: Representa el fin global que se pretende alcanzar con el

desarrollo de la auditoria, en este se plantean todos los aspectos que se evaluaran.

Objetivos Específicos: Representan la señalización concreta de las áreas que se

evaluaran, los sistemas o componentes.

Los siguientes son ejemplos de algunos objetivos específicos de una auditoria en sistemas:

Realizar una revisión con personal multidisciplinario y capacitado en el área de sistemas,

a fin de evaluar dicha área y emitir un dictamen independiente sobre las operaciones del
sistema y la gestión administrativa del área de informática.

Evaluar la utilización y aprovechamiento de los equipos de cómputo, de sus periféricos, de

las instalaciones, mobiliario y equipos del centro de cómputo, así como del uso de sus
recursos técnicos y materiales para el procesamiento de información.
 4. Determinar los Puntos que serán Evaluados en la Auditoria

Luego de haber determinado el origen de la auditoria, realizar la visita preliminar y

haber establecido los objetivos que se esperan alcanzar, el siguiente paso es determinar los
puntos concretos que serán evaluados.

Esta etapa es de suma importancia ya que es el elemento fundamental de apoyo del

auditor, debido a que es producto de un análisis previo tanto del origen de la auditoria, la
visita preliminar y la determinación de los objetivos. Sin este análisis previo, difícilmente
se pueden establecer los puntos que se deben evaluar.

El cumplimiento de esta etapa permite establecer las herramientas y la manera en

que se realizara la evaluación.

A continuación exponemos alguno de los puntos que se pueden determinar en esta

etapa de la planeación de la auditoria:

Evaluación de las funciones y actividades del personal del área de sistemas: Este punto
evalúa el cumplimiento de las funciones y actividades establecidas para cada uno de los
puestos que integran el centro de cómputo y todo lo que conforma cada uno de esos puestos
(personal, funcionarios, usuarios). Esto se hace con el fin de verificar si existen o no las
funciones y actividades para cada uno de los puestos del área, si se encuentran por escrito
en documentos formales, si el personal que las debe cumplir las conoce y tiene acceso a los
documentos donde se encuentran.

Evaluación de las áreas y unidades administrativas del centro de cómputo: Este punto
busca evaluar todos los aspectos que pueden influir en el grado de cumplimiento de las
funciones, actividades y operaciones de las áreas y unidades de trabajo del centro de
cómputo.
Evaluación de la seguridad de los sistemas de información: Como su nombre lo indica,
aquí se evalúa todo lo relacionado a la seguridad de los sistemas, como los accesos al
centro de cómputo, ingreso y utilización de los sistemas, consulta o manipulación de la
información contenida en los archivos, seguridad de instalaciones, y todo lo relacionado
con el resguardo de los sistemas.

Evaluación de la información, documentación y registro de los sistemas: Si bien en el

punto anterior se evalúa la seguridad de los sistemas de información, es necesario realizar
otro apartado para la evaluación exclusiva del activo más importante de una empresa el cual
es la información, aquí con detalle se verifican las bases de datos, sistemas de
almacenamiento, respaldos, la forma de archivar los datos, etc.
Es decir todo lo relacionado al manejo de la información, todo de acuerdo a las
características, forma de procesamiento y sistemas de la empresa.

Evaluación de los sistemas, equipos, instalaciones y componentes: En este punto, se va a

evaluar cómo está funcionando casi todos los componentes del sistema de cómputo de la
empresa.
Siempre es recomendable evaluar los siguientes puntos:
 Evaluación de recursos humanos del área de sistemas: abarca el
cumplimiento de las actividades, tareas y funciones de los integrantes de esta
área, tomando en cuenta la experiencia, conocimientos y habilidades que
deben tener.
 Evaluación de hardware: abarca el aprovechamiento y utilización de los
sistemas de cómputo, de sus componentes, conexiones, equipos asociados,
etc. Esto con el objetivo de verificar si este hardware satisface las
necesidades de procesamiento de información de la empresa.
 Evaluación de software: abarca el aprovechamiento y explotación de los
sistemas operativos, lenguajes de programación, programas de aplicación,
etc. De manera similar al punto anterior, aquí se busca verificar si estos
softwares satisfacen las necesidades de procesamiento de información de la
empresa.
  Evaluación de equipos, instalaciones y demás componentes: Esta evaluación
abarca el aprovechamiento de los bienes muebles e inmuebles, instalaciones
y otros recursos que están directamente involucrados con el bienestar y
comodidad del personal y usuarios del área de sistemas. De igual manera se
incluyen las comunicaciones telefónicas y de datos, todo esto con el fin de
verificar si las conexiones (telefónicas, datos, luz) son las adecuadas para
lograr las metas de operatividad del área de sistemas.

