Universidad de Crdoba

Escuela Politcnica Superior

Departamento de Proyectos

Auditora Informtica
Grado en Ingeniera Informtica

Realizacin de Auditora en Sistemas Informticos

Documento:

Memoria de Prcticas

Fecha de Envo:

27/04/2015

Autores:

Alberto Cruz Crdoba (i12crcoa@uco.es)

Juan Ramn Palomino Jimnez (i12pajij@uco.es)

Realizacin de Auditora en Sistemas Informticos

ndice
ndice de Ilustraciones .................................................................................................. iv
Glosario de Definiciones ............................................................................................... vi
A. Introduccin ............................................................................................................. 1
B. Objetivos .................................................................................................................. 2
C. Antecedentes ............................................................................................................ 3
C.1 Antecedentes Histricos de la Auditora .............................................................. 4
D. Etapas ...................................................................................................................... 5
1. Planificacin de la Auditora de Sistemas Informticos .......................................... 5
1.1 Identificar el origen de la auditora................................................................... 5
1.2. Realizar una visita preliminar al rea que ser evaluada. ................................ 6
1.3. Establecer los objetivos de la auditoria. ........................................................... 8
1.4. Determinar los puntos que sern evaluados en la auditora. ............................ 8
1.5. Elaborar planes, programas y presupuestos para realizar la auditoria............ 10
1.6.

Identificar

seleccionar

los

mtodos,

herramientas,

instrumentos y

procedimientos necesarios para la auditora.......................................................... 11

1.7. Asignar los recursos y sistemas computacionales para la auditoria ................ 14
2. Ejecucin de la Auditoria de Sistemas Informticos. ............................................ 15
2.1. Realizar las acciones programadas para la Auditoria. .................................... 15
2.2. Aplicar los instrumentos y herramientas para la auditoria. ........................... 15
2.3. Identificar y elaborar los documentos de oportunidades de mejoramiento
encontradas. ......................................................................................................... 16
2.4. Elaborar el dictamen preliminar y presentarlo a discusin. ............................ 16
2.5. Integrar el legajo de papeles de trabajo de auditoria. .................................... 16
3. Dictamen de la Auditoria en Sistemas Informticos. ............................................ 17
3.1. Analizar la informacin y elaborar un informe de situaciones detectadas....... 17
3.2. Elaborar el Dictamen final............................................................................. 18
3.3. Presentar el informe de auditora. ................................................................. 18
D. Tcnicas de Evaluacin .......................................................................................... 19
4.1 Examen.............................................................................................................. 19
4.2 Inspeccin .......................................................................................................... 19
4.3 La revisin documental ...................................................................................... 19

Universidad de Crdoba

II

Realizacin de Auditora en Sistemas Informticos

4.4 El acta testimonial ............................................................................................. 19
4.5 La matriz de evaluacin ..................................................................................... 19
4.6 La matriz DOFA ............................................................................................... 20
E. WinAudit ............................................................................................................... 21
F. Conclusiones ........................................................................................................... 22
Bibliografa ................................................................................................................. 23

Universidad de Crdoba

III

Realizacin de Auditora en Sistemas Informticos

ndice de Ilustraciones
Ilustracin 1. Factores primarios ponderados .............................................................. 11
Ilustracin 2. WinAudit .............................................................................................. 21

Universidad de Crdoba

IV

Realizacin de Auditora en Sistemas Informticos

Glosario de Definiciones
1. Auditor
Nombre masculino y femenino
1. Persona que se dedica a hacer auditoras.
2. Adjetivo/nombre femenino
[Empresa] Que se dedica a hacer auditoras.
2. Auditora
Nombre femenino
1. Inspeccin o verificacin de la contabilidad de una empresa o una entidad,
realizada por un auditor con el fin de comprobar si sus cuentas reflejan el
patrimonio, la situacin financiera y los resultados obtenidos por dicha empresa
o entidad en un determinado ejercicio.
2. Empleo de auditor.
3. Tribunal u oficina del auditor.

Universidad de Crdoba

VI

Realizacin de Auditora en Sistemas Informticos

A. Introduccin
La auditora informtica es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin
dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento
de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras,
que obstaculizan flujos de informacin eficientes. En si la auditora informtica tiene 2
tipos las cuales son:
-

Auditora Interna: es aquella que se hace dentro de la empresa; sin contratar

a personas de afuera.

Auditora Externa: como su nombre lo dice es aquella en la cual la empresa

contrata a personas de afuera para que haga la auditora en su empresa. Auditar
consiste principalmente en estudiar los mecanismos de control que estn
implantados en una empresa u organizacin, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los
cambios que se deberan realizar para la consecucin de los mismos. Los
mecanismos de control pueden ser directivos, preventivos, de deteccin,
correctivos o de recuperacin ante una contingencia.

En nuestro tipo de auditora, la auditora de sistemas informticos requiere una serie

ordenada de acciones y procedimientos especficos, los cuales debern ser diseados
previamente de manera secuencial, cronolgica y ordenada, de acuerdo a las etapas,
eventos y actividades que se requieran para su ejecucin.

