Muñoz Razo

Metodologa
para realizar
auditoras de
sistemas
computacionales
Estructura del captulo

6.1
6.2
6.3
6.4
6.5
Marco conceptual de la metodologa para realizar auditoras de

sistemas computacionales
Metodologa para realizar auditoras de sistemas computacionales
1 etapa: Planeacin de la auditora de sistemas computacionales
2 etapa: Ejecucin de la auditora de sistemas computacionales
3 etapa: Dictamen de la auditora de sistemas computacionales
179
180
Auditora en sistemas computacionales
Objetivos del captulo:

Proponer una metodologa especfica que puede ser aplicable a la realizacin de cualquier tipo
de auditora en el campo de los sistemas computacionales, con el propsito de mostrar una forma concreta de llevar a cabo la planeacin, seleccin de herramientas, desarrollo y presentacin de los resultados de estas auditoras, para que el lector pueda adoptar esta metodologa y
en su caso adaptarla a las necesidades concretas de revisin en su ambiente de sistemas.
Introduccin del captulo

Llevar a cabo una auditora de sistemas computacionales requiere una serie ordenada de acciones y procedimientos especficos, los cuales debern ser diseados previamente de manera secuencial, cronolgica y ordenada, de acuerdo
a las etapas, eventos y actividades que se requieran para su ejecucin, mismos
que sern establecidos conforme a las necesidades especiales de la institucin. Adems, estos procedimientos se deben adaptar de acuerdo al tipo de
auditora de sistemas que se vaya a realizar, y con estricto apego a las necesidades, tcnicas y mtodos de evaluacin del rea de sistematizacin.
Dichos mtodos debern seguirse tambin para la determinacin de las
herramientas e instrumentos de revisin que sern utilizados en la evaluacin.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Origen de la auditora
Visita preliminar
Establecer objetivos
Determinar los puntos que deben ser evaluados
Elaborar planes, presupuestos y programas
Seleccionar las herramientas, tcnicas, mtodos y procedimientos que
sern utilizados en la auditora
Asignar los recursos y sistemas para la auditora
Aplicar la auditora
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusin
Elaborar borrador final de desviaciones
Presentar el informe de auditora
Con base en lo anterior podemos entender la necesidad de establecer una

metodologa especfica de revisin, la cual nos permitir disear correctamente los pasos a seguir en la evaluacin de las reas de sistemas y actividades
elegidas, a fin de que el seguimiento, desarrollo y aplicacin de las etapas y
eventos propuestos para esa auditora sean ms sencillos. Dicha metodologa
181
Origen de auditora
Visita preliminar
Establecer objetivos
Determinar puntos a evaluar
Elaborar planes, presupuestos y programas
Identificar y seleccionar herramientas, mtodos,

tcnicas y procedimientos
Asignar los recursos de auditora y sistemas
Aplicar auditora
Indentificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusin
Elaborar borrador final de desviaciones
Presentar del informe de auditora
tambin nos servir para establecer las tcnicas, mtodos y procedimientos

adaptables a las caractersticas especiales de la auditora del rea especfica
de sistemas a evaluar, incluyendo los recursos humanos, tcnicos y materiales
necesarios para dicha revisin.
182
Esta metodologa tiene tres etapas fundamentales:

1 ETAPA: PLANEACIN DE LA AUDITORA DE SISTEMAS COMPUTACIONALES
2 ETAPA: EJECUCIN DE LA AUDITORA DE SISTEMAS COMPUTACIONALES
3 ETAPA: DICTAMEN DE LA AUDITORA DE SISTEMAS COMPUTACIONALES
Ms adelante analizaremos a profundidad cada una de estas etapas.
6.1
Marco conceptual de la metodologa para realizar

auditoras de sistemas computacionales
El primer paso para entender la metodologa propuesta para desarrollar una auditora
de sistemas computacionales (ASC), es identificar el marco terico sobre el cual se
fundamentan los conceptos que sern aplicables en dicha metodologa. stos sern
definidos a continuacin:
Mtodo:
Del griego: methodos, de meta, con y odos, va. Modo razonado de obrar y hablar [...]
Procedimiento, tcnica, teora, tratamiento, sistema [...] Modo de obrar habitual [...]
Marcha racional del espritu para llegar al conocimiento de la verdad [...] Obra que contiene, ordenados, los principales elementos de un arte o ciencia [...]1
Modo de realizar las cosas con orden. Procedimiento para hallar el conocimiento y ensearlo. Conjunto de normas, ejercicios, etc., para ensear o aprender algo.2
Manera de efectuar una operacin o una secuencia de operaciones.3
Modo prescrito para ejecutar una tarea o trabajo determinado, por el cual se pretende alcanzar un objetivo establecido. Procedimiento que generalmente se sigue en las
ciencias, por medio del cual se llega a un resultado vlido. Los mtodos fundamentales son: Analtico, sinttico, inductivo y deductivo.4
Metodologa:
Del griego Methodos, mtodo, y Logos, tratado. Ciencia que trata del mtodo [...]5
Estudio de los mtodos que se siguen en una investigacin, un conocimiento o una interpretacin.6
Descripcin secuencial de la manera de efectuar una operacin o serie de operaciones.7
Planeacin:
[...] es el proceso de decidir de antemano qu se har y de qu manera. Incluye determinar las misiones globales, identificar resultados claves y fijar objetivos especficos,
183
as como polticas de desarrollo, programas y procedimientos para alcanzarlos[...] La

planeacin tiene una implicacin futura, que se tiene cierta habilidad para el diseo de
planes a fin de lograr los objetivos [...]
Es el proceso de decidir de antemano qu se har y de qu manera se har. Incluye
determinar la misin global, identificar los resultados claves y fijar objetivos especficos,
as como polticas para el desarrollo, programas y procedimientos para alcanzarlos [...]8
Conjunto sistematizado de acciones que provienen de una estructura racional de anlisis que contiene los elementos informativos y de juicio suficientes y necesarios para
fijar prioridades, elegir entre alternativas, establecer objetivos y metas en el tiempo y
en el espacio, ordenar las acciones que permitan alcanzarlas con base en la asignacin
correcta de recursos. La coordinacin de esfuerzos y la imputacin precisa de responsabilidades que permitan controlar y evaluar sistemticamente los procedimientos,
avances y resultados para poder introducir con oportunidad los cambios necesarios.9
Plan:
El plan es un mtodo detallado, formulado de antemano, para hacer algo [...] Un plan
es un curso de accin predeterminado. Esencialmente, un plan tiene tres caractersticas. Primero, debe referirse al futuro. Segundo, debe sealar acciones. Tercero, existe
un elemento de identificacin o causalidad personal u organizacional [...] Los planes se
derivan de las decisiones y ofrecen informacin por adelantado para guiar el comportamiento subsecuente [...]10
Curso de accin basado en el anlisis de un problema, en el que hay que concretar
los puntos y las partes de una situacin dada, de tal suerte que sea factible ordenarlos
y lograr una solucin programada.11
Un plan es cualquier mtodo detallado, formulado de antemano para hacer algo.12
Es un instrumento diseado para alcanzar determinados objetivos, en que se definen,
en espacio, tiempo y los medios utilizables para su alcance, se contemplan en forma
ordenada, sistemtica y coherente las metas y polticas, as como los instrumentos y acciones que se utilizarn.13
Programa:
Conjunto estructurado de diversas actividades con un cierto grado de homogeneidad
respecto del producto o resultado final, al cual se le asignan recursos humanos, materiales y financieros con el fin de que produzca en un tiempo determinado bienes o servicios destinados a la satisfaccin total o parcial de los objetivos sealados a una
funcin dentro del marco de la planeacin.14
Son cursos de accin detallados que sealan los pasos especficos que habrn de realizarse para lograr los objetivos, indicando la secuencia cronolgica y los tiempos de
duracin de dichos pasos.15
184
Presupuesto:
Estimacin programada en forma sistemtica de los ingresos y egresos que maneja un
organismo en un periodo determinado; puede considerarse como un plan de accin
expresado en trminos monetarios y cuyo ejercicio abarca generalmente un ao de actividad.16
Evento:
Es la determinacin de acontecimientos que llevan fines especficos de transmisin de
ideas, de imgenes y sonidos, para un fin determinado.17
Suceso esperado al cual se debe llegar despus de una serie de actividades
Actividad:
Es el conjunto de operaciones ejecutadas o de actos desarrollados por una o varias
personas y que contribuyen al logro de una funcin.18
Una o ms tareas afines que forman parte de una funcin, y son ejecutadas por una
persona o unidad administrativa.19
Conjunto de acciones y movimientos de una persona o cosa [...] Ocupacin a la que
alguien se dedica [...]20
Tiempo:
Del latn Tempus, duracin de los fenmenos [...]
Duracin de las cosas sujetas a cambios. Sucesin continuada de momentos que
constituyen el devenir de lo existente. El existir de un mundo subordinado a un principio y un fin, en oposicin a la idea de eternidad [...] Periodo ms o menos largo [...]21
Polticas:
Criterio de accin que es elegido como gua en el proceso de toma de decisiones al
poner en prctica o ejecutar las estrategias, programas y proyectos especficos a nivel
institucional.22
Son esencialmente un principio o varios relacionados entre s con sus consiguientes
reglas de accin que condicionan y gobiernan al logro de un objetivo.23
Tarea:
Es la subdivisin del trabajo para concretizar una actividad.24
Plan de trabajo (grfica de Gantt):
Es la representacin grfica en la que se muestran las actividades que integran un proyecto, el periodo de tiempo necesario para realizar cada una de ellas y sus responsables as como los de cada actividad.25
185
Con base en el anlisis de estas definiciones podemos entender que para la realizacin de una auditora se debe llevar a cabo una serie ordenada de acciones, tareas y
procedimientos, los cuales sern utilizados conforme a un mtodo minucioso, previamente establecido, a fin de utilizar una serie de herramientas, mtodos e instrumentos
necesarios en la evaluacin del rea de sistemas.
6.2 Metodologa para realizar auditoras de sistemas

computacionales
Con el propsito de interpretar adecuadamente la aplicacin de esta me todologa
par a r ealizar auditoras de sis temas, la cual puede ser aplicable para cualquier
tipo de auditora dentro del campo de sistemas, a continuacin presentamos, en forma genrica, todas aquellas fases y pasos que se deben considerar en la planeacin de
la evaluacin. Inicialmente sealaremos, en tres grandes apartados, las principales etapas que nos servirn de gua para la realizacin de una evaluacin dentro del ambiente de sistemas computacionales.
Identificar el origen de la auditora
Realizar una visita preliminar al rea que ser evaluada
Establecer los objetivos de la auditora
Determinar los puntos que sern evaluados en la auditora
Elaborar planes, programas y presupuestos para realizar la auditora
Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditora
P.7 Asignar los recursos y sistemas computacionales para la auditora
P.1
P.2
P.3
P.4
P.5
P.6
2 etapa: Ejecucin de la auditora de sistemas computacionales

E.1
E.2
E.3
E.4
E.5
Realizar las acciones programadas para la auditora

Aplicar los instrumentos y herramientas para la auditora
Identificar y elaborar los documentos de desviaciones encontradas
Elaborar el dictamen preliminar y presentarlo a discusin
Integrar el legajo de papeles de trabajo de la auditora
3 etapa: Dictamen de la auditora de sistemas computacionales

D.1 Analizar la informacin y elaborar un informe de situaciones detectadas
D.2 Elaborar el dictamen final
D.3 Presentar el informe de auditora
186
6.3
1 etapa: Planeacin de la auditora de sistemas

computacionales
El primer paso para realizar una auditora en sistemas computacionales es definir las
actividades necesarias para su ejecucin, lo cual se lograr mediante una adecuada
planeacin de stas; es decir, se deben identificar claramente las razones por las que
se va a realizar la auditora y la determinacin del objetivo de la misma, as como el diseo de los mtodos, tcnicas y procedimientos necesarios para llevarla a cabo y para
preparar los documentos que servirn de apoyo para su ejecucin, culminando con la
elaboracin documental de los planes, programas y presupuestos para dicha auditora.
Concretamente, el responsable de la planeacin de esta primera etapa de la metodologa para realizar una auditora de sistemas computacionales deber iniciar con
el planteamiento de los siguientes interrogantes:
Por qu se realizar la auditora?
Se debe hacer una visita preliminar al rea de sistemas?
Cul es el objetivo que se pretende alcanzar con esta auditora?
Debido a que existen mltiples mtodos y tcnicas de planeacin, as como una
abundante literatura al respecto, a continuacin nicamente utilizaremos los principales
conceptos que fueron definidos en el inciso anterior y que, de alguna manera, intervienen en la planeacin de una auditora de sistemas computacionales, a fin de identificar
aquellos puntos que se pueden establecer como la base fundamental para definir las
etapas y eventos que sirvan para planear el desarrollo de la auditora. Esta fase de planeacin culmina con la elaboracin formal de planes, programas y presupuestos en documentos que sirven para consulta y control de las actividades de la revisin.
Iniciaremos nuestro estudio de esta etapa de planeacin con los siguientes puntos:*
P.1 Identificar el origen de la auditora
P.2 Realizar una visita preliminar al rea que ser evaluada
P.3 Establecer los objetivo de la auditora
P.4 Determinar los puntos que sern evaluados en la auditora
P.5 Elaborar planes, programas y presupuestos para realizar la auditora
P.6 Identificar y seleccionar los mtodos, procedimientos, instrumentos y herramientas necesarios para la auditora
* Para efectos de presentacin de esta metodologa, se utilizan las letras de cada etapa como la numeracin a utilizar; sin embargo, el lector puede emplear la numeracin que ms le convenga.
187
Cuadro de 1 etapa: Planeacin de la auditora de sistemas computacionales

Debido a la importancia de identificar cada uno de los puntos que integran esta primera etapa de la metodologa para la auditora de sistemas computacionales, a continuacin presentamos un cuadro completo de los principales puntos propuestos para
la planeacin de dicha auditora:
P.1 Identificar el origen de la auditora
P.1.1 Por solicitud expresa de procedencia interna
P.1.1.1
P.1.1.2
P.1.1.3
P.1.1.4
A peticin de accionistas, socios y dueos

Por orden de la direccin general
Por orden de las gerencias o departamentos a nivel superior
A solicitud de funcionarios y empleados de otros niveles
P.1.2 Por solicitud expresa de procedencia externa

P.1.2.1
P.1.2.2
P.1.2.3
P.1.2.4
P.1.2.5
P.1.2.6
P.1.2.7
Por mandato de autoridades judiciales

Por ordenamiento de las autoridades fiscales
Por revisiones de autoridades de seguridad social y del trabajo
Por revisiones de otras autoridades
Por solicitud de proveedores y acreedores
Por solicitud de distribuidores y desarrolladores de software y hardware
A peticin de empresas externas
P.1.3 Como consecuencia de emergencias y condiciones especiales

P.1.3.1 De incidencia interna
P.1.3.2 De incidencia externa
P.1.4 Por riesgos y contingencias informticas
P.1.4.1
P.1.4.2
P.1.4.3
P.1.4.4
P.1.4.5
P.1.4.6
Rriesgos y contingencias del personal informtico

Riesgos y contingencias fsicas
Riesgos y contingencias operativas (lgicas)
Riesgos y contingencias de software
Riesgos y contingencias en las bases de datos
Otros riesgos y contingencias en el rea de sistemas
P.1.5 Como resultado de los planes de contingencia

P.1.5.1 Por la carencia de planes de contingencia
P.1.5.2 Por la elaboracin de planes de contingencia
P.1.5.3 Por la aplicacin de los planes de contingencia
P.1.6 Por resultados obtenidos de otras auditoras
P.1.7 Como parte del programa integral de auditora
188
P.2 Realizar una visita preliminar al rea que ser evaluada

P.2.1 Visita preliminar de arranque
P.2.2 Contacto inicial con funcionarios y empleados del rea
P.2.3 Identificacin preliminar de la problemtica del rea de sistemas
P.2.4 Prever los objetivos iniciales de la auditora
P.2.5 Calcular los recursos y personas necesarias para la auditora
P.3 Establecer los objetivo de la auditora
P.3.1 Objetivo general
P.3.2 Objetivos particulares
P.3.3 Objetivos especficos de la auditora de sistemas computacionales
P.4 Determinar los puntos que sern evaluados en la auditora
P.4.1 Evaluacin de las funciones y actividades del personal del rea de sistemas
P.4.2 Evaluacin de las reas y unidades administrativas del centro de cmputo
P.4.3 Evaluacin de la seguridad de los sistemas de informacin
P.4.4 Evaluacin de la informacin, documentacin y registros de los sistemas
P.4.5 Evaluacin de los sistemas, equipos, instalaciones y componentes
P.4.5.1
P.4.5.2
P.4.5.3
P.4.5.4
P.4.5.5
P.4.5.6
Evaluacin de los recursos humanos del rea de sistemas

Evaluacin del hardware
Evaluacin del software
Evaluacin de la informacin y las bases de datos
Evaluacin de otros recursos informticos
Evaluacin de equipos, instalaciones y dems componentes
P.4.6 Elegir los tipos de auditora que sern utilizados

P.4.7 Determinar los recursos que sern utilizados en la auditora
P.4.7.1
P.4.7.2
P.4.7.3
P.4.7.4
P.4.7.5
P.4.7.6
Personal para la auditora de sistemas

Personal del rea que ser evaluada
Apoyo de los sistemas y equipos tcnicos e informticos
Apoyos materiales y administrativos
Otros apoyos
Recursos econmicos
P.5 Elaborar planes, programas y presupuestos para realizar la auditora

P.5.1 Elaborar el documento formal de los planes de trabajo para la auditora
P.5.1.1
P.5.1.2
P.5.1.3
P.5.1.4
Cartula de identificacin del plan de auditora

ndice de contenido
Definicin de objetivos
Delimitacin de estrategias para el desarrollo de la auditora
189
P.5.1.5 Planes de auditora

P.5.1.6 Definicin de normas, polticas y lineamientos para el desarrollo de la
auditora
P.5.2 Contenido de los planes para realizar la auditora
P.5.2.1
P.5.2.2
P.5.2.3
P.5.2.4
Definir los objetivos finales de la auditora

Establecer las estrategias para realizar la auditora
Disear las etapas, eventos y tareas en que se dividir la auditora
Calcular la duracin de las tareas y eventos para satisfacer los objetivos de la auditora
P.5.2.5 Distribuir los recursos que sern utilizados en las diferentes etapas,
actividades y tareas de la auditora
P.5.2.6 Confeccionar los planes concretos para la auditora
P.5.3 Elaborar el documento formal de los programas de auditora
P.5.3.1 Grfica del programa de actividades
P.5.3.2 Definicin de las etapas y eventos que se deben llevar a cabo
P.5.3.3 Definicin de las actividades y tareas
P.5.4 Elaborar los programas de actividades para realizar la auditora
P.5.4.1 Definir de manera precisa las etapas de la auditora
P.5.4.2 Identificar concretamente los eventos que se deben llevar a cabo en
cada etapa de la auditora
P.5.4.3 Delimitar lo ms claramente posible las actividades, tareas y acciones para cada evento
P.5.4.4 Distribuir los recursos que sern utilizados en las diferentes etapas,
eventos actividades y tareas
P.5.4.5 Calcular la duracin de las etapas, actividades y tareas planeadas para la auditora
P.5.4.6 Determinar fechas de inicio y fin de las etapas, actividades y tareas
P.5.5 Elaborar los presupuestos para la auditora
P.5.5.1 Asignacin de los costos de los recursos
P.5.5.2 Control de los costos de los recursos
P.5.5.3 Seguimiento y control de los planes, programas y presupuestos
P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditora
P.6.1 Establecer la gua de ponderacin de los puntos que sern evaluados
P.6.1.1 Definir las reas y puntos de sistemas que sern auditados
P.6.1.2 Definir el peso de la ponderacin por las reas y puntos que sern
evaluados
P.6.1.3 Realizar el documento de ponderacin de la auditora
190
P.6.2 Elaborar la gua de la auditora