Determinar los recursos que serán utilizados en la auditoria: El siguiente paso luego de
haber determinado los puntos que serán evaluados, es considerar los recursos que se
utilizaran en la ejecución de la auditoria, por ser una auditoría técnica a un área de
cómputo, es recomendable tomar en cuenta los siguientes recursos:
 Personal para la auditoria en sistemas: como su título lo indica, es todo personal
capacitado no solamente en las distintas disciplinas de la auditoria, sino que también
debe tener altos y amplios conocimientos y experiencias en el área de sistemas, y
que pueda así cubrir todos los aspectos relacionados con los sistemas de cómputo.
 Personal del área que será evaluada: si bien este personal no está a la disposición
del auditor y el no posee ninguna autoridad sobre él, es recomendable contar con
alguien que pertenezca al personal del área para que este proporcione información,
participe en entrevistas, cuestionarios, etc. Todo esto será utilizado para evaluar los
sistemas.
 Apoyo de los sistemas y equipos técnicos e informáticos: como su título lo indica, es
la selección de recursos técnicos, equipos y sistemas computacionales que serán
necesarios para la auditoria de sistemas, los cuales suelen ser muy diversos y
especializados de acuerdo con las necesidades establecidas en la planeación de la
evaluación.
 Apoyo materiales y administrativos: en este apartado se incluyen todos los recursos
que no tienen que ver con los sistemas, pero que son imprescindibles para el buen
desempeño de los auditores, tales como asignación de oficinas privadas, apoyo de
mobiliario, materiales y útiles de oficina, todo esto de acuerdo con las necesidades
contempladas en la auditoria.
  Recursos económicos: uno de los recursos de gran importancia para el desarrollo de
una auditoria es el apoyo financiero, sobre todo en el caso de auditoria externas. El
auditor necesita comprobar todos los gastos que efectuara durante la evaluación, en
ellos se pueden incluir los viáticos (cantidad de dinero que se le asigna al auditor
para cubrir gastos de viaje, estancia y alimentación), pasajes (cantidad de dinero que
se le asigna al auditor para cubrir gastos de transporte), otros gastos (cantidad de
dinero que cubre gastos inherentes al desarrollo de la evaluación como compra de
materiales informáticos, utensilios de oficina, etc.).

5. Elaborar planes, programas y presupuestos para realizar la auditoría.

En la planeación formal de la auditoría de sistemas se deben concretar los planes,
programas y presupuestos para dicha auditoría; es decir; se deben elaborar los documentos
que contemplen los planes formales para el desarrollo de la auditoría, los programas donde
se delimiten perfectamente las etapas, eventos, actividades y los tiempos de ejecución para
cumplir con el objetivo, así como los presupuestos de la auditoría, documentos donde se
deben asignar los costos de los recursos que serán utilizados y el tiempo que serán
utilizados para determinada actividad.

5.1 Elaborar el documento formal de los planes de trabajo para la auditoría

Es la elaboración específica y escrupulosa de los planes formales de trabajo para la

auditoría de sistemas computacionales. Estos planes se presentan en un documento oficial
llamado plan de auditoría de sistemas, el cual contiene todos los aspectos relacionados con
la elaboración de dicha auditoría, como lo son:

- Actividades que se van a realizar, los responsables de realizarla, los recursos

materiales y los tiempos.
- Los eventos que servirán de guía de acción.
- La estimación de los recursos humanos, materiales e informáticos que serán
utilizados.
- Los tiempos estimados para las actividades y para la propia auditoría.
- Los auditores responsables y participantes en tales actividades.
5.1.1 Carátula de identificación del plan de auditoría

Es la primera hoja del documento de planeación, en la cual se establecen lo más

claramente posible los siguientes puntos:

 Nombre y logotipo de la empresa responsable de la auditoría:

Contiene la identificación oficial de la empresa responsable de realizar la auditoría,
en caso de ser auditoría externa; es indispensable que esta carátula esté en un papel
con membrete de la institución, despacho o auditor independiente que la llevará a
cabo. Si la responsable de realizar esta evaluación es el área de auditoría interna de
la empresa, el logo y el nombre será de a empresa, pero con la clara identificación
del área de auditoría interna.

