Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Vicerrectorado-Académico
Coordinación General de Pregrado
Proyecto de Carrera: Ingeniería Informática
Cátedra: Auditoria de Sistemas
Sección: 01
Profesor: Integrantes:
Edelalcira Millán
Abreo Jessica C.I: 21.609.642
Madriz Saryross C.I 17.632.933
Montero José C.I: 20.037.142
Muñoz Cristobal C.I: 21.249.515
Roa Baiser C.I: 20.840.138
Introducción…………………………………………………………………………......6
Planeación de Auditoría…………………………………………………………………7
Definición de planeación, planeación de trabajo…………………………………..7
Conceptos de planificación de auditoria y su importancia…………………...........8
Beneficios de una planificación de auditoria………………………………............9
Etapas de la planificación de la auditoria……………………………………….............9
Planificación Preliminar o Desarrollo de la estrategia de auditoría ………...........9
Planificación Específica o Planificación detallada …………………….…...........10
Auditoria de sistemas computacionales ……………………………………….............11
Definición de Auditoría de Sistemas …………………………………….…...........11
Fases de la planificación de auditoría en sistemas computacionales ……............11
1. Identificar el origen de la auditoría......................................................... . . . . ..12
1.1.Por Solicitud expresa de procedencia interna ……………………............13
1.1.1. A petición de accionistas, socios y dueños ………….……...........13
1.1.2. Por orden de la dirección general…………………………............14
1.1.3. Por orden de las gerencias o departamentos a nivel superior. . . . .14
1.1.4. A solicitud de funcionarios y empleados de otros niveles….........14
1.2.Por solicitud expresa de procedencia externa……………………….........14
1.2.1. Por mandato de autoridades judiciales………………………........14
1.2.2. Por ordenamiento de las autoridades fiscales……………….........15
1.2.3. Por revisiones de autoridades de seguridad social y del trabajo. . .15
1.2.4. Por revisiones de otras autoridades………………………….........15
1.2.5. Por solicitud de proveedores y acreedores………………….........16
1.2.6. Por solicitud de distribuidores y desarrolladores de software y
hardware……………………………………………………...........16
1.2.7. A petición de empresas externas…………………………….........16
1.3.Como consecuencia de emergencias y condiciones especiales…….........16
1.3.1. De incidencia interna………………………………………...........16
1.3.2. De incidencia externa………………………………………..........17
1.4.Por riesgos y contingencias informáticas…………………………...........17
1.4.1. Riesgos y contingencias del personal informático…………........17
1.4.2. Riesgos y contingencias físicas……………………………..........17
1.4.3. Riesgos y contingencias operativas (lógicas)……………… . . . . 18
1.4.4. Riesgos y contingencias de software………………………..........18
1.4.5. Riesgos y contingencias en las bases de datos……………...........18
1.4.6. Otros riesgos y contingencias en el área de sistemas……….........18
1.5.Como resultado de los planes de contingencia……………………..........18
1.5.1. Por la carencia de planes de contingencia…………………..........18
1.5.2. Por la elaboración de planes de contingencia……………........…18
1.5.3. Por la aplicación de los planes de contingencia……………….......18
1.6.Por resultados obtenidos de otras auditorías…………………………........18
1.6.1 Como parte del programa integral de auditoría…………………........19
2. Realizar una visita preliminar al área que será evaluada…………………......20
2.1 Visita preliminar de arranque……………………………………….........20
2.2 Contacto inicial con funcionarios y empleados del área…………….......20
2.3 Identificación preliminar de la problemática del área de sistemas….......21
2.4 Prever los objetivos iniciales de la auditoría…………………………......21
2.5 Calcular los recursos y personas necesarias para la auditoría………......21
3. Establecer los objetivos de la auditoría…………………………………........22
3.1.Objetivo general………………………………………………………......22
3.2.Objetivos específicos………………………………………………….....22
4. Determinar los puntos que serán evaluados en la auditoría ………………....23
4.1.Evaluación de las funciones y actividades del personal del área de
sistemas…………………………………………………………………...23
4.2.Evaluación de las áreas y unidades administrativas del centro de
cómputo………………………………………………………………......23
4.3.Evaluación de la seguridad de los sistemas de información…………....24
4.4.Evaluación de la información, documentación y registros de los sistemas....