P.6.2.1 Determinar las reas y puntos concretos que sern evaluados en el
ambiente de sistemas
P.6.2.2 Seleccionar los mtodos, procedimientos, herramientas e instrumentos de evaluacin
P.6.2.3 Elaborar el documento formal de la gua de evaluacin
P.6.3 Elaborar los documentos necesarios para la auditora
P.6.3.1 Disear los instrumentos de recopilacin de informacin para la auditora
P.6.3.2 Disear los cuestionarios
P.6.3.3 Disear las guas para realizar entrevistas
P.6.3.4 Disear los formularios para encuestas
P.6.3.5 Disear los modelos y formatos para los inventarios del rea de sistemas
P.6.3.6 Disear los mtodos e instrumentos de muestreo
P.6.3.7 Disear los instrumentos especiales de evaluacin de sistemas
P.6.3.8 Determinar los puntos que sern evaluados con pruebas
P.6.3.9 Disear las pruebas para la evaluacin
P.6.3.10 Disear los instrumentos y herramientas para pruebas de evaluacin
P.6.4 Determinar herramientas, mtodos, y procedimientos para la auditora de
sistemas
P.6.4.1 Disear las herramientas e instrumentos que sern utilizados en la
evaluacin
P.6.4.2 Establecer los mtodos y procedimientos que sern utilizados en la
auditora
P.6.4.3 Determinar las tcnicas y procesos especficos que sern utilizados
en la auditora
P.6.4.4 Elaborar los documentos formales para los procedimientos, mtodos,
herramientas e instrumentos que sern utilizados en la auditora
P.6.5 Disear los sistemas, programas y mtodos de pruebas para la auditora
P.6.5.1 Determinar los puntos de inters, programas, bases de datos,
archivos y sistemas que sern evaluados mediante programas y pruebas de cmputo
P.6.5.2 Disear las pruebas, programas y sistemas para realizar las evaluaciones necesarias para el funcionamiento de los sistemas computacionales, bases de datos y archivos
P.6.5.3 Aplicar y obtener los resultados de las pruebas, programas y sistemas
para realizar las evaluaciones necesarias
191
P.6.5.4 Disear, aplicar y evaluar los resultados de los programas, mtodos y

pruebas de simulacin al sistema
P.6.5.5 Disear otros instrumentos de recopilacin
P.6.5.6 Elaborar otros documentos de revisin
P.7.1 Asignar los recursos humanos para la realizacin de la auditora
P.7.2 Asignar los recursos informticos y tecnolgicos para la realizacin de la auditora
P.7.3 Asignar los recursos materiales y de consumo para la realizacin de la auditora
P.7.4 Asignar los dems recursos para la realizacin de la auditora
A continuacin se presenta el desglose detallado de cada uno de los puntos antes
sealados, a fin de hacer ms clara su aplicacin en la planeacin de la auditora.
6.3.1 P.1 Identificar el origen de la auditora

El primer paso formal para iniciar la planeacin de una auditora en el rea de sistemas es identificar el origen de la auditora; es decir, lo primero es saber por qu surge
la necesidad o inquietud de realizar una auditora. Para esto nos debemos preguntar
de dnde?, por qu?, quin? o para qu se requiere hacer la evaluacin de algn
aspecto de sistemas de la empresa.
Para el responsable de realizar la planeacin de la auditora de sistemas es de suma importancia identificar el origen de la auditora, debido a que adems de proporcionarle los elementos necesarios para hacer una buena planeacin de la revisin,
tambin le ayuda a definir los elementos de juicio que contribuirn a normar su criterio de evaluacin. Adems, conociendo el origen de la auditora, el auditor tambin
puede definir la manera de enfocar la revisin.
Tambin puede saber de antemano cules sern los aspectos primordiales en la
evaluacin; es decir, puede saber cules sern los asuntos ms relevantes sobre los
que deber trabajar, a fin de satisfacer lo que se espera de la auditora de sistemas.
Dentro de este punto de la auditora de sistemas encontramos estas posibles causas:
Por solicitud expresa de procedencia interna
Por solicitud expresa de procedencia externa
Como consecuencia de emergencias y condiciones especiales
Por riesgos y contingencias informticas
Como resultado de los planes de contingencia
Por resultados obtenidos de otras auditoras
Como parte del programa integral de auditora
A continuacin analizaremos con mayor detalle cada uno de estos aspectos.
192
P.1.1 Por solicitud expresa de procedencia interna

Podemos decir que ste es un origen oficial sobre la necesidad de realizar una auditora al rea de sistemas de la empresa, debido a que surge de una peticin formal de alguien que pertenece a la empresa. Con esta solicitud se marca el requisito formal para
poder llevar a cabo una evaluacin en el rea de sistemas.
Esta peticin de revisin a los sistemas de la empresa puede obedecer a muchas
causas y generalmente se encomienda a un auditor externo, ya sea a una empresa, despacho o profesionista independiente que no tiene ninguna relacin laboral con la empresa o, segn la estructura y necesidades de la evaluacin, se puede encomendar a los
mismos empleados de la institucin, si es que sta cuenta con una rea de auditora.
Concretamente, de esta peticin podemos identificar los siguientes orgenes internos:
P.1.1.1 A peticin de accionistas, socios y dueos

ste es el ms comn de los orgenes de una auditora, incluso de sistemas computacionales, debido a que la solicitud es formulada (ordenada) por los dueos de la empresa, sean accionistas, socios o dueos nicos, con el propsito de saber cmo se
administra su patrimonio, cmo se utilizan los recursos de su empresa, cul es el rendimiento de su patrimonio, si no existen fugas, malos usos o cualquier otro aspecto que
interesa a los dueos de la empresa. En el caso de los sistemas, la solicitud de auditora va enfocada hacia el aprovechamiento de los recursos del rea de sistematizacin
de la empresa. Este origen tambin puede ser requerido por el consejo de accionistas.
La mayora de las veces estas revisiones se encargan a auditores externos, sean
empresas, profesionistas o despachos independientes, siempre y cuando sean ajenos
a la empresa, con el propsito de contar con un criterio ms objetivo, imparcial y profesional sobre el aprovechamiento de los sistemas computacionales. En contados casos, esta auditora tambin se realiza de manera interna, ya sea como parte de la
evaluacin total de la empresa, por revisin especial de algn aspecto de sistemas, para medir el comportamiento y administracin del rea de sistemas o por cualquier otro
aspecto interno relacionado con los sistemas que les interesa evaluar a los poseedores
de la institucin.
En estos casos la solicitud de auditora se considera como una orden y se hace la
revisin casi por obligacin.
P.1.1.2 Por orden de la direccin general

Esta revisin se realiza por una orden directa de quien ejerce la mxima autoridad en la
empresa, pudiendo tener mltiples motivos, tales como una evaluacin peridica del
rea de sistemas, por desconfianza de la actuacin de los dirigentes del rea, para verificar el cumplimiento de sus actividades, para verificar el aprovechamiento de los sistemas computacionales de la institucin o por algn otro motivo. Lo singular de esto es
193
que se ordena la auditora e invariablemente se tiene que realizar. Lo deseable es que

el responsable de la planeacin de la auditora pueda averiguar previamente los verdaderos motivos de sta, para enfocar su revisin hacia la satisfaccin de dichos motivos.
P.1.1.3 Por orden de las gerencias o departamentos a nivel superior

Esta auditora se origina por una peticin de las gerencias y departamentos de mando
superior de la empresa, segn sus caractersticas, estructura de organizacin y funciones que desempean para la misma; en estos casos, por alguna razn laboral vlida,
estos funcionarios demandan la realizacin de una auditora al rea de sistemas computacionales de la empresa, misma que puede o no realizarse; todo depender del tipo de demanda de auditora que se realice, de la importancia que tendr su realizacin
y de los niveles de autoridad que afecten la realizacin de dicha auditora.
P.1.1.4 A solicitud de funcionarios y empleados de otros niveles

El origen de esta auditora es algo irregular y poco usual en las empresas, ya que la solicitud de la auditora parte de los niveles ms bajo de la jerarqua institucional y, segn las polticas y procedimientos de la empresa, para que esta solicitud sea atendida,
en muchos de los casos se tienen que seguir los canales formales de comunicacin y
autorizacin establecidos en la empresa.
Es muy frecuente que para autorizar la realizacin de esta evaluacin, sta tiene
que ser analizada por los mandos intermedios o superiores de la empresa, y si existe
algn motivo real y vlido que justifique su ejecucin, entonces se llevar a cabo. Aunque por lo general, esta evaluacin no procede por el nivel de donde proviene la peticin; pero si fuera el caso, sera muy importante averiguar los verdaderos motivos de
esta solicitud.
P.1.2 Por solicitud expresa de procedencia externa

Podemos decir que ste es otro origen oficial sobre la necesidad de realizar una auditora al rea de sistemas en la empresa, debido a que surge de una peticin formal de
alguien ajeno a la empresa, a quien, por alguna causa, le interesa que sean auditados
los sistemas computacionales de sta.
Este tipo de solicitud puede ser obligatorio si es por mandato expreso de alguna
autoridad, o bien a voluntad de la empresa si alguien ajeno a sta solicita la auditora
por tener algn vnculo leve o amplio con ella; en estos casos, la empresa no tiene la
obligacin de acatar estas solicitudes de auditoras. Estos casos se clasifican de la siguiente manera:
P.1.2.1 Por mandato de autoridades judiciales

Este origen es el ms comn y siempre se deriva de un mandato de las autoridades judiciales, quienes por algn motivo solicitan (imponen) la realizacin de una auditora a
194
la empresa; esta auditora puede tener varios orgenes especficos: como resultado de
alguna auditora anterior, a peticin de algn tercero, por la suposicin de un delito o
por cualquier otro motivo. En el caso concreto de los sistemas computacionales, stos
son algunos de los orgenes ms comunes:
Casi siempre es por la sospecha de piratera
Por una suposicin de carencia de licencias para uso de software
Por presuncin de utilizacin indebida del mismo software o de la informacin
de los sistemas
Por sospecha de un supuesto delito de carcter informtico
Es indispensable aclarar que, por lo menos en Mxico, las auditoras obligatorias
de carcter legal a los sistemas computacionales solamente se pueden realizar mediante una orden judicial; pero, en este caso, en dicho mandato se deben aclarar perfectamente los aspectos especficos de los sistemas computacionales que se tienen
que evaluar, hasta dnde ser su alcance, cules aspectos de sistemas se pueden auditar y cules no, y si la auditora deber ser de tipo interno o externo, entre muchos
casos, pero todos en funcin al tipo de mandato judicial que sea impuesto.
P.1.2.2 Por ordenamiento de las autoridades fiscales

ste es uno de los orgenes ms importantes de una auditora externa y es cuando las
autoridades fiscales solicitan (imponen) la realizacin de una auditora; por lo general
sta es de tipo externo, realizada por una empresa, despacho o auditor independiente, y casi siempre est enfocada a revisar la informacin de tipo impositivo que se procesa en los sistemas computacionales de la empresa.
Para el caso concreto de sistemas, estas auditoras por lo general son de tipo externo y se derivan de algn mandato de carcter fiscal, en el cual se deben aclarar especficamente todos los aspectos que se requieren evaluar. Aunque debemos aclarar
que estas auditoras solamente se practican con el propsito de revisar la informacin
sistematizada de la empresa, ya que en la mayora de los casos solamente se realizan
para verificar el funcionamiento del sistema en el mbito contable, el correcto y oportuno clculo de impuestos o los resultados financieros y obligaciones impositivas similares que se manejan en los sistemas de la empresa.
Aunque estas auditoras tambin pueden realizarse ocasionalmente para verificar
las licencias de uso del software y la paquetera institucional, con el fin de evitar la piratera informtica o para algn aspecto similar de los sistemas computacionales.
Cabe aclarar que estas solicitudes de auditora solamente pueden ser obligatorias
cuando son por un mandato de las autoridades fiscales (formalizado por oficio); de otra
manera difcilmente pueden ser obligatorias, mucho menos cuando son por solicitud
de alguien que no cuente con la autoridad fiscal para ello.
195
P.1.2.3 Por revisiones de autoridades de seguridad social y del trabajo

Este tipo de solicitud de auditora, aunque tambin es de tipo impositivo, es de origen
muy especial, debido a que slo puede ser derivado de casos inesperados que afecten
a los trabajadores y patrones o por la sospecha de algn delito o irregularidad que repercuta en la seguridad social y la del trabajo. Se debe especificar, mediante mandato judicial, el tipo de auditora de sistemas computacionales que se solicite (imponga).
En la mayora de los casos, estas revisiones son similares a los aspectos contables
manejados anteriormente, ya sea porque se requiere de alguna revisin a los sistemas
de cmputo, en cuanto al manejo de la informacin relacionada con los aspectos contables, impositivos o de aquellos que estn relacionados con el manejo de las nminas, prestaciones y obligaciones de los trabajadores de la empresa. Esto puede llegar
a pasar, pero no es comn que suceda dentro del ambiente de sistemas.
En cualquier caso, se deben aclarar concretamente los aspectos que sern evaluados, as como los alcances y lmites de la auditora. De esta manera, el auditado puede exigir que no se vaya ms all de lo especificado en la auditora.
P.1.2.4 Por revisiones de otras autoridades

Seran muy escasas y poco probables las auditoras de sistemas solicitadas (ordenadas) por autoridades federales, estatales o municipales distintas a las sealadas anteriormente, debido a que en la legislacin mexicana no existen reglamentos, norma o
leyes que faculten a los representantes de estos poderes pblicos a que impongan la
realizacin de algn tipo de evaluacin en el ambiente de sistemas, cualquiera que sea
su origen o necesidad especfica.
Conviene destacar que actualmente, por lo menos en Mxico, ni los colegios de
profesionales, ni las universidades, ni las asociaciones, cmaras o gremios de cualquier
ndole, ni alguna otra instancia gubernamental o representativa de la sociedad estn
facultados para realizar u ordenar auditoras al rea de sistemas de una empresa sin la
autorizacin expresa de sta. Adems, tampoco existe autorizacin alguna para que, a
peticin de cualquiera de estas instancias, puedan ser auditados el software, hardware, equipos, instalaciones, informacin o cualquier otro aspecto informtico de una empresa, ya que esto es privado y nicamente le compete a la propia empresa.
En el supuesto caso de que se realizara alguna auditora en una empresa sin que mediara un mandato judicial, se incurrira en un delito sancionado por las leyes mexicanas.
P.1.2.5 Por solicitud de proveedores y acreedores

Actualmente no es difcil encontrar una solicitud de auditora de sistemas por parte de
los proveedores y acreedores de una empresa, pero no pasa de ser una solicitud, ya
que la empresa a la que se pretende auditar no est obligada a dar acceso a su informacin, ni a sus sistemas, ni a sus bases de datos.
196
Estas auditoras nicamente pueden realizarse con la autorizacin de la empresa y

slo bajo las condiciones y en los campos de sistemas en donde sta lo permita. La
nica excepcin es que los acreedores y/o proveedores turnen dicha peticin ante una
autoridad judicial de manera oficial y especfica; en caso de que dicha auditora fuera
aprobada, sta ya sera de carcter impositivo y las autoridades tendran que aplicarla
de manera externa.
P.1.2.6 Por solicitud de distribuidores y desarrolladores de software

y hardware
Este requerimiento es muy similar al caso anterior, debido a que cuando la solicitud de
auditora parte de los distribuidores y desarrolladores de hardware y software, la empresa tiene la facultad de acceder a realizarla o de negarse a ello, segn sus intereses
particulares, pero jams puede ser una auditora de carcter impositivo.
Una gran parte de estas solicitudes se origina por la suposicin de que existen delitos informticos relacionados con la piratera de software, presuncin de carencia de
licencias y/o desconfianza acerca del buen uso del hardware o de los sistemas de la
empresa. Sin embargo, aunque dichas sospechas estn bien fundadas, slo se podrn
auditar los sistemas de una empresa cuando sta lo permita, y jams por imposicin
de los distribuidores o desarrolladores. Esta auditora slo puede ser de carcter impositivo mediante una orden judicial; sin la mediacin de alguna autoridad, su realizacin sera un delito sancionable.
P.1.2.7 A peticin de empresas externas

Es igual a los casos anteriores, slo que esta auditora se realiza a peticin de una institucin ajena a la empresa;para este caso, dicha auditora solamente se puede llegar a
ejecutar si es la voluntad de la empresa, la cual tiene la facultad de rechazar la evaluacin o aceptar que sta se realice, especificando sus condiciones, alcances y lmites.
P.1.3 Como consecuencia de emergencias y condiciones especiales

Este tipo de auditoras se realiza cuando se presentan situaciones de
emergencia y condiciones extraordinarias en el rea de sistemas, las
cuales estn fuera de control y parmetros normales de operacin
en el centro de cmputo,en dichas situaciones, la auditora se realiza casi de inmediato y, en muchos casos, sin que
medie la autorizacin de funcionarios.
Tambin se realizan debido a la necesidad de medir y valorar las repercusiones que tuvieron esas emergencias
197
y/o condiciones especiales, ya que se tienen que evaluar el impacto y posibles daos a
las actividades y funciones del rea de sistemas de la empresa, los cuales pueden ser
desde leves problemas hasta verdaderas catstrofes.
Las auditoras que se realizan como resultado de una solicitud de cualquiera de los
anteriores puntos, tienen un origen muy particular y estn vinculadas con los aspectos
de seguridad y proteccin de los sistemas computacionales de la empresa. Concretamente, encontramos que los orgenes de estas auditoras pueden ser los siguientes:
P.1.3.1 De incidencia interna

Estas auditoras se realizan cuando se presenta alguna emergencia o incidencia de tipo
interno en el rea de sistemas, la cual repercute en alguno de sus recursos informticos,
ya sea en el personal o los usuarios, en el equipo de cmputo, la informacin, instalaciones o en algn otro elemento relacionado con el area de sistemas. Dicha contingencia interna puede ser causada por alguna negligencia, por sabotaje, piratera de
informacin o por algn otro elemento accidental ocurrido dentro de la propia rea que
pueda influir en el procesamiento de la informacin.
Evidentemente, al presentarse una emergencia interna, la peticin de la auditoria
de sistemas es de carcter interno y casi siempre se realiza inmediatamente e incluso,
en algunos casos, no tiene que existir tal solicitud sino que, por procedimiento interno,
la evaluacin de las repercusiones es inmediata o la auditora forma parte de un programa de emergencia en el rea de sistemas de la empresa.
P.1.3.2 De incidencia externa

Por lo general, esta solicitud de auditora se presenta por contingencias, emergencias
y/o incidencias de carcter externo que afectan al rea de informtica, ya sean ocasionadas por alguna otra rea de la empresa, por empresas ajenas o por algn otro agente externo que tenga o que no tenga contacto con la institucin.
Al presentarse las contingencias externas en la empresa, repercuten directamente en el rea de informtica, lo cual hace necesaria la realizacin de una auditora a
los sistemas. Tomemos como ejemplos las contingencias ocasionadas por virus informticos,
un temblor, una inundacin, etc. Al presentarse estos casos es necesario realizar, casi sin
requisitos y de inmediato, la evaluacin de
los daos sufridos en el rea de sistemas.
Dentro de este rubro tambin encontramos solicitudes de auditoras ocasionadas por aspectos externos que tienen repercusin interna, pero que al ser solicitudes de
auditoras por origen externo, tienen que ser autorizadas por los directivos del rea de
sistemas y, en muchas ocasiones, esto no ocurre de inmediato. Entre algunos ejemplos
198
encontramos la repercusin del avance tecnolgico de hardware y software en el funcionamiento de los sistemas de la empresa, ya que su afectacin puede ser mnima o
irrelevante para el sistema y se debe valorar la realizacin de una auditora, o por el
contrario, se requiere una auditora cuando el efecto es mayor.
P.1.4 Por riesgos y contingencias informticas

Es frecuente que funcionarios, personal o usuarios del rea de sistemas soliciten la realizacin de alguna auditora cuando ha ocurrido alguna contingencia que afecte el procesamiento de informacin en la empresa; aunque tambin puede suceder cuando
existe algn riesgo que pueda repercutir en las actividades y funciones del rea de sistematizacin, as como en el manejo de los recursos que se le han asignado. Por esta
razn se deben evaluar, mediante una auditora de sistemas, las repercusiones de cualquiera de estas incidencias, ya sean por riesgos o por la ocurrencia de alguna contingencia de carcter informtico.
Los siguientes son algunos de los riegos o contingencias informticas ms comunes de estas reas:
P.1.4.1 Riesgos y contingencias del personal informtico

Esta solicitud de auditora se origina por los posibles riesgos derivados de la actuacin
del factor humano del rea de sistemas, ya sea del personal, de los usuarios, los asesores o consultores y de los desarrolladores o proveedores de sistemas de la empresa;
asimismo, se origina por las contingencias que le pueden ocurrir a este personal. En
ambos casos, stos son algunos de los aspectos que pueden generar la necesidad de
realizar una auditora a estas reas, ya sea porque pueden existir deficiencias y problemas en el cumplimiento de las actividades, operaciones y funciones de este personal,
o por los posibles riesgos a los que est expuesto.
P.1.4.2 Riesgos y contingencias fsicas

La solicitud de una auditora de este tipo se origina por una contingencia o posible riesgo derivado de los aspectos tangibles de la empresa, es decir, de aspectos fsicos como acceso del personal al equipo de cmputo, perifricos y componentes, y en s a
todo lo que corresponde al hardware del rea de sistemas, as como en lo relacionado
con las instalaciones, mobiliario, equipos, construcciones y dems elementos palpables del centro de informtica de la empresa..
P.1.4.3 Riesgos y contingencias operativas (Lgicas)

Son las solicitudes de auditora de sistemas derivadas de las contingencias y riesgos
que posiblemente repercutirn en el funcionamiento operativo (lgico) del sistema, en
199
cuanto al comportamiento de sus lenguajes y programas, as como en los niveles de

accesos, privilegios y limitaciones en el manejo de sus archivos, bases de datos, formas
de procesamiento de informacin y en s de todos aquellos aspectos que de alguna
manera van a influir en el buen funcionamiento del sistema computacional.*
P.1.4.4 Riesgos y contingencias de software