 Indicación del nombre del documento

Es la clara identificación de que se trata de un documento oficial, en el cual se
indica caramente que su contenido se refiere al plan de auditoría de sistemas de la
empresa y/o del área que se indica en la misma carátula.
  Nombre de la empresa (área) auditada
Se anota lo más notoriamente posible el nombre de la empresa o del área específica
de sistemas que será auditada, de preferencia inmediatamente después del punto
anterior.

 Nombre del responsable de elaborar el plan de auditoría

Se señala el nombre del auditor responsable de llevar a cabo la auditoría, por lo
general este auditor es el mismo que supervisa la realización de la auditoría, aunque
nada impide que otro lo haga.

 Fecha de vigencia del plan

En algunos casos es el período de realización de la auditoría, desde que inicia hasta
que concluye con la entrega del dictamen formal. En otros casos es la fecha en que
se presenta a discusión y aprobación el plan de auditoría. En ambos casos se deberá
indicar el día (dos dígitos), el mes (dos dígitos), y el año (cuatro dígitos).

5.1.2 Índice de Contenido

Es conveniente que en estos documentos siempre se incluya una sección en donde
se señalen, por nombre del contenido o apartados y por página, todos los puntos en que se
dividió el plan de auditoría.
5.1.3 Contenido de los planes para realizar la auditoría

Es la elaboración escrupulosa de todos los planes formales que el auditor debe

plasmar en un documento oficial llamado plan de auditoría de sistemas, el cual debe con-
tener muy detalladamente las fases, etapas, actividades, recursos y tiempos para realizar la
auditoría.

Es evidente que el auditor determinará el contenido mínimo de estos planes, en base

a sus conocimientos y experiencia; sin embargo, en la elaboración de este documento guía
de auditoría, cuando menos se debe considerar los siguientes aspectos:

5.1.3.1 Definición de objetivos

Es la definición formal por escrito, de los objetivos que se pretenden alcanzar con la
auditoría.

5.1.3.2 Delimitación de estrategias para el desarrollo de la auditoría

En algunos casos es conveniente que en este plan se contemplen las estrategias para
diferentes partes de la auditoría de sistemas; además puede contener las estrategias de
acción y de actuación de los participantes en la revisión.

5.1.3.3 Planes de auditoría

Son los planes formales de la auditoría, en los cuales se detalla cada una de las
acciones para la evaluación; estos planes serán presentados de acuerdo a las preferencias y
necesidades específicas de auditoría de la empresa, así como de acuerdo a los estándares de
documentación establecidos por la empresa responsable de la evaluación.

5.1.3.4 Definición de normas, políticas y lineamientos para el desarrollo la auditoría

Es muy conveniente que los aspectos que regularán las actividades de los auditores
estén perfectamente establecidos en este documento, incluyendo sus alcances y limita-
ciones. También se deben establecer las políticas y lineamientos de acción, de acuerdo al
tipo de auditoría y a la experiencia de los auditores en revisiones similares; todo de acuerdo
con las especificaciones de las empresas, tanto de la responsable de realizar la auditoría
como de la que será auditada.

5.1.3.5 Diseñar las etapas, eventos y tareas en que se dividirá la auditoría

Es la determinación precisa y detallada de cada una de las etapas, eventos y tareas

que deberá cumplir el personal encargado de realizar la auditoría de acuerdo a lo definido
en los anteriores puntos de la planeación.

5.1.3.6 Calcular la duración de las tareas y eventos para satisfacer los objetivos de la
auditoría.

Una vez que fueron precisadas las etapas, eventos y tareas concretas del plan para la
auditoría, el siguiente paso es estimar, lo más exacto posible, su duración, de acuerdo con
su importancia, necesidades concretas y forma en que se satisface en objeto concreto de la
auditoría También se debe calcular la disponibilidad de los responsables para la auditoría.

