Tcnicas Tradicionales y Especiales de Evaluacin Aplicables en la

Auditora de Sistemas Computacionales

Tcnicas Tradicionales de Evaluacin Aplicables en la Auditora de Sistemas
Computacionales
El Examen...
1. Examen del comportamiento del sistema...
1.1. Examen de los resultados del sistema...
1.2. Pruebas de Implantacin...
1.3 Pruebas del Sistema
1.4 Pruebas de los Programas de Aplicacin...
1.5 Pruebas del Sistema Operativo...
1.6 Pruebas de Encendido del Sistema.
1.7 Exmenes de las Instalaciones del Centro de Cmputo.
Inspeccin..
Confirmacin.
Comparacin...
Revisin Documental...
1. Que en el rea haya documentos relacionados con los sistemas...
2. Que los documentos relacionados con el uso de los sistemas estn disponibles
para los usuarios y empleados del rea de sistemas...
3. Que se difunda la existencia de los documentos relacionados con el uso de los
sistemas entre los empleados y usuarios del rea de sistemas.
4. Se trabaje con el apoyo de estos documentos
Acta Testimonial..
1. Contenido del Acta Testimonial.
2. Requisitos para Elaborar el Acta Testimonial.
3. Tipos de Actas Testimoniales para una Auditoria de Sistemas
Computacionales
Matriz de Evaluacin...
Matriz DOFA..
Tcnicas Especiales de Auditora de Sistemas Computacionales
Guas De Evaluacin....
Ponderacin.
Modelos de Simulacin
1. Simulacin a travs de Metodologa de Sistemas.
2. Simulacin a travs de Otros Documentos Grficos
Evaluacin ...
1. Evaluacin De La Gestin Administrativa Del rea De Sistemas
2. Evaluacin del Equipo de Cmputo.
3. Evaluacin Integral de Sistemas.
4. Evaluacin con el Apoyo de la Computadora
5. Evaluaciones sin el Uso de la Computadora......
6. Evaluaciones de los Controles en Sistemas Computacionales...
7. Evaluaciones de otros Aspectos de Sistemas Computacionales
1

Diagramas del Crculo de Evaluacin..

Lista de Verificacin ...
Anlisis de la Diagramacin de Sistemas
Diagrama de Seguimiento de una Auditoria de Sistemas Computacionales...
Programas para Revisin por Computadora

Tcnicas Tradicionales de Evaluacin Aplicables en la Auditora de Sistemas Computacionales.

El Examen
En una auditoria, el examen se puede definir como el anlisis, prueba o demostracin al que se somete
algn fenmeno o hecho relacionado con la gestin administrativa de un centro de cmputo, de sus
componentes o de la operacin del sistema procesador de informacin, con el propsito de evaluar el
cumplimiento de sus funciones, actividades y operaciones, as como el cumplimiento del
procesamiento de datos y la emisin de informacin que se requiere en la empresa o en las reas que la
integran.
El auditor aplica esta herramienta con el propsito de investigar algn hecho, verificar las formas de
realizar un proceso, evaluar la aplicacin de las tcnicas, mtodos y procedimientos de trabajo,
verificar el resultado de una transaccin, comprobar la operacin correcta de un sistema computacional
as como para evaluar muchos otros aspectos.
A continuacin se enumeran las principales aplicaciones de los exmenes en una auditoria de sistemas
computacionales.

1. Examen del comportamiento del sistema

Esta aplicacin se refiere a las pruebas que hace el auditor, e incluso el propio desarrollador de un
sistema, con el propsito de saber cmo se comporta el sistema en los distintos ambientes en donde se
realiza su operacin normal; esto permite comprobar las caractersticas del comportamiento y actuacin
del propio sistema y en muchos casos ayuda a examinar el ambiente donde ser implantado: asimismo,
el auditor puede evaluar el comportamiento del sistema computacional, el rendimiento de su
procesador, componentes y perifricos, adems del uso y aprovechamiento de los lenguajes y
programas utilizados en el procesamiento y emisin de informes. Claro que dicho examen se har de
acuerdo con las caractersticas y necesidades especificas de la evaluacin, as como del propio sistema
computacional y del centro de cmputo que ser examinado.
1.1

Examen de los resultados del sistema

Es la aplicacin de las pruebas necesarias al ciclo normal de captura, procesamiento y emisin de la

informacin procesada en el sistema computacional de la empresa, por medio de exmenes especficos
del comportamiento, velocidad, exactitud y dems caractersticas del procesamiento de los datos.
Adems, es recomendable realizar tambin la comprobacin manual, mecnica o electrnica del
procesamiento de esos datos, con el propsito de comparar el comportamiento de ambos resultados, el
del sistema computacional y el manual o mecnico; esto ayuda a evaluar la confiabilidad y veracidad
del procesamiento de la informacin. A este tipo de exmenes se le conoce como prueba de los
resultados y tiene muchas modalidades y formas de aplicacin.

1.2

Pruebas de Implantacin
2

Son las comprobaciones previas a la implantacin de un sistema computacional, con el fin de verificar
si el diseo del nuevo sistema corresponde al comportamiento real de dicho sistema; estas
comprobaciones se realizan a travs del procesamiento de datos (supuestos o verdaderos), comparando
los resultados que arrojan las pruebas del nuevo sistema con los resultados reales que se obtuvieron por
cualquier otro medio (con otro sistema similar, en forma manual, mecnica, etctera).
Bsicamente se conocen se conocen tres formas de realizar estas pruebas de implantacin.
-

Las pruebas piloto

Son las pruebas que se realizan a los prototipos del sistema computacional, a diseo y programacin de
los propios sistemas e incluso a los diseos en papel; el propsito es evaluar el comportamiento del
sistema antes de empezar su diseo detallado (formal) o final, con el fin de identificar toda la
problemtica que se pueda presentar en el funcionamiento del sistema; con este tipo de pruebas se
pueden elaborar todas las correcciones que sean necesarias para el mejor diseo del sistema.
El auditor debe verificar la existencia de estas pruebas y la manera en que se aplicaron; adems puede
analizar los resultados obtenidos y las correcciones derivadas de esas pruebas. Tambin puede utilizar
los resultados de esas pruebas para evaluar el desarrollo de los proyectos informticos, e incluso puede
evaluar si la forma en que se realizaron estas pruebas, sus resultados y aplicaciones, son los adecuados
para el trabajo de los sistemas.

- Las Pruebas en Paralelo

Son las pruebas del funcionamiento del nuevo sistema y, al mismo tiempo, del sistema anterior; para
ello se utilizan las mismas operaciones y procesos de informacin, con datos y secuencias iguales, y en
si con los mismos procedimientos, a fin de comparar los resultados de ambos sistemas; con esto se
garantiza que el funcionamiento del nuevo sistema sea igual o mejor que el del sistema anterior.
Estas pruebas tienen muchas aplicaciones en una a auditoria de sistemas computacionales, por ejemplo,
se pueden aplicar pruebas en paralelo, con los mismos datos, en un sistema nuevo y en uno anterior.
Tambin se pueden hacer las pruebas del sistema con datos falsos o datos simulados, ya sean en el
sistema a probar o en otro sistema ajeno a este.
Es importante que tambin se evale el registro de las pruebas realizadas al sistema, as como la
implantacin del mismo, bajo el mtodo de pruebas en paralelo.

- Las pruebas de Aproximaciones Sucesivas

Este tipo de pruebas se realiza por partes; primero se hacen las pruebas elementales y despus se van
realizando ms pruebas, cada vez ms complicadas, de tal manera que en cada nueva prueba se van
obteniendo los resultados esperados del funcionamiento del sistema.
Para aplicarlas en la auditoria de sistemas computacionales, el auditor comprueba la manera en que se
realizaron y registraron estas pruebas, as como los resultados alcanzados con ella; en caso de ser
necesario, tambin se pueden realizar las pruebas con el mtodo descrito anteriormente.
1.3

Pruebas del Sistema

Tambin identificadas como auditorias del sistema computacional, es la sucesin de pruebas, exmenes
y comprobaciones de la actividad del sistema computacional, en cuanto a la confiabilidad de su
operacin, el procesamiento de informacin, el funcionamiento de sus perifricos y equipos asociados,
su arquitectura, el funcionamiento de sus procesadores, la velocidad de estos, el trabajo de las
memorias, la lectura y grabacin correcta de la informacin en los dispositivos externos y todas las
dems pruebas que se realizan al sistema, con el propsito de conocer y evaluar su funcionamiento.
Estas pruebas se pueden realizar por medio del sistema operativo, aprovechando las rutinas integradas
en el procesador, o se pueden hacer utilizando paqueteras y programas de computo diseados para ello.
En estos casos el auditor verifica y comprueba, por medio de pruebas, procedimientos y rutinas
especiales de auditoras, que los procesos y programas del sistema, as como la actividad de todos sus
componentes, perifricos y equipos asociados, funciones correctamente.
1.4

Pruebas de los Programas de Aplicacin

Comnmente conocidas como pruebas de escritorio, son las experimentaciones del diseo de un nuevo
proyecto de sistemas, a travs de pruebas que se realizan de manera manual, mecnica o
electromecnica (o tambin por medio de algn modelo), comparando uno por uno, todos los pasos que
supuestamente seguiran las rutinas de procesamiento de informacin del nuevo sistema, con el
propsito de localizar las posibles deficiencias del nuevo proyecto. En la prctica, estos experimentos
se realizan antes de implantar un sistema computacional. En estas pruebas el diseador del proyecto
simula el comportamiento del nuevo sistema, con el fin de encontrar las posibles fallas del diseo del
sistema para hacerlo ms eficiente.
La diagramacin del sistema es uno de los ejemplos ms ilustrativos de estas pruebas; mediante esta
mtodo, tanto el diseador del sistema como el programador, el lder de proyecto e incluso el auditor de
sistemas puede simular el comportamiento de un sistema, con el fin de evaluar su posible
funcionamiento, a travs del seguimiento de las operaciones que este realiza por medio de la
simbologa con significados especficos. Tambin se utilizan los modelos y la programacin para
comprobar el funcionamiento de los proyectos de sistema.
1.5

Pruebas del Sistema Operativo

Son las rutinas de verificacin y comprobacin instaladas dentro del propio sistema computacional, las
cuales se activan cuando inicia el sistema operativo; el propsito de estas pruebas es verifica el
funcionamiento del procesador, de sus componentes, las memorias, los sistemas de operacin y
procesamiento, los buses de conexin (conexiones del sistema) y funcionamientos de los perifricos,
comunicaciones y dems partes que hacen funcionar el sistema. Este es un procedimiento de
comprobacin interna diseados por los fabricantes del sistema, la cual se aplica en forma secuencial y
ordenada. Al encontrar diferencias o desviaciones en el funcionamiento del sistema, este programa las
reporta de inmediato y en algunos casos las corrige por medio de sus mismas rutinas.
Adems de las rutinas del sistema operativo, tambin existen varias utileras y programas especiales de
revisiones que pueden utilizar el auditor para evaluar el funcionamiento de los sistemas; en algunos
casos, sobre todo en los sistemas de red, y sistemas mayores, el propio sistema puede almacenar los
resultados de su revisin en bitcoras y reportes, con el fin de tener registrado el proceso de
verificacin de su comportamiento.
4

En la actualidad es comn que los propios sistemas computacionales realicen una revisin de sus
sistemas operativos, mediante rutinas especiales, corrigiendo sus posibles deficiencias y reportndolas
mediante mensajes en pantalla.
Cada sistema operativo reporta en pantalla sus propios mensajes de error al encontrar deficiencias en su
funcionamiento. Cuando el auditor ve estos mensajes, debe revisar su tipo y frecuencia y la manera en
que los responsables del sistema solucionan los errores; algunas veces estos errores son reportados en
las bitcoras del sistema, en los reportes internos de la auditoria del sistema o en algn otro registro del
sistema operativo.
1.6

Pruebas de Encendido del Sistema

Similares a las anteriores, son las verificaciones y comprobaciones que en el sistema, al encender,
realiza de sus componentes, perifricos y programas de operacin y procesamiento; estas revisiones
tambin se realizan por medio de rutinas y procedimientos de verificacin internos diseados por los
fabricantes del sistema.

