ndice

I. GENERALIDADES DE LA GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN..4

I.1.Antecedentes..................................................................................................... 4
I.2.Marco Legal.................................................................................................. 5
I.2.1 Legislacin e instituciones nacionales............................................................. 6
I.2.2 Legislacin e instituciones internacionales.................................................... 10
I.3............................................................................................. Objetivos de la Gua
.................................................................................................................. 15
I.4.Campo de Aplicacin de la Gua................................................................. 15
I.5.Alcance de la Gua..................................................................................... 15
I.6.Metodologa Utilizada en la Elaboracin de la Gua.................................... 16
II. AUDITORA DE TECNOLOGAS DE INFORMACIN.......................................................... 19
II.1............................................Tipos de Auditora de Tecnologas de Informacin
19
II.2.
Consideraciones para Establecer el rea de Auditora de Tecnologas
de Informacin...20
II.3....................................Definicin de Auditora de Tecnologas de Informacin
22
II.4.............................................................................................................. Principios
23
II.5...................................Objetivo de la Auditora de Tecnologas de Informacin
24
II.5.1............................................................................................. Objetivo general
24
II.5.2...................................................................................... Objetivos especficos
24
II.6...........................................................Caractersticas del Proceso de Auditora
25
III. GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN.......................................... 27
III.1...................................................................................... Conocimiento Preliminar
28
III.2........................................................................................................... Planeacin
28
III.2.1.1 Riesgo y materialidad de la auditora.................................................... 30
III.2.2..............................................................................Solicitud de informacin
31
III.2.3........................................................Estudio y evaluacin del control interno
37

GUA DE LA AUDITORA DE TECNOLOGAS DE

INFORMACIN
AUDITORA DE TECNOLOGAS DE
INFORMACIN

Pgina 1

III.2.4................................................................................................. Programacin
38
III.2.5..................................................................................................... Integracin
38
III.3...................................................................................Ejecucin de la Auditora
39
III.3.1...................................................................................... Inicio de la auditora
40
III.3.2......................................................................Desarrollo de procedimientos
41
III.3.3.................Formulacin de posibles observaciones y/o recomendaciones
47
III.3.4..............Comunicacin de posibles observaciones y/o recomendaciones
48
III.3.5.....................................................................Archivo de papeles de trabajo
48
III.3.6........................................................................................ Cierre de auditora
49
III.4.............................................................Elaboracin del Informe de Resultados
49
III.4.1..................................Evaluacin de observaciones y/o recomendaciones
50
III.4.1.1..................................................................Documentacin e informacin
50
III.4.1.2.. .Procedimientos anlisis y evaluacin de aclaraciones y comentarios
......................................................................................................... 51
III.4.1.3 Resultados de informes tcnicos........................................................... 51
III.4.2...............................................................................Elaboracin del informe
51
III.4.3.................................................................................................... Aprobacin
52
GLOSARIO................................................................................................................................ 54

ANEXOS
Diagrama de Flujo de la Auditora de Tecnologas de Informacin

GUA DE LA AUDITORA DE TECNOLOGAS DE

INFORMACIN
AUDITORA DE TECNOLOGAS DE
INFORMACIN

Pgina 2

I. GENERALIDADES
INFORMACIN

DE

LA

GUA

DE

AUDITORA

DE

TECNOLOGAS

DE

I.1. Antecedentes
La Auditora Superior del Estado es el rgano del Poder Legislativo del Estado
de Chihuahua que por disposicin de la Constitucin Estatal y de conformidad
con la ley que la crea, tiene la funcin de auditar el ingreso y la aplicacin de
los recursos pblicos de los tres poderes de Gobierno del Estado, los
Ayuntamientos, los organismos que por disposicin constitucional estn
dotados de autonoma, los organismos pblicos descentralizados, empresas
de participacin y fideicomisos de la administracin pblica o privada, que
reciba, maneje, recaude o administre recursos pblicos, con la finalidad de
coadyuvar al desarrollo permanente de la eficiencia, eficacia, economa y
transparencia de la gestin pblica.

La fiscalizacin de los recursos pblicos debe realizarse desde el punto de

vista financiero, contable, presupuestal, tcnico de obra, legalidad y de
gestin; la revisin

de las cuentas pblicas se realizaba de manera

bidireccional, es decir solo desde el punto de vista financiero y de obra, lo

que ocasionaba que la gestin gubernamental dejara de ser evaluada bajo la
ptica de otras varias disciplinas para cumplir con mayor eficiencia la funcin
que nos han encomendado, es indispensable incorporar en los procesos de
auditora, disciplinas tales como: Tecnologas de la Informacin, Ambiental,
Legalidad y Desempeo, logrando as que el recurso pblico sea auditado y
fiscalizado

bajo

la

perspectiva

multidisciplinaria,

dando

pauta

la

fiscalizacin multidireccional.

Con el modelo multidireccional que la Auditora Superior del Estado de

Chihuahua

est

implementando

para

desarrollar

su

facultad

de

fiscalizacin de la cuenta pblica, incorpora el rea de auditora de

tecnologas de informacin, en donde una de las funciones de sta rea,

es conocer la situacin en la cual se encuentran las tecnologas de

informacin de los entes pblicos.

El rea de auditora de tecnologas de informacin tiene como uno de sus

objetivos; promover y elevar la cultura del aprovechamiento en el uso de
las tecnologas de informacin en los entes a fiscalizar, constatando que
se lleven a cabo las mejores prcticas y se sigan los procedimientos que
aseguren la veracidad, confidencialidad, confiabilidad y disponibilidad de
la informacin, garantizando de esta manera la prevencin ante posibles
contingencias que puedan impedir la continuidad del uso de los recursos
informticos.

Realizar las actividades correspondientes a la verificacin de los controles

internos establecidos en el rea de sistemas, as como el estudio de
seguridad fsica y lgica, el anlisis de los riesgos a que est expuesta la
informacin y los equipos de cmputo.

Para el cumplimiento de los objetivos contenidos en sus planes y

programas, el artculo 11 fraccin XIV de la Ley de Auditora Superior del
Estado de Chihuahua; cita Artculo
11. Son facultades del Auditor Superior del Estado de Chihuahua fraccin XIV
establecer las reglas tcnicas, procedimientos, mtodos y sistemas de
contabilidad y de archivo de los libros y documentos justificativos y
comprobatorios del ingreso y del gasto pblico, as como todos aquellos
elementos que permitan la prctica idnea de las auditoras y revisiones.

I.2. Marco Legal

En este punto se describen la regulacin y las mejores prcticas de
Auditora en Informtica sobre la administracin de los riesgos en la misma,
en base a los organismos nacionales e internacionales, las cuales se han
convertido en una pauta a seguir por diversos organismos.

En este captulo se abordan las principales leyes existentes en materia

informtica as como las mejores prcticas que pueden ser aplicadas en
el sector pblico o privado o cualquier organizacin que utilice la
auditora informtica.

I.2.1 Legislacin e instituciones nacionales

El Cdigo Penal de la Federacin, en el ttulo noveno Revelacin de secretos y

acceso ilcito a sistemas y equipos de informtica establece lo siguiente:

TTULO NOVENO

Revelacin de secretos y acceso ilcito a sistemas y equipos de informtica

CAPITULO I
Revelacin de secretos

Artculo 210.- Se impondrn de treinta a doscientas jornadas de trabajo en

favor de la comunidad, al que sin justa causa, con perjuicio de alguien y
sin consentimiento del que pueda resultar perjudicado, revele algn
secreto o comunicacin reservada que conoce o ha recibido con motivo
de su empleo, cargo o puesto.

Artculo 211.- La sancin ser de uno a cinco aos, multa de cincuenta a

quinientos pesos y suspensin de profesin en su caso, de dos meses a un
ao, cuando la revelacin punible sea hecha por persona que presta servicios
profesionales o tcnicos o por funcionario o empleado pblico o cuando el
secreto revelado o publicado sea de carcter industrial.

Artculo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en

perjuicio de otro, informacin o imgenes obtenidas en una intervencin
de comunicacin privada,

se le aplicarn sanciones de seis a doce aos de prisin y de trescientos a

seiscientos das multa.

Captulo II
Acceso ilcito a sistemas y equipos de informtica

Artculo 211 bis 1.- Al que sin autorizacin modifique, destruya o provoque
prdida de informacin contenida en sistemas o equipos de informtica
protegidos por algn mecanismo de seguridad, se le impondrn de seis
meses a dos aos de prisin y de cien a trescientos das multa.

Al que sin autorizacin conozca o copie informacin contenida en sistemas o

equipos

de informtica protegidos por algn mecanismo de seguridad, se le

impondrn de tres meses a un ao de prisin y de cincuenta a ciento

cincuenta das multa.

Artculo 211 bis 2.- Al que sin autorizacin modifique, destruya o provoque
prdida de informacin contenida en sistemas o equipos de informtica del
Estado, protegidos por algn mecanismo de seguridad, se le impondrn de
uno a cuatro aos de prisin y de doscientos a seiscientos das multa.

