UNIVERSIDAD NACIONAL JOSE FAUSTINO SANCHEZ CARRION

FACULTAD DE CIENCIAS ECONÓMICAS, CONTABLES Y

FINANCIERAS
ESCUELA PROFESIONAL DE CIENCIAS CONTABLES Y
FINANCIERAS

ETAPA DE FORMULACION EN UNA AUDITORIA DE

SISTEMAS.

INTEGRANTES:
JUAN DE DIOS GONZALES, LUIS FRANCO
CHAVEZ OYOLA, WALDIR

DOCENTE:
MG. ROMERO ARANDA, VILMA GLADYS

HUACHO- PERÚ
2019
 ÍNDICE
ÍNDICE .................................................................................................................................. 2
DEDICATORIA .................................................................................................................... 4
INTRODUCCIÓN ................................................................................................................. 5
CAPÍTULO I: AUDITORÍA DE SISTEMAS ............................................................. 7
1.1. DEFINICIÓN DE AUDITORIA ..................................................................... 7
1.2. AUDITORÍA DE SISTEMAS ........................................................................ 7
1.3. OBJETIVOS DE LA AUDITORIA DE SISTEMAS ........................................ 8
CAPÍTULO II: METODOLOGÍA ............................................................................ 10
2.1. PROCESO METODOLÓGICO DE LA AUDITORÍA EN SISTEMAS ......... 11
2.2. REQUISITOS PARA EL ÉXITO DEL PROCESO METODOLÓGICO ....... 12
CAPÍTULO III: ETAPA DE FORMULACIÓN ........................................................ 15
3.1. VERIFICACIÓN DE PRIORIDADES, RESTRICCIONES Y ALCANCES DEL
PROYECTO .............................................................................................. 15
3.1.1. PRIORIDADES:.................................................................................... 15
3.1.2. RESTRICCIONES: ............................................................................... 16
3.1.3. ALCANCE: ........................................................................................... 16
3.2. ACTUALIZACIÓN DEL PLAN DE AUDITORÍA DE SISTEMAS ................ 16
3.3. PRESENTACIÓN FORMAL DEL PLAN DE AUDITORÍA DE SISTEMAS . 16
3.4. APROBACIÓN FORMAL DEL PROYECTO DE AUDITORÍA DE SISTEMAS
............................................................................................................. 17
3.5. COMPROMISO EJECUTIVO: ................................................................... 18
CAPÍTULO IV: ESTRUCTURA DEL INFORME DE AUDITORÍA DE SISTEMAS
COMPUTACIONALES ......................................................................................... 19
4.1. OFICIO DE PRESENTACIÓN ................................................................... 20
4.1.1. LOGOTIPO DE IDENTIFICACIÓN ....................................................... 21
4.1.2. NOMBRE DE LA EMPRESA (O ÁREA INTERNA DE AUDITORÍA) .... 21
4.1.3. FECHA DE EMISIÓN DEL INFORME.................................................. 21
4.1.4. IDENTIFICACIÓN DE LA EMPRESA O ÁREA AUDITADA ................. 21
4.1.5. EJECUTIVO RECEPTOR DEL INFORME ........................................... 21
4.1.6. PERÍODO DE LA EVALUACIÓN ......................................................... 22
 4.1.7. CONTENIDO (O CUERPO DEL OFICIO) ............................................ 22
4.1.8. RESPONSABLE DE EMITIR EL DICTAMEN ...................................... 22
4.1.9. FIRMA DEL RESPONSABLE .............................................................. 22
4.2. INTRODUCCIÓN DEL INFORME DE AUDITORÍA DE SISTEMAS
COMPUTACIONALES............................................................................... 23
4.2.1. ASPECTOS GENERALES ................................................................... 23
4.2.1.1. PRÓLOGO ........................................................................................... 24
4.2.1.2. OBJETIVO ........................................................................................... 24
4.2.1.3. JUSTIFICACIÓN .................................................................................. 25
4.2.2. METODOLOGÍA UTILIZADA ............................................................... 25
4.2.3. NARRATIVA POR CAPÍTULOS ........................................................... 25
4.3. DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES .. 26
4.3.1. PRESENTACIÓN DEL DICTAMEN ..................................................... 26
4.3.1.1. LOGOTIPO DE IDENTIFICACIÓN ....................................................... 27
4.3.1.2. NOMBRE DE LA EMPRESA (O ÁREA INTERNA DE AUDITORÍA) .... 27
4.3.1.3. FECHA DE EMISIÓN DEL INFORME.................................................. 27
4.3.1.4. IDENTIFICACIÓN DE LA EMPRESA O ÁREA AUDITADA ................. 28
4.3.1.5. EJECUTIVO RECEPTOR DEL INFORME ........................................... 28
4.3.1.6. PERÍODO DE LA EVALUACIÓN ......................................................... 28
4.3.1.7. CONTENIDO (O CUERPO DEL OFICIO) ............................................ 28
4.3.1.8. RESPONSABLE DE EMITIR EL DICTAMEN ...................................... 29
4.3.1.9. FIRMA DEL RESPONSABLE .............................................................. 29
CONCLUSIONES ............................................................................................................... 30

3
 DEDICATORIA

Este presente trabajo se lo dedico nuestros

padres.