1.7

Exmenes de las Instalaciones del Centro de Cmputo

Es la verificacin y evaluacin del funcionamiento de las instalaciones de un centro de cmputo, de sus

comunicaciones, sus sistemas elctricos, sus conexiones entre componentes, sus sistemas de aire
acondicionado, las medidas de prevencin para evitar y combatir incendios, inundaciones y dems
riesgos internos o externos, as como los sistemas de seguridad y planes de contingencia, y en si todos
los aspectos que repercuten en el funcionamiento del rea de sistemas de la empresa.

La Inspeccin

En la auditoria de sistemas computacionales, la tcnica de inspeccin est relacionada con la aplicacin

de los exmenes que se realizan para evaluar el funcionamiento de dichos sistemas; mediante la
inspeccin se evala la eficiencia y eficacia del sistema, en cuanto a operacin y procesamiento de
datos. Lo mismo ocurre para la gestin administrativa de un centro de cmputo, en donde se hace una
inspeccin detallada con el propsito de evaluar el cumplimiento de sus funciones, actividades,
estructura organizacional y todos los dems aspectos administrativos.
La inspeccin se realiza a cualquiera de las actividades, operaciones y componentes que rodean los
sistemas. Con esta tcnica se puede evaluar, verificar y juzgar el funcionamiento de los sistemas
computacionales de la empresa. As como la realizacin adecuada de todas sus actividades. En esta se
debe aplicar a los resultados los exmenes con el propsito de emitir un veredicto sobre el aspecto
verificado.
El termino inspeccin, aplicado al ambiente de sistemas computacionales, tambin puede ser sinnimo
de supervisin, ya que en ambos casos se trata de examinar la forma en que se realizan las actividades
de un rea de sistemas computacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal
de sus funciones y operaciones. La inspeccin tambin tiene como propsito monitorear el desarrollo
cotidiano de las funciones, actividades y operaciones normales de la empresa, para evaluar y, si es
necesario, corregir su desarrollo; claro est con las diferencias especificas que existen en cuanto a la
acepcin del vocablo y su aplicacin concreta en el ambiente de sistemas. Por ello, es importante tomar
en cuenta que no es lo mismo hacer una inspeccin de auditora que hacer la supervisin de las
actividades del sistema.
5

La Confirmacin

Uno de los aspectos fundamentales para la credibilidad de una auditoria es la confirmacin de los
hechos y la certificacin de los datos obtenidos durante la revisin, ya que el resultado final de una
auditoria es la emisin de un dictamen en el que el auditor vierte sus opiniones; pero, para que el
dictamen sea plenamente aceptado, es necesario que los datos sean veraces y confiables, y que las
tcnicas y mtodos utilizados para la auditoria sean los adecuados.
Un auditor jams puede fundamentar sus opiniones en suposiciones o conjeturas falsas, ni emitir juicios
basados en datos que no sean verdicos o que no estn certificados plenamente, o en datos obtenidos
con tcnicas y herramientas de auditora que no garanticen la comprobacin de la informacin
recabada.
La absoluta confianza en las opiniones emitidas en el dictamen de la auditoria es uno de los aspectos
fundamentales de esta disciplina, debido a que los resultados deben estar fundamentados en
informacin que sea plenamente comprobada y confirmada a travs del uso de tcnicas, herramientas,
procedimientos e instrumentos adecuados para la auditoria.
La caracterstica fundamental de una auditoria. Cualquiera sea su tipo, es la autenticidad con la que el
auditor emite sus opiniones, sea a favor o en contra.
Debemos reiterar que en la auditoria de sistemas computacionales es muy importante comprobar la
veracidad y confiabilidad de los datos obtenidos durante la revisin, as como confirmar que los
procedimientos utilizados para su captura y procesamiento estn apoyados en pruebas realizadas por el
auditor.
De esta manera, el dictamen lleva implcitas la autenticidad y confiabilidad de las pruebas con las que
se obtuvo la informacin; esto por si solo sera la confirmacin de que la informacin obtenida es
veraz, confiable y que est debidamente comprobada.
Esta herramienta se aplica de acuerdo con las caractersticas especficas de cada centro de cmputo o
de cada sistema computacional. Sin embargo, a continuacin presentamos algunos ejemplos de los
posibles aspectos del ambiente de sistemas computacionales en donde se puede aplicar la inspeccin:
La inspeccin de los sistemas de seguridad y proteccin de las instalaciones, equipos, personal
y de los propios sistemas de procesamiento, con el propsito de dictaminar sobre su eficiencia y
confiabilidad.
La inspeccin de los formatos para la captura de los datos y sus procedimientos en su
introduccin al sistema de procesamiento de informacin, a fin de evaluar su eficiencia,
oportunidad, confiabilidad y veracidad.
La inspeccin del uso, almacenamiento y proteccin de los sistemas, programas e informacin
que se procesa en el centro de cmputo, con el propsito de emitir un dictamen sobre su
seguridad y uso.
La inspeccin del cumplimiento de las funciones, actividades y responsabilidades y
responsabilidades de cada uno de los funcionarios, personal, usuarios, asesores y proveedores
del rea de sistema, a fin de opinar sobre su actuacin.
La inspeccin de la distribucin geogrfica del mobiliario, equipos, sistema y conexiones del
rea de sistemas computacionales, as como de los aspectos relativos a su ambiente, ergonoma,
funcionalidad, y seguridad.
La inspeccin del uso, funcionalidad, configuracin y aprovechamiento de las redes de
cmputo, as como de sus sistemas operativos, de aplicaciones, desarrollo de sistemas,
arquitectura, conexiones y de todos los dems aspectos relacionados con la operacin de la red
de cmputo.
6

Comparacin

Otra de las tcnicas utilizadas en el desarrollo de cualquier auditoria es la comparacin de los datos
obtenidos de un rea o de toda la empresa, cotejando esta informacin contra datos similares o iguales
de un rea o empresa con caractersticas semejantes. Con la comparacin de la informacin se puede
encontrar las similitudes o diferencias entre ambas reas o empresas, con lo cual se pueden hacer
conjeturas y deducciones sobre las desviaciones encontradas.
La utilidad de esta herramienta radica en que permite la evaluacin de datos similares o iguales entre
dos entidades (la analizada y una similar); con esto se obtiene informacin relevante para la evaluacin
de la entidad evaluada, ya que se compara la forma en que debera funcionar y la forma en que est
funcionando, en relacin con la otra entidad.
En la auditoria de sistemas computacionales, la comparacin de los datos procesados en el sistema
computacional que se va a ser evaluado con los datos de algn sistema similar o igual, sirve para avalar
y comprobar que los procesamientos sean similares o iguales y que los resultados obtenidos sean
confiables, verdicos oportunos y que satisfagan las necesidades de procesamiento del rea de computo
de la empresa.
En algunos casos los resultados obtenidos del procesamiento de datos de un sistema computacional
debe ser comparados con los resultados obtenidos de manera manual o mecnica de esos mismos
clculos, el objetivo de dicha comparacin es comprobar la similitud y veracidad de ambos resultados,
o determinar las posibles desviaciones, errores o deficiencias que hay entre ambos procedimientos.
Esta herramienta tambin se utiliza para evaluar el cumplimiento de las funciones actividades y
operaciones del personal de informtica, la aplicacin de las metodologas para el desarrollo de
sistemas , las tcnicas de programacin de lenguajes, el uso de paqueteras, programas integrales y
aplicaciones de sistemas computacionales, as como el uso de tcnicas similares y mtodos de
instalacin de sistemas, e inclusive la adopcin de los tipos de topologa, protocolos, configuraciones y
dems herramientas utilizadas para la implantacin de sistemas de redes.
A continuacin presentamos algunos ejemplos de comparacin de una auditoria de sistemas:
Determinar las actividades y operaciones desarrolladas en un centro de cmputo, a fin de
compararlas con las de otro centro similar para evaluar su eficiencia y eficacia.
Comparar las similitudes y diferencias en el uso de la metodologa institucional para el anlisis,
diseo e implantacin de sistemas computacionales de una empresa, a fin de verificar que en los
diferentes proyectos que se realizan en el rea de sistemas se utilicen la misma metodologa,
tcnicas y herramientas.

Revisin Documental

Nuestro auditor lder evala el manual del sistema de gestin de su organizacin. El informe de la
revisin de la documentacin resume los hallazgos de este proceso. El informe indica si su
organizacin est lista para proceder con la auditoria de certificacin.
La aplicacin de la tcnica de revisin documental en la auditoria de sistemas tambin es de gran
utilidad para dictaminar el desarrollo correcto de las operaciones, as como valorar la gestin
administrativa del rea de sistema, la existencia, actualizacin y uso de los documentos formales de
administracin y control de los activos informticos del centro de cmputos y del aprovechamiento del
sistema, entre muchas otras aplicaciones. Sin embargo el auditor de sistema de computacionales que
utiliza la revisin documental, adems de ajustarse a las caractersticas tradicionales de revisin de los
documentos formales, tambin debe adaptarse a las tcnicas especificas de registros utilizados en el
rea de sistemas, as como utilizar las computadoras para la captura, almacenamiento y acceso de datos.
Se aceptan el almacenamiento de los datos en discos flexibles, discos duros, cintas, CD-ROM y otros
7

dispositivos exclusivos de los sistemas computacionales para hacer la revisin documental. Incluso, las
autoridades fiscales ya aceptan los registros en dispositivos de almacenamiento magntico, siempre y
cuando sean registros formales de las operaciones financieras de los sistemas computacionales en
donde se lleva la contabilidad.
Al llevar a cabo la revisin documental, el auditor de sistemas debe estar abierto para analizar los
distintos documentos analizados en el rea de sistemas computacionales.
1. Que en el rea haya Documentos Relacionados con los Sistemas
En la revisin documental, el auditor de sistemas computacionales debe verificar que la empresa cuente
con todos los documentos relacionados con el manejo de los sistemas computacionales, ya sean
documentos de la operacin del sistema, manuales de usuario, manuales tcnicos o cualquier otro
documento relacionado con los sistemas. Tambin debe verificar que la empresa cuente con las dems
documentos relacionados con el aspecto administrativo del rea de sistema. Es muy importante que el
auditor compruebe que existan todos los documentos que, conforme a las necesidades de los usuarios y
de los empleados del rea, se requieran para el manejo de los sistemas computacionales.
2. Que los documentos relacionados con el uso de los Sistemas estn disponibles para los
usuarios y empleados del rea de sistemas
Es muy frecuente que las reas de sistemas cuenten con todos los documentos relacionados con el uso
de los sistemas computacionales; sin embargo, tambin es muy frecuente que estos documentos estn
guardados, y por costumbres o poltica, los usuarios no pueden utilizar ni para consulta, ni para la
operacin de dichos sistemas. En algunos casos se impide el uso de manuales de operacin de los
sistemas, debido a vicios muy arraigados tales como querer conservar la exclusividad de conocimientos
en el manejo de los sistemas, porque se desconoce la importancia de su difusin entre los usuarios, por
un mal entendida no difusin en el manejo de estos documentos, por un supuesto mal uso de estos
documentos y muchos otros vicios similares
El auditor debe verificar que la informacin documental del rea de sistemas este a disposicin de los
empleados y usuarios, puede hacer esto a travs de cuestionarios, entrevistas o cualquier otra tcnica de
recoleccin de informacin.