Universidad de Crdoba

Realizacin de Auditora en Sistemas Informticos

B. Objetivos
En este apartado se explicar los objetivos de la Auditora en Sistemas Informticos
-

Establecer los Objetivos de la Auditoria, los objetivos de la planeacin de

la auditoria son:
o

El objetivo general, que es el fin global de lo que se pretende alcanzar

con el desarrollo de la auditora informtica y de sistemas, en l se
plantean todos los aspectos que se pretende evaluar.
Los objetivos especficos, que son los fines individuales que se
pretenden para el logro del objetivo general, donde se seala
especficamente los sistemas, componentes o elementos concretos que
deben ser evaluados.

Universidad de Crdoba

Realizacin de Auditora en Sistemas Informticos

C. Antecedentes
Desde principios de los comercios, terminando con la poca del trueque en municipios,
ciudades, estados y ms lugares de inters, se expanda un afn de motivacin por el
crecimiento en gran medida de operaciones comerciales [1], los comerciantes tuvieron la
necesidad de establecer mecanismos arcaicos de registro que les permitiera dominar las
actividades mercantiles que realizaban. A continuacin, a raz de que los comerciantes
crecieron y la agrupacin en gremios, surgi una nueva necesidad de contar con un mejor
registro de sus actividades. Ms tarde el crecimiento de estas agrupaciones, que se
convirtieron en incipientes empresas y surgi la necesidad de un mayor control.
En beneficio del crecimiento se inici el registro de operaciones mercantiles a travs de
escribas que crearon el registro de operaciones financieras, surgi la llamada de libros.
Impulsaron la contabilidad y el registro de operaciones en plizas. En la actualidad se
lleva a cabo en sistemas de cmputo.
Ms tarde se recurri a la veracidad y confiabilidad de las operaciones marcadas en esos
libros. En ese momento naci el acto de auditar. Las primeras revisiones fueron
rudimentarias y poco pulcras, con un nfasis a comprobar la veracidad y confiabilidad de
los registro contables y su correcta expresin en los resultados que se entregaban.
El objetivo de estas prcticas en saber si las transacciones eran registradas de manera
correcta y si las cantidades en ellas asentadas eran exactas. Con ello se comprobaba que
no existan desfalcos ni sustracciones de los bienes.
Por ltimo, se hizo necesario que el reporte de los resultados de una empresa tambin
fuera avalado por un profesional independiente que se encargara de comprobar y
dictaminar sobre la veracidad y confiabilidad de los resultados. As naci formalmente la
actividad del auditor.

Universidad de Crdoba

Realizacin de Auditora en Sistemas Informticos

C.1 Antecedentes Histricos de la Auditora

La auditora como profesin [2] fue reconocida por primera vez bajo la Ley Britnica de
Sociedades Annimas de 1862 y el reconocimiento general tuvo lugar durante el perodo
de mandato de la Ley
Un sistema metdico y normalizado de contabilidad era deseable para una adecuada
informacin y para la prevencin del fraude
Cita 1. Ley Britnica de Sociedades Annimas de 1862

Desde 1862 hasta 1905, la profesin de la auditoria creci y floreci en Inglaterra, y se

introdujo en los Estados Unidos hacia 1900. En Inglaterra se sigui haciendo hincapi en
cuanto a la deteccin del fraude como objetivo primordial de la auditoria.
En 1912 Montgomery dijo.
En los que podra llamarse los das en los que se form la auditoria, a los estudiantes
se les enseaban que los objetivos primordiales de sta eran
-La deteccin y prevencin de fraude.
-La deteccin y prevencin de errores
-El cerciorarse de la condicin financiera actual y de las ganancias de una empresa.
- La deteccin y prevencin de fraude, siendo ste un objetivo menor.
Cita 2. Robert Hiester Montgomery 1912, El objetivo de la Auditora

El antecedente histrico ms reciente sobre la auditora con la relacin a la informtica

se encuentra en Estados Unidos, se comienza a dar resultados relevantes en el campo de
la computacin, con sistemas de apoyos para estrategias militares, sin embargo, la
seguridad y el control solo se limitaba a dar custodia fsica a los equipos y a permitir el
uso de los mismos solo a personal altamente calificado.
Con el paso de los aos la informtica y todos los elementos tecnolgicos que la rodean
que han ido creando necesidades, en cada sector social y se han vuelto un requerimiento
permanente para el logo de soluciones

Universidad de Crdoba

Realizacin de Auditora en Sistemas Informticos

D. Etapas
1.

Planificacin

de

la

Auditora

de

Sistemas

Informticos
Este primer apartado va a tratar de la planificacin que consiste en el proceso de decidir
de antemano qu se har y de qu manera se har. Por otro lado se va dividir este
apartado en una serie de pasos que veremos a continuacin.