4
 INTRODUCCIÓN
En este capítulo vamos a realizar una breve reseña para explicar las causas por las
cuales surgió la actividad denominada auditoría en informática y también dar una
idea del entorno en el cual se desenvuelve la función.

Originalmente la informática se orientó al apoyo de áreas tales como contabilidad,

liquidación de sueldos, etc., a partir de la necesidad de conocer y medir el apoyo
que la misma realizaba en las áreas antes mencionadas, y a las empresas en
general, se originó el proceso conocido como auditoría a sistemas de información
o auditoria de sistemas.

Más adelante la informática pasó a formar parte de toda organización y el uso de

computadoras personales, redes locales de computadoras, etc., se difundió a lo
largo de toda la empresa, la informática también da apoyo a la relación entre
empresas a través de redes WAN y también en la actualidad a través de INTERNET
(B2B / B2C, etc.)
De este modo la tarea de los responsables de informática y los auditores de
sistemas tradicionales se vio desbordada por estos acontecimientos y les
imposibilitó continuar con los métodos utilizados hasta ese entonces.

Así surgió la necesidad del replanteamiento total de la auditoría en informática,

conocida también como auditoría de sistemas, si bien esta abarca solamente la
revisión de los sistemas de información en desarrollo, operación y mantenimiento.

Entonces la auditoría en sistemas se encarga de evaluar y verificar políticas,

controles, procedimientos y seguridad en los recursos dedicados al manejo de la
información.

El rol del auditor en informática no es el de oficiar como capataz o policía del

negocio, como se suele plantear comúnmente, sino el de funcionar como un punto
de control y confianza para la alta dirección o los dueños de la empresa, además
debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la

5
de conducir siempre a la empresa a optimizar el uso de los recursos informáticos.

Por otro lado, es incorrecto pensar que la auditoría informática producirá un cambio
instantáneo en la cultura organizacional, en los métodos de trabajo, o en la mala
calidad o improductividad, se debe pensar que la auditoría en informática es un
elemento estratégico directo que apoya o promueve la eliminación o corrección de
cada una de las debilidades antes mencionadas.

Se espera que un auditor en informática sea un profesional, un experto, pero sobre

todo que sea un ser sensible, humano, que entienda el contexto real del negocio
que está auditando. Su principal objetivo es darle a cada problema la dimensión
justa y convertirlo en una solución para el negocio de la empresa.

6
 CAPÍTULO I: AUDITORÍA DE SISTEMAS

1.1. DEFINICIÓN DE AUDITORIA

Es un proceso formal y necesario para las empresas que tiene como fin asegurar
que sus activos sean protegidos en forma adecuada.

Asimismo, la alta dirección espera que de los proyectos de auditoría surjan las
recomendaciones necesarias para que se lleven a cabo de manera oportuna y
satisfactoria las políticas, controles y procedimientos definidos formalmente, con
objeto de que cada individuo o sector de la organización opere de modo
productivo en sus actividades diarias, respetando las normas generales de
honestidad y trabajo aceptadas.

También es un conjunto de tareas realizadas por un especialista para la

evaluación o revisión de políticas y procedimientos relacionados con las
diferentes áreas de una empresa
 Administrativas.
 Financieras.
 Operativas.
 Informática.
 Crédito.
 Fiscales.

1.2. AUDITORÍA DE SISTEMAS

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en
una entidad, con el propósito de determinar si su diseño y aplicación son
correctos; y comprobar el sistema de procesamiento de Información como parte
de la evaluación de control interno; así como para identificar aspectos
susceptibles de mejorarse o eliminarse.

La auditoría de sistemas supone la revisión y evaluación de los controles y

sistemas de informática, así como su utilización, eficiencia y seguridad en la

7
 empresa, la cual procesa la información. Gracias a la auditoría de sistemas
como alternativa de control, seguimiento y revisión, el proceso informático y las
tecnologías se emplean de manera más eficiente y segura, garantizando una
adecuada toma de decisiones.

En definitiva, la auditoría de sistemas consiste en:

 La verificación de controles en el procesamiento de la información e
instalación de sistemas, con el objetivo de evaluar su efectividad y presentar
también alguna recomendación y consejo.
 Verificar y juzgar de manera objetiva los sistemas.
 Examen y evaluación de los procesos en cuanto a informatización y trato de
datos se refiere. Además, se evalúa la cantidad de recursos invertidos, la
rentabilidad de cada proceso y su eficacia y eficiencia.

El análisis y evaluación realizados a través de la auditoría de sistemas debe ser

objetivo, crítico, sistemático e imparcial. El informe de auditoría final deberá ser
un claro ejemplo de la realidad de la empresa en cuanto a los procesos y la
informatización se refiere, para tomar mejores decisiones y mejorar en el
negocio.

1.3. OBJETIVOS DE LA AUDITORIA DE SISTEMAS

La presencia de la tecnología cada vez en más ámbitos empresariales, hace
necesario un sistema de control, seguimiento y análisis, tal como la auditoría de
sistemas. En primer lugar, se precisa garantizar la seguridad a la hora de tratar
los datos, dotándolos de privacidad y buen uso. En segundo lugar, para hacer
del sistema informático, un proceso mucho más eficiente y rentable, permitiendo
detectar errores y tomando decisiones de manera inmediata.