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
4.5.Evaluación de los sistemas, equipos, instalaciones y
componentes…………………………………………………………….....24
4.5.1. Evaluación de los recursos humanos del área de sistemas……....24
4.5.2. Evaluación del hardware……………………………………….....24
4.5.3. Evaluación del software………………………………………......24
4.5.4. Evaluación de equipos, instalaciones y demás componentes…....25
4.6.Elegir los tipos de auditoría que serán utilizados
4.7.Determinar los recursos que serán utilizados en la auditoría. . . . . . . . . ..25
4.7.1. Personal para la auditoría de sistemas…………………………......25
4.7.2. Personal del área que será evaluada…………………………….....25
4.7.3. Apoyo de los sistemas y equipos técnicos e informáticos……......25
4.7.4. Apoyos materiales y administrativos………………………….......25
4.7.5. Recursos económicos………………………………………….......26
5. Elaborar planes, programas y presupuestos para realizar la auditoría …….....26
5.1.Elaborar el documento formal de los planes de trabajo para la auditoría..26
5.1.1. Carátula de identificación del plan de auditoría………………...…27
5.1.2. Índice de contenido………………………………………………..28
5.1.3. Contenido de los planes para realizar la auditoría ……………..…29
5.1.3.1.Definición de objetivos………………………………………..29
5.1.3.2. Delimitación de estrategias para el desarrollo de la
auditoría…………………………………………………….....29
5.1.3.3.Planes de auditoría………………………………………….....29
5.1.3.4.Definición de normas, políticas y lineamientos para el desarrollo
la auditoría………………………………………………….....29
5.1.3.5.Diseñar las etapas, eventos y tareas en que se dividirá la
auditoría…………………………………………………….....30
5.1.3.6.Calcular la duración de las tareas y eventos para satisfacer los
objetivos de la auditoría…………………………………….....30
5.1.3.7.Distribuir los recursos que serán utilizados en las diferentes
etapas, actividades y tareas de la auditoría……………….......30
5.1.3.8.Confeccionar los planes concretos para la auditoría………....30
5.2.Elaborar el documento formal de los programas de auditoría……….......31
5.2.1. Gráfica del programa de actividades………………………….......31
5.2.1.1.Definición de las etapas y eventos que se deben llevar a cabo
5.2.1.2.Definición de las actividades y tareas…………………….......32
5.2.1.3.Elaborar los programas de actividades para realizar la
auditoría…………………………………………………….....32
5.2.1.3.1. Definir de manera precisa las etapas de la auditoría..33
5.2.1.3.2. Identificar concretamente los eventos que se deben llevar
a cabo en cada etapa de la auditoría…………………33
5.2.1.3.3. Delimitar lo más claramente posible las actividades
tareas y acciones para cada evento…………………..33
5.2.1.4.Distribuir los recursos que serán utilizados en las diferentes
etapas, eventos, actividades y tareas………………………....34
5.2.1.5.Calcular la duración de las etapas, actividades y tareas planeadas
para la auditoría……………………………………………....34
5.3.Elaborar los presupuestos para la auditoría……………………………...34
5.3.1. Asignación de los costos de los recursos ……………………….34
5.3.2. Control de los costos de los recursos…………………………....34
6. Identificar y seleccionar los métodos, procedimientos, instrumentos y
herramientas necesarias para la auditoría …………………………………....35
6.1.Establecer la guía de ponderación de los puntos que serán evaluados….35
6.1.1. Definir las áreas y puntos de sistemas que serán auditados……..35
6.1.2. Definir el peso de la ponderación por las áreas y puntos que serán
evaluados………………………………………………………....36
6.1.3. Realizar el documento de ponderación de la auditoría………….36
6.2.Elaborar la guía de la auditoría…………………………………………...37
6.2.1. Determinar las áreas y puntos concretos que serán evaluados en el
ambiente de sistemas……………………………………………...37
6.2.2. Seleccionar los métodos, procedimientos, herramientas e