Muy similar al anterior, tan es as que a veces se puede confundir; el origen de esta solicitud se debe a las contingencias y riesgos que se pueden presentar debido al manejo de los sistemas operativos, los lenguajes de programacin y las paqueteras de
aplicacin del rea de sistemas.
La mayora de solicitudes de este tipo se originan por mal uso del software, piratera, robos, falta de licencias y otros delitos informticos.
P.1.4.5 Riesgos y contingencias en las bases de datos

Esta solicitud de auditora se hace exclusivamente para evaluar el manejo de los datos
de la empresa, los cuales estn contemplados en la operacin de las bases de datos;
en este caso la auditora se enfocar en forma exclusiva a las contingencias y posibles
riesgos derivados de la administracin, procesamiento, custodia, acceso y uso de los
datos, ya sea para detectar alguna negligencia, alteracin, dolo o cualquier otra afectacin en la informacin de la empresa.
P.1.4.6 Otros riesgos y contingencias en el rea de sistemas

Los riesgos y contingencias que se derivan de otros aspectos relacionados con los sistemas pueden ser innumerables, y forzosamente tienen que ser distintos a los que
analizamos anteriormente; sin embargo, cuando la solicitud de auditora tiene este
origen, se debe a que dichos aspectos estn muy relacionados con las caractersticas
y necesidades concretas de procesamiento de informacin de la empresa; en este caso, identificar el origen de la solicitud de auditora es de suma importancia, ya que de
esta manera se enfocar la evaluacin en los aspectos de sistemas que se quieren auditar, los cuales sern contemplados como otros riesgos y contingencias diferentes a
los tradicionales.
* El uso cotidiano del trmino lgica del sistema es muy comn y tiene plena aceptacin en las reas informticas, ya que el vocablo lgica significa: [...] Que sigue el proceso adecuado en el desarrollo del pensamiento [...]
Ciencia que estudia las operaciones de la razn humana [...] otra corriente, centrada en los aspectos semnticos,
se han originado las denominadas <<desviaciones>> de lgica clsica [...] a su vez, de la aplicacin de mtodos algebraicos a tcnicas de aplicacin (informtica y computacin) han surgido la lgica electrnica, la lgica binaria y
la lgica terciaria. Aunque el uso del trmino lgica del sistema es aparentemente una incongruencia, es plenamente aceptado en el ambiente de sistemas. Opcit. Gran diccionario del saber, pg. 1138.
200
P.1.5 Como resultado de los planes de contingencia

Otro de los posibles orgenes de una solicitud de auditora en el rea de sistemas lo
constituyen los planes de contingencia; ya sea que se carezca de stos en el rea de
sistemas y se necesite evaluar su posible efecto, o que ya estn establecidos y se requiera evaluar su funcionamiento y grado de utilidad para dichos sistemas.
Concretamente, una auditora de este tipo se puede originar por los siguientes
aspectos:
P.1.5.1 Por la carencia de planes de contingencia

El origen de esta auditora de sistemas se debe a que no existe ningn plan de contingencia, ni un documento similar en donde se contemplen medidas preventivas o correctivas relacionadas con la seguridad de la informacin del rea de sistemas.
Es entonces cuando, al conocer el nacimiento de la solicitud de una auditora bajo este rubro, mucho ayudara a valorar la necesidad de evaluar la implementacin de
los planes, programas y medidas preventivas de seguridad para el rea de sistemas.
P.1.5.2 Por la elaboracin de planes de contingencia

Esta solicitud de auditora se origina debido a que se observan ciertas deficiencias en
la elaboracin de algn plan de riesgos y contingencias, ya sea preventivo o correctivo,
ya que mediante esta auditora se pueden prevenir dichas deficiencias.
En algunos casos, esta necesidad de evaluacin se debe a la ausencia de difusin,
conocimiento y/o utilizacin de dichos planes.
P.1.5.3 Por la aplicacin de los planes de contingencia

Cuando la solicitud de la auditora se debe a la aplicacin del plan de contingencias, es
porque se observan deficiencias en los sistemas computacionales, y en muchos casos
es necesario evaluar su funcionamiento y correcta aplicacin mediante una auditora.
Tambin suele suceder que despus de haber ocurrido alguna contingencia, y al
aplicar la fase final de este plan, es decir en la etapa de restauracin, se detectan deficiencias en la recuperacin de informacin, en el funcionamiento de los sistemas o
problemas con el software, hardware, perifricos o en la propia rea de sistemas; por
esta razn es necesario evaluar la eficacia y eficiencia en la operacin de los anteriores aspectos.
P.1.6 Por resultados obtenidos de otras auditoras

Es frecuente que como resultado de la prctica de una auditora en otra rea de la empresa, o an dentro de la propia rea de sistemas, surja algn aspecto especfico que
se tiene que evaluar mediante una auditora ms detallada.
201
Esta solicitud tambin puede originarse por algn aspecto especial derivado de los
resultados de una auditora anterior, los cuales por alguna razn repercuten en dicho
aspecto, el cual se debe evaluar ya que puede afectar el comportamiento de los sistemas computacionales de la empresa.
P.1.7 Como parte de un programa integral de auditora

Tambin es frecuente que existan programas concretos de auditora integral o global,
los cuales se aplican en la empresa para evaluar la correcta administracin y comportamiento de todas sus reas; en este caso, la solicitud de auditora de sistemas forma
parte de dichos proyectos de evaluacin integral.
Estos programas pueden ser de carcter global y se pueden aplicar una sola vez,
cuando la auditora se realiza en forma conjunta, a fin de hacer la evaluacin de todas
las unidades de la institucin. Tambin puede ser que, dependiendo del programa, se
pueda cubrir por etapas cada una de sus reas en forma progresiva y secuencial. Todo
ello depender del estilo de direccin, la forma en que la empresa realiza las auditoras y si stas se realizan de manera externa o interna.
Lo importante a destacar en este caso es que el origen de esta auditora se debe
a los resultados de una auditora anterior
Aqu no existe propiamente una solicitud, sino que la auditoria es una disposicin
concreta de la institucin; sin embargo, para entender mejor este punto, la vamos a
considerar como una peticin de auditora.
6.3.2 P.2 Realizar una visita preliminar al rea que ser evaluada
Es recomendable, diramos que casi imprescindible, que el auditor realice una visita preliminar al rea de informtica que ser auditada, justo despus de conocer el origen de
la peticin de auditora, y antes de iniciarla formalmente; el propsito es que tenga un
contacto inicial con el personal de dicha rea y que observe cmo se encuentran distribuidos los sistemas, cuntos y cules son los equipos que estn instalados en el centro
de cmputo, cules son sus principales caractersticas, de qu tipo son las instalaciones,
cules son las medidas de seguridad visibles que existen, y en s, que conozca la problemtica a la cual se enfrentar, de manera muy simple y de carcter tentativo.
Para ello, el auditor debe contemplar los siguientes aspectos en dicha visita:
P.2.1 Visita preliminar de arranque

sta es una visita preparatoria al rea de informtica que ser auditada, la cual tiene como finalidad que el auditor advierta de manera preliminar alguna de estas cuestiones:
Cmo se encuentran distribuidos los sistemas en el rea?
Cuntos, cules, cmo y de qu tipo son los equipos que estn instalados en el centro de sistemas?
202
Cules son, a simple vista, las principales caractersticas fsicas de los sistemas que
sern auditados?
Qu tipo de instalaciones y conexiones fsicas hay en el rea de sistemas, y cmo estn distribuidas?
Cmo reacciona el personal ante la visita del auditor?
Cules son las medidas de seguridad visibles que existen?
Cmo actan los usuarios y el personal del rea; ya sea que ignoren la posible auditora o cuando ya lo saben?
Qu limitaciones se observan para la realizacin de la auditora?
En s, el auditor debe obtener un panorama general del rea que va a auditar, a fin
de conocer la problemtica que se le presentar en la auditora. Contando con ese conocimiento inicial, podr disear las medidas necesarias para una adecuada planeacin de la auditora y podr establecer acciones concretas que le sern de gran ayuda
en el desarrollo de dicha evaluacin.
P.2.2 Contacto inicial con funcionarios y empleados del rea

Dentro de esta visita preliminar, el auditor tambin aprovecha para establecer un contacto inicial con los funcionarios, empleados y usuarios del rea de sistemas; el propsito es que observe sus reacciones ante la realizacin de la auditora, y que identifique
las posibles limitaciones y temores que influirn en la cooperacin de dicho personal.
Conviene destacar que la visita del auditor casi nunca es bien recibida, ms bien
ocurre lo contrario, crea molestias en el personal, hace que ste se ponga a la defensiva y casi mecnicamente trate de evadir cualquier contacto con el auditor; en muchos
casos tiende a ocultar informacin y presenta resistencia o se niega a cooperar en la
auditora; a veces busca bloquear la evaluacin, entre muchos otros problemas a los
cuales se enfrenta el auditor.
Esto es muy frecuente en el personal auditado, ya que todava existe el nefasto concepto de que el auditor slo va a tumbar las cabezas de los auditados; por esta razn, la mayora de
los empleados se resiste a la realizacin de cualquier auditora y tratan de evitarla, sintindose culpables anticipadamente, aunque no sean responsables de ningun
problema o mala accin que se llegue a detectar.
Debido a todo lo anterior, es muy conveniente
que el auditor tenga un contacto preliminar con el
personal del rea que estar involucrado en la auditora, ya que se pretende, utpicamente, que trate de limar asperezas mediante este contacto antes
de iniciar la evaluacin y que encuentre la coope-
203
racin de ese personal. En realidad, lo que se busca es que el auditor pueda vislumbrar el panorama al cual se enfrentar, para que de ah disee su estrategia para el desarrollo de la evaluacin, bajo la expectativa de los funcionarios, empleados y usuarios
respecto a la auditora.
P.2.3 Identificacin preliminar de la problemtica de sistemas

Adems de lo anterior, en esta visita preliminar el auditor puede (y debe) aprovechar
para saber cul es la principal problemtica a la que se enfrenta el rea de sistemas,
su personal y usuarios, su procesamiento de informacin y la administracin de sus bases de datos, etctera, aunque sta sea slo de carcter preliminar.
Lo que se pretende con esta identificacin preliminar de las posibles dificultades
que hay en los sistemas de la empresa, es que el auditor tenga un panorama anticipado del comportamiento de dichos sistemas, aunque ste sea de carcter muy somero
y de dudosa confiabilidad.
P.2.4 Prever los objetivos iniciales de la auditora

Otro aspecto que tambin se puede obtener de esta visita al rea que ser auditada, es
que se puede anticipar cules objetivos se pueden satisfacer con la auditora, o por lo menos tratar de entender cules son las metas que se quieren alcanzar con la evaluacin.
Evidentemente, estos objetivos seran muy poco confiables y podran desviar al auditor de los verdaderos objetivos de la auditora; sin embargo, le serviran para normar
su criterio respecto al objetivo que pretende alcanzar con dicha auditora.
En el mejor de los casos, y contando con la habilidad, experiencia y conocimientos
para identificarlos, el auditor podra sealar los objetivos que se pretenden satisfacer
con su auditora, o tal vez podra seleccionarlos con esta visita preliminar.
P.2.5 Calcular los recursos y personas necesarias para la auditora

Otro beneficio de esta visita preliminar al rea que ser auditada, es la posibilidad de
calcular tanto el tipo como la cantidad de recursos que sern necesarios para llevar a
cabo la evaluacin, contemplando los recursos de carcter humano, informtico, material, tcnico y econmico.
Dicho clculo se refiere al personal necesario para
realizar la auditora y al apoyo informtico, as como a
los recursos del rea que se requieren en la revisin,
entre los cuales destacan el personal informtico y
los apoyos adicionales del hardware, software, informacin, bases de datos, equipos y dems aspectos
relacionados con el centro de cmputo.
Es evidente que la informacin que el auditor
obtiene de la visita preliminar, se deriva de una ob-
204
servacin personal o por entrevistas y plticas de carcter informal, a veces aparentemente carentes de fundamentos. No obstante, con estas entrevistas tambin puede
obtener datos importantes que le ayuden a calcular las necesidades de recursos aplicables en la auditora de sistemas.
6.3.3 P.3 Establecer los objetivos de la auditora

El siguiente paso, despus de haber identificado el origen de la auditora y haber realizado una visita preliminar al rea que ser auditada, es establecer lo ms claramente
posible el (los) objetivo(s) de la auditora, ajustndose lo ms posible a las necesidades de la evaluacin. El propsito es establecer claramente lo que se busca con este
tipo de trabajo.
Conviene que iniciemos el tratamiento de este inciso con la siguiente definicin:
Objetivo:
En trminos sencillos, los objetivos representan las condiciones futuras deseadas que
los individuos, grupos u organizaciones luchan por alcanzar. En ese sentido se incluyen
misiones, propsitos, metas, fines, cuotas y plazos [...] En ocasiones se utilizan para legitimar y justificar la funcin de la organizacin en la sociedad [...] En otro sentido, los
objetivos podran ser considerados como el conjunto de limitaciones a las que debe
restringirse la organizacin [...] Los objetivos pueden ser considerados desde tres perspectivas primordiales: 1) el ambiental, limitaciones impuestas a la organizacin por la
sociedad; 2) el organizacional, los objetivos de la organizacin, 3) el individual, los objetivos de los participantes en la organizacin [...]26
Como podemos observar en esta definicin, el objetivo representa las condiciones
futuras que pretenden alcanzar los individuos, grupos u organizaciones, lo cual es sumamente aplicable para el caso de la auditora de sistemas, ya que al establecer el objetivo de una auditora se busca anticipar lo que se desea alcanzar, ya sea en el rea de
sistemas o en toda la institucin.
Ms concretamente, desde el punto de vista de los autores de referencia, en el caso de una auditora de sistemas el establecimiento del objetivo es el establecimiento de
lo que se pretende satisfacer con dicha auditora; se incluyen los siguientes conceptos:
Misin:
Visin:
Propsitos:
Metas:
Fines:
Plazos:
Deber moral que se impone a la realizacin de la auditora de sistemas.

La forma como se ve la realizacin de la auditora y lo que se espera de ella.
Objetivo que se pretende alcanzar con la auditora.
Fines especficos de la auditora.
Son los ltimos aspectos que se busca satisfacer con la auditora.
Los trminos en unidades de tiempo en que se satisface el fin que se pretende con la auditora.
205
Dichos objetivos tambin se pueden complementar, de acuerdo con su ambiente

de aplicacin, con los aspectos que analizaremos a continuacin:
P.3.1 Objetivo general

Es el fin global que se pretende alcanzar con el desarrollo de la auditora de sistemas,
en el cual se plantean todos los aspectos que se pretenden evaluar. De hecho, la determinacin de este objetivo dar el fundamento en la realizacin de la auditora y la
idea total de lo que se va a cubrir con dicha auditora.
P.3.2 Objetivos particulares

Son los fines individuales que se pretenden alcanzar con el desarrollo de la auditora, ya
sea de un rea especfica, de un sistema en especial o de alguna funcin en particular.
stos pueden ser mltiples, de acuerdo con las necesidades concretas de evaluacin.
P.3.3 Objetivos especficos de la auditora de sistemas computacionales

Es la determinacin, en forma detallada, de los fines que se pretenden alcanzar con la
auditora de sistemas, sealando concretamente las reas a evaluar y, especficamente, los sistemas, componentes o elementos concretos que deben ser evaluados.
A continuacin citaremos algunos ejemplos que pueden ser tomados como referencia para elaborar los objetivos de una auditora de sistemas computacionales, de
acuerdo con la empresa donde se realizar dicha auditora:
Realizar una revisin con personal multidisciplinario y capacitado en el rea de sistemas, a fin de evaluar dicha rea y emitir un dictamen independiente sobre las operaciones del sistema y la gestin administrativa del rea de informtica.
Hacer una evaluacin sobre el aspecto financiero, la utilizacin de los recursos financieros en las reas del centro de informacin y el aprovechamiento del sistema computacional, sus equipos perifricos e instalaciones.
Evaluar la utilizacin y aprovechamiento de los equipos de cmputo, de sus perifricos,
de las instalaciones, mobiliario y equipos del centro de cmputo, as como del uso de
sus recursos tcnicos y materiales para el procesamiento de informacin.
Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y paqueteras de aplicacin y desarrollo, as como el desarrollo e instalacin de nuevos sistemas.
Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y lineamientos que regulan las funciones y actividades de las reas y de los sistemas de procesamiento de informacin, as como de su personal y de sus usuarios.
206
Realizar la evaluacin de las reas, actividades y funciones de la empresa, contando

con el apoyo de los sistemas computacionales, los programas especiales y la paquetera que sirve de soporte para el desarrollo de auditoras por medio de la computadora.
6.3.4 P.4 Determinar los puntos que sern evaluados en la auditora

Despus de haber determinado el origen de la auditora y de establecer los objetivos
concretos que se pretenden alcanzar con sta, el siguiente paso es determinar los puntos concretos que sern evaluados.
Esta definicin de los puntos que tienen que ser evaluados debe ser realizada considerando aspectos muy especficos de los sistemas computacionales, tales como los
siguientes:
La gestin administrativa e informtica del centro de cmputo
El cumplimiento de las funciones del personal informtico y usuarios de los sistemas
El anlisis, diseo y desarrollo de los sistemas computacionales
La operacin de los sistemas computacionales
La capacitacin y adiestramiento del personal y usuarios del sistema
La proteccin, custodia y niveles de acceso a las bases de datos
La proteccin y respaldo de archivos e informacin
La seguridad y proteccin de los usuarios, de la informacin, de los archivos y en general del centro de cmputo
Muchos otros aspectos que se deben considerar
Es de suma importancia destacar que la definicin y establecimiento de los puntos que se deben evaluar es el elemento fundamental de apoyo del auditor, debido a
que esto es producto de un anlisis previo, tanto del origen de la auditora y de la visita previa como de los objetivos que se pretenden satisfacer con la realizacin de esta
auditora. Sin este anlisis previo difcilmente se pueden establecer los puntos que se
deben evaluar. De ah su importancia. Adems, en este paso de la planeacin de la auditora debemos establecer aquellos aspectos de sistemas que vamos a evaluar, para
despus establecer las herramientas y la manera en que realizaremos la evaluacin.
Un error muy comn al realizar una evaluacin de sistemas, es que dicha evaluacin muchas veces se lleva a cabo sin una adecuada planeacin, lo cual no slo conduce al empobrecimiento de la evaluacin, sino que el auditor tiene serias deficiencias
en la aplicacin de las herramientas de auditora; por lo tanto, los resultados tambin
son muy deficientes y de dudosa calidad. En algunos casos, esta planeacin puede ser
deficiente, limitada y sin bases reales, lo cual tambin conduce a las deficiencias antes indicadas.
En relacin con la definicin de los puntos que sern evaluados, pueden existir muchos criterios en la seleccin de tales puntos, los cuales, por su propia diversidad, pue-
207
den y deben ser establecidos de acuerdo a las necesidades de evaluacin de la empresa, del equipo y del sistema operativo, as como a la forma de procesamiento de informacin que se tiene establecida en la empresa, a la experiencia, conocimientos y
caractersticas profesionales del auditor, a las tcnicas, mtodos y procedimientos de
auditora de sistemas que se aplicarn, etc. En s, depender de los muchos criterios
que se establezcan en torno al desarrollo de la auditora.
Debido a esa mltiple opcin para definir los puntos que sern evaluados en una
auditora, a continuacin proponemos una serie de puntos especficos, con los cuales
slo pretendemos anticipar un criterio de seleccin, ms o menos homogneo, de
aquellos aspectos fundamentales que se debern evaluar en una auditora de sistemas.
Cabe aclarar que este criterio de seleccin es de carcter general y slo se presenta al
nivel de sugerencia, y el responsable de la auditora deber determinar su aplicacin
real, de acuerdo con las necesidades de evaluacin, con su experiencia profesional y
con los conocimientos que tenga sobre este trabajo. Los puntos que se deben evaluar
se pueden agrupar de la siguiente manera:
Evaluacin de las funciones y actividades del personal del rea de sistemas
Evaluacin de las reas y unidades administrativas del centro de cmputo
Evaluacin de la seguridad de los sistemas de informacin
Evaluacin de la informacin, documentacin y registros de los sistemas
Evaluacin de los sistemas, equipos, instalaciones y componentes
Evaluacin de los recursos humanos del rea de sistemas
Evaluacin del hardware
Evaluacin del software
Evaluacin de la informacin y bases de datos
Evaluacin de otros recursos informticos
Elegir los tipos de auditora que sern utilizados
Determinar los recursos que sern utilizados en la auditora
Personal de auditora de sistemas
Personal del rea que ser evaluada
Apoyo de los sistemas y equipos tcnicos e informticos
Apoyos materiales y administrativos
Otros apoyos
Recursos econmicos
A continuacin analizaremos una por una estas propuestas de puntos que se deben evaluar.
208
P.4.1 Evaluacin de las funciones y actividades del personal del rea de

sistemas
La determinacin de los puntos que se deben evaluar en estos aspectos se refiere a
una valoracin del cumplimiento de las funciones y actividades establecidas para cada
uno los puestos que integran el centro de cmputo, as como de la observancia de las
obligaciones de los funcionarios, usuarios o personal del rea.
El propsito fundamental de esta evaluacin es verificar si existen o no las funciones y actividades para cada uno de los puestos del rea, si se encuentran por escrito y
contempladas en documentos formales o informales, si tienen la suficiente difusin, si
el personal que las debe cumplir las conoce y tiene acceso a los documentos donde se
encuentran, y cmo, en qu grado y de qu manera los ocupantes de esos puestos satisfacen las funciones que tienen encomendadas.
Tambin se evala el aprovechamiento del sistema y de sus recursos por medio del
cumplimiento de estas funciones y actividades.
P.4.2 Evaluacin de las reas y unidades administrativas del centro de

cmputo
En este punto se busca evaluar, mediante tcnicas y procedimientos de auditora, todos aquellos aspectos que pueden influir en el grado de cumplimiento de las funciones, actividades y operacin de las reas y unidades de trabajo del centro de cmputo.
Esto se puede realizar a travs de la evaluacin de carcter individual, es decir una rea
a la vez, o de manera integral, contemplando a todas las reas del centro de cmputo.
Es importante sealar que uno de los principales criterios para el desarrollo de esta evaluacin, es que se debe sujetar al estilo de administracin del centro de cmputo, as como a las caractersticas, tipo y tamao de los equipos computacionales, a la
distribucin de los sistemas y la forma de operacin del citado centro de cmputo. Lo
mismo para el acatamiento en la evaluacin de la estructura de organizacin por reas,
o en su caso por la divisin del trabajo de dichos centros.
Respecto a estas reas y unidades de trabajo del centro de cmputo, existen muchos criterios y opiniones que se deben contemplar al realizar una evaluacin.
P.4.3 Evaluacin de la seguridad de los sistemas de informacin