Así, podemos decir que los objetivos de la auditoría de sistemas son:

 Mejorar la relación coste-beneficio de los sistemas de información.
 Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas
informatizados.

8
 Garantizar la confidencialidad e integridad a través de sistemas de seguridad
y control profesionales.
 Minimizar la existencia de riesgos, tales como virus o hackers, por ejemplo.
 Optimizar y agilizar la toma de decisiones.
 Educar sobre el control de los sistemas de información, puesto que se trata
de un sector muy cambiante y relativamente nuevo, por lo que es preciso
educar a los usuarios de estos procesos informatizados.
 Busca una mejor relación, costo - beneficio de los sistemas automáticos
diseñados e implementados por el área de Procesamiento de datos.
 Incrementa la satisfacción de los usuarios de los Sistemas computarizados.
 Asegura una mayor Integridad, Confidencialidad y Confiabilidad de la
información mediante la recomendación de seguridad y control.
 Conocer la situación actual del área informática y las actividades, esfuerzos
necesarios para lograr los objetivos propuestos.
 Brindar seguridad al personal, Datos, Hardware, Software e instalaciones.
 Minimizar existencia de riesgo usando la tecnología de información.
 Decisiones de inversión, evitar gastos innecesarios.
 Capacitación y educación sobre controles en los sistemas informáticos.

Por tanto, la auditoría de sistemas es un modo de control y evaluación no sólo

de los equipos informáticos en sí. Su ámbito de actuación gira también en torno
al control de los sistemas de entrada a dichos equipos (pensemos por ejemplo
en claves y códigos de acceso), archivos y seguridad de los mismos, etc.

La auditoría de sistemas es fundamental para garantizar el desempeño y

seguridad de los sistemas informáticos de una empresa, que sean confiables a
la hora de usarlos y garanticen la máxima privacidad posible.

9
 CAPÍTULO II: METODOLOGÍA

La auditoría en sistema debe respaldarse en un proceso formal que asegure su

previo entendimiento por cada uno de los responsables de llevar a la práctica dicho
proceso en la empresa. Al igual que otras funciones en el negocio, la auditoría en
sistemas efectúa sus tareas y actividades mediante una metodología.

No es recomendable fomentar la dependencia en el desempeño de esta importante

función sólo con base en la experiencia, habilidades, criterios y conocimientos sin
una referencia metodológica. Contar con un método garantiza que las cualidades
de cada auditor sean orientadas a trabajar en equipo para la obtención de
resultados de alta calidad y de acuerdo a estándares predeterminados.

La función de auditoría en sistemas ha de contar también con un desarrollo de

actividades basado en un método de trabajo formal, que sea entendido por los
auditores en informática y complementado con técnicas y herramientas propias de
la función.

Lo anterior se facilita si los auditores en sistemas cuentan con una metodología que
oriente en cada proyecto a una ejecución armoniosa y planeada en cada una de las
tareas y actividades involucradas.

Un alto porcentaje de los especialistas en áreas de investigación, planeación

financiera, informática, sistemas, etc., se apoyan en gran medida en tareas,
actividades, productos terminados, revisiones, funciones y responsabilidades, etc.,
definidas previamente en un documento formal que contiene la metodología
necesaria.

El objetivo es brindar a los responsables de dichas áreas un camino estructurado

por el que arriben a los resultados esperados por la empresa, siguiendo un plan.
Es importante señalar que el uso de la metodología no garantiza por sí sola el éxito
de los proyectos de auditoria en informática; además, se requiere un buen dominio

10
y uso constante de los siguientes aspectos complementarios:
 Técnicas
 Herramientas de productividad
 Habilidades personales
 Conocimientos técnicos y administrativos
 Experiencia en los campos de auditoría e sistemas.
 Conocimiento de los factores del negocio y del medio externo al mismo
 Actualización permanente
 Comunicación constante con asociaciones nacionales e internacionales
relacionadas

2.1. PROCESO METODOLÓGICO DE LA AUDITORÍA EN SISTEMAS

El uso de un proceso de trabajo metodológico y estándar en la función de
auditoría en informática genera las siguientes ventajas:
 Los recursos orientan sus esfuerzos a la obtención de productos y
servicios de calidad, con características y requisitos comunes para todos
los responsables.
 Las tareas y productos terminados de los proyectos se encuentran
definidos y formalizados en un documento al alcance de los auditores en
sistemas.
 Se facilita en alto grado la administración y seguimiento de los proyectos,
pues la metodología obliga a la planeación detallada de cada proyecto
bajo criterios están-dares.
 Facilita la superación profesional y humana de los individuos, ya que
orienta los esfuerzos hacia la especialización, responsabilidad,
estructuración y depuración en las funciones del auditor en sistemas.
 Es un complemento clave en el desarrollo de cada individuo, pues su
formal seguimiento, aunado a las habilidades, normas y criterios
personales, colabora con el cumplimiento exitoso de los proyectos de
auditoría en sistemas.
 El proceso de capacitación o actualización en el uso de un proceso
metodológico es más ágil y eficiente, dado que se trabaja sobre tareas y

11
 pautas perfectamente definidas.