5.1.3.7 Distribuir los recursos que serán utilizados en las diferentes etapas,
actividades y tareas de la auditoría

Con base en los aspectos que analizamos en la etapa de planeación, y con la

perfecta definición de las etapas, eventos y tareas indicadas en la parte anterior, en esta se
establece, en forma precisa y lo más detalladamente posible, la asignación de los recursos
que serán utilizados en la auditoría, así como el tipo de recursos, el tiempo que serán
utilizados en la tarea, y en sí todos los detalles sobre su utilización.

5.1.3.8 Confeccionar los planes concretos para la auditoría

Es el establecimiento formal de preferencia por escrito y de manera gráfica, de

etapas, eventos, tareas y actividades que integran el plan de auditoría, incluyendo la
duración de cada uno de estos aspectos, así como el tiempo de asignación de los recursos y
en sí todos los aspectos formales del plan de auditoría, los cuales hacen que este documentó
sirva de base a los auditores para realizar la evaluación.
5.2. Elaborar el documento formal de los programas de auditoría

En este documento se anotan, de preferencia en forma de gráfica, todas las etapas,

eventos y actividades que se realizarán durante la auditoría; además, se anota el período de
duración de cada una de las partes en que se dividió el trabajo de evaluación. En algunos
casos, también se anotan los recursos que serán utilizados y la forma de identificarles, y si
es necesario, su costo.

Este documento debe estar unido al anterior, ya que es parte integral de él, y debe
contener los mismos aspectos señalados para el plan de auditoría, sólo que se comenta con
los siguientes apartados:

5.2.1 Gráfica del programa de actividades

Es un documento visual de fácil comprensión, en donde se describe detalladamente

y forma de gráfica el plan de trabajo; es decir, todas las etapas, eventos y actividades
contempladas para la evaluación de los sistemas, así como su duración y los recursos
necesarios para llevarlas a cabo. Este documento puede ser una gráfica de Gantt, de crítica,
de Perth o cualquier otra herramienta de planeación y control.
 En este documento no sólo se describen las etapas y actividades de la auditoría, sino
que también se puede utilizar para su control y supervisión.

5.2.1.1 Definición de las etapas y eventos que se deben llevar a cabo

Es la descripción documental y detallada de la forma de planear el desarrollo y

cumplimiento de las etapas o eventos en que está dividida la evaluación de los sistemas.

5.2.1.2 Definición de las actividades y tareas

Es la descripción detallada de las acciones y pasos que se deben realizar en cada una
de las etapas de evaluación de las herramientas, instrumentos y métodos de evaluación que
se van a utilizar.

5.2.1.3 Elaborar los programas de actividades para realizar la auditoría

Se establecen por escrito y de preferencia en forma gráfica, todos los tiempos en que
se llevará a cabo cada una de las etapas, eventos y actividades de la auditoría, considerando
para ello el período de duración de cada una de las partes en que se dividió el trabajo de
evaluación.

Este documento se elabora con el anterior, ya que es parte integral del documento de
planeación, y debe contener los mismos aspectos señalados para el plan de auditoría. Este
documento se divide en esta parte sólo para su identificación y conocimiento, ya que
realmente no puede ser separado, y se complementa con los siguientes puntos, los cuales
también se pueden elaborar por separado o en forma conjunta:

5.2.1.3.1 Definir de manera precisa las etapas de la auditoría

El responsable de la planeación de la auditoría de sistemas deberá definir, lo más
preciso que pueda, las posibles etapas en que se dividirá la misma, buscando ser congruente
y coherente en la división de las actividades, en cuanto al volumen de trabajo, importancia
del aspecto que será evaluado, en los recursos requeridos y en el peso específico que
tendrán dichas etapas para toda la auditoría. Esta definición de las etapas de la auditoría
debe estar directamente relacionada con lo determinado en los puntos anteriores y con los
objetivos que se buscan satisfacer con la auditoría.