3. Que se difunda la existencia de los documentos relacionados con el uso de los sistemas entre
los empleados y usuarios del rea de sistemas
As como se debe verificar que los documentos relacionados con el uso de los sistemas estn
disponibles para el personal del rea de sistemas, tambin se debe verificar que se difunda su existencia
entre dichos empleados, ya sea cada vez que se implante un nuevo sistema computacional o como
resultado de revisiones peridicas.
El auditor debe verificar que se realice la difusin de los documentos del rea de sistemas
computacionales; ya sea mediante avisos publicados para el personal que tienen acceso al rea, listados
que contengan la relacin de todos los documentos del rea, publicaciones en revistas y boletines
internos o mediante cualquier otro mtodo de difusin.
4. Que se Trabaje con el Apoyo de estos Documentos
8

El auditor debe corroborar que el personal del rea de sistemas, as como los usuarios de los sistemas,
utilicen los manuales de operacin para el desarrollo correcto de su trabajo, mediante la aplicacin de
exmenes a los usuarios para corroborar que se estn usando estos documentos. .
Como complemento del anlisis de la tcnica de evaluacin documental, a continuacin presentamos
algunos de los documentos que el auditor debe comprobar que existan y que estn disponibles para los
empleados del rea de sistemas computacionales:
4.1

Inventarios de Documentos Administrativos

Manuales de Organizacin
Manuales de Procedimientos Administrativos
Manuales de Perfil de Puestos
Otros Manuales Administrativos

4.2 Inventarios de Documentos Tcnicos para el Sistema

Inventario de Documentos para el Desarrollo de Sistemas

4.3

Manuales e Instructivos Tcnicos del software del Sistema.

Manuales e Instructivos Tcnicos del Hardware, perifricos y componentes del sistema
Manuales e Instructivos d operacin del sistema
Manuales e Instructivos para los usuarios del sistema
Manuales e Instructivos del mantenimiento lgico del sistema (Software)
Manuales e Instructivos del mantenimiento fsico del sistema (Hardware)
Manuales e Instructivos didcticos de apoyo.

Inventario de metodologas para el desarrollo de sistemas.

Inventario de estndares, programacin, normas y procedimientos para el desarrollo de sistemas
en el rea.
Inventario de estndares, normas y procedimientos para el diseo de las bases de datos.
Inventario de estndares y normas de documentacin de sistemas
Inventario de documentos de apoyo para el funcionamiento de sistemas.
Acta Testimonial

El acta testimonial es un documento de carcter formal, que por su representatividad, importancia y

posibles alcance de carcter legal y jurdico es uno de los documentos vitales para cualquier auditora;
este documento no slo sirve de testimonio para comprobar, corroborar; ratificar o evidenciar cualquier
evento que ocurra durante la revisin, sino que es tal su alcance que se puede convertir en un
documento de carcter legal, probatorio de alguna anomala de tipo jurdico, penal o de cualquier otro
aspecto legal. Por esta razn es muy importante que el auditor sepa elaborarla correctamente.
La importancia de esta herramienta radica en que con su uso se pueden evidenciar pruebas fehacientes,
circunstanciales, probatorias y, en algunos casos, jurdicas para comprobar desviaciones en el rea
auditada; incluso se pueden utilizar para comprobar manejos dolosos, desviaciones de recursos o
cualquier otro tipo de indecencias que el auditor descubra durante su evaluacin y que, al plasmarlas en
actas testimoniales, fundamenten posibles acciones posteriores a la evaluacin o durante la misma
evaluacin.
9

El acta testimonial puede, y debe, aplicarse en muchos casos de carcter jurdico y legal que inciden no
slo en una auditora, sino en cualquier acto formal y protocolario de la administracin cotidiana del
rea de sistemas y de cualquier otra actividad administrativa relevante de la empresa. Un acta de este
tipo se utiliza en muchos de los siguientes aspectos:
Para la entrega de un puesto, ya que ampara la entrega-recepcin de los bienes asignados tanto a
quien los entrega como a quien los recibe, incluyendo las responsabilidades, funciones,
compromisos, obligaciones y derechos de dicho puesto.
Para testimoniar alguna falta (grave o leve) por parte del algn miembro del rea de sistema, la cual
se tiene para registrar en algn documento donde consten las circunstancias del caso.
Para testimoniar los robos, desapariciones, sustracciones o cualquier faltante de bienes de la
empresa, de los cuales se tiene que aclarar su ausencia, las circunstancias en que ocurri, los
posibles responsables y todos los aspectos relacionados con la desaparicin de algn bien de la
empresa.
Para deslindar o linear responsabilidades en caso de siniestros o cualquier otra circunstancia
catastrfica que repercuta en la marcha normal de la empresa o del rea involucrada, ya sean
accidentales, provocados, por negligencia o por cualquier otra causa.
Para fincar responsabilidades por deficiencias en la actividad normal de la empresa,
incumplimiento de trabajo o cualquier otro aspecto que repercuta en el desarrollo normal de las
funciones encomendadas a un trabajador, un rea de trabajo o toda una institucin.
Levantamientos de acciones jurdicas y legales que repercutan en las actividades o los bienes de la
empresa, como pueden ser embargos, suspensiones de actividades, huelgas, paros laborales,
quiebras o cualquier otra circunstancia que repercuta en la actividad normal del rea o de la
empresa.
Para reportar desviaciones relevantes como resultado de la auditora en el rea de sistemas de la
empresa, en los equipos o en otros aspectos reportados, las cuales, por ser relevantes, se tienen que
asentar en un documento de carcter legal.
Cuando presume o se comprueba la existencia de software que no es el autorizado (software pirata);
y que est siendo utilizado en los sistemas de la empresa, as como de las evidencias encontradas y
las formas de obtener dicho software.
Cualquier otra falta que a criterio del auditor o autoridades del rea evaluada deba ser plasmada en
un documento de carcter legal, sea de algn miembro del rea o de los directivos e incluso del
propio auditor.
Las anteriores son slo algunas de las muchas situaciones para poder levantar un acta testimonial en el
desarrollo de una auditora; aunque en la prctica esta acta puede ser levantada por cualquier otra
incidencia de las actividades cotidianas de una empresa, de un rea administrativa o de la propia rea
de sistemas, e incluso por incidencias de carcter laboral, despidos, renuncias y dems situaciones que
estn fuera de las actividades normales de una empresa.
1. Contenido del Acta Testimonial

En el caso de auditora de sistemas computacionales, o de otros tipos de auditora, no hay formatos

especficos donde se indique el contenido total que debe tener un acta testimonial y la forma de
elaborarla, salvo los casos en que sea una diligencia de carcter legal, en donde ya se tiene establecido
un protocolo de procedimientos. Al auditor le conviene conocer el contenido mnimo que debe tener un
documento de este tipo; por esta razn, a continuacin analizaremos dicho contenido:
1.1. Fecha y Hora de inicio del Acta Testimonial
10

Al elaborar un acta testimonial, se debe iniciar con la fecha y hora exactas en que se inicia el
levantamiento de dicha acta. El formato debe ser de preferencia con nmero y letra conforme a los
formulismos acostumbrados para estos actos. Por ejemplo:
Siendo las 18:46 del da 9 de marzo del 2002 [...]
A los 23 das del mes de julio del 2002, siendo las 19:00 horas [...]
A los quince das del mes de enero del 2002, siendo las diez horas con doce minutos [...]
1.2. Lugar en Donde se Levanta el Acta Testimonial
Aqu se anota, lo ms detalladamente posible, el lugar exacto en donde se lleva a cabo el levantamiento
del acta testimonial; es decir, el domicilio completo (nmero interior, exterior, local), poblacin, estado,
pas y las dems caractersticas relacionadas con la ubicacin del lugar en donde se practica esta
diligencia. Por ejemplo:
[] en el nmero 12,345 de la calle Insurgentes, colonia Nueva Esperanza, delegacin Venustiano
Carranza, Mxico, D.F., cdigo postal 32456 [. ..]
[...] en el pueblo de San Jacinto, vecino de la ciudad de Len, Guanajuato, en la casa marcada con el
nmero 54321 de la calle Rayn Mercado; entre las calles de corregidora y Mrtires de la Revolucin,
con cdigo postal 43212 [...]
Si es necesario, se debe anotar tambin el local fsico donde se lleva a cabo el levantamiento del acta
testimonial.
[ ... ] en el edificio principal, segundo piso, donde se encuentra el centro de cmputo [...]
1.3. Participantes en el Levantamiento del Acta Testimonial
Despus de anotar la fecha, hora, lugar y el local en donde se lleva a cabo el levantamiento del acta
constitutiva, el siguiente paso es anotar el nombre completo, cargo o puesto, ttulos y dems
identificaciones de cada uno de los participantes en el evento sealado; si es necesario, tambin se
consigna el documento con el que se identifica cada uno de los participantes.
No hay ningn orden especifico para hacer la relacin de participantes, ni por jerarqua, ni por
representatividad, ni por orden alfabtico, ni por algn otro criterio; lo nico importante es que estn
anotados todos y cada uno de los participantes en el levantamiento del acta. No debe haber
observadores ni visitantes que participen en el levantamiento del acta sin que sean anotados. Por
ejemplo:
[ ... ] Se reunieron el M.C.E. Carlos Muoz Raza, gerente auditor de sistemas de la empresa Auditores
de Sistemas Computacionales, responsable de realizar la auditora; el licenciado Jos Manuel Snchez
Prez, director general de Practicantes, S.A., en representacin de la institucin auditada; el Sr. Jos
Fidelio Snchez Pedriza, representante sindical de la empresa, y ni Sr. Noel Antonio Carranza
Contreras, responsable de la operacin del equipo de computo adscrito al rea de sistema de la
empresa [ ... ]
1.4. Descripcin de los Hechos
sta es la parte medular del acta testimonial, ya que aqu se Hace la relatora de cada uno de los
eventos y acciones que dieron(o dan) motivo a la realizacin del acto; por esta razn, para que sea
vlida este documento, se debe hacer una descripcin detallada, lo mas descriptiva posible, de todos y
cada uno de los acontecimientos que se suscitaron durante el levantamiento de este documento. Esta
resea se debe hacer con todo lujo de detalles, anotando en orden cada participacin, as como el
nombre de quien habla y sus aportaciones. Asimismo, en la redaccin del acta se deben anotar todos
11

los incidentes del caso, las descripciones concretas de hechos y eventos, los acontecimientos relevantes
e irrelevantes, y en s todos los detalles que aporta cada uno de los participantes en el levantamiento del
acta testimonial.
Para que esta acta sea totalmente vlida, es indispensable registrar correctamente cada una de las
participaciones tal y como fueron expuestas. Tambin se deben anotar las palabras altisonantes,
incongruentes, aclaraciones y dems aspectos que se presenten durante esta diligencia, sin limitar,
modificar ni omitir nada de lo que se diga.
Esta parte del acta testimonial culmina cuando todos los participantes hayan hecho sus declaraciones
sobre los acontecimientos que motivaron el acta; es indispensable que todos los anotados en el acta
participen. Si algn integrante no participa o declina hacer declaraciones, entonces se anota su nombre
y el motivo por el cual no quiso hacer declaraciones. Es indispensable anotar las declaraciones de todos
los participantes en el acto. No se debe omitir uno solo, aunque no opine nada. Por ejemplo:
[]El M.C.E Carlos Muoz Razo, responsable de la auditoria de sistema, manifiesta que encontr
software de dudosa procedencia instalado en la maquina asignada al Sr. Juan Snchez, ubicada en el
rea de contabilidad, de la cual la empresa tampoco tiene la licencia correspondiente ni autorizacin de
alguna para su uso. Despus de realizar las aclaraciones pertinentes, y al encontrar documentos legal ni
la autorizacin de algn superior para instalar el software en esa mquina, se considera que dicho
software es pirata. Por esta razn, se procedi a levantar la presente acta administrativa, a fin de
deslindar responsabilidades sobre este acontecimiento. El Sr. Juan Snchez declara []
1.5. Cierre de los Testimonios
Una vez que todos los participantes en el levantamiento del acta hicieron sus declaraciones, se procede
a hacer el cierre de los testimonios. Por ejemplo:
[...] Al interrogar sobre mas aportaciones y no haber ms declaraciones sobre este caso, de comn
acuerdo con los participantes se procede al cierre de los testimonios [...]
[...] Concluyendo con las declaraciones de quienes participan en el levantamiento de esta acta, y no
habiendo objecin por parte de ninguno de los presentes, se procede al cierre de los testimonio.