2.2. REQUISITOS PARA EL ÉXITO DEL PROCESO METODOLÓGICO

Contar con una metodología formalmente documentada no es garantía de que
los proyectos de auditoría en sistemas tendrán éxito; pero, no cumplir con las
siguientes condiciones conducirá a la función de auditoría en sistemas a que
sus proyectos no cum-plan con los tiempos, costos o resultados esperados:

 Aprobación de la metodología por la alta dirección.

 Adecuación de la metodología a los requerimientos específicos del
negocio (cuidado con reducir tareas y eliminar productos importantes con
el fin de ahorrar tiempo o por criterios personales; es útil apoyarse en un
asesor experto).
 Documentación o actualización de la metodología.
 Capacitación formal en el uso de la metodología (de acuerdo con el perfil
y nivel de participación de cada individuo involucrado).
 Elaboración de los planes de auditoría en sistemas según la metodología.
 Verificación del uso formal de la metodología en cada proyecto.
 Capacitación formal para el personal de nuevo ingreso o cuando se lleven
a cabo actualizaciones relevantes a la metodología.

A continuación, podemos ver un cuadro que muestra las etapas de un ejemplo

de metodología de auditoría en sistemas:

Etapas metodología auditoría

a. Preliminar (Diagnóstico):
Se define el negocio y releva los sistemas.
b. Justificación:
Se estudian las áreas a auditar siguiendo el plan propuesto.
c. Adecuación:
Se buscan y estudian métodos, técnicas y herramientas.

12
 d. Formulación:
Aprobación de plan y del proyecto para determinar el Arranque.
e. Desarrollo:
Se llevan a cabo las Entrevistas, Visitas, Observaciones y
Recomendaciones mientras se desarrolla el Informe de auditoría.
f. Implantación:
Se implementan las Acciones Correctivas y preventivas estudiadas
anteriormente mientras se hace un Seguimiento continuo de su
transcurso en el tiempo y como afectan al sistema.
g. Revisión Informal:
Se vuelve a revisar y estudiar el sistema para verificar cambios, falencias,
mejoras y cumplimiento del plan acordado.
h. Revisión Formal:
Se vuelve a estudiar el sistema más detalladamente, documentando
todas evaluaciones del mismo.
i. Aprobación Final:
Se realiza la aprobación final por los ejecutivos de la empresa auditada.

El cuadro anterior muestra los caminos a seguir en la aplicación de la

metodología, pasando por todas las etapas hasta llegar a la aprobación final.
Esta visión será de gran utilidad tanto para el auditor en sistemas como para los
demás involucrados en el proyecto.

El responsable de la función de auditoría en sistemas puede valerse de la

información consolidada de la tabla de descripción general de la metodología
de auditoría en sistemas, para realizar un seguimiento oportuno y estructurado
con cada proyecto, debido a que tareas y productos están terminados (salvo
algunas tareas y resultados).

Mas adelante detallaremos cada etapa con el fin de explicarlas detalladamente;

por otro lado, el proceso metodológico no debe tomarse al pie de la letra; al
contrario, ha de considerarse como una referencia que trata de orientar al líder

13
de proyecto e involucrados en un mejor desarrollo de cada tarea requerida en
la auditoría en sistemas.
Una obligación de cada área dentro de una organización es actualizarse,
adecuando procesos y métodos a las características propias del negocio, sin
perder las recomendaciones comúnmente aceptadas por los negocios,
asociaciones profesionales y demás especialistas.

14
 CAPÍTULO III: ETAPA DE FORMULACIÓN

Las Etapas anteriores fueron de introducción e investigación a la empresa y sus

diversas funciones de negocio, sus debilidades y fortalezas más relevantes fueron
detectadas, la planeación y proyección de las áreas que requieren ser auditadas ya
se han definido, así como las adecuaciones y/o agregados requeridos ya fueron
documentados, ahora en la presente.

Etapa de Formalización corresponde a la Alta Dirección, dar su aprobación y apoyo

formal para el desarrollo del Proyecto de Auditoría de sistemas presentado por el
Líder de Proyecto y del responsable de la Función de Auditoría de sistemas.

3.1. VERIFICACIÓN DE PRIORIDADES, RESTRICCIONES Y ALCANCES DEL

PROYECTO
La verificación, validación, clasificación y documentación de las prioridades,
restricciones y alcances del proyecto son de alto valor para el Auditor de
sistemas, ya que mediante su realización se clarifica el rumbo, límites y
cobertura que tendrá el proyecto.

Aquí las actividades requeridas para efectuar la presente tarea son una serie de
pequeñas entrevistas personales o reuniones de varios involucrados con un
enfoque muy objetivo y práctico.

Se recomienda que de las reuniones o entrevistas que se efectúen, el Auditor

de sistemas (o el Líder de Proyecto) documenten lo ahí expuesto mediante una
minuta o resumen (Tablas, gráficas, narrativa, etc.) donde se mencionen los
puntos tratados y las conclusiones a que se llegó, lo anterior se soporta más
formalmente si aparecen las firmas de conformidad de cada uno de los
involucrados.