Uno de los rubros que estn incrementando su popularidad dentro del ambiente informtico, es el relacionado con la seguridad en el rea de sistemas; con ello se incrementa cada da ms la necesidad de evaluar la seguridad y proteccin de los sistemas, ya sea
en los accesos al centro de cmputo, en el ingreso y utilizacin de los propios sistemas
y en la consulta y manipulacin de la informacin contenida en sus archivos, la seguridad de las instalaciones, del personal y los usuarios de sistemas, as como de todo lo relacionado con el resguardo de los sistemas computacionales.
209
Es evidente que uno de los aspectos bsicos que se deben contemplar en la evaluacin de sistemas, es precisamente la proteccin y resguardo de la informacin de la
empresa, tanto en el hardware como el software, as como
de los equipos adicionales que ayudan al adecuado funcionamiento de los sistemas. En esta evaluacin tambin se incluyen el acceso al rea de sistemas, el acceso al sistema, la
proteccin y salvaguarda de los activos de esta rea, las medidas de prevencin y combate de siniestros, y muchos otros
aspectos que se pueden valorar mediante una auditora de sistemas.
Para un mejor entendimiento de estos puntos, a continuacin veremos las
principales reas de seguridad que se pueden evaluar en una auditora de sistemas:
Evaluacin de la seguridad fsica de los sistemas
Evaluacin de la seguridad lgica del sistema
Evaluacin de la seguridad del personal del rea de sistemas
Evaluacin de la seguridad de la informacin y las bases de datos
Evaluacin de la seguridad en el acceso y uso del software
Evaluacin de la seguridad en la operacin del hardware
Evaluacin de la seguridad en las telecomunicaciones
P.4.4 Evaluacin de la informacin, documentacin y registros

de los sistemas
Dentro de lo que se contempla en la evaluacin a las reas de sistemas se encuentra
todo lo relacionado con la informacin, ya sea de las bases de datos y sistemas de almacenamiento, los respaldos o simple y sencillamente la forma de archivar los datos
por parte de los usuarios del sistema.
Precisamente con esta apreciacin se busca evaluar la proteccin y custodia del
activo ms valioso de los sistemas, la informacin, e incluso como se hace la captura,
procesamiento y emisin de los resultados. Todo de acuerdo a las caractersticas, forma de procesamiento y sistemas de la empresa.
P.4.5 Evaluacin de los sistemas, equipos, instalaciones y componentes

En esta evaluacin intervienen muchos factores, tanto de la auditora como de la propia rea de sistemas, ya que se pretende dictaminar como estn funcionando casi todos los componentes del sistema computacional de la empresa.
Para esta auditora es conveniente dividir la evaluacin en aspectos concretos que
se pueden dictaminar por separado o en forma integral; por esta razn proponemos
evaluar los siguientes puntos:
210
P.4.5.1 Evaluacin de los recursos humanos del rea de sistemas

Es la evaluacin del adecuado cumplimiento de las actividades, tareas y funciones de
los integrantes del rea de sistemas. En esta valoracin se incluye una opinin sobre la
experiencia, conocimientos y habilidades que debe tener este personal para el manejo de las actividades y operaciones del sistema de cmputo, as como la disponibilidad
y grado de cumplimiento de sus funciones.
P.4.5.2 Evaluacin del hardware

Es la evaluacin del aprovechamiento y utilizacin de los sistemas de cmputo, de sus
componentes y conexiones, as como de sus perifricos y equipos asociados. Con esta evaluacin se busca dictaminar si se satisfacen las necesidades de procesamiento
de informacin de la empresa.
P.4.5.3 Evaluacin del software

Es la evaluacin del aprovechamiento y explotacin de los sistemas operativos, lenguajes, programas de aplicacin, paqueteras y de los dems aspectos que integran el software institucional, as como de los sistemas y programas de desarrollo del mismo. Con
la identificacin de estos objetivos se busca dictaminar si se satisfacen las necesidades de procesamiento de informacin de la empresa.
P.4.5.4 Evaluacin de la informacin y las bases de datos

Es la evaluacin de la proteccin y el aprovechamiento de los sistemas de almacenamiento de la informacin que se procesa en el rea, en cuanto al acceso a las bases de
datos, los niveles de consulta, manipulacin y modificacin de los datos, los programas
y paqueteras de aplicacin y manejo de la informacin institucional, as como a la proteccin y operacin relacionadas con el manejo de los archivos de informacin.
Con esta evaluacin se busca dictaminar si se satisfacen las necesidades de proteccin y operabilidad de la informacin de la empresa, en cuanto al volumen, periodicidad, oportunidad, utilidad y disponibilidad de las bases de datos institucionales.
P.4.5.5 Evaluacin de otros recursos informticos

Es la evaluacin del aprovechamiento de los dems recursos informticos con que
cuenta el rea de sistemas para el procesamiento de la informacin, tales como sistemas de telecomunicacin internos o externos, sistemas multimedia para explotacin
institucional, sistemas de proteccin de informacin y de acceso a las bases de datos,
avances tecnolgicos en los programas y paqueteras de aplicacin institucional.
Con esta evaluacin se busca dictaminar si se satisfacen las necesidades de proteccin y operabilidad de la informacin de la empresa.
211

Es la evaluacin del aprovechamiento de los bienes muebles e inmuebles, instalaciones y otros recursos que estn directamente involucrados con el bienestar y comodidad del personal y usuarios del rea de sistemas, as como del aprovechamiento de la
comunicacin telefnica y de datos, ya sea dentro de la empresa o con sistemas computacionales externos, tales como redes de cmputo, mdems u otros sistemas de telecomunicacin.
Con esta evaluacin se busca dictaminar si las conexiones de voz (telefnicas), de
datos (mdems, redes y otros sistemas de comunicacin) y de luz (las conexiones de
energa elctrica) son las adecuadas para lograr las metas de operabilidad del rea de
sistemas.
P.4.6 Elegir los tipos de auditora que sern utilizados

En esta etapa de la planeacin de la auditora de sistemas, una vez que determin los
puntos que sern evaluados, es imprescindible que el encargado de sta determine los
tipos de auditora, las herramientas e instrumentos y los mtodos de evaluacin que
utilizar para dictaminar acerca del funcionamiento del rea de sistemas, de acuerdo
con sus necesidades especificas de revisin y con las caractersticas y requerimientos
especiales que se pueden auditar en sistemas.
Evidentemente es difcil establecer un tipo de auditora que se pueda aplicar uniformemente en la evaluacin de los sistemas de una empresa, ya que en mucho depender de los objetivos que se busca satisfacer con la auditora de sistemas, as como
del tpico que ser analizado, y desde qu punto de vista lo evaluara el auditor.
Es indiscutible que no es lo mismo evaluar el funcionamiento de una red de computo, que evaluar la seguridad en el acceso fsico de las instalaciones del rea; tampoco se aplican los mismos procedimientos para evaluar las metodologas de anlisis y
diseo de los nuevos sistemas, que para verificar la veracidad de los resultados de un
procesamiento de datos en un microsistema; cada uno de stos tiene aspectos diametralmente opuestos entre s, los cuales deben ser forzosamente auditados desde diferentes puntos de vista y con diferentes mtodos y herramientas.
Estas son las razones por las que el auditor tiene que determinar el tipo de auditora que va a realizar, de acuerdo con sus objetivos; por eso es de suma importancia
identificar cada uno de los anteriores aspectos que hemos tratado a lo largo de esta
etapa de planeacin.
P.4.7 Determinar los recursos que sern utilizados en la auditora

Es necesario considerar que los recursos, cualesquiera que sean, son de carcter limitado; por esta razn, despus de haber identificado los puntos que sern evaluados, es
de suma importancia determinar los recursos que se necesitarn para poder realizar la
auditora de sistemas, siempre en concordancia con lo planeado.
212
En el caso especial de esta auditora y por lo tcnico del ambiente donde se realiza, estos recursos tienen que ser muy especializados, tanto para la auditora de sistemas como para el aspecto informtico.
Para una mejor comprensin de cmo determinar los recursos necesarios para la
auditora de sistemas, a continuacin sealaremos brevemente los principales aspectos de estos recursos:
P.4.7.1 Personal para la auditora de sistemas

Es el personal especializado en auditora de sistemas, el cual aplica sus conocimientos,
habilidades y experiencia en las diferentes disciplinas de la auditora, utilizando para
ello las tcnicas, procedimientos, mtodos de evaluacin, herramientas e instrumentos
de revisin especializados y tradicionales para la evaluacin de sistemas.
En los captulos 9, 10 y 11 de este libro se indican algunas de estas herramientas.
Cabe destacar que este personal tiene que ser especializado en las tcnicas y procedimientos de auditora, pero a la vez debe tener amplios conocimientos y experiencia
en el rea de sistemas; en muchos casos, es preferible que sea personal multidisciplinario para que cubra todos los aspectos relacionados con sistemas.
P.4.7.2 Personal del rea que ser evaluada

Es la estimacin de los recursos del rea de sistemas con los que contar el auditor
para la evaluacin.
Debemos sealar que este personal no est a disposicin del auditor y que no tiene ningn tipo de autoridad sobre l ni injerencia en su trabajo. Lo ms que les puede
pedir es que cooperen en la realizacin de la auditora proporcionando la informacin
y que participen en las entrevistas, cuestionarios, pruebas y dems herramientas que
utilizar para evaluar los sistemas.
P.4.7.3 Apoyo de los sistemas y equipos tcnicos e informticos

Es la seleccin de los recursos tcnicos, equipos y sistemas computacionales que sern necesarios para la auditora de sistemas, los cuales pueden ser muy diversos y
especializados, de acuerdo con las necesidades concretas establecidas en la planeacin de la evaluacin. Dichos
recursos incluyen el hardware, software, instalaciones,
el personal especializado en la operacin de los sistemas, los sistemas operativos, los programas de aplicacin, las paqueteras, las bases de datos y la informacin
del rea auditada.
213
Adems se contemplan todos los aspectos logsticos que necesitar el auditor para el desempeo de sus actividades, tales como sistemas computacionales para su
uso exclusivo, software de evaluacin especializado para auditora, apoyo tcnico informtico especializado en sistemas computacionales, materiales consumibles de sistemas y todos los dems requerimientos informticos, de acuerdo a las necesidades
especficas del rea que ser evaluada.
P.4.7.4 Apoyos materiales y administrativos

stos son los recursos que no tienen que ver con los sistemas, pero que son imprescindibles para el buen desempeo de los auditores, tales como la asignacin de
oficinas privadas y lugares de trabajo exclusivos, el apoyo
de mobiliario, equipos, materiales y tiles de oficina, as
como el apoyo logstico y secretarial necesario para realizar una evaluacin. Todo ello de acuerdo con las necesidades contempladas en la auditora.
Conviene destacar que el auditor necesita de todo el apoyo logstico y administrativo del rea de sistemas para que no tenga preocupaciones ni dificultades administrativas y pueda realizar una correcta evaluacin; en caso de que no exista este apoyo, el
auditor recurrir al apoyo administrativo de cualquier otra rea de la empresa, ya que
es importante que realice sus actividades lo ms cmodamente posible.
P.4.7.5 Otros apoyos

En algunos casos, dependiendo de las necesidades especficas de la evaluacin de sistemas, es necesario contar con recursos
especializados para la revisin de ciertos aspectos del rea de sistemas que se tengan
que auditar de manera particular, los cuales
la mayora de las veces no son de uso comn en dicha rea.
Algunos ejemplos de estos aspectos pueden
ser los programas especializados de evaluacin de sistemas, hardware, equipos y perifricos asociados; tambin
los sistemas de telecomunicacin, de interredes, los protocolos de comunicacin, adems de otros aspectos tcnicos especializados que sirven de apoyo para la evaluacin de los sistemas, de las instalaciones
o de cualquier otro rubro importante que se tenga que evaluar, de acuerdo a las necesidades de la auditora y de la propia empresa.
214
P.4.7.6 Recursos econmicos

Otro de los recursos de gran importancia para el desarrollo de una
auditora es el apoyo financiero que necesita el auditor, en el caso
de auditoras externas, para transportarse al lugar donde est el
rea o empresa que vaya a evaluar.
El auditor necesita comprobar los gastos efectuados durante la evaluacin o, por el
contrario, dichos gastos pueden ser libres de comprobacin, de acuerdo a las normas y
polticas de la empresa; estos gastos estn representados por los siguientes rubros:
Viticos: Es la cantidad de dinero que se le asigna al auditor, por da, semana o
cualquier otro periodo, para cubrir sus gastos de viaje, estancia y alimentacin durante la evaluacin de los sistemas de la empresa.
Pasajes: Es la cantidad de dinero que se entrega al auditor para cubrir
su traslado al lugar donde realiza la evaluacin; en algunos casos, es la entrega de los boletos y derechos de viaje que amparan el uso
de los transportes.
Otros gastos: Es la cantidad de dinero que se entrega al auditor para cubrir sus gastos inherentes al desarrollo de la evaluacin, ya sea para
transporte, gasolina, casetas de peaje, derechos, compras de material
informtico, utensilios de oficina o cualquier otro gasto.
6.3.5 P.5 Elaborar planes, programas y presupuestos para realizar la auditora

Despus de haber considerado todos los puntos antes sealados, el siguiente paso es
realizar la planeacin formal de la auditora de sistemas, en la cual se concreten los planes, programas y presupuestos para dicha auditora; es decir, se deben elaborar los documentos que contemplen los planes formales para el desarrollo de la auditora, los
programas en donde se delimiten perfectamente las etapas, eventos, actividades y los
tiempos de ejecucin para cumplir con el objetivo, as como los presupuestos de la auditora, documentos en donde se deben asignar los costos de los recursos que sern
utilizados y el tiempo que sern utilizados para determinada actividad.
Antes de continuar, conviene recordar que en las definiciones de la seccin 6.3. (1
etapa: Planeacin de la auditora de sistemas computacionales) se sealan los aspectos que se deben considerar en esta actividad.
P.5.1 Elaborar el documento formal de los planes de trabajo para la

auditora
Es la elaboracin especfica y escrupulosa de los planes formales de trabajo para la
auditora de sistemas computacionales. Estos planes se presentan en un documento oficial llamado plan de auditora de sistemas, el cual contiene todos los aspectos
215
relacionados con la realizacin de dicha auditora. A continuacin tenemos algunos

de estos aspectos:
Las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos
Los eventos que servirn de gua de accin
La estimacin de los recursos humanos, materiales e informticos que sern utilizados
Los tiempos estimados para las actividades y para la propia auditora
Los auditores responsables y participantes en dichas actividades
Las dems especificaciones del programa de trabajo para la auditora
El auditor responsable de elaborar la planeacin de la auditora determinar, en
base a sus conocimientos, habilidades y experiencia, el contenido formal de este documento; sin embargo, en este inciso presentamos los aspectos de forma y contenido
que se deben considerar en el documento formal.
P.5.1.1 Cartula de identificacin del plan de auditora

Es la primera hoja del documento de planeacin, en la cual se establecen lo ms claramente posible los siguientes puntos:
Nombre y logotipo de la empresa responsable de la auditora

Contiene la identificacin oficial de la empresa responsable de realizar la auditora, en caso de ser auditora externa; es indispensable
que esta cartula est en un papel membreteado de la institucin,
despacho o auditor independiente que la llevar a cabo. Si la responsable de realizar esta evaluacin es el rea de auditora interna
de la empresa, el logo y nombre ser de la empresa, pero con la clara identificacin del rea de auditora interna.
216
Indicacin del nombre del documento

Es la clara identificacin de que se trata de un documento oficial, en el cual se indica
claramente que su contenido se refiere al plan de auditora de sistemas de la empresa
y/o del rea que se indica en la misma cartula.:
Nombre de la empresa
(rea) auditada
Nombre del responsable de

elaborar el plan de auditora
Fecha de vigencia
del plan
Indicacin del nombre

del documento
Nombre de la empresa (rea) auditada

Se anota lo ms notoriamente posible el nombre la de empresa o del rea especfica de
sistemas que ser auditada, de preferencia inmediatamente despus del punto anterior.
Nombre del responsable de elaborar el plan de auditora
Se seala el nombre del auditor responsable de llevar a cabo la auditora; por lo general este auditor es el mismo que supervisa la realizacin de la auditora, aunque nada
impide que otro lo haga.
Fecha de vigencia del plan
En algunos casos es el periodo de realizacin de la auditora, desde que inicia hasta
que concluye con la entrega del dictamen formal. En otros casos es la fecha en que se
presenta a discusin y aprobacin el plan de auditora. En ambos casos deber indicar
el da (dos dgitos), el mes (dos dgitos) y el ao (cuatro dgitos).
P.5.1.2 ndice de contenido

Es conveniente que en estos documentos siempre se incluya una seccin en donde se
sealen, por nombre del contenido o apartados y por pgina, todos los puntos en que se
dividi el plan de auditora, con objeto de ayudar a una rpida consulta del documento.
217
P.5.1.3 Definicin de objetivos

Es la definicin formal, por escrito, de los objetivos que se pretenden alcanzar con la
auditora, conforme a lo sealado al principio de este captulo.
P.5.1.4 Delimitacin de estrategias para el desarrollo de la auditora

En algunos casos es conveniente que en este plan se contemplen las estrategias para
las diferentes partes de la auditora de sistemas; adems puede contener las estrategias de accin y de actuacin de los participantes en la revisin.
P.5.1.5 Planes de auditora

Son los planes formales de la auditora, en los cuales se detalla cada una de las acciones para la evaluacin; estos planes sern presentados de acuerdo a las preferencias y
necesidades especficas de auditora de la empresa, as como de acuerdo a los estndares de documentacin establecidos por la empresa responsable de la evaluacin.
P.5.1.6 Definicin de normas, polticas y lineamientos para el desarrollo

de la auditora
Es muy conveniente que los aspectos que regularn las actividades de los auditores estn perfectamente establecidos en este documento, incluyendo sus alcances y limitaciones. Tambin se deben establecer las polticas y lineamientos de accin, de acuerdo
al tipo de auditora y a la experiencia de los auditores en revisiones similares; todo de
acuerdo con las especificaciones de las empresas, tanto de la responsable de realizar
la auditora como de la que ser auditada.
stos son algunos de los puntos ms importantes que debe contener este documento.
P.5.2 Contenido de los planes para realizar la auditora

Es la elaboracin escrupulosa de todos los planes formales que el auditor debe plasmar en un documento oficial llamado plan de auditora de sistemas, el cual debe contener muy detalladamente las fases, etapas, actividades, recursos y tiempos para
realizar la auditora.
Es evidente que el auditor determinar el contenido mnimo de estos planes, en
base a sus conocimientos y experiencia; sin embargo, en la elaboracin de este documento gua de auditora, cuando menos se debe considerar los siguientes aspectos:
P.5.2.1 Definir los objetivos finales de la auditora

Es la definicin formal de los objetivos finales de la auditora, mismos que establecimos perfectamente en el punto P.3, Establecer los objetivo de la auditora, de esta
primera etapa de planeacin.
218
Estos objetivos se deben redactar de manera sencilla, objetiva y concreta en el documento oficial de la auditora.
P.5.2.2 Establecer las estrategias para realizar la auditora