1.6. Lectura del Acta Testimonial

Despus de haber concluido los pasos anteriores, el encargado de levantar el acta, de viva voz, debe
leer el contenido total de la misma, sin omitir nada; incluso debe leer los errores ortogrficos,
deficiencias de redaccin o cualquier otra incorreccin. Una vez terminada la primera lectura, si es
necesario se procede a una nueva lectura; tantas veces como sea necesario.
1.7. Aclaraciones y Correcciones
Despus de leer el acta, se procede el cierre de la misma, si es que no existe alguna aclaracin sobre lo
plasmado; si existen objeciones, aclaraciones y correcciones, se procede a realizar las aclaraciones y
correcciones necesarias, siguiendo los mismos pasos de la descripcin de hechos. Se anota el nombre
de quien hace la aclaracin; as como la aclaracin completa y sin ninguna alteracin. Si es necesario,
se utilizan los mismos conceptos de los prrafos que sern modificados.
Esta parte del acta queda terminada hasta que ya no exista ninguna aclaracin o correccin, y hasta que
stas hayan sido ledas. Por ejemplo:
12

[... ] en la parte que dice: "en la maquina asignada al Sr. Juan Snchez, ubicada en el rea de
contabilidad." debe, decir: "en la mquina asignada al Sr. Juan Snchez, responsable del rea contable,
ubicada en el rea de contabilidad [...]
Para hacer las modificaciones del acta, el secretario puede tomar la opinin de cada uno de los
participantes sobre los formatos y modelos que sern utilizados para anotar las aclaraciones o dudas; en
el ejemplo se utilizan cursivas para indicar que se van a hacer cambios y se subraya el prrafo que se va
a corregir.
1.8. Lugar, Fecha y Hora del Cierre del Acta
Despus de hacer las aclaraciones pertinentes, se tiene que establecer el cierre definitivo del acta
testimonial, por lo cual se procede anotar el lugar de cierre, as como la fecha y hora exactas en las
cuales se da por terminada la diligencia.
1.9. Firma de Asistentes
Una vez concluidos los pasos sealados anteriormente, entonces se procede a obtener la firma
autgrafa de todos los participantes en el levantamiento del acta; para ello se anotan, en cualquier
orden, y al calce del documento, el nombre, ttulo, puesto y cargo de cada uno de los asistentes a la
diligencia.
Despus, cada uno de los participantes tiene que firmar no slo al calce del documento sino en los
costados de cada una de las hojas y copias utilizadas en el acta.
En caso de que, por cualquier motivo, alguno de los presentes se negara a firmar estos documentos, se
anota el hecho al final del acta, estableciendo los motivos de la negativa. Es necesario que algunos de
los presentes firmen como testigos de la negativa.
El contenido puede variar dependiendo de las partes en que se divida el acta testimonial, pero los
puntos mencionados anteriormente son el contenido mnimo que debe tener este documento para que
sea vlido como acta testimonial. Es recomendable elaborar este documento con la asesora de un
abogado, con el fin de que su contenido y redaccin sean los correctos.

2. Requisitos para Elaborar el Acta Testimonial

As como fue necesario sealar el contenido mnimo que debe tener una acta testimonial tambin es
necesario indicar los requisitos, que se deben cumplir para elaborarla, la mayora de tipo legal, a fin de
que lo que se asiente en dicho documento sea totalmente vlido.
Para esto, slo indicaremos los procedimientos mnimos que, de acuerdo con la experiencia de este
autor, se tienen que utilizar para no invalidar este documento. Es recomendable que un abogado est
presente para determinar estos requerimientos con exactitud.
2.1. Procedimiento para Convocar a la Elaboracin del Acta Testimonial
El primer requisito para elaborar este documento es hacer, de preferencia por escrito y a cada uno de
los participantes, la convocatoria para este acto protocolario, ya sea mediante citatorios, memorando o
cualquier otro medio.
Este requisito es fundamental para evitar problemas posteriores que puedan invalidar la legitimidad de
este documento, y el responsable de la auditora debe elegir el mtodo para convocar a los
13

participantes, de acuerdo con su criterio. Lo nico no vlido es que sea de carcter coercitivo ni por
cualquier otro medio ilegal.
En una auditora de sistemas computacionales no es difcil hacer esta convocatoria, ya que es una
prctica comn para recabar informacin til para la evaluacin; a menos que se trate de supuestos
delitos, en cuyo caso el levantamiento del acta tomar otro curso legal, para lo cual es recomendable
asesorarse de abogados para proceder conforme al derecho vigente.
2.2. Determinar a los Responsables de Elaborar el Acta
Tambin es requisito obligatorio elegir a los responsables de conducir el levantamiento del acta
testimonial, ya sea por votacin o por jerarqua; tambin se puede elegir a alguien que pueda asentar los
datos en forma mecanografiada. Concretamente se requiere de los siguientes puestos:
-

Responsable de la Conduccin

Ser el encargado de conducir el levantamiento del acta con la suficiente autoridad para vigilar que se
realice en forma correcta; adems, ser el responsable de revisar la redaccin del acta, dictar los
acuerdos y establecer el orden de participacin y limitar las intervenciones. Es preferible que algn
miembro con jerarqua en la empresa presida este acto, a fin de imponer la autoridad requerida para
mantener el orden en las intervenciones. Todo de comn acuerdo con los integrantes del acto.
-

Secretario

Esta persona ser la encargada de mecanografiar todas las partes de que conste el acta y las
participaciones de cada uno de los miembros que participen en el acto. Es preferible que sea alguien
familiarizado con la mecanografa, ya que es casi indispensable que el documento sea elaborado a
mquina. Tambin se puede elaborar en forma manuscrita, pero sera slo como una excepcin y bajo
circunstancias muy especiales.
-

Vocal

Aunque no es indispensable, s es recomendado que al menos dos personas de las que participen en el
acto funjan como vocales, a fin de que asesoren sobre aspectos especficos que se presenten durante el
desarrollo de este acto, o para dar fe de posibles acuerdos entre el grupo.
2.3. Determinar el Formato del Acta Testimonial
Otro de los requisitos fundamentales es que los participantes del acto acuerden el formato que ser
utilizado para la elaboracin del acta testimonial; esto se puede convenir previamente, sin ningn tipo
de limitacin, salvo el contenido mnimo del documento y la forma de regular las intervenciones, los
acuerdos y todos los dems detalles del caso.
2.4. Completar Todos los Renglones
Para que el acta sea vlida, es un requisito obligatorio, incluso muy conveniente, que todos los reglones
que contengan informacin estn complementados con algn carcter similar despus del punto. Esto
14

se hace cuando el rengln no ha sido llenado completamente, y tiene el mero propsito de evitar que se
agregue algn otro comentario despus del punto. Es recomendable que el rengln sea llenado con
guiones (----) o con equis minsculas (xxxx) o maysculas (XXXXX) o con cualquier otro carcter,
siempre y cuando sea el mismo en toda el acta.
Adems, es indispensable que todo el documento sea redactado a rengln seguido, as como agregar
caracteres suficientes, los mismos que se utilizan para completar los renglones, para indicar que es el
final del documento.
[ ] El M.C.E. Carlos Muoz Razo, responsable de la auditora de sistemas, manifiesta que encontr
software de dudosa procedencia instalado en la mquina asignada al Sr. Juan Snchez, ubicada en el
rea de contabilidad, de la cual la empresa tampoco tiene la licencia correspondiente.
----------------------------------------Despus de realizar las aclaraciones pertinentes y al no encontrar documentacin legal ni la
autorizacin de algn superior para instalar el software en esa mquina, se considera que dicho
software es pirata. Por esta razn, se procedi a levantar la presente acta administrativa, a fin de
deslindar
responsabilidades
sobre
este
acontecimiento.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
3. Tipos de Actas Testimoniales para una Auditoria de Sistemas Computacionales.

Existen muchos documentos que pueden ser clasificados como actas testimoniales entre estos tenemos:
3.1. Acta de Entrega-Recepcin de Puesto
Esta acta se elabora con la finalidad de hacer la entrega de un puesto por quien lo transfiere a un nuevo
titular o a alguien temporal. Dicha entrega incluye todos los activos del puesto, as como las funciones
y actividades que se estn realizado, los proyectos, responsabilidades y todos los aspectos inherentes al
desempeo de la funciones de quien antes las tena y del que ahora ocupa el puesto.
Por regla general, esta entrega-recepcin se hace con la participacin de quien lo entrega y de quien lo
recibe y, preferiblemente, con la asistencia de un auditor o de algn funcionario de la empresa para
avalar dicha entrega.
3.2. Acta de Carcter Disciplinario
Este documento se elabora para asentar por escrito alguna desviacin, incidencia o medida disciplinaria
que repercuta en el desarrollo normal de las funciones y actividades de un puesto. Por lo general se
realiza en el mbito operativo contando con la participacin del responsable del rea donde se presenta
la incidencia, el (los) empleado(s) involucrado(s), su representante sindical, si es necesario, y de algn
representante del rea de personal. El auditor tambin puede participar para avalar el acto.
3.3. Acta por Incumplimiento de Actividades
Aunque es muy similar a la anterior, debido a que puede ser producto de alguna incidencia
disciplinaria, es preferible levantar esta acta testimonial por incumplimiento, ya que puede llegar a
consecuencias que repercutan en la operacin normal de la empresa y en sus activos; por eso es
recomendable asentar el hecho lo ms claramente posible y con lujo de detalles.
Adems, con el levantamiento de esta acta se pueden deslindar responsabilidades y, en su caso,
fincarlas hacia alguien en especial.
15

3.4. Acta de Liberacin de Sistemas

En la operacin cotidiana de sistemas computacionales, la entrega y liberacin de un sistema se realiza
mediante algn documento de carcter oficial, mismo que se elabora con la participacin del
representante del rea de sistemas que lo 'entrega y el representarte del rea que lo recibe; sin embargo,
lo ms aconsejable es que esta entrega y liberacin del sistema se haga por medio de algn acta
testimonial, con todos los requisitos indicados anteriormente, a fin de que sea ms formal.
3.5. Acta por Faltantes de Activos
Cuando se sospecha o se sabe de algn faltante en los activos de la empresa, es indispensable levantar
un acta testimonial, con el propsito de testificar la desaparicin del bien, deslindar y fincar
responsabilidades y dejar la constancia del hecho para que sea investigado posteriormente. En el
levantamiento de esta acta participan el responsable del bien, quien tiene el resguardo del mismo, el
responsable del rea, los testigos, si es que los hay, y alguna persona que de fe del faltante, que puede
ser el auditor o algn funcionario de la empresa. Si existiera la sospecha de alguien en especial, esa
persona tambin tiene que participar en el evento; aunque no es muy fcil lograr esto.
En el caso concreto de la auditora de sistemas computacionales, cuando el auditor sospecha que falta
algn activo, o sabe que ste es sustrado, debe proceder a levantar el acta testimonial del caso despus
de realizar las averiguaciones correspondientes. El propsito es protocolizar y asentar el hecho
detectado e iniciar las diligencias correspondientes. Adems, le servirn de sustento para su informe de
auditora.
3.6. Acta por Existencia de Software Pirata en la Empresa
Cuando el auditor encuentra o sospecha de la existencia de software no autorizado o del cual,
aparentemente, hacen falta las licencias correspondientes, es su deber levantar el acta testimonial
correspondiente, a fin de establecer las causas de ese ilcito y, en su caso, proceder a deslindar
responsabilidades.
En este acto deben participar el propio auditor, el responsable del sistema en donde se localiz dicho
software y el responsable del rea, con el propsito de efectuar, la testificacin que el caso requiera.
El responsable del rea puede realizar esta misma accin cuando detecte la existencia de software
pirata.
3.7. Acta de Alteracin de Programas e Instrucciones del Sistema
Si el auditor observa desviaciones, alteraciones o modificaciones no autorizadas en las instrucciones;
lenguajes, cdigos, bases de datos y/o rutinas de programacin de algn software institucional,
independientemente de la repercusin que tenga para el propio sistema, es indispensable que levante el
acta testimonial correspondiente, con el propsito de establecer las causas, reales y aparentes, las
repercusiones y posibles alteraciones que sufran los sistemas, o para asentar las justificaciones de quien
hizo las modificaciones y la respectiva autorizacin.
En este acto deben participar el propio auditor, el responsable del sistema en donde se localizaron las
modificaciones del software, el programador y el responsable del rea, con el propsito de efectuar la
testificacin que el caso requiere.
Esta misma acta se puede levantar cuando se detecten desviaciones en el manejo de la informacin
utilizada en el sistema computacional.
16

3.8. Acta por Resultados de Siniestros y Catstrofes

Cuando ha ocurrido un siniestro que repercute en el funcionamiento de los sistemas,
independientemente de su magnitud, por rutina se debe levantar el acta testimonial correspondiente, ya
que se deben asentar las repercusiones que sufrieron los sistemas por este percance; mas aun cuando se
trata de las bases de datos que pudieron verse afectadas por el siniestro. Tambin se debe incluir en el
acta la reanudacin de las actividades normales y las modificaciones y correcciones realizadas para
subsanar las posibles repercusiones.
En este acto es indispensable la participacin del auditor, ya que debe asentar, con lujo de detalles,
todas las incidencias del caso y las repercusiones que hayan sufrido los sistemas, as como la
reanudacin de las operaciones normales del sistema.
3.9. Acta administrativa por Deficiencias en el Trabajo
Es poco frecuente, pero llegan a darse casos en los que se tienen que levantar actas testimoniales por
deficiencias en el desarrollo del trabajo normal de un empleado o, incluso, de toda un rea de trabajo;
entonces, para asentar esto, el auditor debe levantar el acta correspondiente, describiendo
detalladamente las situaciones que se presentan para fundamentar la deficiencia del trabajo, ya sean por
negligencia, descuido, accidente, dolo, mala fe o por cualquier otra deficiencia de parte de quienes
realizan el trabajo.
En este documento se debe sealar, si posible, en qu consiste esa deficiencia, las pruebas, si es que las
hay y las repercusiones que esto trae consigo, con todos los detalles que sean necesarios para
evidenciar los acontecimientos.
Evidentemente, el auditor tiene que participar en el acto as como el responsable del rea y el o los
trabajadores involucrados y si es necesario, los representantes del sindicato y de la empresa.

