Auditoria en Sistemas Computacionales.
CAPITULO 1: CONCEPTOS GENERALES especializados, a fin de evaluar el cumplimento de las funciones,
Auditor
Persona capacitada para realizar auditorías en una empresa u otras
instituciones. Es la persona que se encarga de revisar los registros,
procedimientos y transacciones financieras de una organización
hechas por especialistas.
Auditoria
Supervisión de las cuentas de una empresa, hecha por decisión de un
tribunal o instancia en particular. La auditoría está integrada por
cuatro grandes bloques dentro de los cuales existen 26 divisiones de
cada área las cuales explican claramente los conceptos dando la
explicación a quienes se les debe aplicar, con qué fin, ventajas,
desventajas y quien está en capacidad de realizarla. Dentro de la
auditoría de sistemas computacionales podemos enfatizar en:
Auditoría Informática
Es la revisión técnica, especializada y exhaustiva que se realiza a los
sistemas computacionales, software e información utilizados en una
empresa.
Auditoría con la computadora
Es la auditoría que se realiza con el apoyo de los equipos de cómputo
y sus programas para evaluar cualquier tipo de actividades y
operaciones, no necesariamente computarizadas, pero sí susceptibles
de ser automatizadas.
Auditoría sin la computadora
Es la auditoria cuyos métodos, técnicas y procedimientos están
orientados únicamente a la evaluación tradicional del comportamiento
y validez de las transacciones económicas, administrativas y
operacionales de un área de cómputo.
Auditoría a la gestión informática
Es la auditoría cuya aplicación se enfoca exclusivamente a la revisión
de las funciones y actividades de tipo administrativo que se realizan
dentro de un centro de cómputo.
Auditoría al sistema de cómputo
Es la revisión técnica y especializada que se enfoca únicamente a la
evaluación del funcionamiento y uso correcto del equipo de cómputo,
su hardware, software y periféricos asociados.
Auditoría alrededor de la computadora
Es la revisión especifica que se realiza a todo lo que esta alrededor de
un equipo de cómputo, como son sus sistemas, actividades y
funcionamientos, haciendo una evaluación de sus métodos y
procedimientos.
Auditoría de la seguridad de los sistemas computacionales
Esta se realiza a todo los relacionado con la seguridad de un sistema
de cómputo, sus áreas y personal.
Auditoría a los sistemas de redes
Esta se realiza a los sistemas de redes de una empresa.
Auditoría integral a los centros de cómputos
Es la que se realiza por medio de un equipo multidisciplinario de
auditores de todas las actividades y operaciones de un centro de
sistematización.
Y otras más como Auditoría ISI-9000 a los sistemas computacionales,
Auditoría Outsourcing y Auditoría ergonómica de sistemas
computacionales
CAPITULO 2: ELEMENTOS DE LA AUDITORIA
Definición general de auditoría
Auditoría es la revisión independiente que realiza un auditor
profesional, aplicando técnicas, métodos y procedimientos
actividades, tareas y procedimientos de una entidad administrativa,
así como dictaminar sobre el resultado de dicha evaluación.
Del análisis de esta definición obtenemos los siguientes conceptos:
La auditoría es la revisión independiente
Un requisito indispensable para llevar a cabo una auditoría es que el
auditor debe poseer una absoluta independencia mental, profesional y
laboral, ya que esta soberanía de acción le permite actuar como un
verdadero profesional al realizar cualquier tipo de evaluación. Es
evidente que este libre albedrío le evitará tener cualquier tipo de
obligación, preferencia, obediencia o algún otro compromiso con la
empresa a la que audita.
Objetivos particulares de cada tipo de auditoría
Objetivos de la auditoría externa
La auditoría externa es aquella que se realiza con personal totalmente
ajeno a la empresa auditada, con libertad absoluta de actuación y libre
de cualquier injerencia por parte de la institución donde se practica;
por lo tanto, sus objetivos son los siguientes:
• Realizar una evaluación, de manera independiente, a una institución
con la cual no se tenga,) ni empleo ni subordinación, con el fin emitir
un dictamen externo sobre la razonabilidad de sus actividades,
operaciones y resultados.
• Hacer una revisión independiente sobre el aspecto contable y las
finanzas de las áreas de una empresa, emitiendo un dictamen
autónomo.
Objetivos de la auditoría interna
Debido a que esta auditoría se lleva a cabo con personal que labora en
la empresa y que depende estructuralmente de algún directivo de esta,
es de suma importancia que se establezcan y respeten los objetivos.
• Realizar una evaluación independiente dentro de la institución
donde se trabaja, contando con un mayor entendimiento de sus
actividades y operaciones, con el fin de ayudar a evaluar la actuación
de la gestión administrativa.
• Dictaminar en forma interna sobre las actividades, operaciones y
funciones que se realizan en uno empresa, contando con un mayor
conocimiento cíe las actividades del personal que labora en ella, así
como de sus funciones y tareas.
Objetivos de la auditoría integral
La participación de grupos multidisciplinarios que serán capaces de
hacer una evaluación total de todas las áreas de una empresa, con
mayor profundidad y más completa, serán los aspectos fundamentales
de esta auditoría, cuyos objetivos son los siguientes:
• Realizar una evaluación global, multidisciplinaria e independiente
sobre las actividades, operaciones, estructura organizacional y
funciones de todas y cada una de las áreas y unidades de trabajo de
una institución, con el fin de emitir un dictamen global sobre la
razonabilidad de sus funciones y Operaciones.
• Evaluar el cumplimento de los planes, programas, políticas, normas
y lineamientos que regulan las áreas y unidades de trabajo de una
empresa, así como de la correlación e integración de sus funciones y
actividades.