Al que sin autorizacin conozca o copie informacin contenida en sistemas o

equipos

de informtica del Estado, protegidos por algn mecanismo de

seguridad, se le impondrn de seis meses a dos aos de prisin y de cien a

trescientos das multa.

A quien sin autorizacin conozca, obtenga, copie o utilice informacin

contenida en cualquier sistema, equipo o medio de almacenamiento
informticos de seguridad pblica, protegido por algn medio de
seguridad, se le impondr pena de cuatro a diez aos de prisin y multa
de quinientos a mil das de salario mnimo general vigente en el Distrito

Federal. Si el responsable es o hubiera sido servidor pblico en una

institucin

de seguridad pblica, se impondr adems, destitucin e inhabilitacin

de cuatro a diez aos para desempearse en otro empleo, puesto, cargo
o comisin pblica.

Artculo 211 bis 3.- Al que estando autorizado para acceder a sistemas y
equipos de informtica del Estado, indebidamente modifique, destruya o
provoque prdida de informacin que contengan, se le impondrn de dos
a ocho aos de prisin y de trescientos a novecientos das multa.

Al que estando autorizado para acceder a sistemas y equipos de

informtica del Estado, indebidamente copie informacin que contengan,
se le impondrn de uno a cuatro aos de prisin y de ciento cincuenta a
cuatrocientos cincuenta das multa.

A quien estando autorizado para acceder a sistemas, equipos o medios

de almacenamiento informticos en materia de seguridad pblica,
indebidamente obtenga, copie o utilice informacin que contengan, se le
impondr pena de cuatro a diez aos de prisin y multa de quinientos a
mil das de salario mnimo general vigente en el Distrito Federal. Si el
responsable es o hubiera sido servidor pblico en una institucin de
seguridad pblica, se impondr adems, hasta una mitad ms de la pena
impuesta, destitucin e inhabilitacin por un plazo igual al de la pena
resultante para desempearse en otro empleo, puesto, cargo o comisin
pblica.

Artculo 211 bis 4.- Al que sin autorizacin modifique, destruya o provoque
prdida de informacin contenida en sistemas o equipos de informtica de
las instituciones que integran el sistema financiero, protegidos por algn
mecanismo de seguridad, se le impondrn de seis meses a cuatro aos de
prisin y de cien a seiscientos das multa.

Al que sin autorizacin conozca o copie informacin contenida en

sistemas o equipos de informtica de las instituciones que integran el
sistema financiero, protegidos por

algn mecanismo de seguridad, se le impondrn de tres meses a dos aos de

prisin y de cincuenta a trescientos das multa.

Artculo 211 bis 5.- Al que estando autorizado para acceder a sistemas y
equipos de informtica de las instituciones que integran el sistema
financiero, indebidamente modifique, destruya o provoque prdida de
informacin que contengan, se le impondrn de seis meses a cuatro aos
de prisin y de cien a seiscientos das multa.

Al que estando autorizado para acceder a sistemas y equipos de

informtica de las instituciones que integran el sistema financiero,
indebidamente copie informacin que contengan, se le impondrn de tres
meses a dos aos de prisin y de cincuenta a trescientos das multa.

Las penas previstas en este artculo se incrementarn en una mitad cuando

las conductas sean cometidas por funcionarios o empleados de las
instituciones que integran el sistema financiero.

Artculo 211 bis 6.- Para los efectos de los artculos 211 Bis 4 y 211 Bis 5
anteriores, se entiende por instituciones que integran el sistema financiero,
las sealadas en el artculo 400 Bis de este Cdigo.

Artculo 211 bis 7.- Las penas previstas en este captulo se aumentarn hasta
en una mitad cuando la informacin obtenida se utilice en provecho propio o
ajeno.

Instituto Mexicano de Auditores Internos, IMAI

Dedicado a la capacitacin e investigacin en de Auditora Interna y Control.

De acuerdo al IMAI su misin es promover el mejoramiento constante de la

Prctica Profesional de la Auditora Interna, para fortalecer el prestigio de
esta profesin y de quienes la practican.

Marco jurdico que sirve de referencia para la realizacin de pruebas

sustantivas y de cumplimiento, entre otras disposiciones legales, son las
siguientes:

Constitucin Poltica de los Estados Unidos Mexicanos

Constitucin Poltica del Estado de Chihuahua

Ley Orgnica del Poder Ejecutivo del Estado de Chihuahua

Ley de Entidades Para Estatales del Estado de Chihuahua

Ley de la Auditora Superior del Estado de Chihuahua

Cdigo Municipal del Estado de Chihuahua

Presupuestos de Egresos de Gobierno del Estado y sus Municipios

Ley de Ingresos de Gobierno del Estado y sus Municipios

I.2.2 Legislacin e instituciones internacionales

INTOSAI
ISSAI 5310 Information System Security Review Methodology (Directriz
sobre el Control de Sistemas de Seguridad de la Tecnologa de Informacin)

Institute of System Audit and Association, ISACA

Asociacin de Auditora y Control de Sistemas de Informacin, lleva a
cabo proyectos de investigacin de gran escala para expandir los
conocimientos y el valor del campo de gobernacin y control de TI.

Institute of Internal Auditors, IIA

Organizacin

profesional,

reconocida

mundialmente

como

una

autoridad, pues es el principal educador y el lder en la certificacin, la

investigacin y la gua tecnolgica en la profesin de la auditora
interna.

Control Objectives for Information and related Technology, COBIT

Herramienta

que permite evaluar la calidad del soporte de TI actual de la

organizacin, vinculando los distintos procesos del negocio con los recursos
informticos que los sustentan.

Figura 1. Estructura del marco de control COBIT.

BS 7799 e ISO 17799

British Standard Institute (BSI) publica la norma BS 7799, un cdigo de
buenas prcticas para la gestin de la seguridad de la informacin. En
1998 tambin el BSI publica la norma BS 7799-2 con especificaciones
para los sistemas de gestin de la seguridad de la informacin.
Actualmente las empresas deben asegurar que sus recursos y la
propiedad intelectual estn protegidos.

Committee of Sponsoring Organizations, COSO

Marco de control interno que plantea el informe COSO consta de cinco
componentes interrelacionados, derivados del estilo de la direccin, e
integrados al proceso de gestin:

Ambiente de control

Evaluacin de riesgos

Actividades de control

Informacin y comunicacin

Supervisin

Figura 2. Cubo de los procesos y actividades del COSO

Metodologa de anlisis y gestin de riesgos de los sistemas de informacin, MAGERIT

Esta metodologa presenta un objetivo definido en el estudio de los

riesgos que afectan los sistemas de informacin y el entorno de ellos
haciendo recomendaciones de las medidas apropiadas que deberan
adoptarse para conocer, prevenir, evaluar y controlar los riesgos
investigados.

Sarbanes-Oxley, SOX
Actualmente las organizaciones estn expuestas a ataques que propicien la
prdida de informacin y fraudes, para minimizar los riesgos de fraude, las
empresas se requieren revisar, evaluar y fortalecer sus propios controles
internos.

La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de

julio de 2002, fue preparada a partir de los escndalos financieros de los
ltimos aos y establece una serie de nuevos requisitos tanto para las
empresas estadounidenses como para las extranjeras, tenedoras y
subsidiarias, que cotizan en la bolsa de valores estadounidense (New York
Stock Exchange, NYSE), con la idea de regular el gobierno corporativo.

Normas Internacionales de Auditora, NIA

Emitidas por el International Federation of Accountans (IFAC) a travs del
International Auditing and Assurance Standars Boards (IAASB). Son los
requisitos mnimos de calidad relativos a la personalidad del auditor, al
trabajo que desempea y a la informacin que rinde como resultado de
dicho trabajo.

Figura 3. Estructura general de las normas internacionales de auditoria

Entrenamiento tcnico y capacidad profesional

Cuidado y diligencia profesional NormasIndependencia de criterio
personales

Planeacin y supervisin
Estudio y evaluacin del control interno
Normas de Obtencin de evidencia suficiente y competente ejecucin

Aplicacin de las NIF

Revelacin suficiente Normas de Opinin del auditor informacion

Figura 4. Normas donde se mencionan los expertos para las revisiones.

Normas y Procedimientos de3140 Efectos de la Tecnologa de Informacin Auditora y Normas para(TI) en el desarrollo de
Atestiguarestados financieros.

Normas Internacionales de
Auditoria

620 Utilizacin del trabajo de un experto

I.3. Objetivos de la Gua

Son objetivos de la presente Gua:

a. Establecer los Procedimientos que faciliten la realizacin de la

auditora de tecnologas de informacin
b. Establecer los procedimientos que permitan interactuar con las
diversas reas de la Auditora Superior.
c. Estandarizar los procedimientos y alcances en la prctica de la
auditora de tecnologas de informacin.
d. Garantizar a los entes fiscalizables que la actuacin de la Auditora
Superior del Estado en la auditora de tecnologas de informacin se
regir, entre otros por lo principios de: Igualdad, Imparcialidad, Buena
Fe, Transparencia y Confiabilidad.