Como producto de las anteriores etapas de planeacin, en este documento se redactan en forma precisa las estrategias para realizar la auditora, con el fin de que los auditores las entiendan rpida y perfectamente.
P.5.2.3 Disear las etapas, eventos y tareas en que se dividir la auditora

Es la determinacin precisa y detallada de cada una de las etapas, eventos y tareas que
deber cumplir el personal encargado de realizar la auditora, de acuerdo a lo definido
en los anteriores puntos de esta planeacin.
P.5.2.4 Calcular la duracin de las tareas y eventos para satisfacer los

objetivos de la auditora
Una vez que fueron precisadas las etapas, eventos y tareas concretas del plan para la
auditora, el siguiente paso es estimar, lo ms exacto posible, su duracin, de acuerdo
con su importancia, necesidades concretas y forma en que se satisfacer en objetivo
concreto de la auditora. Tambin se debe considerar la disponibilidad de los recursos
para la auditora.
P.5.2.5 Distribuir los recursos que sern utilizados en las diferentes

etapas, actividades y tareas de la auditora
Con base en los aspectos que analizamos en la etapa de planeacin, y con la perfecta
definicin de las etapas, eventos y tareas indicadas en la parte anterior, en esta parte
se establece, en forma precisa y lo ms detalladamente posible, la asignacin de los
recursos que sern utilizados en la auditora, as como el tipo de recursos, el tiempo
que sern utilizados en la tarea, y en s todos los detalles sobre su utilizacin.
P.5.2.6 Confeccionar los planes concretos para la auditora

Es el establecimiento formal, de preferencia por escrito y de manera grfica, de las etapas, eventos, tareas y actividades que integran el plan de auditora, incluyendo la duracin de cada uno de estos aspectos, as como el tiempo de asignacin de los recursos,
el tipo de recursos y en s todos los aspectos formales del plan de auditora, los cuales
hacen que este documento sirva de base a los auditores para realizar la evaluacin.
Debemos reiterar que el auditor es el responsable de identificar y establecer los
puntos que sern evaluados, con base en un estudio concienzudo de lo sealado en las
secciones anteriores.
219
P.5.3 Elaborar el documento formal de los programas de auditora

En este documento se anotan, de preferencia en forma de grfica, todas las etapas,
eventos y actividades que se realizarn durante la auditora; adems, se anota el perodo de duracin de cada una de las partes en que se dividi el trabajo de evaluacin.
En algunos casos, tambin se anotan los recursos que sern utilizados y la forma de
identificarles, y si es necesario, su costo.
Este documento debe estar unido al anterior, ya que es parte integral de l, y debe contener los mismos aspectos sealados para el plan de auditora, slo que se complementa con los siguientes apartados:
P.5.3.1 Grfica del programa de actividades

Es un documento visual de fcil comprensin, en donde se describe detalladamente y
en forma de grfica el plan de trabajo; es decir, todas las etapas, eventos y actividades
contempladas para la evaluacin de los sistemas, as como su duracin y los recursos
necesarios para llevarlas a cabo. Este documento puede ser una grfica de Gantt, de
ruta crtica, de Pert o cualquier otra herramienta de planeacin y control.
En este documento no slo se describen las etapas y actividades de la auditora,
sino que tambin se puede utilizar para su control y supervisin.
220
P.5.3.2 Definicin de las etapas y eventos que se deben llevar a cabo

Es la descripcin documental y detallada de la forma de planear el desarrollo y cumplimiento de las etapas o eventos en que est dividida la evaluacin de los sistemas. Todo
de acuerdo con lo determinado en la planeacin.
P.5.3.3 Definicin de las actividades y tareas

Es la descripcin detallada de las acciones y pasos que se deben realizar en cada una
de las etapas de la evaluacin, de las herramientas, instrumentos y mtodos de evaluacin que se van a utilizar, as como de los recursos para su desarrollo.
P.5.4 Elaborar los programas de actividades para realizar la auditora

En este punto se establecen por escrito y de preferencia en forma de grfica, todos
los tiempos en que se llevar a cabo cada una de las etapas, eventos y actividades
de la auditora, considerando para ello el perodo de duracin de cada una de las
partes en que se dividi el trabajo de evaluacin. En algunos casos tambin se anota el tiempo que se utilizarn los recursos y, de ser necesario, sus periodos de asignacin, descanso y cualquier otro uso de estos recursos, tanto en lo individual como
en lo colectivo.
Este documento se elabora con el anterior, ya que es parte integral del documento
de planeacin, y debe contener los mismos aspectos sealados para el plan de auditora.
Este documento se divide en esta parte slo para su identificacin y conocimiento,
ya que realmente no puede ser separado, y se complementa con los siguientes puntos,
los cuales tambin se pueden elaborar por separado o en forma conjunta:
221
P.5.4.1 Definir de manera precisa las etapas de la auditora

El responsable de la planeacin de la auditora de sistemas deber definir, lo ms preciso que pueda, las posibles etapas en que se dividir la misma, buscando ser congruente y coherente en la divisin de las actividades, en cuanto al volumen de trabajo,
importancia del aspecto que ser evaluado, en los recursos requeridos y en el peso especfico que tendrn dichas etapas para toda la auditora.
Esta definicin de las etapas de la auditora debe estar directamente relacionada
con lo determinado en los puntos anteriores y con los objetivos que se buscan satisfacer con la auditora.
P.5.4.2 Identificar concretamente los eventos que se deben llevar

a cabo en cada etapa de la auditora
Tomando como base las etapas establecidas con anterioridad, el siguiente paso es definir, lo ms concretamente posible, cada uno de los eventos que integrarn cada una
de las etapas propuestas en que se dividi la auditora, de acuerdo con las necesidades concretas identificadas en los puntos anteriores. Se recomienda utilizar la grfica
de ruta crtica, la grfica de Gantt o el programa Project de Microsoft.
Tomando el evento como un suceso esperado, al cual se debe llegar despus de
una serie de actividades, la identificacin de todos estos eventos es una parte fundamental en la definicin de las etapas en que se divide la auditora de sistemas.
P.5.4.3 Delimitar lo ms claramente posible las actividades, tareas

y acciones para cada evento
Una vez que se han definido los eventos que se requieren para integrar las etapas en
que se dividi la auditora, el siguiente paso es determinar, lo ms clara y concretamente posible, todas y cada una las actividades y tareas concretas que se debern llevar a
cabo para cada evento.
El auditor ser el responsable de establecer estas actividades, tareas y acciones.
P.5.4.4 Distribuir los recursos que sern utilizados en las diferentes

etapas, eventos, actividades y tareas
Una vez establecidas todas las acciones, actividades y tareas para cada uno de los
eventos de las etapas de la auditora, el siguiente paso es determinar tanto los recursos humanos como los recursos adicionales que sern utilizados en cada una de esas
etapas, ya sea en forma individual o en forma conjunta.
P.5.4.5 Calcular la duracin de las etapas, actividades y tareas

planeadas para la auditora
Otro de los puntos fundamentales para elaborar el programa de auditora, es determinar la duracin de cada uno de los eventos, etapas, actividades tareas y acciones que
222
integrarn dicho programa; para ello, se deben considerar los recursos que se utilizarn en la evaluacin, ya sean de carcter humano o los adicionales que apoyan el trabajo del auditor.
Dicha estimacin se debe hacer de acuerdo a la disponibilidad de los recursos, a
la prioridad de cada etapa y a la habilidad del responsable de la planeacin.
P.5.4.6 Determinar fechas de inicio y fin de las etapas, actividades

y tareas
Contando con la estimacin de recursos, la duracin de cada evento y la asignacin de
las actividades, tareas y acciones necesarias para realizar la auditora, se podrn establecer las fechas de inicio y fin, no slo de la auditora, sino de cada una de sus etapas, fases, actividades y eventos. Todo de acuerdo con lo determinado en la etapa de
planeacin y lo establecido en cada uno de las partes de este programa.
P.5.5 Elaborar los presupuestos para la auditora

Este presupuesto es parte integral los dos documentos anteriormente analizados, ya
que se contemplan los recursos que se utilizarn en el plan y programa de trabajo, slo que se agregan los costos y el tiempo que se utilizarn estos recursos durante la evaluacin.
Para complementar los anteriores documentos, veremos que en la elaboracin de
presupuestos se deben contemplar, dentro de un mismo documento, cada uno de los
siguientes aspectos:
P.5.5.1 Asignacin de los costos de los recursos

Es la designacin en nmero, tiempo y costo que, de acuerdo con los programas de
trabajo de la auditora, se hace para utilizar los recursos contemplados para el desarrollo de dicha auditora.
P.5.5.2 Control de los costos de los recursos

Debido a lo limitado de los recursos para el cumplimiento de las actividades de la auditora, y aunque no es indispensable esta parte del presupuesto, es conveniente dar a
conocer en este documento los costos de dichos recursos, con el propsito de valorar
el aprovechamiento y adecuada utilizacin no slo de los recursos humanos, sino de
los otros recursos informticos.
P.5.5.3 Seguimiento y control de los planes, programas y presupuestos

Propiamente esta parte no es del contenido de un presupuesto de una auditora, sino
es una herramienta de control utilizada por el responsable de la auditora; sin embar-
223
go si es conveniente su inclusin en este documento de presupuesto. Aunque tambin

pude formar parte de cualquier de los anteriores; lo importante es que se contenga en
el documento.
De este presupuesto no se citan ejemplos, en virtud de que sera demasiado presuntuoso, a la vez que inoperante, el tratar de encasillar el desarrollo de los presupuestos en un solo formato, razn por la cual, nicamente se deja al nivel de mencin este
punto.
6.3.6 P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos

y procedimientos necesarios para la auditora
El siguiente paso es determinar los documentos y medios con los cuales se llevar a
cabo la revisin a los sistemas de la empresa, lo cual se lograr a travs de la seleccin
o diseo de los mtodos, procedimientos, herramientas e instrumentos necesarios,* de
acuerdo con lo indicado en los planes, presupuestos y programas establecidos para la
auditora. Para lograr esto, sugerimos considerar los siguientes puntos:
P.6.1 Establecer la gua de ponderacin de los puntos que sern evaluados

Una de los aspectos ms importantes que se deben considerar para realizar una auditora de sistemas es la tcnica de ponderacin, la cual, como se seala en el captulo
9 de este libro, es un mtodo especial que ayuda a definir la forma de valorar cada una
de las partes importantes del rea de sistemas, con el fin de aplicar los mismos criterios de evaluacin en todos los aspectos que sern evaluados.
El propsito de utilizar esta herramienta es buscar un equilibrio entre las reas o
sistemas de informtica que tienen mayor peso y trascendencia, con aquellas que tienen poco peso e importancia en la evaluacin; es decir, para que el auditor realice la
evaluacin de todas las reas y sistemas de la misma manera, y de acuerdo con lo establecido en los planes, programas y presupuestos de la auditora.
Como hemos visto, esta tcnica de evaluacin es un instrumento que permite al
auditor compensar las posibles descompensaciones de las reas o sistemas de informtica que tienen mayor peso e importancia en la evaluacin, comparadas con aquellas que tienen poco peso e importancia. Esta ponderacin se logra mediante los
siguientes puntos:
P.6.1.1 Definir las reas y puntos de sistemas que sern auditados

De acuerdo con la planeacin de la auditora, el primer paso es definir las reas, los
aspectos de sistemas o los puntos de inters que se van a evaluar, dndole un peso es* En los captulos 9, 10 y 11 se presentan estas herramientas, mtodos y procedimientos utilizados en este punto.
224
pecfico a cada factor; el auditor establece ese peso a su libre albedro, y de acuerdo a
su experiencia, habilidad y conocimientos sobre el tema.
Lo que se busca en este paso es definir los factores de mayor jerarqua o los ms
representativos de un grupo o sector de sistemas que se desea evaluar. El propsito
fundamental de esta definicin es darle a cada uno de estos factores un valor porcentual (peso especfico), el cual representar la importancia de cada factor en toda la
evaluacin.
P.6.1.2 Definir el peso de la ponderacin por las reas y puntos

que sern evaluados
Una vez que fueron definidas las reas, tpicos o aspectos que sern ponderados, el
siguiente paso es asignarle un valor porcentual a cada uno de los factores elegidos, el
cual es un valor particular que establece el auditor para cada una de las actividades
que sern evaluadas, de acuerdo a su libre albedro. La suma total de estas actividades
invariablemente ser 100%. El ejemplo del siguiente cuadro es una aplicacin de un
peso especfico determinado para una gestin informtica.
Factores primarios que sern ponderados
1. Objetivos del centro de informtica
2. Estructura de organizacin
3. Funciones
4. Sistema de informacin
5. Personal y usuarios
6. Documentacin de los sistemas
7. Actividades y operacin del sistema
8. Configuracin del sistema
9. Instalaciones del centro de informtica
Peso total de la ponderacin
Peso especfico
10 %
10 %
15 %
20 %
15 %
2%
14 %
4%
10 %
100 %
P.6.1.3 Realizar el documento de ponderacin de la auditora

Despus de los puntos anteriores, el siguiente paso es elaborar el documento de ponderacin de manera formal, sometindolo a la opinin y consenso de los dems participantes en la auditora, a fin de que entre todos elijan criterios ms o menos
homogneos de ponderacin; esto tiene el propsito de buscar que todos los tpicos
que sern evaluados sean aplicables de manera similar.
Este documento se presenta a todo el personal de auditora, a fin de que cada auditor entienda cul ser su participacin en esta evaluacin de sistemas.
225
P.6.2 Elaborar la gua de la auditora

Despus de disear la ponderacin de la auditora de sistemas, el siguiente paso es
elaborar la gua de la auditora; ste es un documento de carcter formal, en el cual se
anotan todos los puntos que debern ser evaluados, ya sea del centro de cmputo, del
sistema en evaluacin, de la gestin informtica o de cualquiera de los aspectos del
rea de sistemas. Tambin se anotan la tcnica y la forma en que ser evaluado cada
punto, as como su ponderacin o peso especfico.
Ya sea que el auditor tenga experiencia o que carezca de ella, la gua de evaluacin
ser el documento que le permitir realizar, en forma eficiente y efectiva, su investigacin para la auditora del sistema, centro de cmputo, gestin informtica o de cualquiera de los puntos que se tenga que evaluar, ya que le indicar todo el procedimiento que
deber seguir, los puntos que deber evaluar y las herramientas e instrumentos que deber utilizar para hacer su revisin. Es decir, este documento le puede guiar paso a paso en todos los aspectos que sern auditados.
Entre los principales aspectos que se deben considerar en la elaboracin de la gua
de la auditora encontramos los siguientes:
P.6.2.1 Determinar las reas y puntos concretos que sern evaluados

en el ambiente de sistemas
Es la eleccin especifica de todas las reas, puntos concretos y dems aspectos de sistemas que sern evaluados, determinados de acuerdo con el programa de auditora
que se aplicar. Primero se debe elaborar una lista de las reas y los puntos que sern
evaluados, listndolos de manera ordenada. En el captulo 10 se explica ms detalladamente la elaboracin de la gua de la auditora.
P.6.2.2 Seleccionar los mtodos, procedimientos, herramientas

e instrumentos de evaluacin
Una vez identificadas las reas y puntos que sern evaluados, se deben seleccionar las
tcnicas, mtodos, procedimientos, herramientas y/o instrumentos* que servirn para
realizar la evaluacin de cada punto especfico. Esto con el propsito de que el auditor
sepa lo que debe utilizar para evaluar el punto que se le indica, as como la manera de
efectuar la evaluacin; en algunos casos tambin se puede incluir un breve detalle de
lo que se desea obtener con el uso de tales herramientas.
* Debido a que ste es uno de los aspectos ms importantes de la auditora de sistemas computacionales, en los
captulos 9, 10 y 11 se trata ampliamente cada uno de estos aspectos; por esta razn, aqu slo se hace una breve
mencin de lo mismos.
226
P.6.2.3 Elaborar el documento formal de la gua de auditora

Una vez hechos los trabajos anteriores, se debe elaborar formalmente un documento
llamado gua de auditora de sistemas; tambin se recomienda que ste sea sometido
a la opinin y consenso de los dems participantes en la auditora, a fin de que entre
todos seleccionen las tcnicas, mtodos, procedimientos, herramientas y/o instrumentos que sean aplicables a todos los tpicos que sern evaluados.
Este documento sirve para disear las partes que el personal de auditora debe evaluar, a fin de que cada auditor entienda cul ser su participacin en esta evaluacin.
P.6.3 Elaborar los documentos necesarios para la auditora

Una vez definidos todos los aspectos sealados en las fases anteriores, y de acuerdo
con lo indicado en los documentos terminados de la ponderacin de la auditora y la
gua de auditora de sistemas, el siguiente paso es elaborar los documentos formales
que servirn para recopilar la informacin til para hacer la valoracin de los aspectos
que sern auditados en el rea de sistemas.
Concretamente, y de acuerdo con lo establecido en la gua de auditora, se deben
disear, seleccionar o elaborar los documentos formales que se utilizarn para la recopilacin de informacin y para la aplicacin y uso de pruebas e instrumentos que servirn para comprobar el buen funcionamiento de los sistemas de la empresa.
El propsito es contar con las herramientas, procedimientos e instrumentos que
permitan obtener informacin til para la auditora a los sistemas computacionales de
la empresa, lo cual se logra por medio de los siguientes puntos:
P.6.3.1 Disear los instrumentos y herramientas de recopilacin

de informacin para la auditora
El responsable de la auditora en la etapa de planeacin debe definir lo ms claramente posible los instrumentos de recopilacin de informacin que se requiere en la auditora, de acuerdo con las caractersticas y necesidades de evaluacin de sistemas que
realizar, razn por la cual debe adoptar, disear y aplicar los instrumentos de recopilacin que estn definidos en los captulos 9, 10 y 11 de este libro.
Cabe sealar que en la gua de auditora se deben elegir, preferentemente, los instrumentos, tcnicas, procedimientos y herramientas de recopilacin que satisfagan las
necesidades de evaluacin, de acuerdo con las caractersticas de los sistemas computacionales que se van a auditar y de acuerdo con la experiencia y conocimientos de los
auditores que participarn en la misma.
P.6.3.2 Disear los cuestionarios

Como resultado de la planeacin de la auditora o derivado de la gua de auditora, el
encargado de la auditora ser el responsable de elaborar y autorizar los cuestionarios
227
que se necesitan para el levantamiento de informacin til para la evaluacin del aspecto de sistemas que se trate; de acuerdo con las necesidades, caractersticas y requerimientos especficos que fueron sealados en la gua de auditora.
Es de suma importancia que el auditor de sistemas computacionales sepa cmo
elaborar correctamente estos cuestionarios, ya que se debe seguir un mtodo especfico en su formulacin, mediante el cual le permitirn: definir el objetivo del cuestionario, elegir el tipo de preguntas (dicotmicas, opcin mltiple, abiertas, etctera) y el
nmero de stas; tambin establecer el universo y la muestra de quienes respondern
este instrumento y en s, debe cumplir con caractersticas especficas para el mejor diseo de estos instrumentos de recopilacin.*
Recordemos que los cuestionarios son las formas de recopilacin de informacin
ms utilizadas y de mayor utilidad para el auditor, y consisten en recopilar datos, mediante la aplicacin de cdulas con preguntas impresas, en donde el encuestado responde de acuerdo con su criterio, a fin de que el auditor concentre, agrupe y tabule las
respuestas para obtener, por medio del anlisis e interpretacin, informacin significativa para poder evaluar lo que est auditando.
P.6.3.3 Disear las guas para realizar entrevistas

Similar al cuestionario, como resultado de la planeacin de una auditora o de la gua
de auditora, el auditor o el responsable de la auditora deben definir el tipo de entrevista que ms le conviene a su evaluacin, a fin de establecer las formas como se debe conducir la entrevista y las maneras de obtener la mejor informacin. Esto obliga al
auditor a definir la gua de preguntas que realizar, de acuerdo con su experiencia y
conocimientos en la aplicacin de esta herramienta de recopilacin de informacin.**
Recordemos que una de las tcnicas ms utilizadas en la auditora de sistemas es
la entrevista, que se define como: la recopilacin de informacin que se obtiene en forma directa, cara a cara, a travs de algn medio de captura de datos, en donde el auditor interroga, cuestiona, investiga y confirma sobre los aspectos que est auditando,
siguiendo una serie de preguntas preconcebidas, las cuales va adaptando conforme recibe la informacin del entrevistado y de acuerdo con las circunstancias que se le presentan para obtener mayor informacin.
Es indiscutible la utilidad de esta tcnica, pero debe saber manejarse adecuadamente, para lo cual el auditor debe contar con amplia experiencia y conocimientos para utilizarla, adems de apegarse a la gua de entrevista, en donde se definen todos los
puntos que tendr que seguir para que este instrumento sea til y valioso para su trabajo de auditor.
* En la seccin 9.2 Cuestionarios, del captulo 9, abordaremos con amplitud todo lo relacionado con el cuestionario de auditora de sistemas computacionales.
** En la seccin 9.1 Entrevistas, del captulo 9, se profundizar sobre el uso, caractersticas y aplicacin de este
instrumento de recopilacin de datos.
228
P.6.3.4 Disear los formularios para encuestas