• Dictaminar, en forma integral y multidisciplinario, sobre los
resultados e interrelación de las actividades de cada una de las áreas y
unidades administrativas de una empresa, utilizando siempre las
mismas herramientas de evaluación para hacer una valoración Honestidad
sistemática y emitir un díctame veraz. Integridad
• Aprovechar los recursos de las múltiples disciplinas de la auditoria, Cumplimiento
para hacer evaluaciones conjuntas de las operaciones y actividades de Lealtad
todas las unidades de trabajo de una empresa. Imparcialidad
Búsqueda de la excelencia

Objetivos de la auditoría de sistemas

La evaluación a los sistemas computacionales, a la administración del Criterios y Responsabilidades del Auditor
centro de cómputo, al desarrollo de proyectos informáticos, a la Aspecto Ético-Moral
seguridad de los sistemas computacionales y a todo lo relacionado Respectar las normas, linimientos y políticas del a empresa.
con Ética Profesional y Moral
•Realizar una evaluación con personal multidisciplinario capacitado Implementar los conocimientos obtenidos a favor de la empresa
en el área de sistemas, con el fin de emitir un dictamen independiente El incumplimiento con las normas de la moral y la ética por parte del
sobre la razonabilidad de las operaciones del sistema y la gestión auditor le puede provocar consecuencias de tipo legal, sin embargo,
administrativa del área de informática. su principal sanción será de tipo profesional y moral ante sus colegas
• Hacer una evaluación sobre el uso de los recursos financieros en las y ante la empresa ya que esto demuestra la incapacidad profesional
áreas del centro de información, así como del aprovechamiento del del mismo.
sistema computacional, sus equipos periféricos e instalaciones. Responsabiliza Profesional y Personal
• Evaluar el uso y aprovechamiento de los equipos de cómputo, sus
periféricos, las instalaciones y mobiliario del centro de cómputo, así  Tener la suficiente independencia mental y profesional para ejercer la
como el uso de sus recursos técnicos y materiales para el profesión de auditor.
procesamiento de información.  Contar con la calificación, habilidad, aptitud y experiencia
• Evaluar el aprovechamiento de los sistemas de procesamiento, sus profesional en auditoria.
sistemas operativos, los lenguajes, programas y paqueterías de  Manejar adecuadamente las relaciones personales, profesionales y
aplicación y desarrollo, así como el desarrollo e instalación de nuevos laborales entre él y el auditado.
sistemas.  Utilizar la misma metodología y procedimientos de evaluación
• Evaluar el cumplimiento de planes, programas, estándares, políticas, establecidos por los responsables de la gestión de la auditoria.
normas y lineamientos que regulan las funciones y actividades de las  No modificar, ocultar o destruir evidencias de la evaluación.
áreas y de los sistemas de procesamiento de información, así cormo  Ser discreto profesional confiable con la información y los resultados
de su personal y de los usuarios del centro de información. obtenidos en la evaluación.
 Actuar con equidad, imparcialidad y razonamiento.
Normas generales de auditoría  Emitir dictámenes razonables
La profesión de auditoría se rige, al menos en el aspecto contable y
financiero, por normas y criterios aceptados generalmente, los cuales
Criterios y Responsabilidades del Auditor
son emitidos por asociaciones de profesionales quienes aportan
 Aplicar métodos, técnicas y procedimientos de evaluación
experiencia, conocimientos y actualizaciones en esto materia, a fin de
bebidamente.
que los practicantes de esta profesión y similares conozcan estas
normas y las cumplan en el desarrollo de algún tipo de auditoria,  Revisar sobre los puntos relevantes del área que será auditada.
según la profesión que practiquen.  Elaborar los dictámenes conforme a las normas y linimientos que
En la actualidad existen muchas asociaciones de profesionales regulan el desarrollo de las auditorias.
dedicados a la contabilidad y la ingeniería financiera. Debido a esto,
en casi todos los países existe alguna asociación o colegio de Criterios y Responsabilidades del Auditor ante la Presentación de
contadores, los cuales tienen entre sus principales funciones regular la Resultados
actuación profesional de sus agremiados. Entre estas regulaciones se El producto fundamental de una auditoria es la emisión de un informe
encuentran las normas aplicables a la auditoria financiera y contable. o dictamen en el cual se presenten la opinión fundamentada del
auditor respecto a la revisión que a realizada a los resultados
CAP. 3 NORMAS ETICO MORALES QUE REGULAN LA obtenidos en un periodo dado de actividades.
ACTUACIO DEL AUDITOR Los resultados obtenidos las empresas los utilizan para mejorar sus
Ética: servicios y para evaluar los resultados obtenidos en un periodo dado y
para establecer las medidas necesarias respecto a las normas de la
Son los fundamentos y las normas de conducta humana.
empresa.
Moral:
Ciencia que enseña las reglas que deben seguirse para hacer el bien y
En la Presentación de los Resultados el Auditor debe de:
evitar el mal.
 Evitar prevenir los sobornos componendas y dadivas.
Auditoria Informática:
 Ser leal con sus auditados.
Es el proceso de recoger, agrupar y evaluar evidencias para
 Contar con una opinión profesional y defenderla.
determinar si un sistema de información salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo  Emitir un dictamen con firma profesional.
eficazmente los fines de la organización, utiliza eficientemente los
recursos, y cumple con las leyes y regulaciones establecidas. CAP. 4 CONCEPTOS Y DEFINICION DE CONTROL
Principios y valores del auditor INTERNO
 El control interno es la adopción de una serie de medidas que se  Estandares de costos: Son mediciones de tipo monetario que permiten
establecen en la empresa, con el propósito de contar con instrumentos hacer una estimación del costo (valor que se la da al trabajo) entre
tendientes a salvaguardar la integridad de los bienes institucionales y estos se destacan costos fijos y variable.
así ayudar a la administración y cumplimiento correcto de las  Estandares de capital: Son estándares que se adoptan para el manejo y
actividades y operaciones de la empresa. control de los llamados bienes de capital, ya sea capital de trabajo,
capital contable, capital financiero o de cualquier otro tipo de estándar
que incide en el capital que se maneja en las empresas.
 Estandares de ingresos y egresos: Son los valores monetarios que se
Objetivos del control interno asignan a los ingresos (entradas) y egresos (salidas) como parte
El control interno sirve para evaluar el desarrollo correcto de las fundamental de sus actividades de trabajo.
actividades de las empresas, así como la aceptación y cumplimiento  Estandares no tangibles: Existen estándares que no necesariamente
adecuados de las normas y políticas que regulan sus actividades; sus son tangibles ni numerables, los cuales, aunque no se puedan
objetivos fundamentales son: cuantificar, pero si se deben tomar en cuenta, por lo general son
representaciones que se dan a las cualidades de las cosas.
 Establecer la seguridad y protección de los activos de la empresa.  Estandares de control estadisticos: Permiten establecer, medir,
 Promover la confiabilidad, oportunidad y veracidad de los registros evaluar, al amparo de razones matemáticas, estadísticas, y en algunos
contables, así como de la emisión de la información financiera de la casos integrales y diferenciales.
empresa.  Estandares de auditoria: son herramientas, métodos, técnicas y
 Incremen0tar la eficiencia y eficacia en el desarrollo de las procedimientos de auditoria.
operaciones y actividades de la empresa.  Normas de evolucion: son normas que contribuyen al establecimiento
 Establecer y hacer cumplir las normas, políticas y procedimientos de los parámetros de evaluación que se requieren para el
que regulan las actividades de la empresa. establecimiento del control interno necesario para realizar una
 Implantar los métodos, técnicas y procedimientos que permitan auditoría.
desarrollar adecuadamente las actividades, tareas y funciones de la  Normas cuantitativas: son aquellas que permiten dar una cuantía
empresa. medible en cifras significativas, con las cuales se establecen
parámetros válidos para medir resultados.