instrumentos de evaluación……………………………………….37
6.2.3. Elaborar el documento formal de la guía de evaluación…………38
6.3.Elaborar los documentos necesarios para la auditoría…………………..38
6.3.1. Diseñar los instrumentos de recopilación de información para la
auditoría……………………………………………………….....38
6.3.2. Diseñar los cuestionarios, entrevistas y encuestas................... . ..38
6.3.3. Diseñar los modelos y formatos para los inventarios del área de
sistemas……………………………………………………….......39
6.3.4. Diseñar los métodos e instrumentos de muestreo……………......39
6.4.Determinar herramientas, métodos y procedimientos para la auditoria de
sistemas……………………………………………………………….......39
6.4.1. Establecer los métodos y procedimientos que serán utilizados en la
auditoría………………………………………………………......39
6.4.2. Determinar las técnicas y procesos específicos que serán utilizados
en la auditoría…………………………………………………......40
6.4.3. Elaborar los documentos formales para los procedimientos,
métodos, herramientas e instrumentos que serán utilizados en la
auditoría…………………………………………………………..40
6.5.Diseñar los sistemas, programas y métodos de pruebas para la auditoría..40
6.5.1. Determinar los puntos de interés, programas, bases de datos,
archivos y sistemas que serán evaluados mediante programas y
pruebas de cómputo…………………………………………….....40
6.5.2. Diseñar las pruebas, programas y sistemas para realizar las
evaluaciones necesarias para el funcionamiento de los sistemas
computacionales, bases de datos y archivos……………………...41
6.5.3. Aplicar y obtener los resultados de las pruebas, programas y
sistemas para realizar las evaluaciones necesarias………………..41
6.5.4. Diseñar, aplicar y evaluar los resultados de los programas, métodos
y pruebas de simulación al sistema................................................41
7. Asignar los recursos y sistemas computacionales para la auditoria …………42
7.1.Asignar los recursos humanos para la realización de la auditoría……….42
7.2.Asignar los recursos informáticos y tecnológicos para la realización de la
auditoría…………………………………………………………………...42
7.3.Asignar los recursos materiales y de consumo para la realización de la
auditoría…………………………………………………………………...42
7.4.Asignar los demás recursos para la realización de la auditoría…………..43
Conclusión……………………………………………………………………………..44
Bibliografía…………………………………………………………………………….45
Introducción
La auditoría tiene como objetivo específico evaluar la eficiencia y eficacia con la que se
está realizando cualquier actividad de cualquier empresa, esto con el fin de que se tomen
decisiones que permitan corregir o mejorar los procesos que conforman la realización de
actividades competentes de la organización.
Planeación
Ejecución
Informe
La planeación como primera fase, consta en establecer relaciones entre los auditores y
la entidad que se va a auditar, determinar alcance y objetivos, y finalmente realizar un
bosquejo de la situación de la entidad.
Finalmente tenemos la tercera fase informe, como fase final debe presentar un reporte
completo sobre la estructura del control interno de la entidad, realizar conclusiones y
recomendaciones resultantes de la auditoria y finalmente detallarse en forma clara y
sencilla los hallazgos encontrados.
El primer paso para la realización de una auditoria es definir las actividades necesarias
para poder llevarla a cabo, para esto se debe realizar una adecuada planificación de estas
actividades, donde deben identificarse las razones o el motivo por el que se va a llevar a
cabo la auditoria y determinar los objetivos de la misma, diseñar los métodos, técnicas y
procedimientos necesarios para llevarla a cabo, preparar planes, programas y presupuestos
de la auditoria.