I.4. Campo de Aplicacin de la Gua

Esta gua se realiz para uso de la Auditora Superior del Estado de
Chihuahua, para su aplicacin en el universo de entes pblicos sujetos a
auditar en el Estado, mismos que apliquen recursos pblicos de manera
directa e indirecta en acciones tecnolgicas; as como en sus diferentes
reas, programas, planes, proyectos, operaciones y resultados que se
generen

en

el

proceso

de gestin

informtica,

y en

sus

aspectos

administrativos, financieros y tcnicos.

I.5. Alcance de la Gua

La presente gua est dirigida a los auditores de la Auditora Superior que
realicen funciones de auditora de tecnologas de informacin a los diferentes

entes pblicos de la
estatal y municipal,

administracin
autnomos,

central,

descentralizada

ya

sea

fideicomisos y personas fsicas o morales que manejen, recauden o

administren recursos pblicos. Adems, el desarrollo de los procesos
generales establecidos en la presente gua es de aplicacin general y
flexible de acuerdo a la naturaleza del ente.

I.6. Metodologa Utilizada en la Elaboracin de la Gua

La gua de auditora de tecnologas de informacin, se nutre entre otros
de los resultados y experiencias de los procedimientos de auditora y
acciones

tecnolgicas

realizados

en

el

ejercicio

anterior

y de

la

normatividad antes mencionada.

Para la elaboracin de la presente gua, se consideraron los siguientes puntos:

a. Planear: se convoc a un grupo de auditores involucrados en la

ejecucin de auditoras de tecnologas de informacin para evaluar
y mejorar la metodologa utilizada en esta rea, para lo cual se
recopil informacin en la materia con los entes auditados, as
como de procedimientos aplicables en otros pases en relacin a
auditoras a las tecnologas de informacin.
b. Organizar: una vez concluida la fase de planeacin, se define el plan de
trabajo y los aspectos a considerar para el proceso de la auditora, se
procedi a elaborar la presente gua.
c. Verificar: se remiti el documento de trabajo al personal involucrado en
el proceso de auditora de tecnologas de informacin, a fin de que se
comente y determine el contenido de la presente gua y se aporte un
producto til para la ejecucin de las auditoras.
d. Control: con

el

propsito

de

evaluar

encontrar

reas

de

oportunidad para la mejora en los distintos procesos considerados

en esta metodologa, se procede a revisar anualmente los aspectos
considerados en la Gua de Auditora de Tecnologas de Informacin

La presente gua ha sido redactada bajo el

enfoque de procesos,

presentando el desarrollo de una secuencia lgica de actividades para la

obtencin de un producto final, el mismo que proporcionar informacin
sobre posibles efectos tecnolgicos.

Las cuatro etapas del proceso de revisin de la auditora de tecnologas

de informacin son:

I.

El conocimiento preliminar

II.

La planeacin

III. Ejecucin de la auditora

IV. La elaboracin del informe

Figura 6. Desarrollo del Proceso de la auditora de tecnologas de informacin

Conocimiento preliminar
Estudio y revisin del archivo
permanente
Seguimiento informe del ejercicio inmediato anterior

Solicitud de requerimientos
Estudio y evaluacin del control interno
Acuerdo fechas

I
II PLANEACIN
CONOCIMIENTO PRELIMINAR

IV
III EJECUCIN
ELABORACIN DEL INFORME
DE LA AUDITORA

Evaluacin de observaciones y/o

recomendaciones
Resultados de informes tcnicos

Desarrollo de procedimientos
Formulacin de posibles observaciones y/o recomendaciones
Comunicacin de posibles observaciones y/o recomendaciones

II. AUDITORA DE TECNOLOGAS DE INFORMACIN

II.1. Tipos de Auditora de Tecnologas de Informacin
Llevar a cabo una auditora de tecnologas de informacin requiere un
mnimo de conocimientos sobre temas tecnolgicos y sus impactos.

Existen diferentes tipos de auditoras:

Al ciclo de vida de sistemas

A un sistema en operacin

A controles generales del computador

A la administracin de la funcin informtica

Auditora a las microcomputadoras aisladas

Auditora de redes

Auditoras en las que pueden abordarse temas tecnolgicos

1. En la Auditora financiera o de estados contables, pueden incluirse, entre

otros, los siguientes asuntos informticos:

Iniciativas para prevenir, disminuir o remediar daos a la informacin.

La aplicacin de recursos informticos aprobados en los presupuestos

correspondientes.

Automatizacin de pruebas sustantivas.

2. En la Auditora de Normatividad, los criterios que utilice el auditor deben

ayudar a determinar si la entidad ha ejecutado las actividades
relacionadas con el cuidado de los recursos informticos. La auditora
de normatividad, en el contexto informtico se encargar de evaluar:

La verificacin del cumplimiento normativo de aplicacin

a lo tecnolgico.

II.2. Consideraciones para Establecer el rea de Auditora de Tecnologas de

Informacin

La Informtica en la actualidad, est subsumida en la gestin integral de las

organizaciones, por eso las normas y estndares propiamente informticos
deben estar, por lo tanto, sometidos a los estndares generales de la misma.
En consecuencia, las organizaciones informticas forman parte de lo que se
ha denominado gestin de la organizacin.

La Informtica no gestiona propiamente a la organizacin, ayuda a la toma

de decisiones, pero no decide por s misma. Por ende, debido a su
importancia en el funcionamiento de la misma, existe la Auditora Informtica o
de tecnologas de informacin. Las organizaciones acuden a las auditoras
externas e internas cuando existen sntomas perceptibles de debilidad. Estos
pueden agruparse en clases:

a. Sntomas de descoordinacin y desorganizacin:

No coinciden los objetivos de la gerencia de TI con los de la

propia organizacin.

Los estndares de productividad se desvan

sensiblemente de los promedios conseguidos
habitualmente.

b. Sntomas de mala imagen e insatisfaccin de los usuarios:

No se atienden las peticiones de cambios de los

usuarios.

Ejemplos:

cambios

de

software

en

los

terminales de usuario, variacin de los archivos que

deben ponerse diariamente a su disposicin, etc.

No se reparan las averas de hardware ni se resuelven

incidencias en plazos razonables. El usuario percibe que
est abandonado y desatendido permanentemente.

No se cumplen en todos los casos los plazos de entrega de

resultados

peridicos.

Pequeas

desviaciones

pueden

causar importantes desajustes en la actividad del usuario,

en especial en los resultados de aplicaciones crticas y
sensibles.

c. Sntomas de debilidades econmico-financieras:

Incremento desmesurado de costos.

Necesidad de justificacin de inversiones informticas.

Desviaciones presupuestarias significativas.

Costos y plazos de nuevos proyectos.

d. Sntomas de Inseguridad:

Evaluacin de nivel de riesgos

Seguridad lgica.

Seguridad fsica.

Confidencialidad.

II.3. Definicin de Auditora de Tecnologas de Informacin

Una auditora a tecnologas de la informacin es un examen profesional,

objetivo y sistemtico de las operaciones y actividades efectuadas por una
organizacin,

proyecto

programa,

para

determinar

el

grado

de

cumplimiento y eficacia de:

La planificacin, el desarrollo y la implantacin de los sistemas

utilizados.

La informacin producida por los sistemas, su pertinencia y

confiabilidad.

La documentacin bsica de cada sistema, su implantacin y la

divulgacin de la misma entre los usuarios.

Los mecanismos de control incorporados en los sistemas.

Los recursos idneos identificados

para

garantizar

disponibles

la continuidad de las

operaciones en caso de desastres.

El programa de adiestramiento al personal de sistemas de

informacin, sus usuarios y los auditores.

Entonces, se entiende por auditora a tecnologas de la informacin a aquella

actividad auditora que trata de evaluar la adecuada utilidad, eficiencia y
fiabilidad de la informacin mecanizada que se produce en una determinada
organizacin pblica o privada, as como los servicios que la elaboran y
procesan.

Engloba el anlisis de la organizacin, seguridad, segregacin de funciones y

gestin de las actividades de proceso de datos.