Importancia del control para la auditoria  Normas cualitativas: estas normas se establecen de forma no tan
Todas las empresas deben contar con instrumentos que les permitan objetiva, y sirven de parámetros cualitativos.
llevar su administración con eficiencia y eficacia, para satisfacer sus  Normas materiales: estas se refieren a los criterios que permiten
expectativas en cuanto a la salvaguarda y custodia de sus bienes, a la evaluar aspectos fundamentales en el desempeño de las actividades de
promoción de la confiabilidad, oportunidad y veracidad de sus una empresa. Estas a su vez se divide en dos grandes grupos: de
registros contables y la emisión de su información financiera, a la desempeño y complementarias.
implantación correcta de los métodos, técnicas y procedimientos que
les permitan desarrollar adecuadamente sus actividades. Otras normas y estandares:
La importancia de la auditoria se fundamenta en que por medio del  Existen muchos tipos de tipos de estándares que buscan utilizarse
control interno se determinan las actividades, acciones y demás para evaluar el cumplimiento de lo alcanzado en relación con lo
elementos que permiten satisfacer las necesidades de las instituciones esperado.
y demás elementos que permiten satisfacer las necesidades de las  ESTANDARES DEL IEEE (Instituto de Ingenieros Eléctricos y
instituciones, la auditoria se desprende de la revisión de las funciones, Electrónicos) desarrollado en los 80 para desarrollar estándares para
acciones, operaciones o de cualquier actividad de una entidad la tecnología emergentes en diferentes áreas de la ingeniería.
administrativa.  NORMAS DE LA SERIE ISO-9000: norma creada para la gestión y
el aseguramiento de la calidad.
Elementos de control interno  ESTANDARES Y NORMAS DE CALIDAD: en este caso es donde
Elementos de organización, elementos de procedimientos, elementos se diseñan estándares y normas por medio de las cuales se busca
de personal, elementos de supervisión. El auditor debe efectuar un apreciar los cumplimientos en cuanto a la calidad esperada en
estudio y evaluación adecuados del control interno existente, que le relación con la calidad realmente alcanzada.
sirvan de base para determinar el grado de grado de confianza que va
a depositar en él, así mismo, que le permitan determinar la naturaleza,
CAP. 5 CONTROL INTERNO INFORMATICO
extensión y oportunidad que va a dar a los procedimientos de
Definición
auditoria.
El Control Interno Informático puede definirse como el sistema
integrado al proceso administrativo, en la planeación, organización,
Estandares de control
dirección y control de las operaciones con el objeto de asegurar la
Existen estándares y que se pueden utilizar en la medición del control
protección de todos los recursos informáticos y mejorar los índices de
y el control interno de las instituciones con el fin de ayudar a la
economía, eficiencia y efectividad de los procesos operativos
eficiencia y eficacia en el desarrollo de las actividades normales de la
automatizados.
empresa.
También se puede definir el Control Interno como cualquier actividad
 Estandares fisicos: Son aquellos que pueden ser apreciados mediante o acción realizada manual y/o automáticamente para prevenir,
algunas medidas de dimensión de tipo tangible. (extensión, longitud, corregir errores o irregularidades que puedan afectar al
magnitud, tamaño, volumen, etc.). Estos a su vez pueden agruparse en funcionamiento de un sistema para conseguir sus objetivos.
estándares físicos de medición de comparación y de acumulación.
En el ambiente informático, el control interno se materializa
fundamentalmente en controles de dos tipos:
• Controles manuales: aquellos que son ejecutados por el personal del
área usuaria o de informática sin la utilización de herramientas
computacionales.
• Controles Automáticos: son generalmente los incorporados en el
software, llámense estos de operación, de comunicación, de gestión
de base de datos, programas de aplicación, etc.
Los controles según su finalidad se clasifican en:
• Controles Preventivos: para tratar de evitar la producción de errores
o hechos fraudulentos, como
por ejemplo, el software de seguridad que evita el acceso a personal
no autorizado.
• Controles Detectivos: trata de descubrir a posteriori errores o
fraudes que no haya sido posible
evitarlos con controles preventivos.
• Controles Correctivos: tratan de asegurar que se subsanen todos los
errores identificados
mediante los controles detectados.
Objetivos principales:
• Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas
• Colaborar y apoyar el trabajo de Auditoría Informática
interna/externa
• Definir, implantar y ejecutar mecanismos y controles para
comprobar el grado de cumplimiento
de los servicios informáticos.
• Realizar en los diferentes sistemas y entornos informáticos el
control de las diferentes actividades que se realizan.
Control interno informático (función)
El Control Interno Informático es una función del departamento de
Informática de una organización, cuyo objetivo es el de controlar que
todas las actividades relacionadas a los sistemas de información
automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones
legales establecidas interna y externamente.
Entre sus funciones específicas están:
• Difundir y controlar el cumplimiento de las normas, estándares y
procedimientos al personal de
programadores, técnicos y operadores.
• Diseñar la estructura del Sistema de Control Interno de la Dirección
de Informática en los
siguientes aspectos:
• Desarrollo y mantenimiento del software de aplicación.
• Explotación de servidores principales
• Software de Base
• Redes de Computación
• Seguridad Informática
• Licencias de software
• Relaciones contractuales con terceros
• Cultura de riesgo informático en la organización
Control interno informático (áreas de aplicación)
controles generales organizativos
Son la base para la planificación, control y evaluación por la
Dirección General de las actividades del
Departamento de Informática, y debe contener la siguiente
planificación:
•Plan Estratégico de Información realizado por el Comité de
Informática.
• Plan Informático, realizado por el Departamento de Informática.
• Plan General de Seguridad (física y lógica).
• Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de información
Permiten alcanzar la eficacia del sistema, economía, eficiencia,
integridad de datos, protección de
recursos y cumplimiento con las leyes y regulaciones a través de
metodologías como la del Ciclo de
Vida de Desarrollo de aplicaciones.
Controles de explotación de sistemas de información
Tienen que ver con la gestión de los recursos tanto a nivel de
planificación, adquisición y uso del
hardware, así como los procedimientos de, instalación y ejecución del
software.
Controles en aplicaciones
Toda aplicación debe llevar controles incorporados para garantizar la
entrada, actualización, salida,
validez y mantenimiento completos y exactos de los datos.
Controles en sistemas de gestión de base de datos
Tienen que ver con la administración de los datos para asegurar su
integridad, disponibilidad y seguridad.