En pocas palabras, el responsable de la planeación debe iniciar todas estas labores con
el planteamiento de las siguientes preguntas:
La planeación implica crear el futuro desde el presente con una visión prospectiva,
es decir como una prolongación de éste y comprende por lo tanto el establecimiento
anticipado de objetivos, políticas, estrategias, reglas, procedimientos, programas,
presupuestos, pronósticos, etc.
La planeación de trabajo
Se deberán cumplir, entre otros, los siguientes pasos durante la planificación específica:
Este es el más común de los orígenes de una auditoria, en el caso de los sistemas, la
solicitud de auditoría va enfocada hacia el aprovechamiento de los recursos del área de
sistematización de la empresa. Y está en su mayor parte de veces esta revisiones se
encargan a auditores externos sean empresas, profesionistas o despachados independientes,
siempre y cuando sean ajenos a la empresa, con el propósito de contar con un crítico más
objetivo, imparcial y profesional sobre el aprovechamiento de los sistemas
computacionales. En contados casos, esta auditoría también se realiza la manera interna, ya
sea como parte de la evaluación total de la empresa, por revisión especial de algún aspecto.
En estos casos la solicitud de auditoría se considera como una orden y se hace la
revisión casi por obligación.
Este es uno de los orígenes más importantes de una auditoría externa y es cuando las
autoridades fiscales solicitan (imponen) la realización de una auditoria; por lo general ésta
es de tipo externo, realizada por una empresa, despacho o auditor independiente, casi
siempre está enfocada a revisar la información de tipo impositivo que se procesa en los
sistemas computacionales de la empresa.
Para el caso concreto de los sistemas, estas auditorías por lo general son de tipo externo y
se derivan de algún mandato de carácter fiscal, en el cual se deben aclarar específicamente
todos los aspectos que se requieren evaluar.
Estas auditorías también pueden realizarse ocasionalmente para verificar las
licencias de uso del software y la paquetería institucional, con el fin de evitar la piratería
informática o para algún aspecto similar de los sistemas computacionales.
Cabe aclarar que estas solicitudes de auditoría solamente pueden ser obligatorias
cuando son por un mandato de las autoridades fiscales (formalizado por oficio).
Es de suma importancia que el auditor realice una visita previa al área de sistemas
que será auditada, justo después de conocer el origen de la petición de auditoria y antes de
iniciarla formalmente. Esto con el fin de tener un contacto inicial con el personal de dicha
área, además poder observar la distribución de los distintos sistemas, contabilizar la
cantidad de equipos junto con sus principales características, verificar los tipos de
instalaciones y conexiones físicas que existen en el área de sistemas. etc. Y lo más
importante, conocer la problemática a la que se enfrentara en la ejecución de la auditoria y
poder prepararse para la misma.
Para poder realizar esta visita preliminar de manera eficiente, es recomendable que
el auditor siga o cumpla los siguientes puntos:
Visita preliminar de arranque: como lo indica su título, trata sobre una visita preparatoria
al área que será auditada, con el fin de que el auditor pueda apreciar de manera previa las
siguientes interrogantes.
¿Cuántos, cuáles y como son los equipos utilizados para la realización del trabajo?
¿Cómo reacciona el personal ante la visita del auditor?
¿Cuáles son las medidas de seguridad visibles existentes?
¿Qué limitaciones se observan para la realización de la auditoria?
En resumen, el auditor debe obtener un panorama general del área que será
auditada, a fin de conocer la problemática que se le pueda presentar y estar preparado para
la misma. Una vez se cuente con esta información, el auditor podrá como se menciona
anteriormente, diseñar medidas necesarias para una adecuada planeación de la auditoria.
Contacto inicial con funcionarios y empleados del área: durante esta visita preliminar, el
auditor debe establecer un contacto inicial con los funcionarios o empleados del área, esto
con el fin de observar sus reacciones ante la realización de la auditoria e identificar las
posibles limitaciones y temores que influirán en la cooperación del personal.