3.1.1. Prioridades:
Son las acciones que deben llevarse a cabo antes que las demás

15
 sugeridas para el proyecto. Por ejemplo, la urgencia de mejorar algún
hecho que perjudica en alto grado al negocio.

3.1.2. Restricciones:
Son hecho o circunstancias que no se identifican con facilidad y que
ocurren o pueden ocurrir durante el transcurso de la auditoría y que
afectan directa o indirectamente al proyecto. Generalmente don
limitaciones o carencias que no se podrían resolver de inmediato o a lo
largo del proyecto, por ejemplo, el bajo presupuesto para asignar
recursos al proyecto.

3.1.3. Alcance:
Aquí se aclara que se realizará en el proyecto (tareas, etapas) y los
resultados (productos terminados). Lo que no se mencione aquí no se
obtendrá durante el proyecto.

3.2. ACTUALIZACIÓN DEL PLAN DE AUDITORÍA DE SISTEMAS

Se ha hablado ya de como efectuar la tarea de actualización de un Plan, lo
importante en este momento es asegurarnos de que los pocos (pero
significativos) cambios que se hayan efectuado después de realizar la Tarea
anterior, sean reflejados en el Plan.

Detallado de Auditoría de Informática que será presentado a la Alta Dirección

para su aprobación final y formal.

3.3. PRESENTACIÓN FORMAL DEL PLAN DE AUDITORÍA DE SISTEMAS

La presente tarea es la más crítica para el Líder del Proyecto y para el
Responsable de Auditoría de Informática, ya que justificará en ésta, la
continuación del proyecto.

Las actividades más relevantes y necesarias del responsable de esta tarea

son:

16
  Asegurarse de contar con toda la información en un formato de
presentación sumarizada y entendible, ya que su principal audiencia será
la Alta Dirección, los Usuarios Claves y el Responsable de Informática.
 Revisarla y verificarla con el Responsable de Auditoría de Informática
 Concertar la cita en una fecha y lugar apropiados
 Otras que se consideren oportunas para el éxito de la tarea

3.4. APROBACIÓN FORMAL DEL PROYECTO DE AUDITORÍA DE SISTEMAS

Se puede decir que es la Tarea que lleva menos tiempo y que sin embargo es
una de las más importantes, ya que de ella surge la aprobación formal del
proyecto. Aquí el proyecto pasa a ser un proyecto autorizado para su desarrollo
y terminación según el Plan de Auditoría de Informática.

Consideraciones claves que aseguran la terminación satisfactoria de esta

tarea:
 Presentar un resumen de la Matriz de Riesgos, Áreas de Oportunidad,
Plan detallado de Auditoría de Informática, Prioridades, restricciones, etc.
(en términos claros)
 Entendimiento del Proyecto (La información tiene el mismo significado
para todos)
 No surgen adecuaciones al proyecto (Nuevas prioridades, áreas a
revisión, etc.)
 Se aprueba formalmente el proyecto (Firma de conformidad de los
involucrados)
 Se autoriza las fechas de inicio del proyecto
 Otras que el Auditor de Informática considere pertinentes en su negocio

Nota: No todo lo planeado y justificado es siempre autorizado por la Alta

Dirección, en ocasiones, la falta de una buena venta del proyecto en la
presentación o la falta de compromiso por alguno de los involucrados puede
retrasar la aprobación formal del proyecto, sin embargo, el Líder de Proyecto
debe lograr el visto bueno de todos a través de buen soporte.

17
3.5. COMPROMISO EJECUTIVO:
Una vez terminada la tarea anterior, el siguiente paso es lograr que la alta
dirección, los usuarios clave, el responsable de sistemas y el de la auditoría se
comprometan a lo largo del proyecto, desde ese momento hasta el desarrollo e
implantación de las acciones recomendadas por auditoría en informática en su
informe final.

18
 CAPÍTULO IV: ESTRUCTURA DEL INFORME DE AUDITORÍA DE
SISTEMAS COMPUTACIONALES

Aunque hay muchas formas de presentar el informe de auditoría de sistemas

computacionales, de acuerdo con las preferencias de la empresa o del auditor que
realiza la auditoría, a continuación, proponemos un modelo para presentarlo.
Esta última parte, y la más representativa de la utilidad e importancia de una
auditoría de sistemas computacionales, es el llamado informe de auditoría, el cual
es un documento en el que se hace la presentación formal de los resultados
obtenidos durante la auditoría.
El informe de auditoría de sistemas computacionales se puede definir de la
siguiente manera:

Es un documento formal que utiliza el auditor de sistemas para informar por

escrito y de manera oportuna, precisa, completa, sencilla y clara, sobre los
resultados que obtuvo después de haber aplicado las técnicas, métodos y
procedimientos apropiados al tipo de revisión que realizó, para fundamentar con
ellos su opinión respecto a la auditoría realizada y estar en condiciones de poder
emitir un dictamen correcto sobre el comportamiento del sistema, sobre los
empleados del área de sistemas y sobre los resultados obtenidos de su
operación normal, a fin de que el directivo que reciba el informe conozca la
situación real del área de sistemas auditada.