1.1 Identificar el origen de la auditora

Este primer paso consiste en iniciar la planeacin de la auditora, ya que, se debe
determinar porqu surge la necesidad de realizar una auditora. Se quiere hacer la
evaluacin de algn aspecto de los sistemas de la empresa.
Una pregunta fundamental en este paso Cmo podemos identificar el origen? Esta
pregunta se puede contestar de las siguientes maneras:
-

Por solicitud expresa de procedencia interna, que puede ser a peticin de

accionistas, socios y dueos o por orden de la direccin general.

Por solicitud expresa de procedencia externa, que puede ser por mandato de
autoridades judiciales o por ordenamiento de las autoridades fiscales.

Como consecuencia de emergencias y condiciones especiales, que puede ser por

incidencia interna y/o externa.

Por riesgos y contingencias informticas, que puede ser por riesgos y contingencias
del personal informtico y/o riesgos y contingencias fsicas.

Como resultados de los planes de contingencia, que puede ser por la carencia de
planes de contingencia y por la elaboracin de planes de contingencia.

Por resultados obtenidos de otras auditoras,

Como parte del programa integral de auditora

Universidad de Crdoba

Realizacin de Auditora en Sistemas Informticos

1.2. Realizar una visita preliminar al rea que ser evaluada.

Esta etapa es imprescindible y consiste en que el auditor realice una vista preliminar al
rea de informtica que ser auditada, justo despus de conocer el origen de la peticin
de auditora, y antes de iniciarla formalmente.
El propsito es que tenga un contacto inicial con el personal del rea a auditar as como
observar cmo se encuentran distribuidos los sistemas, cuntos y cules son los equipos
que estn instalados en el centro de cmputo, cules son sus principales caractersticas,
etc.
De esta manera el auditor conocer la problemtica a la cual se enfrentar de manera
ms directa y simple.
Para esta etapa el auditor debe abarcar los siguientes aspectos en dicha visita preliminar:
-

Visita preliminar de arranque, que consiste, es una vista preparatoria al rea de

informtica que ser auditada, la cual tiene como finalidad que el auditor advierta
de manera preliminar alguna de las siguientes preguntas:
o

Cmo se encuentran distribuidos los sistemas en el rea?

Cuntos, cules, cmo y de qu tipo son los equipos que estn instalados
en el centro de sistemas?

Cmo reacciona el personal ante la visita del auditor?

Cules son las principales caractersticas fsicas de los sistemas que sern
auditados?

o
-

Cules son las medidas de seguridad visibles que existen?

Contacto inicial con funcionarios y empleados del rea. Dentro de esta vista
preliminar el auditor tambin aprovecha para establecer un contacto con el
personal del rea a auditar, ya sean funcionarios, empleados o usuarios del rea
de sistemas. El propsito es observar la reaccin ante la realizacin de dicha
auditora, y as poder identificar las posibles limitaciones y temores que influirn
en la cooperacin de dicho personal.
Debemos destacar que la visita del auditor casi nunca es bien recibida, ms bien
ocurre lo contrario, crea molestias en el personal y hace que ste se ponga a la
defensiva ya que ven la figura del auditor como una amenaza a sus puestos de
trabajo.

Universidad de Crdoba

Realizacin de Auditora en Sistemas Informticos

En realidad el objetivo de este punto es que el auditor pueda visualizar el
panorama al cual se enfrentar, para que de ah disee su estrategia para el
desarrollo de la evaluacin bajo la expectativa de los funcionarios, empleados y
usuarios respecto a la auditora.
-

Identificacin preliminar de la problemtica de sistemas. Este es otro punto que

complementa a los anteriores, en esta vista preliminar el auditor debe aprovechar
para saber cul es la principal problemtica a la que se enfrenta el rea de
sistemas, su personal y usuarios, su procesamiento de informacin y la
administracin de sus bases de datos, etc.
Lo que se intenta conseguir con esta identificacin preliminar de las posibles
dificultades que hay en los sistemas de la empresa, es que el auditor tenga un
panorama anticipado del comportamiento de los sistemas, aunque dicho
panorama no sea del todo fiable.

Prever los objetivos iniciales de la auditora. Otro aspecto que tambin se puede
obtener de es que se puede anticipar cules objetivos se pueden satisfacer con la
auditora o por lo menos tratar de establecer las metas que se quieren alcanzar
con la evaluacin.
En el mejor de los casos el auditor podra sealar los objetivos que se pretenden
satisfacer con su auditora, o tal vez podra seleccionarlos con esta visita
preliminar.

Calcular los recursos y personas necesarias para la auditora. El ltimo beneficio

de esta vista preliminar al rea que ser auditada, es la posibilidad de calcular
tanto el tipo como la cantidad de recursos que sern necesarios para llevar a cabo
la evaluacin (recursos de carcter humano, informtico, material, tcnico y
econmico).
De esta manera se comienza una observacin del personal o por entrevistas y
plticas de carcter informal. Con estas entrevistas tambin puede obtener datos
importantes que le ayuden a calcular las necesidades de recursos aplicables en la
auditora de sistemas.