II.4. Principios

La Auditora Superior, en el ejercicio de sus atribuciones, se regir por los

principios de posterioridad, anualidad, legalidad, imparcialidad, eficiencia,
eficacia, economa y transparencia.

a.Posterioridad: las acciones de la Auditora se llevarn a cabo una vez que los
entes pblicos hayan presentado su cuenta pblica anual, conforme lo
establece la norma vigente aplicable.

b.Anualidad: el perodo de revisin debe estar acotado a un ejercicio fiscal de

los entes, con salvedad de las hiptesis previstas en la propia normatividad.

c. Legalidad: la operacin de los entes pblicos se rige por la normatividad que

establece el marco jurdico que le aplica.

d.Imparcialidad: las auditoras se realizarn a los entes pblicos de una manera

objetiva y veraz.

e.Eficacia: capacidad de lograr los objetivos y metas programadas con los

recursos disponibles en un tiempo predeterminado.

f. Eficiencia: uso racional de los medios con que se cuenta para alcanzar un
objetivo predeterminado; es el requisito para evitar o cancelar dispendios y
errores.

g.Economa: la adquisicin de bienes y servicios en mejores condiciones de

precio, calidad, cantidad y oportunidad, as como la ptima aplicacin de los

recursos utilizados en la administracin para la reduccin al mnimo de los

costos.

h.Transparencia: est referida a la difusin de la labor de auditora, con la

finalidad de sensibilizar y concientizar a funcionarios y pobladores sobre la
necesidad de conservar el ambiente y propender a su desarrollo sostenible.

II.5. Objetivo de la Auditora de Tecnologas de Informacin

II.5.1. Objetivo general

Promover y elevar la cultura del aprovechamiento en el uso de las

Tecnologas de Informacin en los Entes a fiscalizar, constatando que se
lleven a cabo las mejores prcticas y se sigan los procedimientos que
aseguren la veracidad, confidencialidad, confiabilidad y disponibilidad de
la informacin, garantizando de esta manera la prevencin ante posibles
contingencias que puedan impedir la continuidad del uso de los recursos
informticos.

Realizar las actividades correspondientes a la verificacin de los controles

internos establecidos en el rea de Sistemas, as como el estudio de
seguridad fsica y lgica, el anlisis de los riesgos a que est expuesta la
informacin y los equipos de cmputo.

II.5.2. Objetivos especficos

Determinar la situacin actual del rea informtica, las actividades y

esfuerzos necesarios para lograr los objetivos propuestos.

Minimizar existencias de riesgos en el uso de tecnologa de

informacin.

Evaluar la dependencia de los sistemas y las medidas tomadas para

garantizar su disponibilidad y continuidad.

Revisar la seguridad de los entornos y sistemas.

Evaluar la suficiencia y eficacia de los planes de contingencia.

Analizar la garanta de calidad de los Sistemas de Informacin

Brindar una opinin y recomendaciones sobre la utilizacin eficiente

de los recursos informticos.

Analizar los controles y procedimientos tanto organizativos como

operativos.

Apoyar a las dems reas de auditora con la realizacin de pruebas

sustantivas y de cumplimiento con el uso de las herramientas
informticas.

II.6. Caractersticas del Proceso de Auditora

El proceso de auditora debe cumplir las siguientes caractersticas:

a. Objetividad: el auditor debe contar con actitud mental independiente

sin influencias personales, debiendo prevalecer en todo momento el
juicio

profesional

para

analizar,

interpretar

evaluar

el

cumplimiento normativo y el registro de las operaciones realizadas.

b. Sistematicidad: porque a travs de una metodologa, se permite que

el auditor exprese y sustente una opinin sobre la gestin
desarrollada por la entidad.

c. Especializacin:

contando

con

los

conocimientos

en

auditora,

tecnologas de informacin y disciplinas afines, respaldados por la

experiencia.

d. Oportunidad: la ejecucin de la auditora, as como la presentacin

del Informe Tcnico de Resultados, que integra las observaciones y

recomendaciones al ente auditado, debern presentarse en los

tiempos establecidos por la Legislacin aplicable.

III. GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN

La auditora de tecnologas de informacin es un proceso que comprende

cuatro fases: Conocimiento Preliminar, Planeacin, Ejecucin de la
Auditora y Elaboracin del Informe de Resultados. Adicionalmente, se
considera una fase de seguimiento posterior a la conclusin de la
auditora; tal como se muestra a continuacin:

Figura 7. Proceso de auditora de tecnologas de informacin

Conocimiento preliminar

Elaboracin del Informe Tcnico de Resultados

Planeacin

Ejecucin de la auditora

La secuencia del proceso de actividades que comprende cada fase, es

flexible

y aplicable de acuerdo a la naturaleza de la entidad, as como al

plan, programa, proyecto, obra, actividad o problema informtico que se va

a auditar. El proceso completo de la auditora se grafica en el Anexo 1
Diagrama de Flujo del Proceso de auditora de tecnologas de informacin.

A continuacin, se analiza cada fase del proceso de auditora de tecnologas

de informacin.

Enfoque metodolgico

El enfoque metodolgico propuesto integra el conocimiento aportado por las

organizaciones que lideran el desarrollo de los estndares y mejores
prcticas en el mbito de las tecnologas de la informacin reconocidas a
nivel internacional, entregando un marco referencial para realizar auditoras
a

las

tecnologas

de informacin

centradas

en los

procesos

de

la

organizacin, los sistemas de informacin que los soportan y sus actividades

de control.

III.1. Conocimiento Preliminar

Es la fase inicial del proceso de auditora de tecnologas de informacin, se
considera el archivo permanente que contiene la informacin general para el
estudio y comprensin de los entes a revisar en caso de que se hayan
realizado auditoras en aos anteriores, as como, revisar el informe del
ejercicio anterior para darle seguimiento a las observaciones.

III.2. Planeacin

La Planeacin es la primera fase del proceso de auditora, en ella se

identifican las reas crticas e informacin del rea de tecnologas de
informacin, a partir del cual se determina el alcance, procedimientos de
revisin y el equipo auditor comisionado, con el propsito de definir los

objetivos de auditora teniendo como resultado la Planeacin de la

Auditora.

Para el desarrollo de la planeacin de auditora de tecnologas de

informacin, se debern considerar el desarrollo de los siguientes
procesos:

Solicitud de informacin al rea del ndice de Rendicin de Cuentas

(IRC) y validacin de la misma.

Estudio y evaluacin del control interno en las reas de tecnologas

de informacin del ente a auditar, se aplica a travs de la
herramienta SIDATI.

Solicitar

informacin

del

contenido

tecnolgico

mediante

instrumentos de recopilacin como son: cuestionarios, entrevistas,

inspeccin, etc.

Coordinarse con el resto de las reas de la ASE a efecto de

compartir informacin del tipo informtica que stas hayan
considerado en sus procedimientos de revisin.

Bases de datos de los sistemas a revisar.

Procedimientos a revisar por las diferentes reas de la ASE.

Coordinacin con el Sndico Municipal para el desarrollo de

procedimientos

tcnicas

inspecciones

de

auditora

de

tecnologas de informacin.

Figura 8. Proceso de planeacin de la auditora de tecnologas de

Informacin Preliminar

informacin
Solicitud de informacin

GUA DE LA AUDITORA DE TECNOLOGAS DE

INFORMACIN
AUDITORA DE TECNOLOGAS DE
INFORMACIN

Pgina
29

Estudio y
Evaluacin de CI

Programacin

Integracin

Planeacin
CATI

GUA DE LA AUDITORA DE TECNOLOGAS DE

INFORMACIN
AUDITORA DE TECNOLOGAS DE
INFORMACIN

Pgina
30

III.2.1.1Riesgo y materialidad de la auditora

Se puede definir los riesgos de auditora como aquellos riesgos de que la
informacin pueda tener errores materiales o que el auditor de TI no pueda
detectar un error que ha ocurrido. Los riesgos en auditora pueden tener
diversas clasificaciones.

El auditor puede llegar a la conclusin de que no existen errores materiales

cuando en realidad los hay. La palabra material utilizada con cada uno de los
riesgos evaluados, se refiere a un error que debe considerarse significativo
cuando se lleva a cabo una auditora. En una auditora de TI, la definicin de
riesgos materiales depende del tamao o importancia del objeto auditado
as como de otros factores. El auditor de TI debe tener una cabal
comprensin de los riesgos de auditora al planificar.

Una auditora tal vez no detecte cada uno de los potenciales errores en un
universo, pero, s el tamao de la muestra es lo suficientemente grande, o se
utilizan procedimientos estadsticos adecuados, se llega a minimizar la
probabilidad del riesgo de deteccin.

De manera similar al evaluar los controles internos, el auditor de TI debe

percibir que en un sistema dado se puede detectar un error mnimo, pero ese
error combinado con otros, puede convertirse en un error material para todo
el objeto auditado.

a. Tcnicas de evaluacin de riesgos

Al determinar que reas funcionales o temas de auditora que deben

auditarse, el auditor de TI puede enfrentarse a una gran variedad de
GUA DE LA AUDITORA DE TECNOLOGAS DE
INFORMACIN
AUDITORA DE TECNOLOGAS DE
INFORMACIN

Pgina
30

temas candidatos a ser auditados, el auditor debe evaluar esos riesgos y

determinar cules de esas reas de alto riesgo debe ser auditada.

GUA DE LA AUDITORA DE TECNOLOGAS DE

INFORMACIN
AUDITORA DE TECNOLOGAS DE
INFORMACIN

Pgina
31

b. Objetivos de controles y objetivos de auditora

El objetivo de un control es anular el riesgo siguiendo alguna metodologa,

el objetivo de auditora es verificar la existencia de estos controles y que
estn funcionando de manera eficaz, respetando las polticas del ente y
los objetivos del ente.