Cabe destacar, que la visita al auditor casi siempre es mal recibida, ya que crea
molestias en el personal, provoca que este se ponga a la defensiva, oculte información y
trate de evadir cualquier contacto con el auditor.
He aquí donde recae la importancia de este primer contacto con el personal laboral
del área a ser auditada, ya que esto permite de alguna manera “limar asperezas” como se
dice popularmente antes de iniciar la evaluación, y así de alguna forma lograr la
cooperación del personal. También poder vislumbrar el panorama al que se enfrentara
durante la ejecución de la auditoria y preparar una estrategia para el desarrollo de la misma
con la expectativa de los funcionarios.
Esto con el fin de que el auditor tenga un panorama anticipado del comportamiento
de dichos sistemas que se utilizan en esta área.
Prever los objetivos iniciales de la auditoria: Otro plus que se puede obtener de esta visita
preliminar es la anticipación de los objetivos que se pueden satisfacer con la auditoria, o
por lo menos tratar de entender cuáles son las metas que se esperan alcanzar con la
evaluación.
Calcular los recursos y personal necesario para la auditoria: En esta visita preliminar,
también se puede o se debe presentar la posibilidad de calcular el tiempo y la cantidad de
recursos que serán necesarios para llevar a cabo la evaluación, contemplando los recursos
de carácter humano, informáticos, materiales y económicos.
Una vez completado estos pasos, se puede terminar o culminar esta etapa de la
planeación la cual es la visita preliminar al área que será auditada. Ya se cuenta con todos
los datos necesarios para iniciar de manera formal la fase 1 de toda auditoria, es decir la
planeación.
Los siguientes son ejemplos de algunos objetivos específicos de una auditoria en sistemas:
Evaluación de las funciones y actividades del personal del área de sistemas: Este punto
evalúa el cumplimiento de las funciones y actividades establecidas para cada uno de los
puestos que integran el centro de cómputo y todo lo que conforma cada uno de esos puestos
(personal, funcionarios, usuarios). Esto se hace con el fin de verificar si existen o no las
funciones y actividades para cada uno de los puestos del área, si se encuentran por escrito
en documentos formales, si el personal que las debe cumplir las conoce y tiene acceso a los
documentos donde se encuentran.
Evaluación de las áreas y unidades administrativas del centro de cómputo: Este punto
busca evaluar todos los aspectos que pueden influir en el grado de cumplimiento de las
funciones, actividades y operaciones de las áreas y unidades de trabajo del centro de
cómputo.
Evaluación de la seguridad de los sistemas de información: Como su nombre lo indica,
aquí se evalúa todo lo relacionado a la seguridad de los sistemas, como los accesos al
centro de cómputo, ingreso y utilización de los sistemas, consulta o manipulación de la
información contenida en los archivos, seguridad de instalaciones, y todo lo relacionado
con el resguardo de los sistemas.
Determinar los recursos que serán utilizados en la auditoria: El siguiente paso luego de
haber determinado los puntos que serán evaluados, es considerar los recursos que se
utilizaran en la ejecución de la auditoria, por ser una auditoría técnica a un área de
cómputo, es recomendable tomar en cuenta los siguientes recursos:
Personal para la auditoria en sistemas: como su título lo indica, es todo personal
capacitado no solamente en las distintas disciplinas de la auditoria, sino que también
debe tener altos y amplios conocimientos y experiencias en el área de sistemas, y
que pueda así cubrir todos los aspectos relacionados con los sistemas de cómputo.
Personal del área que será evaluada: si bien este personal no está a la disposición
del auditor y el no posee ninguna autoridad sobre él, es recomendable contar con
alguien que pertenezca al personal del área para que este proporcione información,
participe en entrevistas, cuestionarios, etc. Todo esto será utilizado para evaluar los
sistemas.