Éste es el documento final, de carácter formal, en el que se presentan por escrito

todos los aspectos importantes que fueron catalogados como deficiencias de las
operaciones auditadas, así como el cumplimiento de las funciones y de los
resultados obtenidos con las actividades evaluadas durante la auditoría. El auditor
plasma su dictamen y opinión profesional en este documento, y lo sustenta con
documentos de apoyo y papeles de trabajo en los que va haciendo las anotaciones
de las técnicas, métodos y procedimientos que utilizó durante el desarrollo del
trabajo. El informe de auditoría debe contener, como mínimo, las siguientes
secciones:

19
  Oficio de presentación
 Introducción
 Dictamen de la auditoría
 Situaciones relevantes
 Situaciones detectadas
 Anexos
 Confirmaciones en papeles de trabajo

4.1. OFICIO DE PRESENTACIÓN

Es la primera parte del informe de auditoría y es un documento de carácter oficial
que sirve como presentación del informe; mediante este documento se pone a
consideración de los directivos de la empresa el resultado de la auditoría
practicada al área de sistemas.
El contenido y presentación de dicho documento varían de una institución a otra,
pero en esencia, este documento debe ser elaborado en la papelería oficial de
la empresa y debe contener como mínimo los siguientes aspectos

20
4.1.1. Logotipo de identificación
Si se trata de una auditoría externa, se debe poner el logotipo de la
empresa que realiza la auditoría, pero si es una auditoría interna,
entonces se debe ponerse el logotipo de la misma empresa y la
identificación del área de auditoría interna (si existe). En cualquiera de
los dos casos, el oficio de presentación siempre debe llevar el logotipo, y
se debe colocar de acuerdo al diseño de la documentación oficial.

4.1.2. Nombre de la empresa (o área interna de auditoría)

Si es una auditoría externa, se pone el nombre y logotipo de la empresa
que realiza la auditoría. Sin embargo, cuando se trata de una auditoría
interna, se pone el nombre de la empresa y la identificación del área de
auditoría interna responsable de hacer la evaluación.

4.1.3. Fecha de emisión del informe

Aquí se anota el lugar y la fecha de emisión del informe de auditoría; esto
sirve para indicar la oportunidad con la que se entrega o remite dicho
informe. Se debe poner la fecha con las reglas elementales de cortesía;
es decir, lugar, día, mes y año o el formato que se prefiera, siempre y
cuando tenga la fecha completa.

4.1.4. Identificación de la empresa o área auditada

En esta parte del oficio se señala, lo más detalladamente posible, el
nombre completo de la empresa, del área de sistemas o del aspecto
específico que haya sido evaluado.

4.1.5. Ejecutivo receptor del informe

Por lo general, este informe se remite a un ejecutivo de alto nivel de la
empresa auditada, para su información y toma de decisiones. Algunas
veces pude ser enviado al funcionario responsable de autorizar la
auditoría.
Los grados académicos, puesto y nombre del ejecutivo van anotados con

21
 las reglas elementales de cortesía.

4.1.6. Período de la evaluación

En esta parte se anotan las fechas de inicio y terminación de la auditoría;
con esto se busca darle a conocer al lector del informe el espacio de
tiempo que comprendió la evaluación. El propósito de presentar este
período es darle validez y vigencia a la revisión.

4.1.7. Contenido (o cuerpo del oficio)

Es una breve descripción de los puntos que fueron evaluados y de los
aspectos que integran el informe. Se debe redactar en forma muy
esquemática, con ortografía impecable y sin abusar de la extensión ni de
la brevedad. Si es necesario, se puede hacer, en forma muy breve y lo
más concreto posible, un avance sobre el resultado de la auditoría, sin
entrar mucho en detalles, pero con la suficiente claridad para que se
entienda, de acuerdo al nivel de funciones de quien leerá dicho informe.

4.1.8. Responsable de emitir el dictamen

En esta parte se anota el nombre del profesional responsable de emitir el
informe de auditoría, que será quien avale y responda, si es el caso, por
los resultados de la evaluación, por el propio dictamen o quien hará las
aclaraciones que se requieran. En el caso de una auditoría externa, se
anota el nombre del responsable de la empresa encargada de realizar la
auditoría, y en el caso de una auditoría interna, el nombre del
responsable del área de auditoría interna. En cualquiera de los casos, se
debe poner el nombre de un profesional autorizado para emitir el informe
y dictamen de auditoría.

4.1.9. Firma del responsable

En esta parte se pone la firma autógrafa del responsable de la auditoría,
que es la persona que adquiere el compromiso de avalar lo reportado en
el informe.

22
4.2. INTRODUCCIÓN DEL INFORME DE AUDITORÍA DE SISTEMAS
COMPUTACIONALES
Es la parte del informe donde el responsable de la auditoría hace la presentación
formal de su trabajo; en este apartado se manifiesta el objetivo de la auditoría,
las razones que motivaron a llevarla a cabo y, si es el caso, los fundamentos
que apoyen su realización. En algunas ocasiones también se pueden indicar la
metodología y las herramientas utilizadas en la evaluación de los sistemas,
aunque esto último no es forzoso.