III.2.2.Solicitud de informacin
Este procedimiento deber realizarse de manera formal utilizando las
herramientas

como son: oficios, cuestionarios, entrevistas, layouts, entre

otros, con la finalidad de documentar y soportar la auditora de tecnologas

de informacin.

III.2.2.1.Documentacin e informacin

a. Normatividad: los auditores, entes auditados y el mismo proceso de

auditora; estn sometidos a un marco normativo que debe ser
considerado a lo largo de toda la auditora.

b. Lineamientos establecidos en la que contiene: el objetivo general,

objetivos especficos, metas y acciones, nmero de integrantes,
planeacin general de la auditora de tecnologas de informacin. A
partir del plan se establece el personal responsable. Cualquier otra
accin no contemplada en la planeacin estratgica se adicionar a
los procedimientos aplicables para su ejecucin.

c. Archivo Permanente: est integrado por informacin general como es:

ley orgnica o decreto de creacin del ente, informes de auditoras
y cdulas de

seguimiento, nombre del titular, domicilio, colindancia, telfono, etc.,

normativa

y documentos de gestin desarrollados por el ente

auditado.

d. Informacin General: comprende el conocimiento del ente auditar, es

decir, su naturaleza, actividades y operaciones, obtenido a partir de
decreto de creacin y regulacin normativa que le aplique.

e. Antecedentes: incluye informes de auditoras anteriores, internos o

externos, denuncias de ciudadanos por aspectos tecnolgicos,
requerimientos del titular de la ASE, as como cualquier otra
documentacin relacionada con la auditora.

f. Restricciones: tales como personal, tiempos, disponibilidad de

equipos, comunicaciones y otras que puedan interferir en la
realizacin del proceso de planificacin.

III.2.2.2.Procedimientos

El auditor de TI responsable, deber incluir de manera escrita o medios

magnticos los mtodos que utilizar para el desarrollo de los trabajos
correspondientes de acuerdo con el programa detallado de actividades y
los alcances definidos para la Auditora.

a. Revisin del archivo permanente:

De existir una auditora realizada con anterioridad a la entidad o rea a
evaluar, se debe contar con un archivo permanente que contiene
normas generales, especficas y documentos de gestin de la entidad
que pueden ser revisados inicialmente como referencia. Es el archivo
con los antecedentes que reflejan el estado de organizacin y
funcionamiento de los procesos y sistemas auditados

en una entidad.

Este archivo contiene informacin de la organizacin

que

es poco

cambiante y, por consiguiente, tiene validez continua a travs del

tiempo.

b. Reuniones interinstitucionales:
Como parte del ente pblico a auditar y de la problemtica a ser
considerada en el diagnstico inicial, los auditores realizarn reuniones,
de ser posible, con los funcionarios del ente, con el fin de conocer su
forma de trabajo, establecer el contacto inicial con los responsables de
rea, con la finalidad de obtener una mayor eficiencia en la revisin.

c. Sistematizacin y bsqueda de la informacin:

Comprende la revisin de informacin que se obtiene a partir de
publicaciones, estudios de investigacin, Internet, sistemas de
informacin y otras adicionales a la informacin obtenida del ente a
auditar.

d. Anlisis de hechos:
Para identificar el problema principal o rea crtica objeto del
desarrollo de la auditora, es necesario que los auditores se basen
en hechos y no se dejen guiar solamente por el sentido comn, la
experiencia o la habilidad; lo cual podra ocasionar un resultado
contrario al esperado.

e. Levantamiento de la informacin bsica y detallada:

El levantamiento de informacin que se realiza en esta etapa, tiene
como finalidad asegurar que el auditor comprenda la filosofa y las
caractersticas de funcionamiento de los procesos de negocio y
sistemas de informacin en estudio. Esto es imperativo dentro del
proceso de la auditora, puesto que toda la pericia y el conocimiento
tcnico del auditor seran inaplicables si antes no obtiene la
comprensin de aspectos claves del universo que ser auditado.

Como resultado de esta actividad, el auditor obtiene la siguiente informacin:

1. De los procesos de negocio

Estructura organizacional.

Estructura de las reas propietarias de la informacin de los

procesos de negocio.

Clientes internos y externos.

Dependencias de la organizacin.

Tareas o actividades que realiza cada dependencia.

Terceros que intervienen en el manejo de la informacin.

Cuantificacin de las cifras de operaciones que manejan los

procesos de negocio (promedio durante un ao).

Polticas y procedimientos establecidos en la organizacin

relacionados con los procesos de negocio.

Normas legales e institucionales que rigen el

funcionamiento del servicio.

Informacin sobre fraudes y otros antecedentes en las

operaciones del servicio.

2. De las tecnologas de informacin que soportan los procesos de negocio

Funciones y operaciones del negocio que ejecutan los
sistemas.
Modelo entidad/relacin de las bases de datos de los
sistemas.
Diccionario de datos de los modelos entidad/relacin.
Inventario de documentos fuentes y otros medios de entrada
de datos.
Personas claves que dan soporte tcnico a la operacin
y mantenimiento de los sistemas para cada
dependencia.

 Terceros que prestan servicios de tecnologas de informacin

para los procesos de negocio.

 Inventario

de

informes

que

producen

los

sistemas

reciben

destinatarios de los mismos.

Interfaces

entre

sistemas

(informacin

que

proporcionan a otros sistemas).

Manuales existentes con la documentacin tcnica y del
usuario.
Plataforma en la que funcionan los sistemas de informacin
(sistema operativo, software de desarrollo y motor de base de
datos utilizados).
Si el sistema de informacin fue adquirido; datos del proveedor,
ao de adquisicin, versin en produccin, cantidad de
usuarios con licencia, poseen programas fuentes y contrato de
mantencin).
Si el sistema de informacin fue desarrollado internamente
(tipo de lenguaje utilizado, archivos fuentes y ejecutables,
fecha de ingreso a produccin, versin actual en produccin).

f. Ficha tcnica de los sistemas de informacin

La ficha tcnica es un documento con el resumen gerencial de las
principales caractersticas del proceso de negocio y de las tecnologas
de informacin que soportan sus operaciones.

III.2.2.3.Resultados de la planeacin

a. Diagnstico de Materialidad en la Auditora, segn el punto III.2.1.1:

Documento donde los auditores responsables de la planeacin efectan
un primer anlisis de la problemtica a ser evaluada, identificando las
reas

de

oportunidad,

provenientes

de

la

aplicacin

de

las

herramientas de identificacin de problemas, de la revisin de la

documentacin y realizacin de las reuniones interinstitucionales. Este

diagnstico ayudar a identificar la problemtica tecnolgica del ente

para establecer los procedimientos a aplicar.

Dicho

documento es aprobado por el equipo supervisor e instancia

superior correspondiente.

b. Determinacin de reas de oportunidad:

Los pasos anteriores ayudan a definir las unidades de la entidad y los
temas de inters a ser examinados. Esto no exime la posibilidad de que
el auditor revise otras reas no consideradas en la planeacin.

c. Informacin adicional:
Si existe la necesidad de informacin complementaria se procede a
requerirla de manera formal, utilizando medios telefnicos y correo
electrnico. Asimismo, a travs de la ASE mediante formatos internos
de requerimientos del ndice de Rendicin de Cuentas (IRC).

d. Inspecciones:
Extraordinarias:

igualmente

solo

de

ser

necesario,

el

auditor

responsable de la planeacin elaborar un documento proponiendo y

justificando estas visitas, dicho documento deber contener como mnimo
lo siguiente:

Justificacin: la necesidad de la realizacin de la inspeccin.

Objetivo: qu se desea obtener como resultado de la

inspeccin.

Puntos de inters: qu se requiere revisar durante la inspeccin.

Actividades: rutas, tiempos, responsables etc.

Necesidades: movilidad, equipos logsticos, costos (viticos en

el caso de realizarse fuera del mbito geogrfico de la entidad
auditora).

El documento final ser remitido a la instancia superior correspondiente

para su aprobacin y posterior archivo en los papeles de trabajo de la fase
de planeacin.

III.2.3.Estudio y evaluacin del control interno

El estudio y evaluacin del control interno se efectuar con el objeto de

cumplir con la norma de ejecucin del trabajo que requiere el auditor, que
le sirva de base y determine el grado de confianza que va a depositar
sobre el control interno y que esto le permita determinar la naturaleza, el
alcance y la oportunidad en los procedimientos de auditora.

Esta etapa tiene como objetivos conocer y comprender el ambiente de

organizacin, tecnolgico y operativo de los procesos de negocio y los
sistemas de informacin que los soportan. Implica para el auditor realizar un
levantamiento de la informacin detallada a travs de entrevistas con las
personas apropiadas, de observacin de la forma como se ejecutan las
operaciones y de la comprensin de la lgica del negocio, los flujos de
informacin, el rol de las personas y dependencias que intervienen en el
manejo de las operaciones y otros aspectos que el auditor considere
importantes.