3.10.

Acta Administrativa por Acumulacin de Faltas

Aunque esta acta testimonial es un documento elaborado casi exclusivamente en el rea de recursos
humanos de las empresas, tambin se puede dar el caso que se tenga que elaborar en el rea de sistemas
por el nmero de faltas injustificadas que acumula un trabajador durante 30 das hbiles.
El levantamiento de esta acta consiste en testimoniar la acumulacin de faltas no justificadas de un
trabajador, con objeto de establecer alguna sancin de acuerdo con la Ley Federal del Trabajo. En estos
casos debern estar presentes el auditor, el representante sindical de la empresa, el responsable de
recursos humanos y el propio trabajador.
Debido a lo serio de las sanciones a las que se puede hacer acreedor l, es necesario asentar las causas
de las faltas conforme a lo sealado en la Ley Federal del Trabajo.

Matriz de Evaluacin

La matriz de evaluacin es uno de los documentos de recopilacin ms verstiles y de mayor utilidad

para el auditor de sistemas computacionales, debido a que por medio de este documento es posible
recopilar una gran cantidad de informacin relacionada con la actividad, operacin o funcin que se
realiza en estas reas informticas, as apreciar anticipadamente el cumplimientos de dichas
actividades. Esta herramienta consiste en una matriz de seis columnas, de las cuales la primera
corresponde a la descripcin del aspecto que ser evaluado y las otras cinco a un criterio de calificacin
17

descendente (o ascendente), en las que se anotan los criterios de evaluacin para accesar a esa
calificacin.
Explicacin de la matriz de Evaluacin:
En la primera columna se describe, lo ms explcitamente posible, el concepto que ser
evaluado, detallndolo de tal manera que no haya ninguna duda sobre lo que se va a calificar.
En la siguiente columna (10 Excelente) se describe el criterio por el cual el concepto es
calificado con la ms alta puntuacin. Aqu se anota la ms alta calificacin por el
cumplimiento excepcional del concepto evaluado.
En la siguiente columna (9 Bueno) se describe el criterio como por el cual el concepto es
calificado como bueno. Aqu el cumplimiento es bueno, pero en menor escala que en la
columna anterior.
En la siguiente columna (8 Suficiente) se describe el criterio por el cual el concepto apenas
alcanza la calificacin mnima necesaria. Aqu el cumplimiento del concepto apenas llega al
mnimo necesario para satisfacer lo que se califica.
En la siguiente columna (7 Regular) se describe el criterio por el cual es concepto es calificado
como mediano o regular. Aqu el cumplimiento del punto evaluado es francamente regular o
mediocre.
En la ltima columna (6 Deficiente) se describe el criterio por el cual el concepto es calificado
como insuficiente o psimo. Aqu el cumplimiento del punto evaluado es francamente psimo,
ms que mediocre o simplemente no se cumple.
Esta matriz de evaluacin es un documento muy til para el auditor de sistemas, debido a que le
permite realizar cualquier tipo de valoracin acerca del cumplimiento de una funcin especfica de la
administracin del centro de computo, ya sea en la verificacin de una serie de actividades de cualquier
funcin del rea de sistema, del sistema computacional, del desarrollo de proyectos informticos, del
servicio a los usuarios del sistema o de muchas otras actividades exclusivas del rea del sistema de la
empresa; adems tiene la gran ventaja de poder valorar dicho cumplimiento con varios criterios que
van desde lo excelente hasta lo psimo.
A continuacin presentamos los siguientes criterios para la elaboracin de parmetros de evaluacin de
este tipo de matriz:
Excelente: Es cuando se califica con un 10, el 100% o la cifra considerada como el mximo
posible que se puede alcanzar. Esta calificacin se utiliza cuando el desarrollo del trabajo, el
cumplimiento de las funciones, el servicio o cualquier otro se cumple con la mayor calidad y
excelencia posibles.
Bueno: En este punto se califica con un 9, el 90% o la cifra considerada como la siguiente en
la escala. Esta calificacin se utiliza cuando el desarrollo del trabajo es altamente satisfactorio,
pero existe algunos aspectos menores que impiden su total cumplimiento, ya sea de las
funciones, al otorgar el servicio o en cualquier otro aspecto.
Suficiente: En este punto se califica con un 8, el 80%o la cifra considerada como la escuela
normal o la equivalente a esta. Esta calificacin se utiliza cuando el cumplimiento en el
desarrollo del trabajo es satisfactorio, pero se considera como el mnimo necesario para
ejecutar lo encomendado.
Regular: En este punto se califica con un 7, el 70% o la cifra considerada como la mnima
aceptable. Esta calificacin se utiliza cuando el desarrollo del trabajo es francamente
deficiente.
Deficiente: En este punto se califica con un 6, el 60% o la cifra considerada como la escala
menor aceptable. Esta calificacin se utiliza cuando el desarrollo del trabajo es francamente
deficiente y queda dentro de un rango muy por debajo de lo mnimo aceptable para realizar la
tarea recomendada.
18

Matriz DOFA

La matriz DOFA tambin conocida como matriz FODA, este es un mtodo moderno de anlisis y
diagnostico administrativo de gran utilidad para la evaluacin de un centro de computo , debido a que
no solo permite recopilar informacin ms verstil, sino que admite evaluar el desempeo de los
sistemas computacionales; as mismo, por medio de este documento se puede tener una apreciacin
preliminar sobre las fortaleza y debilidades del propio centro de informacin de la empresa, y se
pueden analizar sus posibles amenazas y reas de oportunidad con dicho anlisis, el auditor evala el
cumplimiento de la misin y objetivo general del rea de sistema computacionales de la empresa.
Es una herramienta utilizada para la formulacin y evaluacin de estrategia. Generalmente es utilizada
para empresas, pero igualmente puede aplicarse a personas, pases, etc.
Su nombre proviene de las siglas: Debilidades, Oportunidades, Fortalezas y Amenazas.
Fortalezas y debilidades son factores internos a la empresa, que crean o destruyen valor. Incluyen los
recursos, activos, habilidades, etc.
Oportunidades y amenazas son factores externos, y como tales estn fuera del control de la empresa. Se
incluyen en estos la competencia, la demografa, economa, poltica, factores sociales, legales o
culturales.
El proceso de crear una matriz DOFA es muy sencillo: en cada una de los cuatro cuadrantes, se hace
una lista de factores. Seguidamente, se les puede asignar un peso o ranking, segn las prioridades de la
empresa o ente que se evala.
Aunque la matriz DOFA resultante es atractiva y simple de entender, los expertos estiman que lo ms
valioso y revelador de la herramienta es el propio proceso de anlisis para llegar hasta all.
La sencillez e intuitividad del anlisis DOFA lo ha vuelto muy popular en empresas, gobiernos,
departamentos, pases, etc. Sin embargo, no deja de tener sus crticos. La principal crtica, es su
dependencia en juicios subjetivos, y falta de argumentos objetivos (medidas concretas, valores
numricos).
La matriz DOFA es un acrnico de Debilidades, Oportunidades, Fortalezas y Amenazas de la empresa,
las cuales se estudian cada una por separado en cuanto a su presencia interna y a la influencia que la
empresa recibe del exterior, y conforme a los siguientes criterios:
Factores Internos:
Misin, Visin y Objetivo
Factor Humano
Cultura empresarial
Estrategias
Bienes y Servicios
Estructura de Organizacin
Idiosincrasia
Fisiologa de Calidad
Finanzas y Economa
Factores Externos:
Ambiente local
Ambiente Regional
Ambiente Nacional
Ambiente Internacional
19

Tcnicas Especiales de Auditora de Sistemas Computacionales.

Guas De Evaluacin:
Es la herramienta ms utilizada y quiz la mas importante en cualquier auditoria de sistemas
computacionales
Documento formal que indica el procedimiento de evaluacin que debe seguir el auditor.
En este documento tambin se anotan la forma en la que cada uno de los puntos, aspectos
concretos y reas que sern evaluados y como deben ser analizados.
En las guas de evaluacin se indican las tcnicas, herramientas y procedimientos que deben ser
utilizados en la auditora de sistemas computacionales.
Mediante este documento el auditor puede hacer el seguimiento paso a paso de todos los
procedimientos para evaluar los puntos que tenga que evaluar.
La utilidad de este documento estar determinada por la calidad, contenido y profundidad de los
aspectos que abarque.

Fi
gura. Ejemplo de formato de gua de evaluacin
Debido a la importancia y gran utilidad de esta gua para una auditoria de sistemas computacionales, a
continuacin se presenta un anlisis de su contenido:
Encabezado:
Cualquier documento de auditoria de sistemas computacionales debe contener invariablemente
una identificacin en la cual se indique, como mnimo, los siguientes puntos:
Empresa responsable de realizar la auditora: aqu van impresos el logo tipo y nombre de la
empresa responsable de realizar la auditora y costumbres sobre este aspecto.
Nombre de la empresa y rea de sistemas auditada: aqu se anotan el nombre de la empresa y el
nombre completo del rea de sistemas auditada.
Fecha: aqu se nota la fecha en que se iniciar la auditora. Es preferible anotarla en formato de
da, mes y ao.
Hoja: para llevar el orden adecuado, es necesario numerar las hojas con el formato nmero de
hoja y el total de las mismas; as el auditor responsable de la recisin puede llevar el control numrico
de la gua.
20

Referencia: para un control adecuado del contenido de la gua, es muy conveniente asignar un
nmero continuo, nemotcnico o de referencia, para sealar el punto a que se refiere la evaluacin.
Esto permite hacer un seguimiento adecuado de los puntos que van a ser evaluados y ayuda a establecer
los procedimientos que se deben utilizar en caso de contratar desviaciones en algn punto.
Actividad que ser evaluada: se anotan, lo ms claro y detallado posible, los puntos que el
auditor debe analizar, explicndolo especficamente cada uno de los aspectos, actividades, funciones o
puntos que sern evaluados.
Procedimiento de auditora: de acuerdo con lo anotado en las actividades que sern evaluadas,
en esta columna se anotan los procedimientos a seguir para realizar la evaluacin. En esta parte se
especifican los procesos, pasos y dems instrucciones que servirn de gua para evaluar lo especificado
en la columna anterior; se pueden anotar tantos procedimientos como sean necesarios durante la
evaluacin.
Herramientas que sern utilizadas: de acuerdo con el contenido de las columnas anteriores, en
esta columna se anotan las herramientas, tcnicas, procedimientos o instrumentos que sern utilizados
en la evaluacin. Es costumbre detallar el contenido concreto de estas herramientas, y se pueden anotar
tantas herramientas como sean necesarias para la evaluacin.
Observaciones: se podra dar el caso de que hubiera necesidad de hacer aclaraciones; entonces
se puede utilizar esta columna para realizarlas, de acuerdo con el punto evaluado.