Tambin, como resultado de la planeacin de auditora o de la gua de auditora, el auditor debe definir los tipos de encuestas que utilizar, sus caractersticas y los formularios de preguntas que utilizar en su auditora, a fin de obtener las opiniones de los
auditados en relacin con los sistemas computacionales, sus servicios, satisfaccin de
la funcin informtica y muchos otros tpicos de opinin tiles para su evaluacin.
La encuesta se define como: La recopilacin de datos concretos, dentro de un tpico de opinin especfico, mediante el uso de cuestionarios y/o entrevistas, diseados
con preguntas precisas para medir opiniones de los encuestados y con ellas obtener
respuestas confiables, las cuales permiten conocer su sentimiento hacia aspectos especficos, despus de hacer una rpida tabulacin, anlisis e interpretacin de esa informacin. Es un valioso instrumento de obtencin de informacin y opinin, por ello
debe saber bien utilizar este instrumento.*
P.6.3.5 Disear los modelos y formatos para los inventarios del rea
de sistemas
Como resultado de la planeacin de auditora o de la gua de auditora, surge la necesidad de levantar informacin sobre los activos informticos del rea de sistemas, por
esa razn el auditor deber elaborar los formatos en donde se levantarn los inventarios de hardware, software, mobiliario y equipos, personal de sistemas, informacin y
de todos los dems bienes asignados al rea, a fin de compararlos contra los registros
contables de los mismos y evaluar su uso adecuado.**
Los inventarios se definen como: La recopilacin de todos los bienes y materiales
que posee un rea de sistemas, a fin de comparar las existencias reales y confrontarlas con los registros contables. Es uno de los medios ms valiosos para evaluar el uso
adecuado de los bienes de la empresa, por eso es de suma importancia definir, previamente, el tipo de inventarios a realizar y los modelos o formatos que nos servirn para su aplicacin adecuada.
P.6.3.6 Disear los mtodos e instrumentos de muestreo

En su recopilacin de informacin, el auditor no puede ni debe recopilar toda la informacin disponible en el rea de sistemas, ya que a la vez que sera inoperante, resultara fatigoso y muy dilatado el proceso de recopilacin de datos, por ello deber saber
aplicar las herramientas estadsticas y matemticas que le permitan obtener informa* En la seccin 9.3 Encuestas, del captulo 9, se profundizar sobre la utilidad, uso y formas de aplicacin de este instrumento.
** En la seccin 9.5, Inventarios, del captulo 9, realizaremos un profundo anlisis de las caractersticas, requerimientos y aplicaciones de este instrumento.
229
cin que sea til para su evaluacin, mediante la eleccin correcta de los mtodos e
instrumentos de muestreo que le permitan tratar mejor a este tipo de recopilacin.*
Esta definicin del tipo de muestreo y herramientas estadsticas debe ser el resultado de la planeacin de la auditora que se define en la gua de auditora.
P.6.3.7 Disear los instrumentos especiales de evaluacin de sistemas

De igual manera que en el punto anterior, el responsable de la auditora debe adoptar,
disear y aplicar los instrumentos de especiales de evaluacin, que le permitan definir,
lo ms claramente posible, todos aquellos mtodos, tcnicas, herramientas e instrumentos de evaluacin que sean aplicables en la auditora de sistemas computacionales.
Esto se define en la etapa de planeacin de auditora, de acuerdo con las necesidades
de evaluacin de los sistemas computacionales de que se trate. En los captulos 9, 10 y
11 de este libro se profundiza sobre los instrumentos de evaluacin que puede utilizar
el auditor.
P.6.3.8 Determinar los puntos que sern evaluados con pruebas

Como producto de la planeacin de auditora, puede surgir la necesidad de determinar algunos puntos que permitan evaluar el funcionamiento adecuado del hardware,
equipos perifricos y sus componentes, o del software institucional, sistemas operativos, los programas, aplicaciones, paquetes, utileras, o tambin del procesamiento de
informacin, las bases de datos o cualquier otro tipo de evaluacin a los sistemas computacionales de la empresa; por esta razn, en la etapa de planeacin de la auditora
se deben establecer concretamente los puntos que se requieren evaluar mediante el
uso de pruebas a los sistemas; esto de acuerdo con las caractersticas especficas de
los sistemas que se quieren evaluar en la empresa.
P.6.3.9 Disear las pruebas para la evaluacin

Como resultado del punto anterior, y parte importante de la planeacin de auditora,
en esta etapa se determinan, lo ms claramente posible, el tipo de pruebas, su alcance e intensidad, sus caractersticas y especificaciones, de acuerdo con las necesidades
de la auditora y las caractersticas de los sistemas. Claro est, respetando los puntos
diseados en la seccin anterior y las especificaciones de procesamiento de los sistemas computacionales que se evaluarn.**
Es de suma importancia recalcar que el diseo y aplicacin de las pruebas o exmenes de auditora se harn en relacin con los puntos definidos en la seccin anterior.
* En la seccin 9.6, Muestreo, del captulo 9, se hace el anlisis del muestro aplicable a la auditora de sistemas
computacionales.
** En la seccin 10.1, Exmenes, del captulo 10, se profundiza lo relacionado con exmenes al rea de sistemas
230
P.6.3.10 Disear los instrumentos y herramientas para pruebas

de evaluacin
Cuando ya estn perfectamente definidos los puntos a evaluar y las pruebas que se realizarn (secciones P.6.3.8 y P.6.3.9), el auditor ya puede elegir o disear los instrumentos, herramientas, mtodos y procedimientos que le permitirn realizar dichas pruebas;
esto obedece a que los sistemas computacionales tienen caractersticas muy especficas
y, antes de realizar cualquier prueba, se deben analizar a profundidad con el fin de no
afectar el funcionamiento normal de los sistemas. No es lo mismo realizar un procesamiento de datos de prueba a un sistema en funcionamiento (aunque sea con datos falsos), que un procesamiento de datos a un sistema paralelo (aun con datos verdaderos).
Recordemos que el auditor evala el funcionamiento de los sistemas a travs de
pruebas, pero estas pruebas no pueden ni deben interferir en el actual funcionamiento de los sistemas. De ah la importancia de saber elegir, perfectamente, el tipo de instrumentos con los cuales se realizarn las pruebas.
En los captulos 9, 10 y 11, el auditor encontrar instrumentos valiosos que le ayudarn a elegir estas herramientas de evaluacin de prueba de los sistemas.
P.6.4 Determinar herramientas, mtodos y procedimientos

para la auditora de sistemas
Una vez que ya fueron definidos los puntos sealados en las fases anteriores y que ya se
cuenta con los documentos necesarios para aplicarse a las necesidades de auditora establecidos en la ponderacin de auditora de sistemas y la gua de auditora de sistemas,
el siguiente paso es determinar las herramientas, mtodos y procedimientos que se utilizarn para llevar a cabo la evaluacin en el ambiente de sistemas que se auditar.
En la seccin P.6.3 sealamos que es necesario definir los documentos a utilizar,
mientras que en esta etapa tenemos que seleccionar los instrumentos a utilizar en la
auditora, ya sea que se elijan los instrumentos que ya se han probado con anterioridad, de los que se necesitan redisear para esta evaluacin o de aquellos que tienen
que disearse para aplicar a las necesidades de esta auditora. Todo en funcin de las
caractersticas de los sistemas que se estn auditando.
En los captulos 9, 10 y 11 de este libro se profundizar sobre la utilidad, diseo y
uso de estas herramientas de evaluacin para la auditora de sistemas computacionales.
P.6.4.1 Disear las herramientas e instrumentos que sern utilizados

en la evaluacin
Se refiere a la definicin especfica de los instrumentos y herramientas informticos
que el auditor utilizar para evaluar los sistemas computacionales de la empresa. En
especial, los elementos de sistemas computacionales que utilizar para evaluar a los
propios sistemas y para aquellas aplicaciones especficas del sistema computacional.
231
Estos puntos sern tratados con amplitud en los captulos 9, 10 y 11 del libro.
P.6.4.2 Establecer los mtodos y procedimientos que sern utilizados

en la auditora
Se refiere a la definicin especfica de los mtodos de trabajo y procedimientos de auditora que el auditor aplica para llevar a cabo su auditora a los sistemas computacionales de la empresa. Dichos mtodos y procedimientos son las guas de trabajo, rutinas,
experiencias y conocimientos especficos de auditora que sigue el auditor para realizar
su trabajo. stos pueden estar apoyados en los anteriores instrumentos.
Estos puntos tambin sern tratados con amplitud en los captulos 9, 10 y 11 del
libro.
P.6.4.3 Determinar las tcnicas y procesos especficos que sern

utilizados en la auditora
Las tcnicas se refieren a las habilidades, prcticas, destrezas y pericias que tiene el auditor para realizar su evaluacin, mientras que los procesos son las etapas, actividades
y tareas que sigue el auditor para llevar a cabo su evaluacin. Ambos, tcnicas y procesos, determinan las acciones a seguir en la evaluacin de los sistemas de la empresa.
Tambin en los captulos 9, 10 y 11 del libro, se analizan estos conceptos.
P.6.4.4 Elaborar los documentos formales para los procedimientos,

mtodos, herramientas e instrumentos que sern utilizados en la
auditora
Cuando el auditor o responsable de la auditora ya tienen perfectamente definidos todos
y cada uno de los puntos que utilizar en su auditora, como resultado de la planeacin
de la auditora, debe plasmar en un documento formal cada uno de los instrumentos,
tcnicas, procedimientos y herramientas que utilizar. Detallando lo ms posible las caractersticas y formas de uso de cada instrumento, as como el objetivo que se pretende
satisfacer con las mismas.
Estos instrumentos, tcnicas, procedimientos y herramientas vienen a conformar la
gua de auditora.*
P.6.5 Disear los sistemas, programas y mtodos de pruebas

para la auditora
En una auditora de los sistemas computacionales, entre otras muchas cosas, en auditor debe evaluar, forzosamente, el adecuado funcionamiento de los sistemas computa* En la seccin 11.1, Guas de evaluacin, del captulo 11; se profundiza sobre el uso y utilidad de este instrumento.
232
cionales de la empresa, lo cual se realiza a travs del diseo de programas especficos

que aplica en esos sistemas, as como de mtodos de pruebas especiales, exclusivos
de estos sistemas computacionales. stos, en su conjunto, constituyen la evaluacin
tcnica al funcionamiento de los sistemas de la empresa.*
Precisamente como resultado de la planeacin de auditora y de manera especfica en la gua de auditora, el responsable de la auditora debe plasmar, formalmente,
los sistemas, programas y mtodos que aplicar, en forma de pruebas, para evaluar los
sistemas computacionales de la empresa.
P.6.5.1 Determinar los puntos de inters, programas, bases de datos,

archivos y sistemas que sern evaluados mediante programas y pruebas
de cmputo
En esta fase el responsable de auditora determina, lo ms ampliamente posible, todos
los puntos que sern evaluados durante la auditora, detallando los aspectos de sistemas que le conviene auditar. De preferencia, especificando el objetivo y las caractersticas y las formas de la evaluacin que se utilizarn para tales puntos.
P.6.5.2 Disear las pruebas, programas y sistemas para realizar las

evaluaciones necesarias para el funcionamiento de los sistemas
computacionales, bases de datos y archivos
Contando con los puntos del inciso anterior, ahora disea las pruebas, programas y sistemas que utilizar para las evaluaciones que determinen el funcionamiento adecuado
de los sistemas computacionales de la empresa, sus bases de datos, archivos de informacin y de todos los aspectos relacionados con el procesamiento de informacin en
el rea de sistemas. Incluyendo el hardware, software, instalaciones, perifricos y dems componentes del mismo.
Estos puntos deben corresponder con los sealados en la gua de auditora.
P.6.5.3 Aplicar y obtener los resultados de las pruebas, programas

y sistemas para realizar las evaluaciones necesarias
Una vez que ya se han diseado los procedimientos, tcnicas y herramientas determinados en el punto anterior, el auditor los aplica conforme fueron establecidos, para as
obtener los resultados de su funcionamiento y con ellos lleva a cabo el anlisis de su
comportamiento en la funcin informtica de la empresa. Esto le permitir hacer las
evaluaciones a estos resultados.
* En el captulo 12 se presentan evaluaciones especficas a los sistemas computacionales. Mientras que en los captulos 9, 10 y 11 se presentan las principales tcnicas, herramientas, instrumentos y procedimientos para este tipo de evaluaciones.
233
P.6.5.4 Disear, aplicar y evaluar los resultados de los programas,

mtodos y pruebas de simulacin al sistema
En algunos casos, adems de aplicar los mtodos y pruebas previamente diseados,
ser necesario realizar simulaciones de los resultados, a fin de evaluar el comportamiento de estos resultados a la luz de otras pruebas simuladas en equipos similares o
en el mismo equipo, pero con otro tipo de datos. Esto ayuda a complementar la evaluacin de los resultados que se obtienen del sistema en auditora.
P.6.5.5 Disear otros instrumentos de recopilacin

Producto de las pruebas, programas y mtodos de evaluacin antes sealados, puede
ser necesario disear otros instrumentos que ayuden a evaluar mejor los resultados alcanzados, razn por la cual se puede recurrir a nuevos instrumentos que se elaboran
para complementar la evaluacin de los sistemas. Todo en funcin de las necesidades
de evaluacin y las caractersticas especficas de los sistemas.
P.6.5.6 Elaborar otros documentos de revisin

En algunas ocasiones se deben elaborar otros instrumentos que contribuyen a evaluar,
de mejor manera, los sistemas computacionales de la empresa, para lo cual se debe
considerar las necesidades concretas de evaluacin y los requerimientos de pruebas,
programas y mtodos de evaluacin que sern necesarios.
6.3.7 P.7 Asignar los recursos y sistemas computacionales para la auditora

Una vez definidos todos los aspectos sealados en las fases anteriores, el siguiente paso es asignar los recursos que sern utilizados para realizar la auditora, de acuerdo
con los aspectos ya establecidos con anterioridad. Con la asignacin de estos recursos
especializados, sean humanos, informticos, tecnolgicos o cualesquiera otros que se
hayan establecido para la auditora, es como se lleva a cabo la misma.
En la seccin P.4.7 hice un anlisis ms especfico de estos recursos, sin embargo,
a continuacin sealo los principales puntos que el responsable debe establecer para
la realizacin de la auditora:
P.7.1 Asignar los recursos humanos para la realizacin de la auditora

Los responsables de realizar la auditora son los recursos humanos especializados en informtica y auditora, ya que con ellos se llevan a cabo todas las actividades programadas
para la revisin de los sistemas, la elaboracin de pruebas, operacin de los sistemas, la
evaluacin al funcionamiento de los sistemas, sus bases de datos, el uso correcto y adecuado de la informacin, y en s de todos los aspectos informticos que sern evaluados.
234
Estos recursos humanos, por lo especializado de la actividad que realizan para la

auditora, pueden ser auditores en el rea informtica, cuyos conocimientos les permiten evaluar casi todos los aspectos de sistemas.
Sin embargo, la actividad de los sistemas computacionales de una empresa suele
ser sumamente especializada, ya sea por el tipo de sistemas, la plataforma que se utilice, el software especfico que se emplee o cualesquiera otras especificaciones que
slo el personal del rea domine; por esa razn, el auditor tambin puede recurrir al
personal del rea, de carcter interno, que le ayude a evaluar el funcionamiento de los
sistemas que se auditan, lo cual es muy frecuente y muy vlido. Recordemos que un
auditor no necesariamente debe conocer todos los sistemas computacionales, pero s
debe utilizar la tcnicas de auditora y apoyarse en los expertos informticos para realizar su operacin.
Los recursos a los que puede acudir para su evaluacin suelen ser aquellos especialistas que pertenecen al rea de sistemas computacionales auditada, quienes cooperarn con el auditor para realizar las pruebas, programas y procedimientos de evaluacin
que determine el auditor.
Estos especialistas tambin pueden ser de carcter externo, conformado con personal ajeno a la empresa y/o rea auditadas.
P.7.2 Asignar los recursos informticos y tecnolgicos para la

realizacin de la auditora
As como se asignaron los recursos humanos para la auditora, tambin se tienen que
asignar los recursos informticos y tecnolgicos que requiere el auditor para realizar su
auditora, los cuales vienen a ser sus herramientas de trabajo.
Estos recursos informticos pueden ser los sistemas computacionales que utilizar durante su evaluacin, que incluyen los propios sistemas, sus componentes y perifricos, adems de los programas, paquetes y utileras especializadas de evaluacin,
las bases de datos e informacin (real o simulada) del sistema y en s todo el hardware, software, bases de datos y dems componentes de sistemas que utilizar durante
su auditora. Todo de acuerdo con la determinacin de los recursos establecida en las
etapas anteriores.
Igual con los recursos tecnolgicos especializados que se lleguen a necesitar para
la evaluacin de los sistemas; segn las especificaciones tcnicas de la evaluacin que
realice.
P.7.3 Asignar los recursos materiales y de consumo para la realizacin

de la auditora
Al igual que los anteriores, tambin se tienen que asignar los materiales y consumibles
que sern utilizados durante la auditora, a fin de que el auditor cuente con todos los
elementos necesarios para su evaluacin, que pueden ser desde disquetes, cintas, papelera, equipos de oficina, como de cualesquiera otros elementos no especializados
que utilice durante su evaluacin.
235
El objetivo de asignar estos recursos es que el auditor realice su evaluacin sin

contratiempos al contar con el material necesario para el buen desempeo del trabajo encomendado.
P.7.4 Asignar los dems recursos para la realizacin de la auditora

Aqu se incluyen todos los dems recursos ajenos a los anteriores que sern utilizados
por el auditor, de los cuales destacamos los apoyos materiales y financieros, los viticos, pasajes y otros gastos, por citar slo algunos.
Sin embargo, la asignacin de estos otros recursos estar determinada por lo establecido en la seccin P.4.7.
6.4 2 etapa: Ejecucin de la auditora de sistemas

computacionales
El siguiente paso despus de la planeacin de la auditora es su ejecucin, la cual estar determinada por las caractersticas concretas, los puntos y requerimientos que se
estimaron en la etapa de planeacin.
Debido a que esta etapa es de realizacin especial, de acuerdo con la planeacin
de la auditora, en este inciso slo se indican sus puntos ms importantes, en la inteligencia de que se aplicar verdaderamente de acuerdo a las caractersticas especficas
de la auditora que se trate. Los principales puntos son los siguientes:
Aplicar los instrumentos

y herramientas para la
auditora
Asignar los recursos y

actividades conforme a
los planes y programas
Recopilar la documentacin
y evidencias de la auditora
Identificar y elaborar los documentos de desviaciones
Elaborar los
documentos y presentarlos
a discusin
Elaborar el borrador de desviaciones
Integrar el
legajo de
papeles de
trabajo de la
auditora
Integrar los
documentos y
pruebas en
papeles de
trabajo
236
Concretamente, tenemos los siguientes conceptos:

Aplicar los instrumentos y herramientas para la auditora
Identificar y elaborar los documentos de desviaciones
Elaborar el dictamen preliminar y presentarlo a discusin
Integrar el legajo de papeles de trabajo de la auditora
Como stas ya son las actividades concretas, resultado de la prctica de la auditora de sistemas, a continuacin haremos un breve anlisis de los puntos sealados en
esta parte:
E.1 Realizar las acciones programadas para la auditora

De acuerdo con el programa de auditora, cada auditor tiene que realizar las actividades que le corresponden conforme fueron diseadas, en la cronologa que le fue asignada a cada una, y de acuerdo con los tiempos y recursos que le corresponde utilizar;
el propsito es ejecutar los eventos programados y alcanzar el objetivo de la auditora.
E.2 Aplicar los instrumentos y herramientas para la auditora

Aqu lo importante es que, conforme a la gua de auditora, se tienen que utilizar, uno
a uno, los instrumentos y herramientas elegidos para llevar a cabo la evaluacin, ya
sea mediante la recopilacin y anlisis de la informacin, la observacin, las pruebas
y simulaciones de los sistemas, o mediante cualquier otro instrumento de los que se
disearon previamente para esta revisin.
E.3 Identificar y elaborar los documentos de desviaciones encontradas

Una vez que se realizaron las actividades diseadas en el programa de trabajo de auditora, que se utilizaron los instrumentos de recopilacin de informacin y/o se utilizaron los instrumentos determinados para la auditora, entonces se buscan las posibles
desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales se
anotan las situaciones encontradas, las causas que las originaron y sus posibles soluciones, as como los responsables de solucionar dichas desviaciones y las posibles fechas para hacerlo. En el captulo 8, inciso 8.4, analizaremos ms a fondo este tpico.
El auditor puede elaborar este documento cuando lo considere necesario; es decir, lo puede elaborar conforme va realizando cada evaluacin, conforme va evaluando
reas completas, conforme va realizando cada evento programado o conforme a cualquier otro criterio. Lo importante es que conforme el auditor detecte las desviaciones,
elabore de inmediato el documento de desviaciones.
237
E.4 Elaborar el dictamen preliminar y presentarlo a discusin