5.2.1.3.2 Identificar concretamente los eventos que se deben llevar a cabo en cada
etapa de la auditoría

Tomando como base las etapas establecidas con anterioridad, el siguiente paso es
definir, lo más concretamente posible, cada uno de los eventos que integrarán cada una de
las etapas propuestas en que se dividió la auditoría, de acuerdo con las necesidades
concretas identificadas en los puntos anteriores. Se recomienda utilizar la gráfica de ruta
crítica, la gráfica de Gantt o el programa Project de Microsoft. Tomando el evento como un
suceso esperado, al cual se debe llegar después de una serie de actividades, la identificación
de todos estos eventos es una parte fundamental en la definición de las etapas en que se
divide la auditoría de sistemas.

5.2.1.3.3 Delimitar lo más claramente posible las actividades, tareas y acciones para
cada evento

Una vez que se han definido los eventos que se requieren para integrar las etapas en
que se dividió la auditoría, el siguiente paso es determinar, lo más clara y concretamente
posible, todas y cada una las actividades y tareas concretas que se deberán llevar a cabo
para cada evento. El auditor será el responsable de establecer estas actividades, tareas y
acciones.

5.2.1.4 Distribuir los recursos que serán utilizados en las diferentes etapas, eventos,
actividades y tareas

Una vez establecidas todas las acciones, actividades y tareas para cada uno de los
eventos de las etapas de la auditoría, el siguiente paso es determinar tanto los recursos
humanos como los recursos adicionales que serán utilizados en cada una de esas etapas, ya
sea en forma individual o en forma conjunta.

5.2.1.5 Calcular la duración de las etapas, actividades y tareas planeadas para la

auditoría

Otro de los puntos fundamentales para elaborar el programa de auditoría, es

determinar la duración de cada uno de los eventos, etapas, actividades tareas y acciones que
integrarán dicho programa; para ello, se deben considerar los recursos que se utilizarán en
la evaluación, ya sean de carácter humano o los adicionales que apoyan el trabajo del
auditor.

5.3 Elaborar los presupuestos para la auditoría

Este presupuesto es parte integral los dos documentos anteriormente analizados,

sólo que se agregan los costos y el tiempo que se utilizarán estos recursos durante la
evaluación.

5.3.1 Asignación de los costos de los recursos

Es la designación en número, tiempo y costo que, de acuerdo con los programas de

trabajo de la auditoría, se hace para utilizar los recursos contemplados para el desarrollo de
dicha auditoría.

5.3.2 Control de los costos de los recursos

Debido a lo limitado de los recursos para el cumplimiento de las actividades de la

auditoría, y aunque no es indispensable esta parte del presupuesto, es conveniente dar a
conocer en este documento los costos de dichos recursos, con el propósito de valorar el
aprovechamiento y adecuada utilización no sólo de los recursos humanos, sino de los otros
recursos informáticos.

6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos

necesarios para la auditoría.
En este punto se determinaran los medios que se usarán para llevar a cabo la
revisión de los sistemas de la empresa, a través de la selección o diseño de los métodos, etc.

6.1. Establecer la guía de ponderación de los puntos que serán evaluados

Esta técnica tiene como fin buscar equilibrio entre áreas o sistemas de informática
que tienen mayor peso y trascendencia, con aquellas que tienen poco peso e importancia en
la evaluación, para que así el auditor a la hora de evaluar cada una de las áreas o sistema
pueda hacerlo de la misma manera, de acuerdo a los establecido en planes, programas y
presupuestos de la auditoría
Esta herramienta de evaluación es un instrumento que permite al auditor compensar
las posibles descompensaciones de las áreas o sistemas de informática que tienen mayor
peso e importancia en la evaluación, comparadas con aquellas que tienen poco peso e
importancia. Esta ponderación se logra mediante los siguientes puntos:

6.1.1. Definir las áreas y puntos de sistemas que serán auditados

Aquí se definen las áreas, los aspectos de sistemas o los puntos de interés que se
van a evaluar, dándole un peso específico a cada factor; el auditor establece ese peso a su
libre albedrío, y de acuerdo a su experiencia, habilidad y conocimientos sobre el tema. Para
así lograr definir los factores de mayor jerarquía o más representativos de un grupo de
sistemas que serán evaluados. El propósito fundamental de esta definición es darle a cada
uno de estos factores un valor porcentual (peso específico), el cual representará la
importancia de cada factor en toda la evaluación.
 6.1.2 Definir el peso de la ponderación por las áreas y puntos que serán
evaluados