Figura. Ejemplo de gua de evaluacin

Ponderacin:
Es una tcnica especial de evaluacin que da un peso especfico a cada una de las partes que sern
evaluadas. Busca equilibrar las posibles descompensaciones que existen entre las reas o sistemas
computacionales.
Para realizar esta ponderacin de las reas, se debe:
Definir las reas y puntos de sistemas que sern auditados.
Que de acuerdo con la planeacin de la auditora, el primer paso es definir las reas, los aspectos de
sistemas o los puntos de inters que se van a evaluar, dndole un peso especfico a cada factor; el
auditor establece ese peso a su libre albedro, y de acuerdo su experiencia, habilidad y conocimientos
sobre el tema.
21

 Definir el peso de la ponderacin por las reas y puntos que sern evaluados
Una vez que fueron definidas las reas, tpicos o aspectos que sern ponderados, el siguiente paso
es asignarle un valor porcentual a cada uno de los factores elegidos, el cual, es un valor particular que
establece el auditor para cada una de las actividades que sern evaluadas de acuerdo a su libre albedro.
Se registran las calificaciones adjudicadas para cada una de las actividades propuestas
Luego de definir las ponderaciones a cada actividad, se le asigna su respectiva calificacin.
Posteriormente, con esos resultados se obtienen los puntos alcanzados para cada actividad y para el
total por cada factor primario. Esto permite comparar los resultados con los valores establecidos
inicialmente para cada actividad y emitir un juicio sobre su cumplimiento.
Ya asentadas esas calificaciones, el auditor hace el clculo del porcentaje de puntos obtenidos por
cada actividad, el cual ser el resultado de multiplicar el valor del peso ponderado por la calificacin
obtenida. El resultado, en decimales, es el valor porcentual del grado de cumplimiento de cada
actividad. Al final, el auditor obtiene el promedio aritmtico.
Anlisis de los resultados y valorar el grado de cumplimiento de cada una de las
actividades
El responsable de la auditora debe realizar un anlisis profundo sobre cada uno de los resultados y
valorar el grado de complimiento de cada una de las actividades. Se recomienda adoptar un criterio
uniforme para calificar de la misma manera todos los puntos evaluados.
Una vez obtenidas las calificaciones, promedios y sumas de cada uno de los factores, se
comparan los resultados de cada factor con su peso especfico. El propsito es que el auditor tenga un
criterio numrico mediante el cual pueda tener los parmetros para comparar el grado de cumplimiento
alcanzado por cada factor con el grado de cumplimiento esperado.

Modelos de Simulacin

Esta herramienta es una de las ms utilizadas para el anlisis y diseo de sistemas, pero tambin
puede ser de mucha utilidad para la auditora de sistemas computacionales, ya que mediante el uso de
un modelo, conceptual o fsico, se simula el comportamiento de un sistema computacional, de un
programa, de una base de datos, de una operacin, actividad, entre otros.
La importancia de la simulacin est en que se pueden hacer pruebas controladas o libres que
permiten hacer una buena evaluacin al sistema, sin la necesidad de alterar el funcionamiento del
sistema original y con estos resultados se puede obtener informacin valiosa para emitir conclusiones.
En el caso concreto de auditora de sistemas computacionales, la simulacin es la elaboracin
de modelos, conceptuales o fsicos, muy similares a los sistemas institucionales de las empresas;
inclusive pueden ser los mismos que stas utilizan actualmente. Muchos se prueban con base de datos
ficticias
Simulacin a travs de modelos de metodologa de sistemas

Ciclo de vida de los sistemas.

Metodologa de kendall & kendall.
Fases del desarrollo, segn James Martn.
Ciclo de vida de los sistemas, segn Yourdon.
22

 Anlisis y diseo, segn Jackson.

Las fases de un proyecto para Merice.
Metodologa SSADM.
Ciclo De Vida De Los Sistemas
El ciclo de vida de un sistema de informacin es un enfoque por fases del anlisis y diseo que
sostiene que los sistemas son desarrollados de mejor manera mediante el uso de un ciclo especfico de
actividades del analista y del usuario.
Segn James Senn, existen tres estrategias para el desarrollo de sistemas: el mtodo clsico del
ciclo de vida de desarrollo de sistemas, el mtodo de desarrollo por anlisis estructurado y el mtodo de
construccin de prototipos de sistemas. Cada una de estas estrategias tiene un uso amplio en cada una
de los diversos tipos de empresas que existen, y resultan efectivas si son aplicadas de manera adecuada.
CICLO DE VIDA CLSICO DEL DESARROLLO DE SISTEMAS.
El mtodo de ciclo de vida para el desarrollo de sistemas es el conjunto de actividades que los
analistas, diseadores y usuarios realizan para desarrollar e implantar un sistema de informacin. El
mtodo del ciclo de vida para el desarrollo de sistemas consta de 6 fases:
1. Investigacin Preliminar: La solicitud para recibir ayuda de un sistema de informacin puede
originarse por varias razones: sin importar cuales sean estas, el proceso se inicia siempre con la
peticin de una persona.
2. Determinacin de los requerimientos del sistema: El aspecto fundamental del anlisis de
sistemas es comprender todas las facetas importantes de la parte de la empresa que se encuentra bajo
estudio. Los analistas, al trabajar con los empleados y administradores, deben estudiar los procesos de
una empresa para dar respuesta a las siguientes preguntas clave:
Qu es lo que hace?
Cmo se hace?
Con que frecuencia se presenta?
Qu tan grande es el volumen de transacciones o decisiones?
Cul es el grado de eficiencia con el que se efectan las tareas?
Existe algn problema? Qu tan serio es? Cul es la causa que lo origina?
Diseo del sistema: El diseo de un sistema de informacin produce los detalles que establecen
la forma en la que el sistema cumplir con los requerimientos identificados durante la fase de anlisis.
Los especialistas en sistemas se refieren, con frecuencia, a esta etapa como diseo lgico en contraste
con la del desarrollo del software, a la que denominan diseo fsico.
Desarrollo del software: Los encargados de desarrollar software pueden instalar software
comprobando a terceros o escribir programas diseados a la medida del solicitante. La eleccin
depende del costo de cada alternativa, del tiempo disponible para escribir el software y de la
disponibilidad de los programadores.
Por lo general, los programadores que trabajan en las grandes organizaciones pertenecen a un grupo
permanente de profesionales.
Prueba de sistemas: Durante la prueba de sistemas, el sistema se emplea de manera
experimental para asegurarse de que el software no tenga fallas, es decir, que funciona de acuerdo con
las especificaciones y en la forma en que los usuarios esperan que lo haga.
23

Se alimentan como entradas conjunto de datos de prueba para su procesamiento y despus se examinan
los resultados.
Implantacin y evaluacin: La implantacin es el proceso de verificar e instalar nuevo equipo,
entrenar a los usuarios, instalar la aplicacin y construir todos los archivos de datos necesarios para
utilizarla. Una vez instaladas, las aplicaciones se emplean durante muchos aos. Sin embargo, las
organizaciones y los usuarios cambian con el paso del tiempo, incluso el ambiente es diferente con el
paso de las semanas y los meses.
Por consiguiente, es indudable que debe darse mantenimiento a las aplicaciones. La evaluacin de un
sistema se lleva a cabo para identificar puntos dbiles y fuertes. La evaluacin ocurre a lo largo de
cualquiera de las siguientes dimensiones:

Evaluacin operacional: Valoracin de la forma en que funciona el sistema, incluyendo su

facilidad de uso, tiempo de respuesta, lo adecuado de los formatos de informacin,
confiabilidad global y nivel de utilizacin.

Impacto organizacional: Identificacin y medicin de los beneficios para la organizacin en

reas tales como finanzas, eficiencia operacional e impacto competitivo. Tambin se incluye el
impacto sobre el flujo de informacin externo e interno.

Opinin de los administradores: evaluacin de las actividades de directivos y administradores

dentro de la organizacin as como de los usuarios finales.

Desempeo del desarrollo: La evaluacin de proceso de desarrollo de acuerdo con criterios

tales como tiempo y esfuerzo de desarrollo, concuerdan con presupuestos y estndares, y otros
criterios de administracin de proyectos. Tambin se incluye la valoracin de los mtodos y
herramientas utilizados en el desarrollo.

MTODO DE DESARROLLO POR ANLISIS ESTRUCTURADO.

Muchos especialistas en sistemas de informacin reconocen la dificultad de comprender de manera
completa sistemas grandes y complejos. El mtodo de desarrollo del anlisis estructurado tiene como
finalidad superar esta dificultad por medio de:
La divisin del sistema en componentes
La construccin de un modelo del sistema.
El anlisis estructurado se concentra en especificar lo que se requiere que haga el sistema o la
aplicacin. Permite que las personas observen los elementos lgicos (lo que har el sistema) separados
de los componentes fsicos (computadora, terminales, sistemas de almacenamiento, etc.). Despus de
esto se puede desarrollar un diseo fsico eficiente para la situacin donde ser utilizado.
El anlisis estructurado es un mtodo para el anlisis de sistemas manuales o automatizados, que
conduce al desarrollo de especificaciones para sistemas nuevos o para efectuar modificaciones a los ya
existentes. ste anlisis permite al analista conocer un sistema o proceso en una forma lgica y
manejable al mismo tiempo que proporciona la base para asegurar que no se omite ningn detalle
pertinente.
24

Componentes
Smbolos grficos: Iconos y convenciones para identificar y describir los componentes de un
sistema junto con las relaciones entre estos componentes.
Diccionario de datos: descripcin de todos los datos usados en el sistema. Puede ser manual o
automatizado.
Descripciones de procesos y procedimientos: declaraciones formales que usan tcnicas y
lenguajes que permiten a los analistas describir actividades importantes que forman parte del sistema.
Reglas: estndares para describir y documentar el sistema en forma correcta y completa.
Diseo Estructurado.
El diseo Estructurado es otro elemento del Mtodo de Desarrollo por Anlisis Estructurado que
emplea la descripcin grfica, se enfoca en el desarrollo de especificaciones del software.
El objetivo del Diseo Estructurado es programas formados por mdulos independientes unos
de otros desde el punto de vista funcional.
La herramienta fundamental del Diseo Estructurado es el diagrama estructurado que es de
naturaleza grfica y evitan cualquier referencia relacionada con el hardware o detalles fsicos. Su
finalidad no es mostrar la lgica de los programas (que es la tarea de los diagramas de flujo).
Los Diagramas Estructurados describen la interaccin entre mdulos independientes junto con
los datos que un mdulo pasa a otro cuando interacciona con l.
Anlisis de flujo de datos.
Estudia el empleo de los datos para llevar a cabo procesos especficos de la empresa dentro del
mbito de una investigacin de sistemas usa los diagrama de flujos de datos y los diccionarios de datos.
Herramientas
Las herramientas muestran todas las caractersticas esenciales del sistema y la forma en que se
ajustan entre s, como es muy difcil entender todo un proceso de la empresa en forma verbal, las
herramientas ayudan a ilustrar los componentes esenciales de un sistema, junto con sus acciones.
Diagrama de flujo de datos
Es el modelo del sistema. Es la herramienta ms importante y la base sobre la cual se
desarrollan otros componentes.
El modelo original se detalla en diagramas de bajo nivel que muestran caractersticas
adicionales del sistema. Cada proceso puede desglosarse en diagramas de flujos de datos cada vez ms
detallados. Repitindose esta secuencia hasta que se obtienen suficientes detalles para que el analista
comprenda la parte del sistema que se encuentra bajo investigacin.
El diagrama fsico de datos da un panorama del sistema en uso, dependiente de la implantacin,
mostrando cuales tareas se hacen y como son hechas. Incluyen nombres de personas, nombres o
nmeros de formato y documento, nombres de departamentos, archivos maestro y de transacciones,
equipo y dispositivos utilizados, ubicaciones, nombres de procedimientos.
El diagrama lgico de datos da un panorama del sistema, pero a diferencia del fsico es
independiente de la implantacin, que se centra en el flujo de datos entre los procesos, sin considerar
los dispositivos especficos y la localizacin de los almacenes de datos o personas en el sistema. Sin
indicarse las caractersticas fsicas.
Notaciones: son cuatro smbolos, que fueron desarrollados y promovidos la mismo tiempo por
dos organizaciones: Yourdon y Gane y Sarson.
Flujo de datos: son movimientos de datos en una determinada direccin, desde un origen hasta
un destino. Es un paquete de datos.
25

MTODO DEL PROTOTIPO DE SISTEMAS.