Cuando se realiza por primera vez la auditora en un servicio, la informacin

relevante obtenida en esta etapa se organiza en un documento conocido
como archivo permanente o expediente continuo de auditora. Si el archivo
ya existe, es necesario su revisin y actualizacin con los cambios efectuados
desde la ltima auditora.

Este documento contiene informacin sobre los objetivos y procesos que

soportan los sistemas de informacin y sobre los recursos de tecnologa
utilizados

(instalaciones

de

procesamiento,

infraestructura,

personal,

contratos, etc.) y la importancia relativa de las cifras que se procesan y otros

datos de inters.

III.2.4.Programacin

El Programa Anual de Auditora que al efecto se elabore por la ASE,

establecer el universo de entes pblicos a auditar durante el ejercicio
fiscal que corresponda, asimismo establece la calendarizacin dentro de
la programacin de las auditoras.

De igual forma se comisiona al equipo de auditores de TI para llevar a

cabo las auditoras del Programa Anual de Auditora. El programa de
trabajo se formula en papeles o medios magnticos en los cuales
generalmente se anotarn los siguientes encabezados:

Procedimiento: Para describirlo lo ms claro y breve posible.

Extensin: Deber incluirse y describirse su tcnica.

Oportunidad: Donde se aclara la poca o fecha que debe

efectuarse el trabajo especfico.

Auditor: Donde se asigna el responsable y equipo auditor de la

revisin.

Tiempo estimado: Donde se anota el tiempo en horas que se

estima concluir la revisin.

Tiempo real: Para anotar el tiempo realmente empleado

Variacin: Para anotar los tiempos reales respecto a los

estimados y hacer las explicaciones pertinentes.

Observaciones: Para aclarar aspectos especiales en relacin con

el trabajo o la cuenta a revisar.

III.2.5.Integracin

Considerado como el ltimo de los procesos en la fase de planeacin. Es

aqu donde se consolida la informacin generada y que documentalmente
establece la evidencia del

proceso de planeacin, del estudio y evaluacin del control interno, de los

procedimientos a aplicar en la auditora, de la supervisin a realizar, as
como la programacin de las auditoras.

III.3. Ejecucin de la Auditora

La fase de ejecucin de la Auditora se lleva a cabo en dos vertientes, el

trabajo de campo que se realiza generalmente en el domicilio del ente, y
otros procedimientos de la auditora se realizan de gabinete en las
oficinas de la Auditora Superior. En la etapa de ejecucin se realizan las
pruebas

de

evaluacin

de

cumplimiento

normativo,

el

examen

documental y la obtencin de evidencias suficientes, competentes y

relevantes que permitan cumplir los objetivos generales y especficos
considerados en la planeacin de auditora de tecnologas de informacin.

Figura 9. Proceso de Ejecucin de Auditora

Planeacin CATI

Inicio de la
auditora

Desarrollo de
procedimientos

Formulacin de
posibles observaciones

Archivo de papeles de
trabajo

Comunicacin de
observaciones

Cierre de
auditora

Informe previo

En esta fase, el equipo auditor realizar de ser necesario los ajustes al

programa de auditora, con el fin de lograr el objetivo de la misma, registrando
los cambios.

III.3.1.Inicio de la auditora

III.3.1.1.Acreditacin

Es aqu donde se apersonan los auditados comisionados del rea

informtica ante el titular y/o funcionario facultado, para dar inicio a la
auditora en el domicilio del ente a quienes se le presenta el Oficio de
Comisin emitido por funcionario facultado de la Auditora Superior para
la realizacin de la auditora procediendo a acreditarse los auditores
comisionados con las credenciales de identificacin correspondiente y el
oficio de comisin. Posteriormente se solicita el nombramiento de
testigos y la identificacin y/o acreditacin de los funcionarios y testigos
con la finalidad de levantar el acta de inicio respectiva, firmando en dicho
documento las partes que en ella intervienen.

III.3.1.2.Actividades

a. Reunin inicial:
La reunin inicial es presidida por el auditor encargado, haciendo la
presentacin del equipo de auditora a los funcionarios del ente
auditado, ante quien exponen los objetivos, alcance y naturaleza de
la misma y hacen entrega del documento original de acreditacin
ante el titular de la entidad.

b. Acta de inicio:

Posterior a la presentacin del oficio de comisin y explicado el

objeto del mismo, se proceder a solicitar al titular la designacin
de dos testigos a afecto

de elaborar el acta de inicio, firmando al trmino de la misma los

actuantes en el proceso de inicio de la auditora.

En caso de no designar a los testigos antes citados, se har constar

dicha circunstancia en el acta de inicio, y se proceder al inicio de la
auditora.

c. Lugar de trabajo:
Solicitar al titular del ente auditado un espacio adecuado
desarrollo de

para el

los trabajos de auditora, asimismo las herramientas y

equipo requerido por los auditores para el mejor desempeo de su

comisin.

III.3.2.Desarrollo de procedimientos

De acuerdo a las tareas asignadas en la planeacin de la auditora, el

equipo asignado se orientar al logro de los objetivos de la revisin, a
travs del examen documental, la inspeccin y la verificacin de la
informacin del ente en lo referente a programas, planes y acciones,
aplicando los procedimientos y tcnicas de auditora necesarios.

III.3.2.1.Actividades

a. Evaluacin del control interno:

Todos los tipos de auditora ejecutados en la ASE, deben evaluar la

estructura de control interno de los entes a auditar, que sirva de apoyo
en

la

toma

de

decisiones

de

los

auditores

establecer

los

pronunciamientos normativos aplicables a su estudio y evaluacin

como un aspecto fundamental al establecer la estrategia de la

auditora.

Particularmente, el rea de auditora de tecnologas de informacin

desarroll un software en web que permiti la aplicacin de un
cuestionario de control interno

y la solicitud de inventarios de

tecnologas de informacin a cada uno de los entes que conforman el

sector gubernamental con la finalidad de obtener un diagnstico
general de los recursos informticos (humano, tcnico, y de sistemas)
del sector pblico del Estado de Chihuahua. Este sistema fue
desarrollado y fundamentado en el Marco de Control COBIT.

Figura 10. Sistema WEB SIDATI

En esta etapa los auditores deben evaluar el sistema de control

interno existente en los procesos de negocio y sistemas de
informacin objeto de la auditora, como base para determinar la
naturaleza y extensin de las pruebas de auditora que se
requieran. Evaluar el sistema de control interno significa: Determinar si

los controles establecidos en los procesos de negocio y los

sistemas de

informacin, ofrecen la proteccin apropiada para reducir los riesgos a

niveles aceptables para la organizacin.

El propsito de la evaluacin de control interno, es determinar si es

suficiente y efectiva para proteger a la organizacin, contra los riesgos
que podran afectarla en los procesos de negocio y sistemas de
informacin que se estn auditando. Esto es, evaluar la confiabilidad de
los controles utilizados para prevenir o detectar y corregir las causas de
los riesgos y minimizar el impacto que estos tendran en caso de llegar
a materializarse.

La evaluacin del sistema de control interno produce resultados

intermedios, de valor importante para las etapas restantes del proceso
de auditora, estos son:

1) El auditor fundamenta su opinin sobre la confiabilidad que ofrecen los

controles utilizados, para reducir la probabilidad de ocurrencia o
impacto de

el

los riesgos. Los resultados de esta evaluacin sirven al

auditor como base para determinar la naturaleza y extensin de las

pruebas de auditora que se consideren necesarias y apropiadas a las
circunstancias.

2) El auditor identifica y soporta

debilidades y oportunidades de

mejoramiento (observaciones de auditora) en la estructura de los

controles. Estas observaciones son insumos para el informe de
auditora.

3) El auditor identifica los controles que debern verificarse en la etapa de

ejecucin de pruebas de auditora, para determinar que realmente
existen, estn operando y son entendidos por las personas encargadas
de ejecutarlos (pruebas de cumplimiento).

4) El auditor identifica los datos crticos y actividades sobre las cuales

es

necesario

aplicar

pruebas

para

verificar

la

exactitud

confiabilidad de los clculos y de la informacin que producen los

sistemas

de

informacin

para

apoyar

el

desarrollo

de

las

operaciones del negocio (pruebas sustantivas).

5) El auditor documenta las observaciones de auditora para los procesos

de negocio y los sistemas de informacin que los soportan. Esta
presenta las debilidades y deficiencias de control interno y seguridad
identificadas en la evaluacin de controles.