Controles informáticos sobre redes
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad
y funcionamiento de las
redes instaladas en una organización sean estas centrales y/o
distribuidos.
Controles sobre computadores y redes de área local
Se relacionan a las políticas de adquisición, instalación y soporte
técnico, tanto del hardware como
del software de usuario, así como la seguridad de los datos que en
ellos se procesan.
CAP. 6: METODOLOGÍA PARA REALIZAR
AUDITORIAS DE SISTEMAS COMPUTACIONALES
Auditoria de información, sin embargo, podemos desarrollar una serie
de actividades y técnicas que
nos pueden ayudar a realizarlas:
Inventario físico.
Es el proceso de identificación y categorización de los recursos de
información de una forma sistemática. De esta forma, se proporciona
una fotografía de lo que la organización posee en términos de
recursos de información en un momento determinado.
Masificación de la información (Infomap).
Constituye una forma gráfica de representar los recursos de
información que hay en la organización y las interrelaciones entre
éstos. El mapa de recursos indica hasta qué punto los recursos de
información son básicos, de qué modo se encuentran posicionados
(geográficamente, departamentalmente, desde un punto de vista
técnico), cómo interactúan, quién los utiliza, quién es el responsable,
etc.
Análisis de las necesidades de información.
Tiene como finalidad principal determinar qué información requieren
los empleados y la dirección
de la organización para desarrollar sus papeles y alcanzar los
objetivos.
Gráficos de procesos y flujos de trabajo.
Los gráficos de procesos junto con los flujos de trabajo pueden
constituir una buena herramienta
de trabajo en el ámbito de las auditorias de la información.
Procesos de control y verificación.
En una auditoria de la información, se deben establecer también los
procesos de control y verificación. El resultado de estos procesos
puede consistir en un informe o, incluso, un certificado que confirme
que todo es correcto o que incluya recomendaciones de mejora. Hay
que tener presente que el mapa de recursos de información, o mapa
documental, puede constituir uno de los principales resultados del
proceso de la auditoria de información.
En el caso del mapa documental, éste detalla qué documentos se
encuentran dentro de la organización, a qué tipo de funciones se
encuentran vinculados y dan respuesta, quién tiene la responsabilidad
y el acceso a esos documentos, en qué soporte están disponibles,
dónde y cómo se encuentran accesibles y qué relación o nivel de
integración tienen con el resto de los sistemas de información de la
organización. También se establece la localización de todos los
documentos dentro de los estándares y los procedimientos de la
organización, así como su valor para el conocimiento corporativo.
Planteamiento Del Problema
El avance de la informática, los sistemas, las telecomunicaciones y
otras aplicaciones de tecnología,
han permitido a la sociedad moderna a través de entes públicos y
privados desarrollarse rápidamente, en todos los ámbitos y sentidos,
en especial hará énfasis en el desarrollo de los negocios, el cual está
íntimamente relacionado con la tecnología de información, y a su
permitido la evolución en la forma de llevar los procesos.
Dicha tecnología, ha permitido que los sistemas informáticos estén
sometidos al control correspondiente. La importancia de llevar un
control de esta herramienta se puede deducir de varios aspectos.
La auditoría de sistemas, permite mostrar las debilidades y las
fortalezas de esta empresa, con respecto a los controles que se estén
empleando, a los sistemas y procedimientos de la informática, los
equipos de cómputo que se emplean, su utilización, eficiencia
y seguridad. Para ello se realiza una inspección pormenorizada de los
sistemas de información, desde sus entradas,
procedimientos, comunicación,
controles, archivos, seguridad, personal y obtención de la
información, cabe recalcar que, la auditoria inicia su actividad cuando
los sistemas están operativos y el principal objetivo es el de mantener
tal como está la situación para comenzar el levantamiento de
información. Posteriormente la auditoria generara un informe, para
que las debilidades que son detectadas, sean corregidas y se
establecen nuevos métodos de prevención con el fin de mejorar
los procesos, aumentar la confiabilidad en los sistemas y reducir
los riesgos. La organización como segunda fase del proceso
administrativo puede definirse como la agrupación de las actividades
necesarias para llevar a cabo los planes asignando la autoridad y
responsabilidad a quienes tienen a su cargo la ejecución de dichas
actividades.
La organización define las relaciones que logran la cohesión entre los
esfuerzos tendientes al logro de los objetivos.
De la definición anterior derivaremos algunos puntos que el auditor
administrativo debe comprender al llevar a cabo se revisión esto es en
toda estructura organiza debe identificar: Definición de las funciones
y actividades necesarias para el Integración de ese fiel cumplimiento
de los propósitos de la empresa. Funciones y actividades en divisiones
o departamentos con fisonomía e Jerarquización de autoridad de
importancias propias pero coordinadas entre sí. Manera que los
grupos o individuos separados por la división del trabajo actúen
Definición de cada puesto considerado como la unidad
coordinadamente. Especifica menor que presente el orden mínimo
dentro de un grupo de tareas que deben ser desempeñadas por una
sola persona.
La auditoría es una de las aplicaciones de los principios científicos de
la contabilidad, basada en la verificación de los registros
patrimoniales de las haciendas, para observar su exactitud; no
obstante, este no es su único objetivo.
El objetivo de la Auditoria consiste en apoyar a los miembros de la
empresa en el desempeño de sus actividades. Para ello la Auditoria
les proporciona análisis, evaluaciones, recomendaciones, asesoría e
información concerniente a las actividades revisadas. Los miembros
de la organización a quien Auditoria apoya, incluye a Directorio y las
Gerencias. Auditor: Es aquella persona profesional, que se dedica a
trabajos de auditoria habitualmente con libre ejercicio de una
ocupación técnica.
Las funciones tipo del auditor son:
Diagnosticar sobre los métodos de operación y los sistemas de
información.
Detectar los hallazgos y evidencias e incorporarlos a los papeles de
trabajo.
Respetar las normas de actuación dictadas por los grupos de filiación,
corporativos, sectoriales e instancias normativas y, en su caso,
globalizadoras.
Estudiar la normatividad, misión, objetivos, políticas, estrategias,
planes y desarrollar el programa de trabajo de una auditoria.
Programas de trabajo.
Proponer los sistemas administrativos y/o las modificaciones que
permitan definir los objetivos, alcance y metodología la efectividad
de la organización.
Captar la información necesaria para evaluar para instrumentar una
auditoria.
La funcionalidad y efectividad de los procesos, funciones y sistemas
utilizados.
Mantener el nivel de actuación a través de una interacción y revisión
continua Proponer los elementos de tecnología de punta requeridos
para los avances.