Luego que sean definidas las áreas, que serán ponderados, se comienzan a
asignarles un valor porcentual a cada factor elegido, lo cual es un valor particular
establecido por el auditor para cada actividad a evaluar. El total de esas actividades será el
100%. A continuación un ejemplo de esto:

6.1.3. Realizar el documento de ponderación de la auditoría

Luego de realizar los puntos anteriores, se procede a la realización del documento

de ponderación de manera formal, sometiéndolo a la opinión de los demás participantes en
la auditoría, para que los criterios elegidos sean homogéneos de ponderación, a fin de poder
rebuscar todo los tópicos a evaluar sean aplicados de la misma manera. Este documento
debe ser entregado a todo el personal que realizará la auditoria, para que así cada uno sepa
el rol que tendrán en esta evaluación de sistema.
 6.2. Elaborar la guía de la auditoría
Aquí se procede a elaborar la guía de la auditoría, que es un documento de carácter formal,
donde son anotados todos los puntos a evaluar del área sistema y la forma en cómo serán
evaluados cada punto, acompañado de su ponderación.

Esta guía le permitirá al auditor que pueda realizar de formar efectiva e eficiente para la
investigación para la auditoría en sistema, ya que le indicará todo el procedimiento que
deberá emplear, los puntos a evaluar, así como también las herramientas que necesitará
para realizar la revisión. Entre los principales aspectos que se deben considerar en la
elaboración de la guía de la auditoría encontramos los siguientes:

6.2.1 Determinar las áreas y puntos concretos que serán evaluados en el

ambiente de sistemas.

Es la elección específica de todas las áreas, puntos concretos y demás aspectos de

sistemas que serán evaluados, determinados de acuerdo con el programa de auditoría que se
aplicará. Primero se debe elaborar una lista de las áreas y los puntos que serán evaluados,
listándolos de manera ordenada.

6.2.2 Seleccionar los métodos, procedimientos, herramientas e instrumentos de

evaluación

Se deben seleccionar las técnicas, métodos, procedimientos, herramientas y/o

instrumentos* que servirán para realizar la evaluación de cada punto específico. Esto con el
propósito de que el auditor sepa lo que debe utilizar para evaluar el punto que se le indica,
así como la manera de efectuar la evaluación; en algunos casos también se puede incluir un
breve detalle de lo que se desea obtener con el uso de tales herramientas.
 6.2.3 Elaborar el documento formal de la guía de auditoría

Elaborar formalmente la guía de auditoría de sistemas, se recomienda que éste sea

sometido a la opinión y consenso de los demás participantes en la auditoría, a fin de que
entre todos seleccionen las técnicas, métodos, procedimientos, herramientas y/o
instrumentos que sean aplicables a todos los tópicos que serán evaluados.

Este documento sirve para diseñar las partes que el personal de auditoría debe
evaluar, a fin de que cada auditor entienda cuál será su participación en esta evaluación.

6.3 Elaborar documentos necesarios para la auditoria

Una vez definidos todos los aspectos señalados en las fases anteriores, y de acuerdo
con lo indicado en documentos terminados de la ponderación de auditoria y la guía de
auditoria de sistemas, el siguiente paso es elaborar los documentos formales que servirán
para recopilar la información útil para hacer la valoración de los aspectos que serán
auditados en el área de sistemas.

Esto se puede lograr mediante los siguientes puntos:

6.3.1 Diseñar los instrumentos y herramientas de recopilación de

información para la auditoría

El auditor debe definir lo más claramente posible los instrumentos de recopilación

de información que se requieren en la auditoria, de acuerdo con las características y
necesidades de la evaluación que se realizara.
De acuerdo con la experiencia y conocimiento de los auditores, se deben elegir
preferentemente los instrumentos, técnicas, procedimientos y herramientas de recopilación
que satisfagan las necesidades de la evaluación.

6.3.2 Diseñar los cuestionarios, entrevistas y encuestas

El encargado de la auditoria será el responsable de elaborar y autorizar los

cuestionarios, entrevistas y encuestas necesarios para el levantamiento de información. Es
de suma importancia que el auditor de sistemas sepa elaborar correctamente estas
herramientas, ya que estos son la forma de recopilación de información más utilizadas y de
mayor utilidad para el auditor.