Universidad de Crdoba

Realizacin de Auditora en Sistemas Informticos

1.3. Establecer los objetivos de la auditoria.

En este paso, despus de haber identificado el origen de la auditora y haber realizado
una visita preliminar al rea que ser auditada, es establecer los ms claro posible los
objetivos de la auditora, ajustndose lo ms posible a las necesidades de la evaluacin
Los diferentes objetivos de la auditora que estn divididos en sub-objetivos que pueden
ser:
-

Objetivo general, consiste en el fin global que se pretende alcanzar con el

desarrollo de la auditora de sistemas en el cual se plantean todos los aspectos que
se pretenden evaluar

Objetivos particulares, consisten en los fines individuales que se pretenden

alcanzar con el desarrollo de la auditora, ya sea de un rea especfica, de un
sistema en especial o de alguna funcin en particular.

Objetivos especficos de la autora de sistemas, consisten en la determinacin de

los fines que se pretenden alcanzar con la auditora de sistemas, sealando
concretamente las reas a evaluar y, especficamente, los sistemas, componentes
o elementos concretos que deben ser evaluados.

1.4. Determinar los puntos que sern evaluados en la

auditora.
Despus de haber determinado el origen de la auditora y de establecer los objetivos
concretos que se pretenden alcanzar, el siguiente paso es determinar los puntos concretos
que sern evaluados.
Esta definicin de los puntos que tienen que ser evaluados debe ser realizada considerando
aspectos muy especficos de los sistemas computacionales, como pueden ser los siguientes
especificados.
-

La operacin de los sistemas computacionales.

El anlisis, diseo y desarrollo de los sistemas computacionales.

La proteccin y respaldo de archivos e informacin.

Es de gran importancia destacar que la definicin y establecimiento de los puntos que se

deben evaluar es el elemento fundamental de apoyo del auditor, debido a que esto es
producto de un anlisis previo, tanto del origen de la auditora y de la visita previa como
de los objetivos que se pretenden satisfacer con la realizacin de esta auditora.

Universidad de Crdoba

Realizacin de Auditora en Sistemas Informticos

Sin el anlisis previo difcilmente se pueden satisfacer con la realizacin de se deben
evaluar. En este paso de la planeacin de la auditora debemos establecer aquellos
aspectos de sistemas que vamos a evaluar, para posteriormente establecer las
herramientas y la manera en que realizaremos la evaluacin.
Uno de los errores ms comunes al realizar una evaluacin de sistemas es que dicha
evaluacin muchas veces se lleva a cabo sin una adecuada planeacin, con lo cual no slo
conduce a una evaluacin ms pobre e imprecisa, sino que el auditor tiene serias
dificultades en la aplicacin de las herramientas.
Con respecto a la definicin de los puntos que van a ser evaluados pueden existir muchos
criterios de seleccin los cuales deben ser establecidos de acuerdo a las necesidades de
evaluacin de la empresa, del equipo y del sistema operativo, entre otras muchas cosas.
De ah que dependa de los muchos criterios que se establezcan en torno al desarrollo de
la auditora. Debido a las distintas opciones para definir los puntos que sern evaluados
en una auditora con los cuales slo pretendemos anticipar un criterio de seleccin, ms
o menos homogneo, de aquellos aspectos fundamentales que se debern evaluar en una
auditora de sistemas.
Debemos aclarar que este criterio de seleccin es de carcter general y slo se presenta al
nivel de sugerencia, y el responsable de la auditora deber determinar su aplicacin con
los conocimientos que tenga sobre este trabajo. Los puntos que se deben evaluar se pueden
agrupar, por ejemplo, de la siguiente manera:
-

Evaluacin del hardware.

Evaluacin del software.

Evaluacin de las reas y unidades administrativas del rea de cmputo.

Evaluacin de la seguridad de los sistemas de informacin.

Determinar los recursos que sern utilizados en la auditora.

Personal del rea que ser evaluada.

Elegir los tipos de auditora que sern utilizados.

Evaluacin de las funciones y actividades del personal del rea de sistemas.

Evaluacin de los recursos humanos del rea del sistema.

Evaluacin de los sistemas, equipos, instalaciones y componentes.

Universidad de Crdoba

Realizacin de Auditora en Sistemas Informticos

-

Evaluacin de la informacin, documentacin y registros de los sistemas.

Personal de auditora de sistemas.

Apoyos materiales y administrativos.

Apoyos de los sistemas y equipos tcnicos e informticos.

Evaluacin de la informacin y bases de datos.

1.5. Elaborar planes, programas y presupuestos para realizar

la auditoria.
Despus de haber considerado todos los puntos antes sealados, el siguiente paso es
realizar la planeacin formal de la auditora de sistemas, en la cual se concreten los planes,
programas y presupuestos para dicha auditora, es decir, se deben elaborar los
documentos que contemplen los planes formales para el desarrollo de la auditora, los
programas en donde se delimiten perfectamente las etapas, eventos, actividades y los
tiempos de ejecucin para cumplir con el objetivo.
Esta elaboracin se compone de diferentes elaboraciones:
-

Elaborar el documento formal de los planes de trabajo para la auditora, consiste

en la elaboracin especfica y escrupulosa de los planes formales de trabajo para
la auditora de sistemas computacionales. El auditor responsable de elaborar la
planeacin de la auditora determinar, en base a sus conocimientos, el contenido
formal de este documento.