Una vez que el auditor determin las desviaciones encontradas durante la evaluacin,
debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de la empresa. Una vez hecho esto, es obligacin del auditor comentarlas con las
personas que estn involucradas directamente en las desviaciones, a fin de encontrar
de manera conjunta las causas que las originaron y, derivado de este intercambio de
opiniones, debe determinar las posibles soluciones para cada una de estas causas. Tambin puede asignar a los responsables de solucionarlas y, de ser posible, las fechas para hacerlo.
Es muy conveniente sealar que la importancia de la auditora no slo estriba en
reportar las desviaciones encontradas en una operacin normal, sino que las personas que estn involucradas directamente en la operacin deben conocerlas; el propsito es que estn conscientes de las desviaciones encontradas en su trabajo para
que puedan emprender las acciones necesarias para corregirlas, si es que las correcciones estn en sus manos. En el captulo 8 analizaremos ms profundamente este
tema.
La auditora no se lleva a cabo para cortar las cabezas de los auditados; es una disciplina que ayuda a detectar las desviaciones en las operaciones de los auditados, as
como a conocer las causas de tales desviaciones y sus posibles soluciones.
E.5 Integrar el legajo de papeles de trabajo de la auditora

El auditor tiene la obligacin de conservar en el llamado legajo de papeles de la auditora cada uno de los instrumentos aplicados en la evaluacin, con el propsito de sustentar, llegado el caso, las observaciones reportadas. En el siguiente captulo se hace
un profundo anlisis de este documento y su importancia.
6.5
3 etapa: Dictamen de la auditora de sistemas

computacionales
El ltimo paso de la metodologa que hemos estudiado es emitir el dictamen, el cual
es el resultado final de la auditora de sistemas computacionales. Para ello presentamos los siguientes puntos:
la informacin y elaborar un informe de situaciones detectadas
Elaborar el dictamen final
Presentar el informe de auditora
238
6.5.1 D.1 Analizar la informacin y elaborar un informe de situaciones

detectadas
La actividad previa, o ms bien paralela, a la deteccin de las desviaciones, es el anlisis de los papeles de trabajo y la elaboracin en borrador de las llamadas situaciones
detectadas; el propsito es que el auditor elabore su borrador y comente las desviaciones con los auditados. Despus de comentarlas, debe elaborar las modificaciones pertinentes, as como el informe definitivo de las situaciones encontradas.
Es necesario advertir que el fin de una auditora de sistemas computacionales no
es encontrar culpables, sino ayudar a corregir las desviaciones encontradas en la operacin normal de dichos sistemas; esto se logra comentando las desviaciones con los
responsables directos, con el fin de que las conozcan y tomen las acciones necesarias
para su correccin.
Concretamente, este punto contendr las siguientes actividades:
D.1.1 Analizar los papeles de trabajo

El auditor debe hacer un estudio de los papeles de trabajo* resultantes de la auditora,
con el propsito de detectar las posibles desviaciones en la operacin normal del rea
o sistema computacional que est auditando. Despus debe plasmar las desviaciones
que encontr en el formato** de situaciones, causas y soluciones, mismo que debe elaborar primero en borrador para comentar estos aspectos con los involucrados, y despus debe alaborarlo en forma definitiva.
D.1.2 Sealar las situaciones encontradas

El auditor debe plasmar en forma especfica y lo ms concretamente posible las desviaciones encontradas en la operacin del sistema o en el rea que est evaluando y,
si es posible, debe sealar las causas que las generaron.
El auditor, ya sea el responsable de la auditora o el encargado de aplicarla, ser
quien, basndose en los papeles de trabajo, su experiencia en el ramo y las situaciones encontradas, elaborar el borrador de las desviaciones que encontr durante la
evaluacin de los sistemas, procurando detallar, hasta donde le sea posible, en que
consisten, su repercusin y los dems aspectos que crea pertinentes, a fin de sealar
concretamente lo observado.
En el captulo correspondiente al informe de auditora analizaremos ms a fondo
el formato de situaciones encontradas.
* En el captulo 7 se explica la manera de presentar los papeles de trabajo y su contenido.
** En el captulo 8 se presenta todo lo relacionado con el dictamen de auditora
239
D.1.3 Comentar las situaciones encontradas con el personal de las reas

afectadas
Una vez que ha detectado las desviaciones, es obligacin ineludible del auditor comentarlas en forma directa y abierta con los responsables de la operacin, a fin de que las
conozcan, acepten, aclaren, complementen y/o las modifiquen con detalles y pruebas.
El auditor no debe, en ningn caso y bajo ningn concepto, presentar las desviaciones
encontradas sin antes haberlas comentado con el auditado. Sin embargo, si el auditor
no tiene la suficiente experiencia, los comentarios con los auditados se pueden desviar
e incluso provocar fricciones que es necesario evitar.
Es un requisito que el auditor comente las desviaciones encontradas, debido a que
adems de servirle para refirmar sus observaciones, le ayudar a comprobarlas, complementarlas y en su caso ampliarlas; esto tambin le ayudar a establecer las causas
que ocasionaron las desviaciones, as como sus posibles soluciones.
En algunos casos, el auditor puede obtener la firma del auditado para comprobar
que se han comentado y aceptado las desviaciones, aunque a veces esto no es posible.
D.1.4 Realizar las modificaciones necesarias

Despus de que el auditor haya comentado ampliamente las desviaciones con los involucrados, deber ratificar las observaciones y, de ser necesario, elaborar las correcciones que sean pertinentes, modificando el borrador, las causas o las posibles soluciones.
Tambin podra elaborar nuevamente el borrador del informe, e incluso lo podra comentar nuevamente si fuera necesario.
Es menester que el auditor comente con el auditado, en forma abierta y clara, las desviaciones encontradas, a fin de que ste lo retroalimente, modifique tales desviaciones y,
si es el caso, le ayude a complementarlas o a determinar sus posibles correcciones.
D.1.5 Elaborar un documento de situaciones relevantes

Una vez que el auditor ha comentado y corregido el borrador inicial, conforme a lo
sealado en los puntos anteriores, debe proceder a elaborar un documento que contenga las situaciones relevantes que encontr durante la auditora y, segn el plan de
trabajo y la costumbre laborar, puede continuar con la elaboracin del dictamen de
auditora.
El auditor puede elaborar los documentos y comentarlos con los responsables de
las reas auditadas conforme va concluyendo las evaluaciones y, si es necesario, conforme va detectando las desviaciones; todo de acuerdo con su forma de trabajar y con
la forma de supervisin establecida en la planeacin inicial de la auditora.
240
6.5.2 D.2 Elaborar el dictamen final

El auditor debe terminar de elaborar el informe de auditora de sistemas y complementarlo con el dictamen final (opinin del auditor), y despus presentarlo a los directivos
del rea de sistemas auditada para que conozcan la situacin actual de dicha rea, antes de presentarlo al responsable de la empresa.
D.2.1 Analizar la informacin y elaborar un documento de desviaciones

detectadas
Por lo general, el auditor responsable de la auditora es quien analiza las desviaciones
que coment con los auditados, para despus elaborar el informe final de las desviaciones encontradas, lo cual es una garanta de que los auditados ya aceptaron dichas
desviaciones, mismas que plasmar en el documento llamado Desviaciones encontradas. En el siguiente captulo trataremos ampliamente ste y otros formatos.
D.2.2 Elaborar el informe y el dictamen formales

Despus de analizar los informes anteriores (el borrador inicial comentado), el auditor
debe elaborar, de manera formal, el informe de las desviaciones encontradas, especificndolas por rea, por servicio o por cualquier otro formato de presentacin, de manera
clara y precisa. Tambin deber presentar las desviaciones conforme a la costumbre de
la empresa; ya sea por importancia, por orden cronolgico, por secuencia de operaciones o por cualquier otro criterio, siempre y cuando ste sea igual en toda la elaboracin
del informe.
Cuando el auditor elabora su dictamen debe tomar en cuenta todas las desviaciones, analizarlas y emitir su opinin acerca de la situacin de las reas y sistemas auditados, especificando, lo ms clara y sinceramente posible, su opinin respecto a dichas
desviaciones y, de ser posible, debe presentar una sugerencia profesional para corregirlas. En el siguiente captulo analizaremos ms profundamente lo relacionado al informe y al dictamen de la auditora de sistemas computacionales.
D.2.3 Comentar el informe y el dictamen con los directivos del rea

As como el borrador del informe de auditora se debe comentar con los auditados, este informe final se debe comentar con los directivos del rea de sistemas; ya sea con
el jefe inmediato, con el gerente o con el directivo principal de esta rea, segn las polticas de la empresa auditora.
Debemos aclarar que el informe de auditora se debe comentar exclusivamente
con los directivos del rea; pero se debe tener especial cuidado para poder comentar
y aclarar lo necesario en este tipo de reuniones.
241
D.2.4 Realizar las modificaciones necesarias

Despus de comentar el informe y el dictamen con los directivos del rea de sistemas,
el auditor podr ratificar o rectificar las observaciones presentadas en estos documentos. Despus de hacer las modificaciones necesarias, podr elaborar el informe y dictamen finales de la auditora.
Si en opinin del auditor no procede ninguna modificacin, o si sus observaciones
fueron sustancialmente modificadas, puede volver a comentar el informe y el dictamen, si lo considera necesario.
6.5.3 D.3 Presentar el informe de auditora

El ltimo paso de esta metodologa que hemos estudiado, es presentarle formalmente
el dictamen de la auditora al ms alto directivo de la empresa, con el propsito de informarle los resultados de dicha auditora. Esta presentacin se debe hacer con toda
la formalidad del caso, con la elaboracin correcta y profesional del dictamen de la auditora, y en medio de una reunin directiva. El informe de auditora debe contener los
siguientes puntos:
La carta de presentacin
El dictamen de la auditora
El informe de situaciones relevantes
Anexos y cuadros adicionales
D.3.1 Elaboracin del dictamen formal

En esta fase son fundamentales la experiencia, los conocimientos y la capacidad del
auditor para elaborar, lo ms profesionalmente posible, el dictamen de la auditora y
el informe de las desviaciones encontradas durante la revisin; el auditor debe hacer el
dictamen tomando en cuenta el informe comentado con los directivos, el formato de
desviaciones y los papeles del trabajo de los dems auditores.
D.3.2 Integracin del informe de auditora

Es de suma importancia destacar que el dictamen y el informe final de la auditora deben ser elaborados perfectamente y no deben tener error alguno. Tambin deben contener, de la manera ms clara y concreta, las desviaciones detectadas en la evaluacin.
D.3.3 Presentacin del informe de auditora

Es la reunin plenaria con el nivel directivo ms alto, para entregarle en mano el dictamen de la auditora realizada; en este caso ya no existen comentarios ni aclaraciones
242
sobre el informe, slo es la lectura o entrega fsica del dictamen y el informe final de
la auditora. Esta presentacin es de carcter formal y protocolario.
D.3.4 Integracin de los papeles de trabajo

El paso siguiente despus de presentar el informe de auditora (dictamen e informe final), es que la empresa auditora debe integrar perfectamente los papeles de trabajo,
ya que servirn en caso de aclaraciones posteriores y para dar seguimiento a las soluciones de las desviaciones encontradas. Esto ser ampliado en el captulo correspondiente a los papeles de trabajo.
Instrumentos
de recopilacin
de informacin
aplicables
en una auditora
de sistemas
computacionales
Estructura del captulo:

9.1.
9.2.
9.3.
9.4.
9.5.
9.6.
9.7.
Entrevistas
Cuestionarios
Encuestas
Observacin
Inventarios
Muestreo
Experimentacin
327
328
Objetivos del captulo

Identificar los principales instrumentos, tcnicas, herramientas y mtodos utilizados en la recopilacin de informacin til para realizar una auditora de sistemas, fundamentados en las
herramientas y mtodos tradicionales de recopilacin de informacin de las auditoras tradicionales; tambin utilizados en el anlisis y diseo de sistemas, y las ciencias sociales, a fin
de conocer su forma de aplicacin y funcionamiento en las auditoras de sistemas computacionales y adaptarlos a las necesidades especficas del ambiente de sistemas que se requiere auditar.
Introduccin del captulo

El auditor debe aprovechar las tcnicas, procedimientos y herramientas tradicionales de auditora aplicables en el rea de sistemas computacionales; el
propsito es que las disee y las utilice para hacer una evaluacin correcta del
funcionamiento de dicha rea, de la operacin del propio sistema o de su gestin informtica, beneficindose con ello debido a la ya probada eficiencia y
eficacia en otros tipos de auditoras, en las cuales se han conseguido buenos
resultados.
Al utilizar estas herramientas, mtodos y procedimientos en la auditora de
sistemas, lo que se hace es utilizar lo mejor de ellas para adecuarlas a las necesidades especficas de evaluacin requeridas en el ambiente de sistemas; ya
sea para evaluar la operacin de los sistemas, en cuanto al hardware, software, instalaciones, comunicaciones, etctera, o la gestin administrativa del rea
de sistemas, las metodologas de desarrollo de proyectos, entre otros muchos
aspectos relacionados con los sistemas.
Es por ello que el auditor de sistemas, como profesional especializado en la
rama de informtica, debe saber cmo utilizar esta serie de tcnicas especficas
de las auditoras tradicionales que le ayudarn a evaluar mejor los diferentes aspectos del rea que tenga que auditar. Adems, estos mtodos tradicionales no
slo se utilizan para evaluar el rea de informtica, sino tambin cualquier otra
rea ajena al ambiente de sistemas.
Para este libro, vamos a clasificar estas tcnicas, mtodos y procedimientos de revisin para el rea de sistemas en tres grandes grupos:
Tcnicas, herramientas y mtodos tiles en la recopilacin de informacin conveniente para la auditora de sistemas computacionales (que trataremos en este captulo).
Instrumentos de recopilacin de informacin
329
Tcnicas, mtodos y procedimientos especializados para la evaluacin de sistemas computacionales (que analizaremos en el siguiente captulo).
Tcnicas, mtodos y procedimientos de apoyo para emitir los diagnsticos sobre los sistemas computacionales (que analizaremos en el captulo 11).
9.1
Entrevistas
La principal actividad de un auditor, sin importar el tipo de auditora que realice, es la
recopilacin de informacin sobre el aspecto que va a auditar, pues concentra y tabula esa informacin en cuadros y estadsticas, analiza sus resultados y emite un juicio
sobre el aspecto que evalu.
Una de las tcnicas ms utilizada por los auditores es la entrevista, ya que a travs
de sta obtienen informacin sobre lo que auditar; adems, bien aplicada, les permite obtener guas que sern importantes para su trabajo, e incluso, muchas veces se entera de tips que le permitirn conocer ms sobre los puntos que puede evaluar o debe
analizar y mucha ms informacin.
La entrevista podra entenderse como la recopilacin de informacin que se realiza
en forma directa, cara a cara y a travs de algn medio de captura de datos, es decir, el
auditor interroga, investiga y confirma directamente con el entrevistado sobre los aspectos que est auditando; en la aplicacin de esta
tcnica, el auditor utiliza una gua de entrevista, la cual contiene una serie de preguntas
preconcebidas que va adaptando conforme recibe la informacin del entrevistado,
de acuerdo con las circunstancias que se
le presentan y en busca de obtener ms
informacin til para su trabajo.
9.1.1 Ciclo de la entrevista de auditora

Es conveniente sealar que para realizar una entrevista adecuada es indispensable
entender y seguir un procedimiento bien estructurado, cuya eficacia en las auditoras
tradicionales y en las ciencias sociales, donde es muy utilizada esta tcnica, est plenamente comprobada. Esto le servir al auditor de sistemas computacionales para
llevar a cabo una buena investigacin, apoyado en una serie de preguntas previamente establecidas y enfocadas al objetivo de la entrevista; con este mtodo se busca captar una mayor informacin sobre lo que se auditar; adems, esta informacin es ms
valiosa que la que se puede obtener por medio de un cuestionario, una observacin
o cualquier otra tcnica de auditora.
330
El siguiente procedimiento es indispensable para realizar una buena entrevista:

Inicio
Apertura
Cima o clmax
Cierre
9.1.1.1 Inicio
Aqu es donde se inicia la entrevista, a travs de una breve presentacin con la cual se
busca romper el hielo, y con una corta explicacin del objetivo de la entrevista; si es
necesario, aqu se hace la solicitud de cooperacin por parte del entrevistado (personal auditado) para que ste proporcione la informacin requerida por el auditor.
En un ambiente puramente prctico, sta es quiz la misin ms difcil del auditor,
ya que por la misma naturaleza de la misin que debe realizar (la de evaluar), lleva implcito el rechazo por parte de la persona a quien va a entrevistar; evidentemente, la
apertura es un camino muy difcil bajo estas condiciones, pero es indispensable para
el xito en la aplicacin de esta tcnica. Algunas veces es importante iniciar con una
breve pltica informal o con algn tema de inters mutuo.
9.1.1.2 Apertura
Tambin conocida como el inicio formal de la entrevista o despertar el inters del entrevistado, es la parte donde el auditor inicia formalmente su interrogatorio, con preguntas breves, simples y de sondeo, sin profundizar sobre algn tema en especial; el
propsito bsico de este punto es obtener posibles respuestas para iniciar la conversacin, tratando de concentrar la pltica sobre un tema de inters comn entre el auditado y el auditor, de preferencia relacionado con el aspecto que se pretende evaluar.
331
Este punto, la apertura de la entrevista, es de suma importancia para el trabajo del

auditor, pues aqu es donde inicia la conversacin formal con el entrevistado, en el cual
se busca evitar cualquier posible rechazo y resistencia de su parte; debemos tomar en
cuenta que muchas veces el auditado est a la defensiva, es evasivo y fro, por lo que
suele responder en forma vaga, evitando, hasta donde le es posible, proporcionar alguna informacin comprometedora para l o sus compaeros. Saber aplicar esta tcnica de auditora es quizs el trabajo ms difcil para el auditor, ya que requiere de una
amplia experiencia y habilidad, adems de slidos conocimientos sobre sus caractersticas, uso y formas de aplicacin.*
9.1.1.3 Cima o clmax

sta es la parte de la entrevista en donde el auditor, con base en su habilidad y experiencia, obtiene la informacin medular para la investigacin, la cual se va propiciando
conforme el tema objeto de la entrevista adquiere mayor inters.
Con una buena aplicacin de este punto, el auditor obtiene la informacin necesaria para evaluar las opiniones, comentarios y datos arrojados en la entrevista.
9.1.1.4 Cierre
sta es la parte final de la entrevista, en donde el auditor proporciona una absoluta libertad al entrevistado por si puede o quiere agregar algo que le permita complementar los datos antes recopilados; en muchas ocasiones, y ms en la aplicacin de una
auditora, sta es una parte sustantiva, pues el entrevistado supone que la entrevista ya
termin; entonces, libre de presin, proporciona al auditor la informacin de mayor utilidad que le permite a este ltimo confirmar, avalar o rectificar lo captado anteriormente. Adems, mediante una hbil conduccin del cierre, el auditor consigue tips,
comentarios y orientaciones que le sern de mucha utilidad para continuar con la evaluacin del aspecto auditado.
Evidentemente, en esta etapa se debe agradecer la participacin del entrevistado.
La entrevista, a diferencia de otras tcnicas y mtodos de recopilacin, requiere
una amplia capacitacin, conocimientos y experiencia por parte del auditor, as como
un juicio sereno y libre de cualquier influencia para poder captar las verdaderas opiniones del entrevistado, y no agregar ni quitar nada de la informacin obtenida.
Adems, a diferencia del cuestionario, la observacin, el muestreo y otras tcnicas
y mtodos de auditora, en la entrevista no es fcil obtener datos cuantitativos medibles y tabulables, y despus concentrar e interpretar dichos datos, debido a que se requiere un profundo anlisis de los resultados obtenidos. Aunque en muchos casos,
esta informacin verbal es ms valiosa que la obtenida con otras herramientas.
* Para ampliar este punto, es recomendable analizar las formas de realizar la entrevista que aparecen ms adelante en este captulo.
332
La aplicacin de esta herramienta exige una gran habilidad y experiencia del auditor,
ya que el entrevistado siempre estar a la defensiva durante su desarrollo y, en muchas
ocasiones, si no es adecuadamente conducida, ser difcil que se obtenga informacin
suficiente sobre algn tema relacionado con el trabajo del auditado.
9.1.2 Tipos de entrevistas para una auditora