Debemos señalar que no existen reglas específicas para elaborar esta

introducción; sin embargo, se puede establecer como única regla que su
redacción debe ser impecable y debe tener una excelente presentación, ya que
es la primera parte que se lee del informe de auditoría. La introducción es
frecuentemente la invitación a seguir leyendo el resto del informe; sin embargo,
cuando esta parte está mal redactada, crea rechazo casi inmediato para seguir
adelante con la lectura.

Debido a lo anterior, a continuación, presentamos una serie de sugerencias que

ayudarán al auditor y al responsable del informe a mejorar la elaboración de
dicha introducción.

Debemos aclarar que los puntos que analizaremos a continuación no son

apartados de la introducción, y sólo se presentan para que el lector los
identifique, pero no se deben anotar en el informe:

4.2.1. Aspectos generales

Iniciar la redacción de la introducción como si fuera una narración de lo
que el lector encontrará en el informe; en este sentido, se recomienda
comenzar con la exposición concreta del objetivo general de la auditoría,
y continuar con el planteamiento de la metodología utilizada en la
evaluación de los sistemas. Finalmente, si fuera necesario, concluir con
un relato sintetizado de lo que el lector encontrará en dicho informe. Esto

23
último no es tan recomendable, porque haría engorrosa la lectura.

La introducción tampoco debe ser muy amplia, sino en pocas hojas (de 1
a 3) muy bien redactadas y directamente enfocadas a los tópicos que se
tratarán en el informe.

Evidentemente, la ortografía y acentuación cuentan mucho en el ánimo

del lector; esta parte es lo primero que lee y, por lo mismo, lo primero que
juzga y le da pie para aceptar o rechazar el contenido del informe.

A continuación, presentaremos algunos aspectos que el auditor puede

considerar como guías en la redacción de la introducción de su informe,
aclarando que estos puntos los analizaremos por separado, pero en la
redacción de la introducción se deben presentar sin separaciones y sin
títulos:

4.2.1.1. Prólogo
Es una breve descripción en la que el auditor presenta su
trabajo, para que el lector sepa lo que encontrará en el informe;
el prólogo se debe hacer en forma narrativa, sencilla y simple,
y no debe ser muy extenso.

4.2.1.2. Objetivo
Es la definición del fin último que se pretende satisfacer con la
auditoría; esta definición se debe redactar en forma sencilla,
concreta y contemplando las siguientes reglas:
 Iniciar el objetivo con un verbo en infinitivo
 Determinar primero el qué se quiere, y después el para
qué se hace.
 Limitar la redacción a frases sustantivas.
Se pueden plasmar varios objetivos, pero deben ser en
relación a la importancia de la auditoría.

24
 4.2.1.3. Justificación
Esto significa plantear en forma resumida y concreta los
motivos por los cuales se realizó la evaluación de los sistemas
computacionales, los cuales pueden ser de carácter impositivo,
por necesidad profesional, por interés de algún directivo o por
cualquiera de los motivos señalados en el origen de la
auditoría.
Con esto se busca que el auditor se anticipe y conteste estos
interrogantes:
 ¿Para qué? (se hizo la auditoría)
 ¿Por qué? (se tuvo que llevar a cabo)
 ¿Cuál fue la profundidad? (de la evaluación)
 ¿Hasta dónde se profundizó? (en su cobertura)
 ¿Por qué se auditó? (para analizar su alcance)

4.2.2. Metodología utilizada

Aunque no es muy recomendable señalar este punto en la introducción,
se puede dar el caso de que sea necesario hacer la descripción de las
herramientas, métodos, técnicas y procedimientos de auditoría de
sistemas utilizados durante la evaluación. De llegar a plantearlo, se debe
procurar que su presentación sea lo más resumida posible, sin tanto
detalle y sin hacer una descripción abultada de cada una de las
herramientas utilizadas. Sólo se debe señalar a grandes rasgos lo
utilizado.

4.2.3. Narrativa por capítulos

Esta parte de la introducción del informe de auditoría es muy poco usual;
sin embargo, en caso de que se necesite, se refiere a la relatoría de lo
que encontrará el lector del informe; dicha descripción tiene que ser
concreta y sólo debe incluir lo más importante del contenido del informe.
No es un resumen anticipado de lo que se anota en el informe, ni es la
presentación breve del diagnóstico, sino la presentación de lo que

25
 encontrará el lector.
Debemos reiterar que la introducción del informe de auditoría, en caso
de existir, se tiene que redactar de una forma simple y sencilla, con muy
buena ortografía, evitando repeticiones inútiles y rebuscamientos que a
nada conducen. Esta parte es la que hace que el lector se interese en
leer lo que sigue o, por el contrario, que evite leerlo o que lo haga de
manera forzada.

4.3. DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

Tal vez ésta sea la parte más importante de una auditoría de sistemas
computacionales y, en muchas ocasiones, lo que más esperan los directivos de
la empresa o del área auditada, debido a que es una opinión profesional
respecto al comportamiento de los sistemas. Evidentemente, el dictamen está
apoyado en la experiencia y conocimientos del auditor en las áreas de auditoría
y sistemas, así como en la confianza del uso de las herramientas e instrumentos
apropiados.