Contenido de los planes para realizar la auditora, consiste en la elaboracin

escrupulosa de todos los planes formales que el auditor debe plasmar en un
documento oficial llamado plan de auditora de sistemas, el cual debe contener
muy detalladamente las fases.

Universidad de Crdoba

10

Realizacin de Auditora en Sistemas Informticos

1.6. Identificar y seleccionar los mtodos, herramientas,

instrumentos y procedimientos necesarios para la auditora.
Este paso tiene el fin de determinar los documentos y medios con los cuales se llevar a
cabo la revisin a los sistemas de la empresa, lo cual se lograr a travs de la seleccin o
diseo de los mtodos, procedimientos, herramientas e instrumentos necesarios, de
acuerdo con lo indicado en los planes, presupuestos y programas establecidos para la
auditora. Para lograr este hito, es aconsejable considerar los siguientes puntos:

Establecer la gua de ponderacin de los puntos que sern evaluados. Uno de los
aspectos ms importantes que se deben considerar para realizar una auditora de
sistemas es la tcnica de ponderacin, que es un mtodo especial que ayuda a
definir la forma de valorar cada una de las partes importantes del rea de
sistemas, con el fin de aplicar los mismos criterios de evaluacin en todos los
aspectos que sern evaluados.
El propsito de utilizar esta herramienta es buscar un equilibrio entre las reas o
sistemas de informtica que tienen mayor peso y trascendencia, con aquellas que
tienen poco peso e importancia. Esta tcnica de evaluacin es un instrumento que
permite al auditor compensar las posibles descompensaciones de las reas o
sistemas de informtica que tienen mayor peso e importancia en la evaluacin,
comparadas con aquellas que tienen poco peso e importancia.
Podemos lograr esta ponderacin siguiendo algunos patrones:
o

Definir las reas y puntos del sistema que sern auditados.

Definir el peso de la ponderacin por las reas y puntos que sern

evaluados.

Realizar el documento de ponderacin de la auditora.

Ilustracin 1. Factores primarios ponderados

Universidad de Crdoba

11

Realizacin de Auditora en Sistemas Informticos

-

Elaborar la gua de la auditora. Tras disear la ponderacin de la auditora de

sistemas, el siguiente paso es elaborar la gua de la auditora, esta gua es un
documento formal, en el cual se anotan todos los puntos que debern ser
evaluados, ya sea del centro de cmputo, del sistema en evaluacin, de la gestin
informtica o de cualquiera de los aspectos del rea de sistemas. Tambin se
anotan la tcnica y la forma en que ser evaluado cada punto, as como su
ponderacin o peso especfico.
La gua de evaluacin ser el documento que le permitir realizar, en forma
eficiente y efectiva, su investigacin para la auditora del sistema, centro de
cmputo, gestin informtica o de cualquiera de los puntos que se tenga que
evaluar, ya que le indicar todo el procedimiento que deber seguir, los puntos
que deber evaluar y las herramientas e instrumentos que deber utilizar para
hacer su revisin. Es decir, este documento le puede guiar paso a paso en todos
los aspectos que sern auditados.
A continuacin expondremos los principales aspectos para la elaboracin de una
gua de auditora:
o

Determinar las reas y puntos concretos que sern evaluados en el

ambiente de sistemas.

Seleccionar los mtodos, procedimientos, herramientas e instrumentos de

evaluacin.

Elaborar el documento formal de la gua de auditora.

Elaborar los documentos necesarios para la auditora. Una vez definidos todos los
aspectos sealados anteriormente, y de acuerdo con lo indicado en los documentos
terminados de la ponderacin de la auditora y la gua de auditora de sistemas,
el siguiente paso es el de elaborar los documentos formales que servirn para
recopilar la informacin til para hacer la valoracin de los aspectos que sern
auditados en el rea de sistemas.
Concretamente y de acuerdo con lo establecido en la gua de auditora se deben
disear, seleccionar o elaborar los documentos formales que se utilizarn para la
recopilacin de informacin y para la aplicacin y uso de pruebas e instrumentos
que servirn para comprobar el buen funcionamiento de los sistemas de la
empresa.

Universidad de Crdoba

12

Realizacin de Auditora en Sistemas Informticos

El propsito es contar con las herramientas, procedimientos e instrumentos que
permitan

obtener

informacin

til

para

la

auditora

los

sistemas

computacionales de la empresa, lo cual se logra por medio de los siguientes puntos.

o

Disear los instrumentos y herramientas de recopilacin de informacin

para la auditora.

Disear los cuestionarios.

Disear las guas para realizar entrevistas.

Disear los formularios para encuestas.

Disear los modelos y formatos para los inventarios del rea de sistemas.

Disear los mtodos e instrumentos de muestreo.

Disear los instrumentos especiales de evaluacin de sistemas.

Determinar los puntos que sern evaluados con pruebas.