Apoyo de los sistemas y equipos técnicos e informáticos: como su título lo indica, es
la selección de recursos técnicos, equipos y sistemas computacionales que serán
necesarios para la auditoria de sistemas, los cuales suelen ser muy diversos y
especializados de acuerdo con las necesidades establecidas en la planeación de la
evaluación.
Apoyo materiales y administrativos: en este apartado se incluyen todos los recursos
que no tienen que ver con los sistemas, pero que son imprescindibles para el buen
desempeño de los auditores, tales como asignación de oficinas privadas, apoyo de
mobiliario, materiales y útiles de oficina, todo esto de acuerdo con las necesidades
contempladas en la auditoria.
Recursos económicos: uno de los recursos de gran importancia para el desarrollo de
una auditoria es el apoyo financiero, sobre todo en el caso de auditoria externas. El
auditor necesita comprobar todos los gastos que efectuara durante la evaluación, en
ellos se pueden incluir los viáticos (cantidad de dinero que se le asigna al auditor
para cubrir gastos de viaje, estancia y alimentación), pasajes (cantidad de dinero que
se le asigna al auditor para cubrir gastos de transporte), otros gastos (cantidad de
dinero que cubre gastos inherentes al desarrollo de la evaluación como compra de
materiales informáticos, utensilios de oficina, etc.).
Es la definición formal por escrito, de los objetivos que se pretenden alcanzar con la
auditoría.
En algunos casos es conveniente que en este plan se contemplen las estrategias para
diferentes partes de la auditoría de sistemas; además puede contener las estrategias de
acción y de actuación de los participantes en la revisión.
Son los planes formales de la auditoría, en los cuales se detalla cada una de las
acciones para la evaluación; estos planes serán presentados de acuerdo a las preferencias y
necesidades específicas de auditoría de la empresa, así como de acuerdo a los estándares de
documentación establecidos por la empresa responsable de la evaluación.
Es muy conveniente que los aspectos que regularán las actividades de los auditores
estén perfectamente establecidos en este documento, incluyendo sus alcances y limita-
ciones. También se deben establecer las políticas y lineamientos de acción, de acuerdo al
tipo de auditoría y a la experiencia de los auditores en revisiones similares; todo de acuerdo
con las especificaciones de las empresas, tanto de la responsable de realizar la auditoría
como de la que será auditada.
5.1.3.6 Calcular la duración de las tareas y eventos para satisfacer los objetivos de la
auditoría.
Una vez que fueron precisadas las etapas, eventos y tareas concretas del plan para la
auditoría, el siguiente paso es estimar, lo más exacto posible, su duración, de acuerdo con
su importancia, necesidades concretas y forma en que se satisface en objeto concreto de la
auditoría También se debe calcular la disponibilidad de los responsables para la auditoría.
5.1.3.7 Distribuir los recursos que serán utilizados en las diferentes etapas,
actividades y tareas de la auditoría
Este documento debe estar unido al anterior, ya que es parte integral de él, y debe
contener los mismos aspectos señalados para el plan de auditoría, sólo que se comenta con
los siguientes apartados:
Es la descripción detallada de las acciones y pasos que se deben realizar en cada una
de las etapas de evaluación de las herramientas, instrumentos y métodos de evaluación que
se van a utilizar.
Se establecen por escrito y de preferencia en forma gráfica, todos los tiempos en que
se llevará a cabo cada una de las etapas, eventos y actividades de la auditoría, considerando
para ello el período de duración de cada una de las partes en que se dividió el trabajo de
evaluación.