Cada empresa de auditoría o auditor que elabora un dictamen debe emitir su

opinión de acuerdo con su costumbre, experiencia o según los requisitos de la
empresa auditada; sin embargo, por la importancia que tiene este informe en el
área de sistemas, o en cualquier otra área, a continuación, presentaremos un
formato de dictamen y algunas recomendaciones para emitirlo de una mejor
manera.

4.3.1. Presentación del dictamen

Éste es un documento de carácter formal que debe cumplir con los
requisitos oficiales de presentación que ya señalamos, además de los
que indicaremos a continuación

26
4.3.1.1. Logotipo de identificación
Si se trata de una auditoría externa, se debe poner el logotipo
de la empresa que realiza la auditoría, pero si es una auditoría
interna, entonces se debe ponerse el logotipo de la misma
empresa y la identificación del área de auditoría interna (si
existe). En cualquiera de los dos casos, el oficio de
presentación siempre debe llevar el logotipo, y se debe colocar
de acuerdo al diseño de la documentación oficial.

4.3.1.2. Nombre de la empresa (o área interna de auditoría)

Si es una auditoría externa, se pone el nombre y logotipo de la
empresa que realiza la auditoría. Sin embargo, cuando se trata
de una auditoría interna, se pone el nombre de la empresa y la
identificación del área de auditoría interna responsable de
hacer la evaluación.

4.3.1.3. Fecha de emisión del informe

Aquí se anota el lugar y la fecha de emisión del informe de
auditoría; esto sirve para indicar la oportunidad con la que se

27
 entrega o remite dicho informe. Se debe poner la fecha con las
reglas elementales de cortesía; es decir, lugar, día, mes y año
o el formato que se prefiera, siempre y cuando tenga la fecha
completa.

4.3.1.4. Identificación de la empresa o área auditada

En esta parte del oficio se señala, lo más detalladamente
posible, el nombre completo de la empresa, del área de
sistemas o del aspecto específico que haya sido evaluado.

4.3.1.5. Ejecutivo receptor del informe

Por lo general, este informe se remite a un ejecutivo de alto
nivel de la empresa auditada, para su información y toma de
decisiones. Algunas veces pude ser enviado al funcionario
responsable de autorizar la auditoría.

Los grados académicos, puesto y nombre del ejecutivo van

anotados con las reglas elementales de cortesía.

4.3.1.6. Período de la evaluación

En esta parte se anotan las fechas de inicio y terminación de
la auditoría; con esto se busca darle a conocer al lector del
informe el espacio de tiempo que comprendió la evaluación. El
propósito de presentar este período es darle validez y vigencia
a la revisión.

4.3.1.7. Contenido (o cuerpo del oficio)

Es una breve descripción de los puntos que fueron evaluados
y de los aspectos que integran el informe. Se debe redactar en
forma muy esquemática, con ortografía impecable y sin abusar
de la extensión ni de la brevedad. Si es necesario, se puede
hacer, en forma muy breve y lo más concreto posible, un

28
 avance sobre el resultado de la auditoría, sin entrar mucho en
detalles, pero con la suficiente claridad para que se entienda,
de acuerdo al nivel de funciones de quien leerá dicho informe.

4.3.1.8. Responsable de emitir el dictamen

En esta parte se anota el nombre del profesional responsable
de emitir el informe de auditoría, que será quien avale y
responda, si es el caso, por los resultados de la evaluación, por
el propio dictamen o quien hará las aclaraciones que se
requieran. En el caso de una auditoría externa, se anota el
nombre del responsable de la empresa encargada de realizar
la auditoría, y en el caso de una auditoría interna, el nombre
del responsable del área de auditoría interna. En cualquiera de
los casos, se debe poner el nombre de un profesional
autorizado para emitir el informe y dictamen de auditoría.

4.3.1.9. Firma del responsable

En esta parte se pone la firma autógrafa del responsable de la
auditoría, que es la persona que adquiere el compromiso de
avalar lo reportado en el informe.

29
 CONCLUSIONES

La Auditoría de Sistemas de Información, hoy en día es de vital importancia para

las empresas modernas con visión de futuro, sobre todo inmersas en el mundo
globalizado, porque si no se prevé los mecanismos de control, seguridad y respaldo
de la información dentro de una institución se verá sumida a riesgos lógicos, físicos
y humanos, que conlleven a fraudes no solamente económicos sino de información,
es decir, pérdidas para la empresa.

La auditoría de sistemas de información deberá comprender no sólo la evaluación

de los equipos de cómputo de un sistema o procedimiento específico, sino que
además habrá de evaluar los sistemas de información en general desde sus
entradas, procedimientos, controles.

En la mayoría de empresas existe una constante preocupación por la presencia

ocasional de fraudes, sin embargo, muchos de estos podrían prevenirse.

En algunos países de América Latina, donde normalmente los salarios son bajos,
las crisis recurrentes y las necesidades de los trabajadores no se ven del todo
satisfechas; y si a esto agregamos fallas en el control interno y la falta de vigilancia
adecuada en las operaciones, entonces las posibilidades de sufrir un fraude son
grandes.

Evitar fraudes es responsabilidad de todos los empleados, por ello es importante

crear una cultura empresarial encaminada a minimizar el riesgo de fraude.

30