Disear las pruebas para la evaluacin.

Disear los instrumentos y herramientas para pruebas de evaluacin.

Determinar herramientas, mtodos y procedimientos para la auditora de

sistemas.
En este paso debemos determinar las herramientas, mtodos y procedimientos
que se utilizarn para llevar a cabo la evaluacin en el ambiente de sistemas que
se auditar.
En el paso anterior sealamos que es necesario definir un documento a utilizar,
mientras que en esta etapa tenemos que seleccionar los instrumentos a utilizar en
la auditora, ya sea que se elijan los instrumentos que ya se han probado con
anterioridad, de los que se necesitan redisear para esta evaluacin o de aquellos
que tienen caractersticas de los sistemas que se estn auditando.

Universidad de Crdoba

13

Realizacin de Auditora en Sistemas Informticos

-

Disear los sistemas, programas y mtodos de pruebas para la auditora. En una

auditora de los sistemas computacionales entre otras muchas cosas, el auditor
debe evaluar el adecuado funcionamiento de los sistemas computacionales de la
empresa, lo cual se realiza a travs del diseo de programas especficos que aplica
en esos sistemas, as como de mtodos de pruebas especiales, exclusivas de estos
sistemas computacionales. En su conjunto constituyen la evaluacin tcnica al
funcionamiento de los sistemas de la empresa.
Como resultado de la planeacin de auditora y de manera especfica en la gua
de auditora, el responsable de la auditora debe plasmar, de manera formal, los
sistemas, programas y mtodos que aplicar para evaluar los sistemas
computacionales de la empresa.

1.7. Asignar los recursos y sistemas computacionales para la

auditoria
Tras realizar todos los aspectos sealados y las fases anteriormente especificadas el
siguiente paso es asignar los recursos que sern necesarios y utilizados para realizar la
auditora, de acuerdo con los aspectos ya establecidos con anterioridad. Con la asignacin
de estos recursos especializados es como se lleva a cabo dicha auditora.
Como ya dijimos anteriormente el responsable de la auditora debe establecer una serie
de puntos para la realizacin de sta ltima con lo cual vamos a nombrar los principales:

Asignar los recursos humanos para la realizacin de la auditora.

Asignar los recursos informticos y tecnolgicos para la realizacin de la auditora.

Asignar los recursos materiales y de consumo para la realizacin de la auditora.

Asignar los dems recursos para la realizacin de la auditora.

Universidad de Crdoba

14

Realizacin de Auditora en Sistemas Informticos

2.

Ejecucin

de

la

Auditoria

de

Sistemas

Informticos.
El siguiente paso despus de la planeacin de la auditora es su ejecucin, la cual estar
determinada por las caractersticas concretas, los puntos y requerimientos que se
estimaron en la etapa de planeacin.
Debido a que esta etapa es de realizacin especial, de acuerdo con la que planeacin de
la auditora, en este inciso slo se indican sus puntos ms importantes, en la inteligencia
de que se aplicar verdaderamente de acuerdo a las caractersticas especficas de la
auditora que se trate.
Podemos concretar y destacar los siguientes conceptos los cuales sern posteriormente
definidos con mayor profundidad:
-

Realizar las acciones programadas para la auditora.

Aplicar los instrumentos y herramientas para la auditora.

Identificar y elaborar los documentos de desviaciones.

Elaborar el dictamen preliminar y presentarlo a discusin.

Integrar el legajo de papeles de trabajo de la auditora.

2.1. Realizar las acciones programadas para la Auditoria.

De acuerdo con el programa de auditora, cada auditor tiene que realizar las actividades
que le corresponden y ven oportunas conforme fueron diseadas, en la cronologa que le
fue asignada a cada una, y de acuerdo con los tiempos y recursos que le corresponde
utilizar. El propsito es ejecutar los eventos programados y alcanzar el objetivo de la
auditora.

2.2. Aplicar los instrumentos y herramientas para la

auditoria.
Aqu lo importante es que, conforme a la gua de auditora, se tienen que utilizar, uno a
uno, los instrumentos y herramientas elegidos para llevar a cabo la evaluacin, ya sea
mediante la recopilacin y anlisis de la informacin, la observacin, las pruebas y
simulaciones de los sistemas, o mediante cualquier otro instrumento de los que se
disearon previamente para esta revisin.