Recabar y revisar estadísticas sobre impulsar el cambio
organizacional.
Evaluar los registros contables e información volúmenes y cargas de
trabajo.
Analizar la estructura y funcionamiento de la organización en
financiera.
Consideran Revisar el flujo de datos y formas.
Todos sus ámbitos, niveles las variables ambientales y económicas
que inciden en el funcionamiento de la distribución del espacio y el
empleo de equipos de organización.
Diseñar y preparar los reportes de avance e informes de una oficina.
CAP. 7_ PAPELES DE TRABAJO PARA LA
AUDITORÍA DE SISTEMAS COMPUTACIONES
A lo largo de todo el trabajo de auditoría, el auditor debe guardar las
pruebas evidentes de lo realizado, no solo como recordatorio fundado
de su actuación con las necesarias matizaciones para emitir el
informe, sino como medio de demostrar, en cualquier momento, la
amplitud y la evidencia de los hechos, y poder expresar los
procedimientos de auditoría utilizados, así como la interpretación
dada en cada caso a los hechos, con las conclusiones obtenidas.
Estas pruebas, deben ser conservadas en lugar protegido, donde no
puedan ser inspeccionadas por terceros ajenos al auditor o equipo de
 auditores. No deberán destruirse antes de que haya transcurrido el
tiempo que establecen las obligaciones derivadas de las leyes y de las
necesidades de la práctica profesional. Su destrucción o pérdida, así
como la difusión no autorizada, acarrearía responsabilidad para el
auditor.
Estructura de contenidos.
Cuando hablamos de papeles de trabajo, nos estamos refiriendo al
conjunto de documentos preparados por un auditor, que le permite
disponer de una información y de pruebas efectuadas durante su
actuación profesional en la empresa, así como las decisiones tomadas
para formar su opinión.
Su misión es ayudar en la planificación y la ejecución de la auditoría,
ayudar en la supervisión y revisión de la misma y suministrar
evidencia del trabajo llevado a cabo para respaldar la opinión del
auditor.
Han de ser detallados y completos los papales de trabajo y deben estar
diseñados para presentar la información requerida de forma clara y
plena de significado. Estos deben elaborarse en el momento en que se
realiza el trabajo y son propiedad del auditor, quien debe adoptar las
medidas oportunas para garantizar su custodia sin peligro y su
confidencialidad.
En cuanto a los objetivos de los papeles de trabajo podemos indicar
los siguientes: - Servir como evidencia del trabajo realizado y de
soporte de las conclusiones de este.
 Presentar informes a las partes interesadas.
 Facilitar los medios para organizar, controlar, administrar y
supervisar el trabajo ejecutado en las oficinas del cliente.
 Facilitar la continuidad del trabajo en el caso de que un área deba ser
terminada por persona distinta de la que la inició.
 Facilitar la labor de revisiones posteriores y servir para la información
y evaluación personal.
Tipos de papeles de trabajo.
En función de la fuente de la que procedan los papeles de trabajo,
éstos se podrán clasificar en tres grupos:
a) Preparados por la entidad auditada. Se trata de toda aquella
documentación que la empresa pone al servicio del auditor para que
pueda llevar a cabo su trabajo: estados financieros, memoria,
escritura, contratos, acuerdos.
b) Confirmaciones de terceros. Una parte del trabajo de auditoría
consiste en la verificación de los saldos que aparecen en el balance de
situación a auditar.
c) Preparados por el auditor. Este último grupo estará formado por
toda la documentación elaborada por el propio auditor a lo largo del
trabajo a desarrollar: cuestionarios y programas, descripciones,
detalles de los diferentes capítulos de los estados financieros, cuentas,
transacciones.
Sistemas de archivo.
Un complemento necesario a los papeles de trabajo lo constituye el
archivo de trabajo. En él deben figurar recopilados todos los
documentos utilizados en la actuación profesional, así como cuantas
informaciones se consideren de interés, tanto para el presente como
para el futuro.
Se pueden distinguir dos tipos de archivos: expediente de ejercicio y
permanente.
El contenido de este archivo se refiere a documentos y papeles de
trabajo cuya vigencia se limita al
período de realización de la auditoría.
a) Archivo general
Agrupa toda información referente a la organización de la auditoría,
al mismo tiempo recogerá la documentación en la que se han ido
reflejando los principales problemas que se han planteado en la
ejecución de la auditoría y las conclusiones a las que ha ido llegando
el auditor. De esta forma, podríamos destacar como apartados
importantes de la sección general del expediente del ejercicio:
 Estados financieros a auditar
 Proceso de planificación y programas de auditoría
 Informe sobre el sistema de control interno contable
 Indicación de quién realizó los procedimientos de auditoría y
cuándo fueron realizados
 Constancia de que el trabajo realizado por colaboradores ha sido
supervisado y revisado
 Puntos de informe
 Correspondencia con el cliente y resumen de las conversaciones
mantenidas
 Hechos posteriores
 Terminación de la auditoría
b) Archivo por áreas de trabajo
CAPITULO 8: INFORMES DE AUDITORIA
Objetivos
Hay que destacar la importancia que tiene el saber presentar
profesionalmente los informes de auditoría computacionales. El
auditor tiene que ser muy cuidadoso al plasmar en libro, documento o
escrito por es como dar un sello personal.
Procedimientos para elaborar el informe.
En el informe de auditoría, también llamado dictamen, se reportan las
situaciones encontrada durante la evaluación, pero se deben incluir las
causas que originan esas situaciones y las posibles sugerencias para
solucionar los problemas encontrados.
Los procedimientos para elaborar dicho informe se componen de los
siguientes pasos.
1. Aplicar instrumentos de recopilación
2. Registrar el formato de situaciones encontrada.
3. Comentar las situaciones encontrada con los auditados.
4. Analizar, depurar y corregir las desviaciones encontradas.
5. Presentar informe y dictamen final a los directivos de la empresa.
6. Comentar las situaciones encontrada con los auditados.
Una vez identificada las siguientes situaciones encontrada, es
responsabilidad del encargado de la auditoria comente cada una de
esas desviaciones con el personal responsable de la operación o
sistema de o función auditada. Además, comentarla comentarlo con
los auditado esto permite preparar las posibles soluciones para esas
desviaciones. Nota: la auditoria no es una cacería de brujas para
cortar las cabezas de los auditados, es una revisión para encontrar
posibles desviaciones en su actividad cotidiana y es deber del auditor
comentarlas con ellos para resolverlas de común acuerdo.