6.3.3 Diseñar los modelos y formatos para los inventarios del área de
sistemas
Es de suma importancia que durante la auditoria se levante información sobre los
activos informáticos del área de sistemas, es por esta razón que durante la planeación de la
auditoria, el auditor deba elaborar los formatos en donde se levantaran los inventarios de
hardware, software, mobiliario y equipos, personal de sistemas, información y todos los
demás bienes asignados al área.
Todo esto con el fin de compararlos contra los registros contables de los mismos y
evaluar su adecuado uso.

6.3.4Diseñar los métodos e instrumentos de muestreo

Durante la recopilación de información, el auditor no puede ni debe recopilar toda la
información disponible en el área de sistemas, ya que resultaría fatigoso y muy dilatado el
proceso, por ello deberá aplicar las herramientas estadísticas y matemáticas que le permitan
obtener esta información útil para su evaluación, mediante la correcta elección de los
métodos e instrumentos de muestreo que le permitan tratar mejor a este tipo de
recopilación.

6.4 Determinar herramientas, métodos y procedimientos para la auditoria en sistemas

Una vez definidos los puntos señalados previamente, se deben determinar las
herramientas, métodos y procedimientos que se utilizaran para llevar a cabo la evaluación
en el ambiente de sistemas que se auditara.

Es necesario que el auditor en esta etapa trate de definir los siguientes puntos:

6.4.1 Establecer métodos y procedimientos que serán utilizados en la auditoria

Este punto se refiere a la definición específica de los métodos de trabajo y

procedimientos de auditoria que se aplicaran cuando se ejecute la auditoria a los sistemas,
estos métodos y procedimientos suelen ser guías de trabajo, rutinas, experiencias y
conocimientos específicos que sigue el auditor para realizar su trabajo.

6.4.2 Determinar las técnicas y procesos específicos que serán utilizados en la

auditoria

Es decir, las habilidades, practicas, destrezas y pericias que tiene el auditor para
realizar su evaluación, mientras que los procesos son las etapas, actividades y tareas que
sigue el auditor para llevar a cabo su evaluación.

6.4.3 Elaborar los documentos formales para los procedimientos, métodos,

herramientas e instrumentos que serán utilizados en la auditoría
Una vez determinadas todas las técnicas y procesos que serán utilizados en la
ejecución de la auditoria, el auditor debe plasmar en un documento formal cada uno de
estos instrumentos.

6.5 Diseñar los sistemas, programas y métodos de prueba para la auditoria

Una de las labores del auditor es evaluar forzosamente el adecuado funcionamiento

de los sistemas computacionales de la empresa, esto se lleva a cabo a través de métodos de
pruebas especiales. El auditor debe plasmar en un documento formal todos los sistemas,
programas y métodos que aplicara para la realización de estas pruebas.

A continuación se detallan algunos de estos métodos:

6.5.1 Determinar los puntos de interés, programas, bases de datos, archivos y

sistemas que serán evaluados mediante programas y pruebas de cómputo

El auditor determina lo más ampliamente posible todos los puntos que serán
evaluados durante la auditoria, detallando los aspectos de sistema que le conviene
auditar. De preferencia especificando el objetivo, las características y la forma de
evaluación que se utilizaran.
6.5.2 Diseñar las pruebas, programas y sistemas para realizar las evaluaciones
necesarias para el funcionamiento de los sistemas computacionales

Contando con los puntos del apartado anterior, ahora se diseñan las pruebas,
programas y sistemas que se utilizaran para la evaluación de los sistemas del
área auditada.

6.5.3 Aplicar y obtener los resultados de las pruebas, programas y sistemas

para realizar las evaluaciones necesarias

Una vez diseñado los procedimientos, técnicas y herramientas determinadas en el

punto anterior, el auditor los aplica conforme fueron establecidos para asi obtener
los resultados de su funcionamiento, esto le permitirá hacer las evaluaciones a estos
resultados.

6.5.4 Diseñar, aplicar y evaluar los resultados de los programas, métodos y

pruebas de simulación al sistema

En algunos casos es necesario aplicar simulaciones de los resultados, a fin de

evaluar el comportamiento de estos a la luz de otras pruebas simuladas en equipos
similares o en el mismo equipo, pero con otro tipo de datos. Esto ayuda a
complementar la evaluación de los resultados que se obtienen del sistema de
auditoria.
 7. Asignar los recursos y sistemas computacionales para la auditoría.