Universidad de Crdoba

15

Realizacin de Auditora en Sistemas Informticos

2.3. Identificar y elaborar los documentos de oportunidades

de mejoramiento encontradas.
Una vez que se realizaron las actividades diseadas en el programa de trabajo de
auditora, que se utilizaron los instrumentos de recopilacin de informacin y/o se
utilizaron los instrumentos determinados para la auditora, entonces se buscan las
posibles desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales
se anotan las situaciones encontradas, las causas que originaron y sus posibles soluciones,
as como los responsables de solucionar dichas desviaciones y las posibles fechas para
hacerlo.
El auditor puede elaborar este documento cuando lo considere necesario, es decir, lo
puede elaborar conforme va realizando cada evento programado o conforme a cualquier
otro criterio. Lo importante es que conforme el auditor detecte las desviaciones, elabore
de inmediato el documento de desviaciones

2.4. Elaborar el dictamen preliminar y presentarlo a

discusin.
Una vez que el auditor determina las desviaciones encontradas durante la evaluacin,
debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede
elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de
la empresa. Una vez hecho esto, es obligacin del auditor comentarlas con las personas
que estn involucradas directamente en las desviaciones, a fin de encontrar de manera
conjunta las causas que las originaron y, derivado de este intercambio de opiniones, debe
determinar las posibles soluciones para cada una de estas causas. Tambin puede asignar
a los responsables de solucionarlas y las fechas para hacerlo.
Es muy conveniente sealar que la importancia de la auditora no slo estriba en reportar
las desviaciones encontradas en una operacin normal, sino que las personas que estn
involucradas directamente en la operacin deben conocerlas. El propsito es que estn
conscientes de las desviaciones encontradas en su trabajo para que puedan emprender las
acciones necesarias para corregirlas, si es que las correcciones estn en sus manos.
La auditora no se lleva a cabo para cortar las cabezas de los auditados es una disciplina
que ayuda a detectar las desviaciones en las operaciones de los auditados, as como a
conocer las causas tales desviaciones y sus posibles soluciones.

2.5. Integrar el legajo de papeles de trabajo de auditoria.

El auditor tiene la obligacin de conservar en el llamado legajo de papeles de la auditora
cada uno de los instrumentos aplicados en la evaluacin, con el propsito de sustentar
las observaciones reportadas.

Universidad de Crdoba

16

Realizacin de Auditora en Sistemas Informticos

3.

Dictamen

de

la

Auditoria

en

Sistemas

Informticos.
El ltimo paso de la metodologa que hemos estudiado es emitir el dictamen, el cual es
el resultado final de la auditora de sistemas computacionales. Para ello presentamos los
siguientes puntos:
-

La informacin y elaborar un informe de situaciones detectadas.

Elaborar el dictamen final.

Presentar el informe de auditora.

3.1. Analizar la informacin y elaborar un informe de

situaciones detectadas.
La anterior actividad, la deteccin de las desviaciones, es el anlisis de los papeles de
trabajo y la elaboracin en borrador de las llamadas situaciones detectadas. El objetivo
y propsito del auditor en este punto es que elabore su borrador y comente las
desviaciones con los auditados. Despus de comentarlas, debe elaborar las modificaciones
que estime oportunas, as como el informe definitivo de las situaciones encontradas.
Es necesario advertir que el fin de una auditora de sistemas computacionales no es
encontrar culpables, sino ayudar a corregir las desviaciones encontradas en la operacin
normal de dichos sistemas. Esto se logra comentando las desviaciones con los responsables
directos, con el fin de que las conozcan y tomen las acciones necesarias para su correccin.
Concretamente, este punto contendr las siguientes actividades.
-

Analizar los papeles de trabajo.

Sealar las situaciones encontradas.

Comentar las situaciones encontradas con el personal de las reas afectadas.

Realizar las modificaciones necesarias.

Elaborar un documento de situaciones relevantes.

Universidad de Crdoba

17

Realizacin de Auditora en Sistemas Informticos

3.2. Elaborar el Dictamen final.

El auditor debe terminar de elaborar el informe de auditora de sistemas y
complementario con el dictamen final, y despus presentarlo a los directivos del rea
de sistemas auditados para que conozcan la situacin actual de dicha rea, antes de
presentarlo al responsable de la empresa.
En este otro paso se tienen que tener en cuenta los siguientes puntos:
-

Analizar la informacin y elaborar un documento de desviaciones detectadas.

Elaborar el informe y el dictamen formales.

Comentar el informe y el dictamen con los directivos del rea.

Realizar las modificaciones necesarias.

3.3. Presentar el informe de auditora.

El ltimo paso de esta metodologa que hemos estudiado, es presentarle formalmente el
dictamen de la auditora al ms alto directivo de la empresa, con el propsito de
informarle los resultados de dicha auditora. Esta presentacin se debe hacer con toda la
formalidad del caso, con la elaboracin correcta y profesional del dictamen de la auditora,
y en medio de una reunin directiva. El informe de auditora debe contener:
-

La carta de presentacin.

El dictamen de la auditora.

El informe de situaciones relevantes.

Anexos y cuadros adicionales.

Universidad de Crdoba

18

Realizacin de Auditora en Sistemas Informticos

D. Tcnicas de Evaluacin
4.1 Examen
Dentro del ambiente de la auditora de sistemas computacionales esta herramienta se
utiliza para inspeccionar la operacin correcta del sistema, para analizar el desarrollo
adecuado de los proyectos informticos, examinar la forma en que se realiza la captura y
el procesamiento de datos. Por ltimo tambin tiene la capacidad de inspeccionar las
medidas de seguridad del sistema y del rea de informtica, en nuestro caso en sistemas
computacionales.