Este documento se elabora con el anterior, ya que es parte integral del documento de
planeación, y debe contener los mismos aspectos señalados para el plan de auditoría. Este
documento se divide en esta parte sólo para su identificación y conocimiento, ya que
realmente no puede ser separado, y se complementa con los siguientes puntos, los cuales
también se pueden elaborar por separado o en forma conjunta:
5.2.1.3.2 Identificar concretamente los eventos que se deben llevar a cabo en cada
etapa de la auditoría
Tomando como base las etapas establecidas con anterioridad, el siguiente paso es
definir, lo más concretamente posible, cada uno de los eventos que integrarán cada una de
las etapas propuestas en que se dividió la auditoría, de acuerdo con las necesidades
concretas identificadas en los puntos anteriores. Se recomienda utilizar la gráfica de ruta
crítica, la gráfica de Gantt o el programa Project de Microsoft. Tomando el evento como un
suceso esperado, al cual se debe llegar después de una serie de actividades, la identificación
de todos estos eventos es una parte fundamental en la definición de las etapas en que se
divide la auditoría de sistemas.
5.2.1.3.3 Delimitar lo más claramente posible las actividades, tareas y acciones para
cada evento
Una vez que se han definido los eventos que se requieren para integrar las etapas en
que se dividió la auditoría, el siguiente paso es determinar, lo más clara y concretamente
posible, todas y cada una las actividades y tareas concretas que se deberán llevar a cabo
para cada evento. El auditor será el responsable de establecer estas actividades, tareas y
acciones.
5.2.1.4 Distribuir los recursos que serán utilizados en las diferentes etapas, eventos,
actividades y tareas
Una vez establecidas todas las acciones, actividades y tareas para cada uno de los
eventos de las etapas de la auditoría, el siguiente paso es determinar tanto los recursos
humanos como los recursos adicionales que serán utilizados en cada una de esas etapas, ya
sea en forma individual o en forma conjunta.
Esta técnica tiene como fin buscar equilibrio entre áreas o sistemas de informática
que tienen mayor peso y trascendencia, con aquellas que tienen poco peso e importancia en
la evaluación, para que así el auditor a la hora de evaluar cada una de las áreas o sistema
pueda hacerlo de la misma manera, de acuerdo a los establecido en planes, programas y
presupuestos de la auditoría
Esta herramienta de evaluación es un instrumento que permite al auditor compensar
las posibles descompensaciones de las áreas o sistemas de informática que tienen mayor
peso e importancia en la evaluación, comparadas con aquellas que tienen poco peso e
importancia. Esta ponderación se logra mediante los siguientes puntos:
Aquí se definen las áreas, los aspectos de sistemas o los puntos de interés que se
van a evaluar, dándole un peso específico a cada factor; el auditor establece ese peso a su
libre albedrío, y de acuerdo a su experiencia, habilidad y conocimientos sobre el tema. Para
así lograr definir los factores de mayor jerarquía o más representativos de un grupo de
sistemas que serán evaluados. El propósito fundamental de esta definición es darle a cada
uno de estos factores un valor porcentual (peso específico), el cual representará la
importancia de cada factor en toda la evaluación.
6.1.2 Definir el peso de la ponderación por las áreas y puntos que serán
evaluados
Luego que sean definidas las áreas, que serán ponderados, se comienzan a
asignarles un valor porcentual a cada factor elegido, lo cual es un valor particular
establecido por el auditor para cada actividad a evaluar. El total de esas actividades será el
100%. A continuación un ejemplo de esto:
Esta guía le permitirá al auditor que pueda realizar de formar efectiva e eficiente para la
investigación para la auditoría en sistema, ya que le indicará todo el procedimiento que
deberá emplear, los puntos a evaluar, así como también las herramientas que necesitará
para realizar la revisión. Entre los principales aspectos que se deben considerar en la
elaboración de la guía de la auditoría encontramos los siguientes:
Este documento sirve para diseñar las partes que el personal de auditoría debe
evaluar, a fin de que cada auditor entienda cuál será su participación en esta evaluación.
Una vez definidos todos los aspectos señalados en las fases anteriores, y de acuerdo
con lo indicado en documentos terminados de la ponderación de auditoria y la guía de
auditoria de sistemas, el siguiente paso es elaborar los documentos formales que servirán
para recopilar la información útil para hacer la valoración de los aspectos que serán
auditados en el área de sistemas.