En este paso es donde se da comienzo a la asignación de recursos necesarios (sean

especializados, humanos, informáticos, tecnológicos o cualquier otro que se haya
establecido para la auditoría) para la realización de la auditoría y para ello se debe tener
definido todo los aspectos establecidos con anterioridad que son obtenidos de las fases
anteriores.

7.1. Asignar los recursos humanos para la realización de la auditoría.

Aquí es donde se hace la asignación del personal de otras áreas de carácter interno,
preferiblemente especializado en el área de sistemas computacionales, debido a sus
conocimientos sobre la funcionalidad del sistema, para así ayudar a realizar las pruebas y
procedimientos de evaluación al sistema que son determinando por el auditor encargado a
realizar la auditoría. Ya que no siempre el auditor no debe conocer todo los sistemas
computacionales, pero si debe utilizar las técnicas de auditoría y apoyarse en expertos
informáticos para realizar su operación.

7.2. Asignar los recursos informáticos y tecnológicos para la realización de la

auditoría.

Aquí se asignan los recursos, que serán las herramientas de trabajo que utilizara el
auditor para realizar su auditoría.

Estos recursos informáticos pueden ser los sistemas computacionales que utilizará
durante su evaluación, que incluyen los propios sistemas, sus componentes y periféricos,
además de los programas, paquetes y utilerías especializadas de evaluación, las bases de
datos e información (real o simulada) del sistema y en sí todo el hardware, software, bases
de datos y demás componentes de sistemas que utilizará durante su auditoría. Todo de
acuerdo con la determinación de los recursos establecida en las etapas anteriores.

7.3. Asignar los recursos materiales y de consumo para la realización de la auditoría.

Aquí se asignan los recursos no especializados (sean cintas, papelerías, equipos de

oficinas, pendrive) que necesita el auditor para realizar su evaluación.
7.4. Asignar los demás recursos para la realización d la auditoría.

Aquí se toman encuentra todo los demás recursos que no pertenecen a los anteriores
y que por ende se necesitan ser usados por el auditor, ejemplo de estos recursos pueden ser
materiales y financiero, viáticos, pasajes, gastos, etc.
 CONCLUSIÓN

El proceso de la planeación permite al auditor poder identificar las áreas más

importantes y los problemas potenciales del examen, evaluar el nivel de riesgo y programas
la obtención de evidencia necesaria para examinar los distintos componentes de la entidad
auditada. Todo esto con el fin de que el auditor con ayuda de la planificación pueda
determinar de manera efectiva y eficiente la forma de obtener los datos necesarios e
informar acerca de entidad la cual será auditado.

La planeación comienza en primer lugar con una evaluación de los problemas que se
hayan podido encontrar en la toma de contacto con la empresa a auditar. El primer
resultado de esta fase es la enunciación de los objetivos y alcance de la Auditoría, que será
recogido en un documento formal denominado Plan de Auditoría. Se puede limitar el
alcance del proceso de Auditoría por razones tales como indisponibilidad de recursos,
cercanía a otros procesos o imposibilidad de tomar contacto real en un momento crítico de
una determinada área.

En cualquier caso, una vez definido el alcance, se debe proceder a la planificación

de recursos, entendida como la especificación de tiempo, plazos, recursos humanos,
recursos materiales y costo del proceso.
 BIBLIOGRAFÍA

Referencias Bibliográficas:

Muñoz Razo, C. (2002) Auditoría en Sistemas Computacionales. Mexico: Pearson Educación

Referencias Electrónicas:

Monografías. Conceptos de la Auditorías de Sistemas. Revisado el 1 de Noviembre del 2014 desde

internet: http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml

Lugo Luz María. Fases de la Auditoría. Revisado el 5 de Noviembre del 2014 desde internet:
http://es.slideshare.net/Luzah/fases-de-la-auditora?related=1.

Desconocido. Capítulo V: Planificación de Auditoría. Revisado 8 de Noviembre del 2014 desde internet:
http://ai.espe.edu.ec/wp-content/uploads/2012/07/Manual-de-Auditor%C3%ADa-Gubernamental-Cap-
V.pdf.