4.2 Inspeccin
Esta tcnica est relacionada con la aplicacin de los exmenes que se realizan para
evaluar el funcionamiento de dichos sistemas, mediante la inspeccin se evala la
eficiencia y eficacia del sistema, en cuanto a operacin y procesamiento de datos.

4.3 La revisin documental

Esta tcnica se aplica verificando el registro correcto de datos en documentos formales
de la empresa y, con mucha frecuencia en la emisin de sus resultados financieros.
Sin embargo adems de revisar los documentos financieros de la empresa, tambin se
puede revisar el registro de las actividades y operaciones que se plasman en documentos
y expedientes formales, con el fin de que el auditor sepa cmo fueron registradas las
operaciones, resultados y otros aspectos inherentes al desarrollo de las funciones y
actividades normales de la empresa.

4.4 El acta testimonial

El acta testimonial es un documento de carcter formal, que por su representatividad,
importancia y posibles alcances de carcter legal y jurdico es uno de los documentos
vitales para cualquier auditora; este documento no solo sirve de testimonio para
comprobar, corroborar, ratificar o evidenciar cualquier evento que ocurra durante la
revisin, sino que es tal su alcance que se puede convertir en un documento de carcter
legal, probatorio de alguna anomala de tipo jurdico, penal o de cualquier otro aspecto
legal.

4.5 La matriz de evaluacin

Es uno de los documentos de recopilacin ms verstiles y de mayor utilizad para el
auditor de sistemas computacionales, debido a que por medio de este documento es
posible recopilar una gran cantidad de informacin relacionada con la actividad,
operacin o funcin que se realiza en estas reas informticas, as como apreciar
anticipadamente el cumplimiento de dichas actividades.

Universidad de Crdoba

19

Realizacin de Auditora en Sistemas Informticos

4.6 La matriz DOFA

Este es un mtodo moderno de anlisis y diagnstico administrativo de gran utilidad para
la evaluacin de un centro de cmputo, debido a que no slo permite recopilar
informacin ms verstil. Tambin se admite evaluar el desempeo de los sistemas
computacionales, asimismo, por medio de este documento se puede tener una apreciacin
preliminar sobre las fortalezas y debilidades del propio centro de informacin de la
empresa, y se pueden analizar sus posibles amenazas y reas de oportunidad. Con dicho
anlisis el auditor evala el cumplimiento de la misin y objetivo general del rea de
sistemas computacionales de la empresa.

Universidad de Crdoba

20

Realizacin de Auditora en Sistemas Informticos

E. WinAudit
Cuando se piensa en hacer una auditoria para una empresa no se puede pasar por
alto la relacionada a los sistemas informticos, la cual si no se cuenta con las herramientas
adecuadas puede llegar a ser bastante exhaustiva por toda la informacin que se debe
recopilar por cada uno de los equipos.
Normalmente cuando se hace auditoria a un equipo de cmputo es necesario
conocer con el mayor detalle posible cada una de las caractersticas del mismo, sus
componentes y el software que all est instalado, sus respectivas licencias y cualquier
otra informacin que pueda ser clave para ser analizada por el auditor, algo que si se
hace de forma manual puede ser bastante complejo y demorado, por eso la importancia
de recurrir a herramientas de software que faciliten el trabajo.
WinAudit es un software muy sencillo, liviano, gratuito y adems portable, que
de manera rpida nos ofrece un completo anlisis de cualquier computador que funcione
bajo el sistema Windows.

Ilustracin 2. WinAudit

El uso de WinAudit es bastante simple, solo basta con ejecutarlo y de inmediato

la herramienta empieza a analizar todo el hardware y software de nuestra mquina,
listando cada uno de los componentes, sus caractersticas especficas, programas
instalados con todos los detalles posibles para cada uno de ellos, y una gran cantidad de
informacin extra con la que seguramente se puede disponer de un informe completo, que
podremos guardar en formato HTML, CSV o RTF.

Universidad de Crdoba

21

Realizacin de Auditora en Sistemas Informticos

F. Conclusiones
Como hemos podido observar a lo largo de este documento el uso de la auditora
en un sistema computacional es algo indispensable. Nos proporciona una serie de ventajas
que nos ahorra tiempo y mejora nuestro rendimiento. Los objetivos que tiene hacer una
buena auditora estn relacionados con, la integridad de los datos, el uso de los recursos
y, identificar necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos
de informacin eficientes.
Por otro lado, el uso de sistemas software como WinAudit nos proporciona una
gran ayuda para hacer la accin de la auditora.

Universidad de Crdoba

22

Realizacin de Auditora en Sistemas Informticos

Bibliografa
[1]. Razo, Carlos Muoz. 2002. Auditora en Sistemas Computacionales. Ciudad de
Mxico : Pearson Educacin, 2002. 970-17-0405-3.
[2]. Reyes, Lic. Erick. 2012. Scribd. Scribd. [En lnea] 02 de Septiembre de 2012.
[Citado el: 02 de Marzo de 2015.] http://es.scribd.com/doc/104679674/Historia-de-laAuditoria#scribd.

Universidad de Crdoba

23