Los controles internos comprenden planes, mtodos, procedimientos y

otras medidas, incluyendo la actitud de funcionarios y dems personal de
la entidad, encargados de lograr los objetivos de efectividad, eficiencia y
economa; proteger y conservar los recursos pblicos; y cumplir leyes,
reglamentos y otras normas.

b. Obtencin de pruebas de auditora:

Aplicando los procedimientos y tcnicas de auditora, el auditor debe
obtener evidencia suficiente, competente, relevante y aplicar pruebas
de control y procedimientos sustantivos, que le permitan fundamentar
razonablemente los juicios y conclusiones que le formule al ente
auditado.

c. Las pruebas a realizar son:

De control: para confirmar que los programas o acciones han operado
efectivamente durante el perodo examinado.

De cumplimiento: Sobre la observancia de las disposiciones legales y

reglamentarias vigentes. Todas las pruebas deben incorporarse en los

papeles

de trabajo de la comisin de auditora, con su respectivo

anlisis y conclusin.

d. Las tcnicas de auditora son:

Verificacin ocular: Los auditores se cerciorarn personalmente, sobre
los hechos y circunstancias, cmo el personal de la entidad ejecuta las
operaciones.

Verificacin oral: Indagacin, averiguaciones o conversaciones con el

personal

del ente auditado. Varias respuestas relacionadas entre s,

razonables

consistentes,

suministran

un

elemento

de

juicio

satisfactorio.

Entrevistas: Con beneficiarios de programas o proyectos, deber

prepararse

apropiadamente,

identificar

quines

sern

los

entrevistados, as como definir el propsito y los puntos a abordar.

Verificacin escrita: Radica en corroborar la verdad, certeza o

probabilidad

de

hechos,

situaciones,

sucesos

operaciones

mediante documentacin certificada, datos e informacin obtenidos

de manera directa de los funcionarios o terceros que participan o
ejecutan las operaciones sujetas a verificacin.

Confirmacin: Permite comprobar la autenticidad de los registros y

documentos

a travs de la informacin directa o escrita otorgada por

una persona independiente del ente auditado y que se encuentre en

posibilidades de conocer la naturaleza y condiciones de la operacin y
por lo tanto confirmar de una manera valida esta tcnica.

Verificacin documental: Se aplica para constatar la existencia,

legalidad, autenticidad y legitimidad de las operaciones efectuadas por
el ente, mediante la verificacin de los documentos que las justifiquen.

Verificacin fsica: La Inspeccin es el examen fsico presencial de

activos, obras, documentos, escenarios, con el objeto de establecer su
existencia, estado y autenticidad.

Inspecciones: Si bien las inspecciones forman parte de las tcnicas de

verificacin fsica, su realizacin debe ser selectiva. Deben contar con
un plan que contenga como mnimo:

Objetivo

Actividades a desarrollar

Lugares a visitar

Recursos humanos

Apoyo logstico

Duracin

Responsable

Certificacin: Obtencin de un documento de que se asegura la verdad

de un hecho, legalizado por la firma de una autoridad facultada para
hacerlo.

Reuniones de avances de auditora: Durante la fase de ejecucin de la

auditora, se realizan reuniones de avances. Estas reuniones deben ser
presididas y guiadas por la supervisin.

Cruce de informacin: En la auditora de las tecnologas de informacin

por ser parte de la estructura multidisciplinaria de la ASE, es necesario
crear los canales y filtros de informacin entre comisiones de auditora
que ayuden al logro del xito de la misma.

III.3.3.Formulacin de posibles observaciones y/o recomendaciones

Las

posibles

observaciones

y/o

recomendaciones

determinadas

formuladas como resultado de los procedimientos de auditoras de

tecnologas de informacin aplicados al ente auditado, los cuales estn
referidos al incumplimiento de la normatividad aplicable, por desvi de
recursos destinados a programas tecnolgicos.

III.3.3.1.Documentacin e informacin

Fuentes de criterio: Normativa general y especfica, documentos diversos que

sustenten el incumplimiento normativo y desviaciones detectadas.

Riesgos en el proceso de auditora: Derivado de la supervisin en el

proceso de ejecucin de la auditora, existen situaciones de irregularidad
que pueden alterar o modificar el desarrollo de los procedimientos y
alcances considerados en la planeacin de la auditora.

III.3.3.2.Procedimientos

Desarrollo: El auditor al momento de ejecutar los procedimientos de

auditora debe tener en cuenta las siguientes caractersticas:

Debe estar basado en hechos y evidencias precisas debidamente

documentadas.

Debe ser objetivo y completo.

Debe estar basado en una razn suficiente para respaldar las

conclusiones.

Debe ser convincente y claro para una persona que no haya

participado en la auditora.

De contener las caractersticas y atributos sealados, la observacin se

redacta segn la estructura: rubro, cuenta o concepto, descripcin de la falta
normativa o determinacin de diferencias encontradas, as como la
fundamentacin de la legislacin que se incumpli.

Anlisis de la observacin: El auditor debe considerar los siguientes criterios

para analizar la viabilidad de una observacin. Materialidad: para que una
observacin sea significativa debe garantizar la recoleccin de evidencias.
Asimismo se debe tener en cuenta la relevancia en la desviacin de recursos.

Revisin y Supervisin: Las observaciones deben ser revisadas como mnimo

en dos niveles, el de la jefatura de la auditora y el de la supervisin, los
cuales deben asegurar el cumplimiento de los puntos anteriores.

III.3.4.Comunicacin de posibles observaciones y/o recomendaciones

El auditor encargado es el responsable de comunicar oportunamente las

posibles observaciones y/o recomendaciones al jefe inmediato superior, a
fin de que puedan presentar sus comentarios y aclaraciones sustentados
documentadamente en el plazo fijado, para su oportuna evaluacin y
consideracin en el informe final correspondiente.

III.3.5.Archivo de papeles de trabajo

Es el archivo con las hojas de trabajo que contienen las evidencias del
desarrollo de cada una de las etapas de la auditora. Los documentos de este
archivo tienen validez por una sola vez, es decir, para cada auditora
realizada a las aplicaciones que estn en proceso de evaluacin. Por

consiguiente, cada vez que se efecte una auditora se debe elaborar un

nuevo archivo con la informacin recopilada.

III.3.6.Cierre de auditora

Es la culminacin de la fase de ejecucin o el trabajo de campo; aqu se

sustentan

los

objetivos

procedimientos

de

las

observaciones

y/o

recomendaciones, asimismo el auditor tiene que hacer uso de sus

conocimientos del rea y de su juicio profesional aplicando en gran medida la
experiencia para lograr la evidencia de auditora suficiente que permita
determinar que el ente auditado cumpli con las expectativas.

Concluida la fase de ejecucin, el equipo de auditora se prepara para

iniciar la etapa de la elaboracin del informe tcnico de resultados.

III.4. Elaboracin del Informe de Resultados

El informe tcnico de resultados es el documento ms importante del trabajo

de la auditora de tecnologas de informacin, por presentar los resultados
obtenidos en la revisin al ente. El informe de auditora debe contener la
expresin de razonamientos o juicios fundamentados en las evidencias
obtenidas en relacin a los objetivos de la auditora.

Figura 11. Proceso de Informe Tcnico de Resultados

Informe Previo

Evaluacin de
observaciones

Elaboracin del ITR

Aprobacin del ITR

Informe Tcnico de
Resultados (ITR)

Entrega a Comisin de
Fiscalizacin

Publicacin del ITR

III.4.1.Evaluacin de observaciones y/o recomendaciones

El titular de la auditora tecnologas de informacin deber evaluar las

observaciones y/o recomendaciones resultantes de la auditora al ente.
Dichos informes deben redactarse de manera clara para facilitar su
comprensin, por lo tanto deben estar libres de imprecisiones y
ambigedades

conservar

las

caractersticas

de

independencia,

objetividad, etc.

III.4.1.1.Documentacin e informacin

Aclaraciones y Comentarios: producto de las observaciones, se proceder

a la realizacin de las aclaraciones y comentarios correspondientes del
ente auditado, dentro de los plazos establecidos en la Ley de la Auditora
Superior del Estado de Chihuahua.

III.4.1.2.Procedimientos anlisis y evaluacin de aclaraciones y comentarios

Permite diferenciar con la mayor objetividad, si lo plasmado en las

observaciones y las aclaraciones o comentarios que efecten los
funcionarios del ente respecto de la observacin. Lo realiza el equipo de
auditora bajo responsabilidad del auditor encargado.

III.4.1.3 Resultados de informes tcnicos

Documentos Evaluados: es el resultado del anlisis efectuado por el

equipo auditor y deber ser considerado en el resultado final de cada
observacin y/o recomendacin e incluido en el informe de auditora a
manera de anexo.

III.4.2.Elaboracin del informe

El informe tcnico de auditora de conformidad con la Ley de la Auditora

Superior, es el resultado de la auditora practicada al ente auditado, dicho
documento se estructura con los conceptos revisados, resaltando las
irregularidades detectadas y la cuantificacin de las mismas, asimismo se
integrar con recomendaciones de acciones y programas encaminados a
mejorar el desempeo del ente auditado.