Encontrar causas de las desviaciones con los auditados
También se recomienda encontrar de manera más fidedigna y
confiable las causas que generan cada una de las desviaciones, a fin
de reportarla en el informe lo más apegado posible a la realidad. Es
necesario tener pendiente que al conocer las desviaciones que se le
imputan, el auditado tratara de defenderse, señalando las causa que
generaron cada una de las desviaciones encontradas, así directamente
al escuchar la voz del auditado el auditor puede comprobar o ratificar
las causas que había planteado. No obstante, como es natural, en las
reuniones muchos de los auditados trataran de evadir o justificar su
responsabilidad en las desviaciones e incluso, en algunos casos
extremos, pueden hasta negar la existencia o conocimiento de la
situación que se le imputa.
Elaboración del informe final y el dictamen del auditor
En el informe el auditor solo debe lo más relevante de la evaluación,
incluyendo su opinión. En este informe es que denota la importancia
de su actividad al señalar en qué situación estaba la empresa o
departamento antes de la evaluación por los auditores. El informe es
algo practico y corto, cabe aclarar que la razón de plasmar este
informe en tan poco espacio es que los directivos de una empresa, por
lo general, tienen poco conocimiento del lenguaje que se maneja en
los sistemas computacionales
Características fundamentales.
Se pueden identificar dos características fundamentales en los
informes de auditoría en los sistemas computacionales los cuales
siempre se refieren al contenido del informe y la forma de
presentarlo. Dichas características son la siguiente:
Características de fondo.
Se refiere al cuidado que debe tener el auditor de sistema al revisar
que el contenido total del dictamen de auditoria sea acorde con lo que
realmente tiene que señalar acerca de la revisión afectada,
refiriéndose exclusivamente al contenido del informe. Para esto debe
tener en cuenta diversos aspectos los como que el documento sea
veraz, confiable, oportuno, objetivo, claro, completo y que el lector de
dicho dictamen o resumen sea pueda entender con facilidad dicho
informe.
Características de forma
Estas características se refieren a la manera en que el auditor debe
presentar el informe en cuanto al estilo de redacción, el contenido en
partes, apartados, apéndices, tipo y tamaño de las hojas y el tipo de
letra; también en lo relativo en la forma de utilizar la redacción,
ortografía, sintaxis, gramática y demás componentes del lenguaje y
todo lo relacionado con la presentación del documento.
Características de la presentación del informe.
Otras de las características más importantes de un informe de
auditoría de sistemas computacionales son los atributos que deben
tener la redacción y la presentación del informe, para lograr mejores
resultados en la elaboración del citado informe, el auditor debe tomar
en cuenta las características que proponemos a continuación:
Claridad, efectividad, Confiabilidad, positividad, Propiedad, sintaxis,
Concisión, Sencillez, Asertividad, Exactitud, Familiaridad y
Veracidad.
CAP. 9: INSTRUMENTOS DE RECOPILACION DE
INFORMACION EN AUDITORIA
Objetivo
Identificar los principales instrumentos técnicas, herramientas y
métodos utilizados en la recopilación de información. Al utilizar estas
herramientas, métodos y procedimientos en auditoria de sistemas, lo
que se hace es utilizar lo mejor de ellas para adecuarlas a las
necesidades específicas de evaluación requerida.
Entrevista
Es la principal actividad de un auditor sin importar el tipo de auditoria
que se realice, es la recopilación de conformación sobre el aspecto
que va a auditar, pues concentra y tabular esa conformación en
cuadros Y estadísticas analiza sus resultados y emite un juicio sobre
lo que evaluó. Una entrevista consta de inicio, apertura, cima y cierre.
Los tipos de entrevistas pueden ser:
Libres
Dirigidas
De exploración
De comprobación
De información
Informales
Las preguntas para una entrevista pueden ser:
Abiertas: donde el entrevistado tiene libertad absoluta para responder.
Cerradas: su objetivo es centrar las respuestas donde el auditor quiera
llegar sin salirse del tema.
De sondeo: se utiliza para determinar el grado de cooperación y
colaboración.
De Cierre: se hacen para terminar con el interrogatorio.
Mixta: es la combinación de dos o más de las preguntas anteriores.
Cuestionarios:
Es la recopilación de datos mediante preguntas impresas en la que el
encuestado responde mediante su criterio. Que luego el auditor
convierte en información valiosa para realizar su trabajo.
Ventajas:
Facilitan la recopilación de información y no necesitan muchas
explicaciones.
Permiten la rápida fabulación e interpretación.
Evitan la dispersión de la información requerida.
Son fáciles de aplicar y ayudan a recopilar mucha información en
poco tiempo.
Hacen impersonal las respuestas por lo tanto en una auditoria ayuda a
recopilar información valiosa.
Desventajas:
Falta de profundidad en las respuestas y no puede ir más allá del
cuestionario.
Se necesita una buena elección del universo y la muestra
seleccionada.
Puede provocar la obtención de datos equivocados.
La interpretación de anales de los datos puede ser muy simple si el
cuestionario no está bien estructurado.
Limita la participación del auditado.
Encuesta:
Las encuestas constituyen una de las técnicas más populares y de
mayor uso en la auditoria.
Observación
Es la acción de observar y mirar detenidamente, esta técnica es muy
utilizada por los auditores ya que les permite recolectar directamente
la información necesaria.
La acción de observar es el hecho de examinar, analizar, advertir, o
estudiar algo en este caso el
auditor observa todo lo relacionado con los sistemas de una empresa.
Inventario
Esta forma de recopilación de información consiste en hacer un
recuento físico de lo que se está auditando a fin de saber la cantidad
existente de algún producto en una fecha determinada y comprarla
con la que debía haber según los documentos en esa misma fecha.
Consiste en comprar las cantidades reales existentes con las que
beberían haber para ver si son iguales o no.
Muestreo
Para emitir una opinión fundamentada sobre los funcionamientos de
las operaciones un auditor debe tener información segura, pero se le
hace imposible e inoperante revisar todas las transacciones, razón por
la cual debe tomar una muestra representativa de cada una de las
labores de la población auditada. El cual consiste en una muestra
representativa del total de la población.
Experimentación
Es una de las técnicas que más ayudan al auditor a recopilar
información la experimentación es quien lleva a cabo la auditoria
puede participar activamente o no en la observación de fenómenos.
Entre los tipos de experimentos que daremos a conocer están:
Experimentos exploratorios
Experimentos confirmatorios
Experimentos cruciales
Si el auditor lleva a cabo cada uno de estos métodos detalladamente y
en orden podrá obtener buenas informaciones que les servirán para la
presentación de resultados y la toma de decisiones.