La construccin de prototipos representa una estrategia de desarrollo, cuando no es posible
determinar todos los requerimientos del usuario. Es por ello que incluye el desarrollo interactivo o en
continua evolucin, donde el usuario participa de forma directa en el proceso.
Este mtodo contiene condiciones nicas de aplicacin, en donde los encargados del desarrollo
tienen poca experiencia o informacin, o donde los costos y riesgos de que se cometa un error pueden
ser altos.
As mismo este mtodo resulta til para probar la facilidad del sistema e identificar los
requerimientos del usuario, evaluar el diseo de un sistema o examinar el uso de una aplicacin. El
mtodo del prototipo de sistemas consta de 5 etapas:
Identificacin de requerimientos conocidos: La determinacin de los requerimientos de una
aplicacin es tan importante para el mtodo de desarrollo de prototipos como lo es para el ciclo de
desarrollo de sistemas o anlisis estructurado. Por consiguiente, antes de crear un prototipo, los
analistas y usuario deben de trabajar juntos para identificar los requerimientos conocidos que tienen
que satisfacer.
Desarrollo de un modelo de trabajo: Es fcil comenzar el proceso de construccin del prototipo
con el desarrollo de un plan general que permita a los usuarios conocer lo que se espera de ellas y del
proceso de desarrollo. Un cronograma para el inicio y el fin de la primera interaccin es de gran ayuda.
En el desarrollo del prototipo se preparan los siguientes componentes:
A. El lenguaje para el dialogo o conversacin entre el usuario y el sistema.
B. Pantallas y formatos para la entrada de datos.
C. Mdulos esenciales de procesamiento.
D. Salida del sistema
Utilizacin del prototipo: Es responsabilidad del usuario trabajar con el prototipo y evaluar sus
caractersticas y operacin. La experiencia del sistema bajo condiciones reales permite obtener la
familiaridad indispensable para determinar los cambios o mejoras que sean necesarios, as como las
caractersticas inadecuadas
Revisin del prototipo: Durante la evaluacin los analistas de sistemas desean capturar
informacin sobre los que les gusta y lo que les desagrada a los usuarios.
Repeticin del proceso las veces que sea necesarias: El proceso antes descrito se repite varias
veces, el proceso finaliza cuando los usuarios y analistas estn de acuerdo en que el sistema ha
evolucionado lo suficiente como para incluir todas las caractersticas necesarias.
Metodologa de Kendall & Kendall.
Consta de siete partes: siendo la primera la identificacin del problema, la segunda
identificacin de requisitos de informacin, la tercera es el anlisis de las necesidades del sistema, la
cuarta es el diseo del sistema recomendado, la quinta desarrollo y documentacin del sistema, la sexta
prueba y mantenimiento y la ltima implementacin y evaluacin.
Fases de un proyecto para Merice.
Lopez-Fuenzalida cita cuatro etapas para el desarrollo de proyectos informticos:
Etapa 1: estudio preliminar.
Fase 1: recogida de datos.
Fase 2: concepcin de la nueva solucin.
26

Fase 3: evaluacin y plan de desarrollo de las fases.

Etapa 2: Estudio detallado
Fase 1: concepcin general.
Fase 2: concepcin detalla de fases.
Fase 3: plan de desarrollo
Etapa 3: Realizacin
Fase 1: estudio tcnico
Fase 2: produccin
Etapa 4: Puesta en marcha
Fase 1: Preparacin de recursos
Fase 2: Recepcin y lanzamiento de sistemas
Metodologa SSADM
SSADM significa Mtodo De Anlisis Y Diseo Estructurado De Sistemas. Esta metodologa
contiene una estructuracin jerrquica de fases, tal como se indica en el siguiente esquema.

Figura. Esquema de estructuracin jerrquica.

A su vez estos puntos se contemplan dentro de las siguientes fases:
Fase 1: Estudio de viabilidad.
Etapa 01: Definicin del problema.
Etapa 02: identificacin del proyecto.
Fase 2: Anlisis
Etapa 01: Anlisis del sistema actual.
Etapa 02: Especificacin de requerimientos.
Etapa 03: Seleccin de opciones tcnicas.
Fase 3: Diseo
Etapa 01: Diseo de datos
Etapa 02: Diseo de procesos
Etapa 03: Diseo fsico
Los aspectos claves de SSADM v 4 Son:

nfasis en los usuarios: sus requisitos y participacin.

Definicin del proceso de produccin: qu hacer, cundo y cmo.
Tres puntos de vista: datos, eventos, procesos.
Mxima flexibilidad en herramientas y tcnicas de implementacin.

27

SSADM proporciona un conjunto de procedimientos para llevar a cabo el anlisis y diseo, pero no
cubre aspectos como la planificacin estratgica ni entra en la construccin del cdigo.
Otras simulaciones son las siguientes:
Simulacin a travs de diagrama de flujo de sistemas.
Simulacin a travs del diseo de circuitos lgicos.
Simulacin A Travs De Otros Documentos Grficos
Modelos para la planeacin y control de proyectos:
Grafica de Gantt.
Mtodo de la ruta crtica.
Pert costo/tiempo
Project.
Graficas de proyecciones financieras.
Graficas de lneas de tiempo.
Tablas de decisiones.
rboles decisionales.
Modelos de simulacin de flujos de datos
Diagramas de flujo de datos, entidad/relacin, contexto, datos lgicos, datos fsicos, base de
datos, modelo de datos, HIPO, cdigos y Warnier-Orr. ++
Graficas Nassi-Shneiderman, estructuras de datos, configuracin de red, configuracin de sistemas
distribuidos y configuracin de equipos mayores.
Modelos de simulacin de diagramas administrativos
Organigramas.
Diagramas de mtodos y procedimientos.
Graficas de tiempos y movimientos.
Estudios ergonmicos.
Planos de distribucin de la planta.
Planos de instalaciones.
Planos de rutas de evaluacin.
Planos de configuracin de centros de cmputo.
Modelos de simulacin de por medio de graficas financieras y estadsticas:
Curvas de tendencias.
Graficas de Pie, horizontales, verticales, de rea, circulares y semicirculares.
Graficas de punto de equilibrio.
Otros modelos de simulacin:
Graficas de pantalla.
Planes de contingencia informtica.
Digitalizacin de imgenes.
Procesamiento de datos fsicos.

28

Evaluacin.

Es un proceso permanente y continuo de indagacin y valoracin de la planificacin, la

ejecucin y la finalizacin de los programas, Su finalidad es generar informacin, conocimientos y
aprendizaje dirigidos a alimentar la toma de decisiones oportunas y pertinentes para garantizar la
eficiencia, la eficacia y la calidad de los procesos, resultado e impactos de los programas, todo ello en
funcin del mejoramiento de las condiciones de vida de sus poblaciones beneficiarias.
La evaluacin no debe ser considerada como una accin de control o fiscalizacin, es un
proceso que permite a los distintos actores involucrados aprender y adquirir experiencia de lo
planificado y ejecutado para tomar decisiones que optimicen la gestin del programa o proyecto y
garanticen mejores resultados e impactos.
Esta tcnica se aplica fcilmente mediante los siguientes pasos y requiere de poco trabajo:
El establecimiento anticipado de ciertos parmetros o relaciones de carcter cualitativo.
Mediante distintas pruebas y herramientas de auditora se procede a recopilar la informacin y
se asigna un puntaje.
El valor obtenido en el paso anterior se compara con el valor esperado.
Despus de hacer la comparacin se sacan conclusiones para valorar el grado cumplimiento del
sistema que est siendo auditado.
Finalmente se procede a evaluar el informe sobre los resultados obtenidos.
Evaluacin de la Gestin Administrativa del rea de Sistemas
Evaluacin de la actividad administrativa:
La existencia y cumplimiento de los planes, programas y presupuestos.
La existencia, difusin y cumplimiento de los objetivos institucionales y que los objetivos.
La existencia, congruencia y apego a la estructura de organizacin del centro de cmputo.
La existencia y aplicacin del perfil de puestos para la seleccin y promocin del personal.
La forma en que funcionarios, empleados y usuarios del sistema ejercen la gestin directiva.
Las relaciones personales y de trabajo entre directivos, empleados y usuarios.
La suficiencia o carencia de recursos informticos y de personal.
La forma en que se planea, organiza, dirige y controla el desarrollo de proyectos informticos.
Evaluacin en cuanto a la gestin de los sistemas computacionales
La administracin y el control de proyectos informticos.
La administracin de las funciones, actividades y operaciones del centro de cmputo.
La existencia, difusin y aplicacin de las medidas y mtodos de seguridad y prevencin
informtica.
La existencia y cumplimiento de programas para la evaluacin y adquisicin del hardware.
La existencia y cumplimiento de programas para la evaluacin y adquisicin del software.
Evaluacin del equipo de cmputo
Evaluacin del diseo lgico del sistema.
La forma en que se lleva a cabo la configuracin del sistema, equipos, bases de datos y de los
archivos de informacin institucional.
Los componentes lgicos que corresponden a las caractersticas de funcionamiento de los
sistemas.
29

 Las caractersticas, protocolos y componentes lgicos de las comunicaciones y programas de

enlace entre los equipos de.
Que en la empresa existan y se apliquen las metodologas para el desarrollo y adquisicin de
sistemas computacionales.
La administracin de los mtodos de accesos, seguridad y operacin del sistema.
Evaluacin del diseo fsico del sistema
La forma en que se lleva a cabo la configuracin de los sistemas.
Si los componentes fsicos, perifricos, mobiliario y equipos del sistema.
Las caractersticas y peculiaridades de los sistemas. La forma en que se realizaron las
instalaciones elctricas, de comunicaciones y de datos.
La administracin de los mtodos de acceso, seguridad y proteccin fsicos del rea de sistemas.
Evaluacin del control de accesos y salidas de datos
Los estndares, medidas de seguridad y mtodos establecidos para la consulta de datos y salida
de informacin.
La existencia y cumplimiento de las especificaciones, estndares, medidas de seguridad y
mtodos de acceso.
La existencia y aplicacin de las normas, polticas y procedimientos para el control del acceso
de datos.
La administracin y control de los niveles de accesos de administradores, operadores y usuarios
del sistema.
Las medidas de seguridad y proteccin.
Evaluacin del control de procesamiento de datos
La existencia y aplicacin de los estndares para el procesamiento de datos.
La existencia y aplicacin de controles especficos para el procesamiento de datos.
La existencia y aplicacin de los procesos lgicos y procedimientos para la captura de datos.
El tiempo dedicado especficamente al funcionamiento de los sistemas.
El aprovechamiento de los sistemas computacionales.
Evaluacin de controles de almacenamiento
El diseo adecuado de los archivos, bases de datos y la forma en que se almacena la
informacin.
La administracin y control de archivos, programas e informacin.
Las formas y tipos de almacenamiento de informacin para los sistemas computacionales de la
empresa (disquetes, cintas, CD-Rs, sistemas DVDs, etc.).
La existencia y seguimiento de programas de respaldos de informacin.
La existencia y aplicacin de los planes y programas de prevencin contra contingencias
informticas.
Evaluacin de controles de seguridad
La existencia y aplicacin de las medidas de seguridad y proteccin del sistema, programas,
informacin, instalaciones, empleados, usuarios, equipos y mobiliarios.
La administracin y control de accesos lgicos al sistema, contraseas, privilegios en el manejo
de la informacin y software.
La existencia y funcionamiento de los sistemas de control de acceso fsicos.
30

 La existencia de salidas de emergencia, sealamiento de evacuacin.