De considerarse pertinente, se incluirn grficos, fotos, tablas y cuadros que

apoyen al informe Tcnico de Resultados.

III.4.2.1.Documentacin e informacin

Programa Anual de Auditora: Que el ente auditado se encuentre

integrado en el programa anual de auditora de conformidad a lo que
establece la norma.

III.4.2.2.Procedimientos
Desarrollo de la Estructura y Contenido del Informe: la elaboracin del
informe, est a cargo del equipo de auditora conjuntamente con la
supervisin y debe ser redactado en base al ndice de reas auditadas,
integrando

las

observaciones

encontradas,

as

como

las

recomendaciones segn las mejores prcticas.

Revisin del Informe: recae en el titular del rea la revisin del informe
realizado por el auditor encargado, para obtener un producto final de
calidad.

III.4.2.3.Resultado de la elaboracin del informe

Informe de Auditora: es el producto principal de la auditora de
tecnologas de informacin y contiene las observaciones, conclusiones y
recomendaciones orientadas a la mejora de los procesos y actividades de
la entidad auditada.

Ficha Tcnica: Es aquella que concentra los asuntos ms importantes de

la auditora, debe ser breve y contener la posicin de la ASE frente a la
problemtica evaluada.
III.4.3.Aprobacin
Concluida la elaboracin del informe del rea de auditora de tecnologas
de informacin, es revisado por la instancia de normatividad para su
aprobacin legal y posteriormente remitirlo al ente auditado para la
respuesta a las observaciones que integra el mismo, con la finalidad de
agotar el derecho de audiencia del auditado.

III.4.3.1.Remisin a la entidad:
La remisin del informe de auditora deber estar acorde a los plazos
establecidos en el programa anual de auditora y disposiciones legales

aplicables, permitiendo as que la informacin motivo del informe, sea

utilizada oportunamente por el titular de la entidad

Anexo 1: Diagrama de Flujo de la auditora de tecnologas de informacin

Conocimiento Preliminar

Solicitud de Informacin

Estudio y Evaluacin del CI

Programacin

Inicio de la Auditora

Evaluacin de observaciones y comentarios

Desarrollo de Procedimientos

Formulacin de posibles observaciones Elaboracin del ITR

Comunicacin de observaciones

Integracin

Aprobacin del ITR

Conclusin ITR

Cierre

Entrega a la Comisin de Fiscalizacin

Planeacin

Informe Previo

Publicacin del ITR

GLOSARIO
Aplicacin: Aunque se suele utilizar indistintamente como sinnimo
genrico de 'programa' es necesario subrayar que se trata de un tipo de
programa especficamente dedicado al proceso de una funcin concreta
dentro de la empresa.

Aplicacin Web: Aplicaciones que los usuarios pueden utilizar accediendo

a un servidor web a travs de Internet o de una intranet mediante un
navegador.

ASE: Auditora Superior del Estado de Chihuahua.

Auditor: Persona que efecta una auditora

Auditora: Examen de las operaciones de una empresa por especialistas ajenos

a la operacin y con objetivos de evaluar el ambiente de control y la situacin
de la misma.

Bases de Datos: Coleccin de datos organizados para que a travs de las

aplicaciones y programas la computadora pueda acceder rpidamente a
ella.

COBIT: Objetivos de Control para la Informacin y las Tecnologas

Relacionadas.

Confidencialidad: Se refiere a que la informacin solo puede ser conocida por

individuos autorizados.

Control Interno: Conjunto de objetivos, polticas, procedimientos y registros

con el propsito de:
I. Procurar mecanismos adecuados de operacin, acordes con las
estrategias y fines de las instituciones, que permitan identificar, dar
seguimiento y evaluar los riesgos que puedan derivarse de las
actividades del negocio, con propsito de

reducir las prdidas en que puedan incurrir en la realizacin de actos o

hechos voluntarios o involuntarios.
II.Delimitar las diferentes funciones y responsabilidades entre sus
rganos sociales, unidades administrativas y personal, a fin de obtener
eficiencia y eficacia en la realizacin de sus actividades.
III.

Disear

sistemas

de

informacin

administrativa

financiera,

correcta, precisa, ntegra, confiable y oportuna.

IV.

Coadyuvar permanentemente a la observancia de la normatividad

aplicable a las actividades de las instituciones.

COSO: Committee of Sponsoring Organizations of the Treadway Commission.

Costo: Desembolso en efectivo o en especie por algn beneficio.

Hardware: Conjunto de dispositivos fsicos de los que consiste un sistema.

Comprende componentes tales como el teclado, el mouse, las unidades
de disco, el monitor, cada una de las partes fsicas que forman un
ordenador, incluidos sus perifricos, etc.

I.I.A: Institute of Internal Auditors.

I.M.A.I.: Instituto Mexicano de Auditores Internos, A.C.

Integridad: Totalidad, plenitud. La habilidad de determinar que la informacin

recibida es la misma que la informacin enviada.

Investigacin: Representa la obtencin de informacin, datos y comentarios de

los funcionarios y empleados de la empresa.

IRC: Sistema de ndice de Rendicin de Cuentas ASE.

I.S.A.C.A: Information Systems Audit and Control Association (Asociacin de

Auditora y Control de Sistemas de Informacin).

ISO: (Organizacin Internacional para la Normalizacin) Organizacin de

carcter voluntario fundada en 1946 que es responsable de la creacin de
estndares internacionales en muchas reas, incluyendo la informtica y las
comunicaciones. Est formada por las organizaciones de normalizacin de
sus 89 pases miembro.

Lenguaje: En informtica, conjunto de caracteres e instrucciones utilizadas

para escribir programas de ordenador.

Management: La administracin de empresas (Management), o ciencia

administrativa es una ciencia social que estudia la organizacin de las
empresas y la manera como se gestionan los recursos, procesos y resultados
de sus actividades.

Medidas: Son medidas cuantitativas del desempeo del negocio utilizado por
la

alta

gerencia

para

supervisar

el negocio,

obtener

informacin y

proporcionar retroalimentacin. Una medida es efectiva cuando es parte de

un proceso de supervisin que incluye objetivos y parmetros de accin o de
excepcin.

Metodologa: Conjunto de pasos utilizados para lograr un objetivo.

NAGAS: Normas de Auditora Generalmente Aceptadas.

Norma: Principio que se impone o se adopta para dirigir la conducta o la

correcta realizacin de una accin o el correcto desarrollo de una
actividad.

Observacin: Presencia fsica de cmo se realizan ciertas operaciones o

hechos.

Papeles de trabajo: Registro del trabajo del auditor, el cual contiene la

evidencia del trabajo realizado, sus observaciones y los resultados y
conclusiones extradas a la evidencia obtenida. Se utilizan para controlar el
progreso del trabajo realizado y para respaldar la opinin del auditor. Los
papeles de trabajo pueden estar constituidos por datos conservados en
papel, pelcula, medios electrnicos u otros medios.

Planeacin: Consiste en prever cuales procedimientos de auditoria va a

emplearse, la extensin y oportunidad en que van a ser utilizados y el
personal que debe intervenir en el trabajo.

Poltica: Orientaciones o directrices que rigen la actuacin de una persona

o entidad en un asunto o campo determinado.

Procedimiento: Mtodo o sistema estructurado para la ejecucin de

actividades.

Proceso: Conjunto de operaciones lgicas y aritmticas ordenadas, cuyo fin

es la obtencin de resultados.

Programa: Secuencia de instrucciones que obliga al ordenador a realizar una

tarea determinada.

Seguridad de la Informacin: Se refiere a la confidencialidad, integridad y

disponibilidad de la informacin y datos, independientemente de la forma, los
datos pueden ser: electrnicos, impresos, audio u otras formas.

Servidor

server:

Ordenador

que

ejecuta

uno

ms

programas

simultneamente con el fin de distribuir informacin a los ordenadores que

se conecten con l para dicho fin.

SIDATI: Sistema de Diagnstico de Auditora de Tecnologas de Informacin.

Sistema de Informacin: Se denomina Sistema de Informacin al conjunto de

procedimientos

manuales

y/o

automatizados

que estn orientados

proporcionar informacin para la toma de decisiones.

Software: Componentes inmateriales del ordenador: programas, sistemas

operativos, etc. Son aquellos programas que nos ayudan a tareas especficas
como edicin de textos, imgenes, clculos, etc. tambin conocidos como
aplicaciones.

SOX: La ley Sarbanes-Oxley.

TI: Tecnologas de Informacin. Conjunto de servicios, redes, software y

dispositivos

que tienen como fin la mejora de la calidad de vida de las

personas dentro de un entorno, y que se integran a un sistema de

informacin interconectado y complementario.

Auditora de Tecnologas de Informacin: Se encarga de la verificacin de los

controles internos establecidos en el rea de sistemas del ente, as como
estudios de seguridad de la Informacin, Hardware y Software.

Recursos Informticos: Son todos aquellos componentes de hardware y

software, as como el personal que labora en l, o para el rea de
sistemas.