CAP. 10: TECNICAS DE EVALUACION APLICABLES
EN UNA AUDITORIA DE SISTEMAS
COMPUTACIONALES
En la auditoria de sistemas computacionales se utilizan una serie de
herramientas tradicionales de auditoria, así como técnicas de
valoración que permite hacer una evaluación más eficiente de los
sistemas computacionales. Como profesional especializado en la
rama, el auditor de sistemas computacionales utilizas estas técnicas
pues le ayudan a examinar y evaluar correctamente los diferentes
aspectos del ambiente de sistemas en el que realiza su trabajo. Estas
técnicas, métodos, procedimientos o herramientas son:
EXAMEN
Consiste en analizar y poner a prueba la calidad y el cumplimiento de
las funciones, actividades y operaciones que se realizan
cotidianamente en una empresa, es utilizado para evaluar los
registros, planes, presupuestos, programas, controles y todo lo demás
aspectos que afectan la administración y control de una empresa o de
las áreas que la integran.
En la auditoria de sistemas computacionales podemos entender el
examen como:
El análisis, prueba o demostración al que se somete algún fenómeno o
hecho relacionado con la gestión administrativa de un centro de
cómputo, de sus componentes o de la operación del sistema
procesados de información, con el propósito de evaluar el
cumplimiento de sus funciones, actividades y operaciones, así como
el cumplimiento del procesamiento de datos y la emisión de
información que se requiere en la empresa o en las áreas que la
integren.
INSPECCION (Acción o efecto de inspeccionar)
La inspección en sistemas computacionales es Sinónimo de
supervisión, ya que trata de examinar la forma en que se desarrollan
las actividades de un área de sistemas computacionales, a fin de
evaluar y emitir un informe sobre el desarrollo normal de sus
funciones y operaciones, también tiene como propósito monitorear el
desarrollo cotidiano de las funciones, actividades y operaciones
normales de las empresas, para evaluar y si es necesario, corregir su
desarrollo beneficio.
Esta herramienta es aplicada de acuerdo con las características
específicas de cada centro de cómputo o de cada sistema
computacional, un ejemplo de los posibles aspectos del ambiente de
sistemas computacionales donde puede ser aplicada es: La inspección
de los sistemas de seguridad y protección de las instalaciones, equipo,
personal y de los propios sistemas de procesamiento, con el propósito
de dictaminar sobre su eficiencia y confiabilidad.
CONFIRMACION (Nueva prueba o seguridad de una cosa para
corroborar la verdad)
Es uno de los aspectos fundamentales para la credibilidad de una
auditoria es la confirmación de los hechos y la certificación de los
datos obtenidos durante la revisión, ya que el resultado final de una
auditoria es la emisión de un dictamen en el que el auditor vierte sus
opiniones, la característica fundamental de una auditoria, cualquiera
que sea su tipo, es la autenticidad con la que el auditor emite sus
opiniones, sean a favor o en contra. En los sistemas computacionales
su fin es confirmar la oportunidad, veracidad de los gastos de nómina
del personal de la empresa , comparando los resultados de una
quincena con los cálculos manuales de esa misma quincena, validar
las desviaciones encontradas en los procesamientos, revisar las
licencias de software instalados en los sistemas computacionales y
confirmar la confiabilidad de las protecciones , contraseñas y demás
medidas de seguridad establecidas para el acceso a la información y a
los sistemas de la empresa.
COMPARACION (Determinar las semejanzas o diferencias que hay
entre dos o más elementos)
Esta debe ser aplicada de acuerdo con las necesidades y
características específicas del área de sistemas o del propio sistema
que va a ser auditado.
Con la comparación de información se pueden encontrar las
similitudes y diferencias entre ambas áreas o empresa, con lo cual se
pueden hacer conjeturas y deducciones sobre las desviaciones
encontradas. En la auditoria de sistemas computacionales, la
comparación de los datos en los sistemas computacionales que va a
ser elevado con los datos de algún sistemas similar o igual para avalar
y comprobar que los procesamientos sean similares o iguales y que
los resultados sean confiables, verídicos, oportunos y que satisfagan
las necesidades de procesamiento del área de cómputo de la empresa.
REVISION DOCUMENTAL
Es la forma más importante de evaluar a las empresas; además no
solo sirve para aplicaciones en una auditoria tradicional, sino también
como un importante apoyo en los diferentes tipos de auditoria de
sistemas computacionales, claro está adoptándola a las características
específicas de evaluación de los sistemas computacionales.
La revisión documental avala los registros de operaciones y
actividades de una empresa, principalmente en aquellos casos donde
la evaluación está enfocada a los aspectos financieros, registros de los
activos y a cualquier otro aspecto contable y administrativo de la
empresa. Esta técnica se aplica verificando el registro correcto de
datos en documentos formales de la empresa, con mucha frecuencia la
emisión de sus resultados financieros. En los sistemas
computacionales es utilizada para evaluar el desarrollo de las
operaciones y funcionamiento del sistema, revisar el uso y registro
adecuado de los documentos del software, verificar la existencia y
actualización de registros formales para la administración y control de
operación del sistema.
ACTA TESTIMONIAL
Es un documento de carácter formal, que por su representatividad,
importancia y posibles alcances de carácter legal y jurídico es uno de
los documentos vitales. La importancia de este radica en que con su
uso se pueden evidenciar pruebas fehacientes, circunstanciales,
probatorias para comprobar desviaciones en el área auditada y es
utilizada para testimoniar los robos, desapariciones o cualquier
aspecto relacionado con la desaparición de algún bien de la empresa,
para fincar responsabilidades por deficiencia en las actividades de la
empresa, aunque puede ser levantada en cualquier otra incidencia de
las actividades cotidiana de una empresa.
MATRIZ DE EVALUACION
Es uno de los documentos de recopilación más versátiles y de mayor
utilidad para el auditor de sistemas computacionales, debido a que a
través de esta es posible recopilar una gran cantidad de información
relacionada con las actividades realizadas en esta área de informática,
esta herramienta consiste en una matriz de seis columnas de las cuales
la primera corresponde a la descripción, y las otras cinco a un criterio
de evaluación descendente o ascendente.
MATRIZ DOFA
Es un acrónimo de Debilidades, Oportunidades, Fortalezas y
amenazas de la empresa, las cuales son analizadas cada una por
separado en cuanto a su presencia interna y a la influencia que la
empresa recibe del exterior. El fundamento para la aplicación de la
matriz DOFA en una auditoria de sistemas computacionales, es que
mediante la misma se pueden estudiar las influencias que afectan el
comportamiento del área de sistemas computacionales de una
empresa, tanto las quien recibe de su ambiente interior como exterior,
ya sean de la propia empresa o de sus proveedores, desarrolladores o
del entorno donde este establecida.