Las medidas de seguridad, proteccin y erradicacin de virus informticos.
Las medidas de seguridad y proteccin establecidas para el manejo adecuado de la informacin
institucional.
La existencia de funcionarios responsables de la seguridad y proteccin de los bienes
informticos, informacin, personal y usuarios.
La existencia, difusin y actualizacin de los planes contra contingencias informticas.
La existencia y aplicacin peridica de simulacros de contingencias informticas.
Evaluacin de controles adicionales para la operacin del sistema.
La existencia, uso y actualizacin de todos los manuales e instructivos de operacin, del
sistema, de usuarios y procedimientos.
La existencia, uso y actualizacin de las metodologas y estndares institucionales para el
desarrollo de los sistemas.
La existencia, uso y actualizacin de los estndares de programacin y documentacin de
sistemas.
La existencia, uso y actualizacin de la estandarizacin de lenguajes, programas, paqueteras de
uso institucional.
Evaluacin de aspectos tcnicos del sistema
La administracin y control del sistema operativo del equipo de cmputo.
La administracin y control de los lenguajes de operacin, desarrollo y programacin de los
sistemas.
La administracin y control de sistemas de redes, multiusuarios y micro cmputo.
La administracin y control de sistemas de telecomunicacin y teleprocesamiento.
Evaluacin integral de sistemas
Evaluacin externa o interna integral de sistemas
La forma en que se realiza la gestin del sistema.
La existencia y apego a la estructura de organizacin del centro de cmputo.
La administracin y control de proyectos de desarrollo.
Evaluar globalmente la administracin y control de la operacin del sistema de captura de
almacenamiento de datos.
La administracin, adquisicin, aplicacin, aprovechamiento y control de los sistemas,
lenguajes operativos, programas y paqueteras de aplicacin y desarrollo.
Evaluacin con el apoyo de la computadora.
Evaluaciones exclusivamente al sistema computacional con apoyo de la computadora y aplicaciones.
El aprovechamiento y utilidad del hardware institucional, con el apoyo de los sistemas
computacionales.
La utilidad, rendimiento y explotacin del software institucional, con el apoyo de una
computadora.
Estadsticamente, y con el apoyo de los sistemas computacionales, los reportes de incidencias,
alteraciones y las repercusiones que tienes stas en los sistemas de seguridad de las reas de cmputo
de la empresa.
31

 Estadsticamente y con el apoyo de una computadora, el acceso, uso y aprovechamiento de las

telecomunicaciones.
Estadsticamente, y con el apoyo de una computadora, la productividad integral del
procesamiento de la informacin.
Evaluaciones en auditorias tradicionales con el apoyo de la computadora y aplicaciones.
Evaluar con el apoyo de:
Paqueteras de aplicacin administrativa.
Hojas electrnicas de trabajo.
Los paquetes contables de las empresas.
Diversas paqueteras.
Los sistemas computacionales.
Evaluaciones sin el uso de la computadora
El cumplimiento de las funciones y actividades administrativas del centro de cmputo.
La gestin financiera del centro de cmputo.
La operacin de los sistemas computacionales de la empresa.
La administracin y control de la realizacin de sistemas computacionales.
La documentacin de los sistemas computacionales de la empresa.
Evaluaciones de los controles en sistemas computacionales.
Evaluacin del control interno.
Sobre la organizacin del rea de sistemas:
Direccin.
Divisin del trabajo.
Separacin de funciones.
Asignacin de responsabilidades.
Perfiles de puesto.
Sobre el anlisis y desarrollo de sistemas.
La estandarizacin de metodologas para el desarrollo de los proyectos.
Asegurar que el beneficio de sistemas sea el ptimo.
Garantizar la eficiencia y la eficacia en el anlisis y diseo de sistemas.
Elaborar estudios de factibilidad del sistema.
Vigilar la efectividad y eficiencia en la implantacin y mantenimiento del sistema.
Sobre la operacin del sistema.
La prevencin y correccin de errores de operacin.
Prevenir y evitar la manipulacin fraudulenta de la informacin.
Implantar y mantener la seguridad en la operacin.
Mantener la confiabilidad, oportunidad, veracidad y suficiencia en la operacin y procesamiento
de la informacin.
Sobre procedimientos de entrada de datos, procesamiento de informacin y emisin de resultados.
Verificar la existencia y funcionamiento de procedimientos de captura de datos.
Controlar el procesamiento adecuado de todos los datos.
32

 Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos.

Comprobar la confiabilidad, veracidad y exactitud del procesamiento de datos.
Comprobar la suficiencia de la emisin de informacin.
Sobre la seguridad en el rea de sistemas.
Para prevenir y evitar las amenazas, riesgos y contingencias sobre las reas de sistemas.
La seguridad fsica del rea de sistemas.
Lgica de los sistemas.
De las bases de datos.
En la operacin de los sistemas computacionales.
Evaluaciones de otros aspectos de sistemas computacionales.
Evaluacin de los sistemas de redes.
De los sistemas de seguridad de proteccin del sistema de redes en sus programas.
De la administracin de y control de sistemas de red.
De la administracin y control de sistemas de telecomunicacin.
De la administracin y control de los sistemas de redes locales, MANs, WANs, Internet y
multiusuario.
De la administracin de los recursos informticos.
Diagramas del crculo de evaluacin.
Herramienta de apoyo para la evaluacin de los sistemas computacionales. Para valorar visualmente:
El comportamiento de los sistemas que estn siendo auditados.
Su cumplimiento
Sus limitaciones.
Durante las diferentes etapas:
Estudio Preliminar
Anlisis del Sistema
Diseo Conceptual
Diseo Detallado
Programacin
Pruebas
Implantacin.
Seguidamente se indican algunos aspectos comunes que pueden ser evaluados usando el
diagrama de circulo de evaluacin:
Seguridad en el rea de sistemas computacionales:
Acceso fsico al rea de sistemas.
Acceso, uso, mantenimiento y resguardo de las bases de datos.
Del personal informtico.
De las instalaciones del rea de sistemas.
Plan de contingencias.
Seguridad lgica del sistema.
Evaluacin administrativa del rea de sistemas.
33

 De la misin, visin, objetivos, estrategias, planes, programas, estructura de la organizacin,

perfil de puestos.
Evaluacin de la documentacin de sistemas, de la seguridad y la proteccin de los archivos
informticos, instalaciones.
Evaluacin de la capacitacin, adiestramiento y promocin del personal.
Evaluacin del desarrollo de proyectos informticos, estandarizacin de metodologas,
programas, equipos, sistemas, mobiliario.
Evaluacin de los sistemas computacionales
Diseo lgico, fsico del sistema computacional.
Controles de acceso y salida de datos, procesamientos de informacin, almacenamientos de
datos, seguridad, controles para la operacin del sistema, aspectos tcnicos del sistema.

Lista de verificacin (o lista de chequeo).

Instrumento que contiene criterios o indicadores a partir de los cuales se miden y evalan las
caractersticas del objeto, comprobando si cumple con los atributos establecidos.
La lista de verificacin se utiliza bsicamente en la prctica de la investigacin que forma parte
del proceso de evaluacin.
Existen ventajas y desventajas en la utilizacin de las listas de verificacin. Ello depende de
muchos factores, como por ejemplo:
Las necesidades del cliente,
Las restricciones de tiempo y costos,
La experiencia del auditor y
Los requisitos del esquema del sector.
Los auditores deberan evaluar el valor de la lista de verificacin como ayuda en el proceso de
auditora y considerar su utilizacin como una herramienta funcional.

Anlisis de la diagramacin de sistemas.

Unas de las principales herramientas para el anlisis y diseo de los sistemas computacionales.

El analista puede representar:

Los flujos de informacin, actividades, operaciones, procesos y otros aspectos que intervienen en el
desarrollo de los propios sistemas.
El programador puede visualizar el panorama especfico del sistema, para elaborar de manera ms
precisa la codificacin de instrucciones para el programa.
El auditor puede utilizar esta herramienta para el diseo de sistemas de diferentes formas en una
auditoria de sistemas, de acuerdo con su experiencia, conocimientos y habilidades, mismas que debe
canalizar en los siguientes sentidos:
Solicitar los diagramas del sistema.
Analizar el diagrama del sistema.
Elaborar un diagrama del sistema.
Verificar la documentacin de los sistemas a travs de sus diagramas.
Modelos de Sistemas
Graficas de anlisis
Flujo de datos
Entidad-Relacin
Graficas de diseo
Graficas de estructura
34

 Diccionario de Datos.
Diagrama de Contexto.
Diagrama Modular.
Diagrama de seguimiento de una auditoria de sistemas computacionales.
Esta herramienta informtica se aplica mediante un diagrama descriptivo del sistema, de tipo
secuencial descendente, con sangras significativas de izquierda a derecha.
Esta herramienta se usa tanto para la gestin informtica, para la seguridad del sistema, para los
componentes del sistema o para cualquier otro aspecto informtico en evaluacin.
(I)Primer aspecto de evaluacin.
(I-1) Componente uno del primer aspecto de evaluacin.
(I-1-A) integrante A del componente uno.
(I-1-B) integrante B del componente uno.
(I-2) Componente dos del primer aspecto de evaluacin.
(I-2-A) integrante A del componente uno.
(I-2-B) integrante B del componente uno.
(I-3) Componente tres del primer aspecto de evaluacin.
(I-3-A) integrante A del componente uno.
(I-3-B) integrante B del componente uno.
(II)Segundo aspecto de evaluacin.
.........
(III)Tercer aspecto de evaluacin.
Programas para revisin por computadora.
Esta tcnica es de las ms utilizadas en cualquier auditoria de sistemas computacionales, debido a
que permite revisar, desde la misma computadora y mediante un programa especfico, el
funcionamiento del sistema, de una base de datos, de un programa en especial o de alguna aplicacin
de inters.
Programas de revisin elaborados por desarrolladores.
Programas de revisin elaborados por el auditor.
Estos programas, SAP 1009 los define como programas de computador y datos que el auditor usa
como parte de los procedimientos de auditora para procesar datos de significancia en un sistema de
informacin.
SAP 1009 describe los procedimientos de auditora en que pueden ser usados las TAACs:
Pruebas de detalles de transacciones y balances (Reclculos de intereses, extraccin de ventas
por encima de cierto valor, etc.)
Procedimientos analticos, por ejemplo identificacin de inconsistencias o fluctuaciones
significativas.
Pruebas de controles generales, tales como configuraciones en sistemas operativos,
procedimientos de acceso al sistema, comparacin de cdigos y versiones,
Programas de muestreo para extractar datos.
Pruebas de control en aplicaciones.
35

 Reclculos.
Segn SAP1009, en su pargrafo 26:
"El software de auditora consiste en programas de computadora usados por el auditor, como parte de
sus procedimientos de auditora, para procesar datos de importancia de auditora del sistema de
contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un
propsito, programas de
utilera o programas de administracin del sistema. Independientemente de la fuente de los programas,
el auditor deber verificar su validez para fines de auditora antes de su uso".

SOFTWARE GENERAL DE AUDITORIA

SOFTWARE DE AUDITORIA A LA MEDIDA

Bibliografa
Kendall, K. & Kendall, J. (2005). Anlisis y Diseo de Sistemas de Informacin (6ta Ed.).
Mxico: Pearson Educacin.
Muoz, C (2002) Auditora en Sistemas Computacionales (1ra Ed.). Mxico: Pearson Educacin.
http://auditoriaupc.wikispaces.com/SEMANA+5-T%C3%A9cnicas+especiales+de+auditor
%C3%ADa+de+sistemas+computacionales
Consultado el 15/05/2013
36

http://yuddyreyes.blogspot.com/2010/03/cap-10-tecnicas-de-evaluacion.html Consultado el 10/05/2013

http://auditoriaupc.wikispaces.com/SEMANA4-T%C3%A9cnicas+de+evaluaci
%C3%B3n+aplicables+en+una+auditor%C3%ADa+de+sistemas+computacionales.
11/05/2013

Consultado

el

37