6.3.3 Diseñar los modelos y formatos para los inventarios del área de
sistemas
Es de suma importancia que durante la auditoria se levante información sobre los
activos informáticos del área de sistemas, es por esta razón que durante la planeación de la
auditoria, el auditor deba elaborar los formatos en donde se levantaran los inventarios de
hardware, software, mobiliario y equipos, personal de sistemas, información y todos los
demás bienes asignados al área.
Todo esto con el fin de compararlos contra los registros contables de los mismos y
evaluar su adecuado uso.
Una vez definidos los puntos señalados previamente, se deben determinar las
herramientas, métodos y procedimientos que se utilizaran para llevar a cabo la evaluación
en el ambiente de sistemas que se auditara.
Es necesario que el auditor en esta etapa trate de definir los siguientes puntos:
Es decir, las habilidades, practicas, destrezas y pericias que tiene el auditor para
realizar su evaluación, mientras que los procesos son las etapas, actividades y tareas que
sigue el auditor para llevar a cabo su evaluación.
El auditor determina lo más ampliamente posible todos los puntos que serán
evaluados durante la auditoria, detallando los aspectos de sistema que le conviene
auditar. De preferencia especificando el objetivo, las características y la forma de
evaluación que se utilizaran.
6.5.2 Diseñar las pruebas, programas y sistemas para realizar las evaluaciones
necesarias para el funcionamiento de los sistemas computacionales
Contando con los puntos del apartado anterior, ahora se diseñan las pruebas,
programas y sistemas que se utilizaran para la evaluación de los sistemas del
área auditada.
Aquí es donde se hace la asignación del personal de otras áreas de carácter interno,
preferiblemente especializado en el área de sistemas computacionales, debido a sus
conocimientos sobre la funcionalidad del sistema, para así ayudar a realizar las pruebas y
procedimientos de evaluación al sistema que son determinando por el auditor encargado a
realizar la auditoría. Ya que no siempre el auditor no debe conocer todo los sistemas
computacionales, pero si debe utilizar las técnicas de auditoría y apoyarse en expertos
informáticos para realizar su operación.
Aquí se asignan los recursos, que serán las herramientas de trabajo que utilizara el
auditor para realizar su auditoría.
Estos recursos informáticos pueden ser los sistemas computacionales que utilizará
durante su evaluación, que incluyen los propios sistemas, sus componentes y periféricos,
además de los programas, paquetes y utilerías especializadas de evaluación, las bases de
datos e información (real o simulada) del sistema y en sí todo el hardware, software, bases
de datos y demás componentes de sistemas que utilizará durante su auditoría. Todo de
acuerdo con la determinación de los recursos establecida en las etapas anteriores.
Aquí se toman encuentra todo los demás recursos que no pertenecen a los anteriores
y que por ende se necesitan ser usados por el auditor, ejemplo de estos recursos pueden ser
materiales y financiero, viáticos, pasajes, gastos, etc.
CONCLUSIÓN
La planeación comienza en primer lugar con una evaluación de los problemas que se
hayan podido encontrar en la toma de contacto con la empresa a auditar. El primer
resultado de esta fase es la enunciación de los objetivos y alcance de la Auditoría, que será
recogido en un documento formal denominado Plan de Auditoría. Se puede limitar el
alcance del proceso de Auditoría por razones tales como indisponibilidad de recursos,
cercanía a otros procesos o imposibilidad de tomar contacto real en un momento crítico de
una determinada área.
Referencias Bibliográficas:
Referencias Electrónicas:
Lugo Luz María. Fases de la Auditoría. Revisado el 5 de Noviembre del 2014 desde internet:
http://es.slideshare.net/Luzah/fases-de-la-auditora?related=1.
Desconocido. Capítulo V: Planificación de Auditoría. Revisado 8 de Noviembre del 2014 desde internet:
http://ai.espe.edu.ec/wp-content/uploads/2012/07/Manual-de-Auditor%C3%ADa-Gubernamental-Cap-
V.pdf.