CAP. 11: TECNICAS ESPECIALES DE AUDITORIA DE
SISTEMAS COMPUTACIONALES
Diagramas del círculo de evaluación.
Herramienta de apoyo para la evaluación de los sistemas
computacionales.
Para valorar visualmente:
El comportamiento de los sistemas que están siendo auditados.
Su cumplimiento sus limitaciones.
Durante las diferentes etapas: Estudio Preliminar, Análisis del
Sistema, Diseño Conceptual, Diseño Detallado, Programación,
Pruebas, Implantación.
Diagramas del círculo de evaluación.
¿Qué Podemos Evaluar Con Esta Herramienta?
Evaluación administrativa del área de sistemas.
Evaluación de los sistemas computacionales
Seguridad en el área de sistemas computacionales.
Acceso físico al área de sistemas: acceso, uso, mantenimiento y
resguardo de las bases de datos, el personal informático, de las
instalaciones del área de sistemas.
Plan de contingencias.
Seguridad lógica del sistema.
Evaluación administrativa del área de sistemas de la misión, visión,
objetivos, estrategias, planes, programas, estructura de la
organización y perfil de puestos.
Evaluación de la documentación de sistemas, de la seguridad y la
protección de los archivos informáticos e instalaciones.
Evaluación de la capacitación, adiestramiento y promoción del
personal.
Evaluación del desarrollo de proyectos informáticos, estandarización
de metodologías, programas, equipos, sistemas y mobiliario.
Lista de verificación (o lista de chequeo).
Instrumento que contiene criterios o indicadores a partir de los cuales
se miden y evalúan las características del objeto, comprobando si
cumple con los atributos establecidos. La lista de verificación se
utiliza básicamente en la práctica de la investigación que forma parte
del proceso de evaluación.
Análisis de la diagramación de sistemas.
Unas de las principales herramientas para el análisis y diseño de los
sistemas computacionales.
El analista puede representar los flujos de información, actividades,
operaciones, procesos y otros aspectos que intervienen en el
desarrollo de los propios sistemas.
El programador puede visualizar el panorama específico del sistema,
para elaborar de manera más precisa la codificación de instrucciones
para el programa.
El auditor puede utilizar esta herramienta para el diseño de sistemas
de diferentes formas en una auditoria de sistemas, de acuerdo con su
experiencia, conocimientos y habilidades, mismas que debe canalizar
en los siguientes sentidos:
Solicitar los diagramas del sistema.
Analizar el diagrama del sistema.
Elaborar un diagrama del sistema.
Verificar la documentación de los sistemas a través de sus diagramas.
CAP. 12 PROPUESTA DE PUNTOS QUE SE DEBEN
EVALUAR EN UNA AUDITORÍA DE SISTEMAS
COMPUTACIONALES
En el desarrollo de sistemas se debe emplear la misma metodología
que utilizan los diseñadores de sistemas o el equipo de trabajo
asignado. Mientras que el objetivo primario del auditor es evaluar la
suficiencia de los controles internos, el objetivo del diseñador de
sistemas es satisfacer las necesidades de los usuarios; ambos deberían
compartir el deseo de ver que se logran los objetivos de cada uno.
PARTICIPACION DEL AUDITOR
Aun cuando el auditor esté interesado en todos los aspectos del nuevo
sistema, debe velar porque se establezcan todos los controles de
aplicación. Su principal función es asegurar que los sistemas,
recientemente implantados incluyan características de control sólidas
y confiables. En términos generales es ayudar a prevenir que se
implanten sistemas de aplicación que tengan riesgos importantes.
El auditor participa en el proceso de desarrollo de sistemas revisando
la documentación generada como producto final de ciertas actividades
de desarrollo de sistemas.
En estas actividades su interés se concentrará primordialmente en el
desarrollo e implantación de controles de aplicación adecuados.
El auditor necesita reconocer que su participación durante el
desarrollo de los sistemas puede amenazar su independencia y deberá
tomar medidas para evitar esta pérdida. Estas medidas incluyen:
* Permanecer organizacionalmente independiente del grupo de
sistema. Esto significa que el auditor no es un miembro en propiedad
del grupo de desarrollo de sistema y no le quita la dirección del
proyecto al gerente del grupo del proyecto.
* Redactar los informes independientemente del grupo del proyecto.
Las opiniones del auditor, sus recomendaciones y sus evaluaciones no
deberían incluirse en los informes de estatus del proyecto puesto que
el emisor de los informes (usualmente el gerente del grupo del
proyecto) tiene autoridad editorial para modificar las declaraciones
del auditor.
* Investigar independientemente del grupo del proyecto. El grupo del
proyecto puede estar restringido a ciertos contactos y cierta autoridad,
pero el auditor tiene libre acceso a la información y al personal de la
organización.
PROGRAMA DE TRABAJO
1. Establecer el planeamiento preliminar del trabajo de auditoría: En
este primer paso se obtiene un conocimiento inicial de las actividades
del sistema y evaluarlas en relación con los objetivos de auditoría, a
fin de determinar el alcance preliminar.

2. Participación del Auditor en el Desarrollo de Sistemas: Determinar

el grado de participación del auditor en cada fase del ciclo de vida del
sistema, una vez que ha sido identificado. Los auditores de sistema
necesitan participar en el proceso de desarrollo de los sistemas para
garantizar que los nuevos sistemas de información diseñen las
medidas adecuadas de auditoría y de control. Los dos tipos de
autorización donde se involucra el auditor son: El auditor debe tener
un grado de participación mediante un acuerdo y revisión de las fases.
Acuerdo: Es el acuerdo formal con el contenido del producto tangible.
En caso de desacuerdo, la persona responsable de evaluar el producto
tangible prepara un memorando indicando su posición y los ítems que
requieren solución y lo envía o remite al siguiente nivel superior
gerencial.
Revisión: Los productos tangibles son presentados para información
solamente; pueden hacerse comentarios, pero ellos no son decisivos.

3. Revisión de Productos Finales: Acordar y revisar las actividades y

el producto final de cada fase del ciclo de vida del desarrollo del
sistema. El auditor debe revisar que las firmas de aprobación para
todos los productos tangibles están plasmadas en el control de
aceptación de etapas. Así mismo el auditor debe preparar los papeles
de trabajo con el propósito de evidenciar y documentar los resultados
de la investigación del proyecto y que sirvan como material de
referencia para esfuerzos futuros.

4. Identificar las fuentes de información para las revisiones y/o

pruebas de auditoría:
Este paso incluye la identificación de las fuentes de información que
se requieren en los procesos de prueba y revisión. Las fuentes de
información proveen los medios para la revisión y documentación de
las actividades de auditoría y verificación de controles.