Hay dos tipos de entrevistas, las que se hacen de manera libre y espontnea, sin formalidades ni limitaciones, y las destinadas a la participacin del entrevistado, mediante un mtodo previamente establecido. Para el caso de la auditora tambin podramos
agregar otros tipos de entrevistas, por ejemplo, las utilizadas para iniciar una evaluacin, otras que sirven para corroborar y comprobar aspectos detectados con anterioridad o las empleadas para que el auditor informe o confronte los hechos y actores en
determinadas situaciones. Concretamente, los tipos de entrevistas para la auditora de
sistemas computacionales sern los siguientes.
9.1.2.1 Entrevistas libres

Son las entrevistas en las que se sigue un guin bsico para obtener la informacin requerida, pero la participacin del entrevistado es libre y sin ninguna atadura. Con este
tipo de entrevistas se pretende dar libertad al entrevistado para que se explaye; el propsito es tener una mayor intimidad en la pltica para que la informacin sea ms verdica y con ms profundidad; aunque se corre el riesgo de que el entrevistado se
aparte del tema central y pueda perderse en temas intranscendentes.
Es bueno utilizar este tipo de entrevistas para cualquier evaluacin de sistemas,
pues ayudan a que el auditado se extienda libremente en comentarios y aportaciones
sobre lo que se est investigando, aunque se corre el grave riesgo de desviarse del tema sustantivo, deliberada o inconscientemente y que el entrevistado acte casi siempre a la defensiva.
9.1.2.2 Entrevistas dirigidas

En estas entrevistas siempre se dirigen las opiniones del entrevistado, forzando sus respuestas dentro de un parmetro o guin prestablecido, sin admitir ni permitir ninguna
variacin significativa. Aqu, de acuerdo con la habilidad del auditor para conducir la entrevista, la participacin del entrevistado puede llegar a tener mayor profundidad y la calidad de los datos, aunque se puede variar en cuanto a contenido y la utilidad de la
informacin para la evaluacin del auditor.
Este tipo de entrevistas es recomendable para rectificar o ratificar datos con el
entrevistado, siempre que se establezca perfectamente el guin a seguir durante la
entrevista.
333
9.1.2.3 Entrevistas de exploracin

En una auditora de sistemas es recomendable que el primer contacto con los auditados sea a travs de este tipo de entrevistas, pues por lo general son de carcter libre y
pueden ser muy tiles para buscar algn punto de partida para la evaluacin. Adems,
ayudan al auditor a obtener informacin importante para explorar el contorno y apreciar los alcances que pudiera tener la revisin; tambin le ayudan a conocer el ambiente en el que se desarrollar la auditora y como ser la participacin del entrevistado
en la misma.
Las entrevistas de exploracin tambin se hacen con la intencin de familiarizar al
auditor con los sistemas que va a evaluar, debido a que existen muchos tipos de sistemas, programas y paqueteras, utilizados en una institucin de acuerdo con sus necesidades especficas; por esta razn, el auditor debe entender dichos sistemas para
poder evaluarlos, y le ayudan a identificar el mejor punto de partida de la auditora.
9.1.2.4 Entrevistas de comprobacin

Estas entrevistas son de mucha utilidad para el auditor, ya que se realizan para comprobar la veracidad de la informacin recopilada durante la evaluacin y permiten corroborar o rectificar los datos y percepciones sobre las observaciones encontradas con
las pruebas e instrumentos aplicados en la auditora; adems, ayudan a profundizar en
la evaluacin, a reforzar su orientacin o a cambiar el rumbo de la evaluacin.
Este tipo de entrevistas requiere una amplia experiencia y conocimientos sobre las
tcnicas de entrevista, pues cuando se da este tipo de conversaciones, por lo general
el auditado est a la defensiva y es difcil conducirlas, sin embargo, cuando se conducen bien, son muy tiles para ratificar o rectificar datos de una auditora.
9.1.2.5 Entrevistas de informacin

En la metodologa propuesta para desarrollar una auditora de sistemas hablamos de la
necesidad de comentar las observaciones con los auditados o con los funcionarios responsables del rea de sistemas, segn sea el caso; para eso se utiliza este tipo de entrevistas, para que el auditor comente cada una de las desviaciones que reporta en su
informe, y con ello obtiene informacin valiosa del entrevistado que le sirve para rectificar o ratificar las situaciones que est informando, adems le ayudan para recopilar datos tiles para encontrar las causas y soluciones que complementen sus observaciones.
No es fcil llevar a cabo este tipo de entrevistas, ya que requieren de mucha habilidad y experiencia por parte del auditor; recordemos que no es nada fcil comentar
con el auditado las desviaciones de su trabajo o su responsabilidad en el manejo de
los sistemas auditados. Sin embargo, es indispensable llevar a cabo estas entrevistas y
realizarla de la mejor manera posible.
334
9.1.2.6 Entrevistas informales

Estas entrevistas son de suma importancia aunque propiamente no sean entrevistas de
trabajo, ya que cuando el auditor las aplica de manera correcta, le ayudan a conocer
algn tipo de problemtica que slo se expresa cuando no existe la presin de una entrevista formal como las indicadas anteriormente.
Por lo general, estas entrevistas son totalmente ajenas al ambiente de trabajo, casi personales y casi siempre son conversaciones informales que se dan entre personas
para tratar temas sin importancia, sin embargo, el auditor aprovecha estos encuentros
para conocer algn problema especfico que pueda influir en la evaluacin y que de
otra manera no conocera.
9.1.3 Tipos de preguntas para entrevistas

As como sealamos los tipos de entrevistas que se pueden realizar, tambin es necesario
que demos a conocer los tipos de preguntas y la manera en que se pueden plantear stas
durante una entrevista; estas preguntas se hacen de acuerdo con las necesidades y caractersticas de cada entrevista, y se pueden agrupar en los siguientes tipos.
9.1.3.1 Preguntas abiertas

Las entrevistas realizadas con este tipo de preguntas son aquellas donde el entrevistado tiene la libertad absoluta para expresar su opinin sin ningn lmite, aunque a veces se salga del tema que se le plantea.
El auditor de sistemas que aplique esta tcnica debe saber aprovechar este tipo de
preguntas, pues si las emplea correctamente, puede obtener informacin muy valiosa
para su evaluacin; adems, si sabe motivar al entrevistado, ste le puede proporcionar
informacin valiosa que puede validar posteriormente con otro tipo de herramientas de
auditora de sistemas.
9.1.3.2 Preguntas cerradas

Las entrevistas desarrolladas con preguntas cerradas (o concretas) se realizan con el
propsito de centrar las respuestas del auditado hacia el objeto de la entrevista, sin
dejarlo salir del tema. Este tipo de preguntas puede ser de mucha utilidad para el auditor, pues le ayudan a limitar las respuestas hacia el tema central de la entrevista.
9.1.3.3 Preguntas de sondeo

Este tipo de preguntas se puede hacer al inicio o durante el desarrollo de la entrevista, y se utiliza para determinar el grado de cooperacin y participacin del auditado durante la misma; el propsito es averiguar la manera en que el auditado colabora en
335
responder a estos interrogantes. El auditor debe utilizar este tipo de preguntas principalmente para comprobar la veracidad de las respuestas del auditado y as estar en
condiciones de medir su grado de cooperacin, o tambin las puede utilizar para obtener mayor informacin.
9.1.3.4 Preguntas de cierre

Antes de concluir la entrevista es importante realizar las llamadas preguntas de cierre,
las cuales se hacen para terminar con el interrogatorio y como una forma de obtener
informacin adicional de ltimo momento; esta informacin surge al cerrar la entrevista, cuando el entrevistado, libre de la presin de la misma, proporciona informacin
muy til para normar criterios de evaluacin o corroborar datos.
Debemos hacer notar que estas preguntas pueden ser de las ms trascendentales
en la recopilacin de la informacin necesaria para la evaluacin de los sistemas, pues
el auditor puede aprovechar que el entrevistado deja de estar a la defensiva porque
cree que la entrevista ya termin, y puede proporcionar informacin muy valiosa para
la evaluacin.
9.1.3.5 Preguntas mixtas

Es la combinacin de dos o ms de los tipos de preguntas anteriores, para tratar de
hacer ms gil y eficiente la recopilacin de la informacin necesaria para la auditora.
El auditor debe saber elaborar este tipo de preguntas para aprovechar las posibilidades de la entrevista.
Conviene finalizar el tratamiento de este tema, haciendo nfasis en la aplicacin de
estos tipos de preguntas, a fin de que el auditor pueda obtener informacin valiosa que
pueda corroborar posteriormente con otras herramientas de auditora, pero lo importante es que sepa utilizar dichos tipos de preguntas como un eficaz instrumento de
captacin de informacin.
Es muy aconsejable que el auditor inicie la recopilacin de informacin para una
evaluacin mediante una entrevista, sea formal o informal, y que despus compruebe
la informacin que obtuvo en esa entrevista, y posteriormente haga una nueva entrevista para corroborar cada observacin importante.
9.1.4 Formas de realizar una entrevista para una auditora de sistemas

La entrevista es una de las herramientas que ms ayudan al auditor en una evaluacin,
debido a que le permite obtener la llamada informacin de primera mano y, en muchos
casos, facilita la comprobacin de fenmenos ya contemplados con anterioridad. Sin
embargo, la entrevista debe aplicarse mediante una estructura concreta y una adecuada tcnica de conduccin. Bsicamente hay cuatro tcnicas de conduccin, mismas
que presentamos a continuacin.
336
9.1.4.1 Entrevistas tipo embudo

El auditor inicia este tipo de entrevistas con prePreguntas generales
guntas de carcter general (abiertas), y conforme
avanza la pltica va haciendo preguntas ms concretas
(cerradas), enfocadas hacia el tema que le interesa.
En este tipo de entrevistas se requiere cierta habilidad
y experiencia por parte del auditor, debido a que siempre las
Preguntas
debe iniciar con preguntas de carcter general, si es posible
concretas
alejadas del tema central (la apertura sealada en la seccin
9.2.1), y conforme va logrando la apertura del entrevistado, tiene
que centrar las preguntas hacia aspectos ms concretos que sean de
su inters; como si fuera un embudo o pirmide invertida, que inicia
con lo ms general y termina con lo particular y concreto.
Es recomendable utilizar este tipo de entrevistas para vencer la resistencia de los
auditados que estn a la defensiva. Adems, se pueden utilizar para corroborar informacin captada con anterioridad.
9.1.4.2 Entrevistas tipo pirmide

Preguntas
Estas entrevistas tambin son fundamentales para recopilar

cerradas
informacin en la auditora de sistemas, pero se estructuran
en forma inversa a la anterior, es decir, inician con preguntas cerradas (concretas) y conforme avanza la charla se
van haciendo las preguntas de carcter general con las
cuales se obtiene abundante informacin. Cuando
Preguntas generales
se utiliza esta tcnica siempre se debe finalizar
con una pregunta abierta.
El auditor siempre comienza la entrevista tipo pirmide empleando una pregunta
cerrada muy concreta y a veces directa, con la que, de acuerdo con su experiencia, conocimientos y habilidad, obtiene datos tiles para la evaluacin, y conforme recibe cada respuesta formula las siguientes preguntas y dirige la entrevista hacia el tema que
le interesa, como si fuera una pirmide, iniciando desde la cspide, con preguntas precisas y concretas, y conforme avanza la entrevista contina con preguntas de carcter
general hacia los intereses del auditor.
Este tipo de entrevistas tambin se puede utilizar para obtener informacin, partiendo de algo concreto, de algo ya especificado y, dependiendo de la habilidad del auditor
para llevar a cabo la entrevista, se va dejando en libertad al entrevistado para que informe sobre los aspectos generales que se quieren indagar. Esto es muy similar a lo que
dice el dicho popular: meter aguja para sacar hilo.
337
9.1.4.3 Entrevistas tipo diamante

El auditor inicia este tipo de entrevistas con preguntas cepreguntas cerradas
rradas enfocadas hacia un tpico que le interesa, y conforme avanza la entrevista dirige las preguntas hacia
cuestiones ms abiertas (con preguntas generales). Ya
casi para finalizar la entrevista, de acuerdo con el transcurso de la pltica, vuelve a hacer preguntas concretas
Preguntas abiertas
enfocadas al tema que le interesa
Estas entrevistas son una combinacin de las entrevistas anteriores, ya que inician con la modalidad de la
entrevista de pirmide, pero en lugar de terminarlas con
preguntas abiertas, se contina como en la entrevista
preguntas cerradas
de embudo, es decir, concluyen con preguntas cerradas
(concretas).
Su utilidad es muy variada, ya que se pueden utilizar en forma indistinta para cualquier tipo de entrevista que requiera el auditor.
9.1.4.4 Entrevistas tipo reloj de arena

El auditor inicia las entrevistas de este tipo con preguntas
de carcter general (abiertas), y conforme avanza la pltiPreguntas generales
ca, va haciendo preguntas ms concretas (cerradas) enfocadas hacia temas que sean de su inters; despus, para
finalizar, vuelve a hacer preguntas de carcter general,
buscando que el entrevistado le proporcione la mayor
Preguntas cerradas
cantidad de informacin posible.
En este tipo de entrevistas tambin se da la combinacin de las entrevistas anteriores, iniciando como en la
modalidad de la entrevista de embudo, pero en lugar de
Preguntas generales
terminar la entrevista con preguntas cerradas, se termina
como en la entrevista tipo pirmide, es decir, con preguntas abiertas.
Con estas entrevistas se puede obtener informacin muy til para una auditora de
sistemas, dependiendo de la experiencia y habilidad del auditor que las aplique.
Hemos presentado las anteriores clasificaciones de entrevistas como un complemento de las tcnicas de recopilacin de informacin que se utilizan en el anlisis y diseo de sistemas; asimismo, proponemos estas entrevistas como una herramienta
auxiliar que le servir de apoyo al auditor para obtener informacin relacionada con la
auditora de sistemas computacionales.
338
Otra de las grandes ventajas de este instrumento es que le permite al auditor definir el planteamiento ms adecuado para abordar el tema que desea investigar, mediante la tcnica de la entrevista con los auditados, conforme a su propio albedro y
conveniencia.
Conviene recordar que entrevistar a los auditados es muy difcil, pues la mayora, si
no es que todos, suelen ocultar, disimular o fingir respuestas, y en algunos casos evitan
responder directamente o lo hacen tratando de no comprometerse con lo que dicen.
Muchas veces estos auditados sienten que son interrogados y se ponen a la defensiva,
pues suponen que lo que comenten ser utilizado en su contra. stos son algunos de los
motivos de su falta de cooperacin para responder las preguntas que se les formulan.
sta es la razn por la que se deben conocer distintas tcnicas y mtodos para realizar entrevistas. Es evidente que al seguir estas tcnicas de entrevistas para la recopilacin de informacin del rea auditada, las aportaciones del entrevistado sern ms
confiables y acordes con los requerimientos del auditor.
9.1.5 Formas de recopilar la informacin en las entrevistas de auditora

Ya destacamos la importancia y formas de realizar las entrevistas de auditora, sin embargo, ahora debemos hacer algunas recomendaciones para obtener la informacin
del entrevistado; al respecto, debemos sealar que no es fcil capturar la informacin
que proporciona el entrevistado, pues existen ciertos impedimentos fsicos o personales que dificultan esta tarea, adems de que se necesita de mucha habilidad y experiencia por parte del auditor, as como de la aplicacin de tcnicas especiales.
A continuacin presentamos algunas de las principales formas de recopilar la informacin.
9.1.5.1 Entrevistas grabadas

En estas entrevistas se hace la recopilacin de la informacin por medio de algn instrumento electromagntico o de video, a fin de registrar todos los detalles de la entrevista,
para posteriormente hacer un anlisis de las aportaciones que hace el entrevistado. En
algunos casos, esta informacin se puede utilizar como evidencia de algunas situaciones
reportadas.
Aunque este tipo de captura de datos es el ms sencillo y quizs el ms recomendable, para los entrevistados es el menos favorable, pues les atemoriza saber que los
estn grabando porque suponen que los datos que proporcionan se pueden utilizar como evidencia en la auditora.
9.1.5.2 Tomar notas

Otra de las modalidades ms socorridas para recopilar informacin en una entrevista
es recopilar los datos tomando notas en forma directa, es decir, cuando el auditor toma notas personalmente de lo que dice el auditado.
339
Para aplicar esta tcnica de recopilacin de informacin, el auditor requiere de

una gran habilidad, experiencia y, en muchos casos, del uso de tcnicas especiales
como taquigrafa, toma de dictado o alguna otra herramienta que le permita tomar
notas eficientemente.
La principal ventaja de esta tcnica es que crea menor resistencia en el entrevistado y se puede interpretar la informacin al momento de capturarla; por otro lado, su
principal desventaja es que se puede malinterpretar la informacin y perder datos valiosos cuando no se tiene mucha prctica en esta tcnica.
9.1.5.3 Captar lo esencial sin notas

Una de las formas ms utilizadas de captar informacin en la auditora de sistemas es
sin tomar notas en forma directa, o cuando menos sin que sea tan evidente como en
el caso anterior; aunque es indudable que en esta tcnica tambin se requiere de una
gran experiencia y habilidad por parte del auditor, adems de una gran memoria, concentracin y capacidad de sntesis, entre otras muchas habilidades.
El auditor aplica esta tcnica de manera natural en la prctica cotidiana de la auditora, a cada momento y con la intensidad que le demanda la recopilacin de la informacin,
ya que al consultar e interrogar al entrevistado sobre algn tpico que est auditando, al
mismo tiempo est tomando nota mentalmente de lo consultado, obteniendo as la informacin que requiere sin la formalidad de una entrevista. Obviamente, obtener buenos resultados con esta tcnica depender de la experiencia y habilidad del auditor.
9.1.5.4 Otras formas

En la auditora de sistemas existen otros tipos de entrevistas para recopilar informacin, pero cada auditor las aplica de acuerdo con sus necesidades; por esta razn, slo mencionaremos algunos posibles ejemplos:
Entrevistas de segunda mano, realizadas a personas que no estn involucradas directamente en el aspecto auditado, pero que aportan informacin relacionada.
Entrevistas ocultas, en las que otra persona entrevista al auditado y ste no sabe que
se est recopilando la informacin que proporciona.
Entrevistas disfrazadas de pltica informal sobre cualquier aspecto que aparentemente no tiene relacin con el trabajo, pero en las que se est recopilando la informacin
que proporciona el entrevistado.
9.2 Cuestionarios
Los cuestionarios son una de las formas de recopilacin de informacin de mayor utilidad para el auditor; por esta razn, a continuacin presentamos una definicin de
cuestionario:
340
Es la recopilacin de datos mediante preguntas impresas en cdulas o fichas, en

las que el encuestado responde de acuerdo con su criterio; de esta manera, el auditor
obtiene informacin til que puede concentrar, clasificar e interpretar por medio de su
tabulacin y anlisis, para evaluar lo que est auditando y emitir una opinin sobre el
aspecto investigado.
El cuestionario tiene la gran ventaja de que puede recopilar una gran cantidad de
informacin, debido a que contiene preguntas sencillas cuyas respuestas no implican
ninguna dificultad; adems, como en otros mtodos, su aplicacin es de carcter impersonal y libre de influencias y compromisos para el entrevistado. Tambin tiene la
ventaja de poder seleccionar los tipos de preguntas que se deben realizar, los cuales
sealaremos a continuacin.
9.2.1 Preguntas abiertas

Son las preguntas donde el encuestado es libre de responder de acuerdo con su criterio, o en las que tiene mltiples opciones para responder sin ninguna limitacin, ni
en tamao ni en profundidad y le permiten que la expresin de sus ideas y opiniones
fluya sin limitaciones.
La ventaja de este tipo de preguntas es que se puede obtener ms informacin de
la esperada; tambin dejan abierta la posibilidad de profundizar sobre tpicos no contemplados inicialmente, aunque tienen la desventaja de que dificultan la tabulacin de
los datos, e incluso pueden provocar que se desve la atencin del encuestado.
Estas preguntas son de mucha utilidad en una auditora de sistemas computacionales, principalmente para iniciar la recopilacin de informacin, debido a que se obtiene mucha informacin, aunque se corre el riesgo de desviar la atencin hacia temas
ajenos al objeto de la auditora.
No hay un formato especfico para este tipo de preguntas; por esta razn, el auditor de sistemas puede emplear libremente la forma de preguntas abiertas que le sea
til, de acuerdo con sus necesidades de informacin.
9.2.2 Preguntas cerradas

Con este tipo de preguntas el encuestado tiene la oportunidad de elegir la respuesta
que sea acorde con su opinin de entre las opciones presentadas. Hay varias formas
de preguntas cerradas, entre las cuales tenemos las siguientes.
9.2.2.1 Preguntas dicotmicas

Estas preguntas slo tienen dos posibles respuestas, que por lo general son opuestas
entre s, por ejemplo:
( ) S
( ) Masculino
( ) No
( ) Femenino
341
( ) Presente
( ) Hardware
( ) Ausente
( ) Software
9.2.2.2 Preguntas tricotmicas

Son aquellas que tienen tres opciones de respuesta, por ejemplo:
( ) S
( ) Redes
( ) No
( ) Equipo mayor
( ) Sin respuesta
( ) PCs
Cul es su nivel de responsabilidad en el centro de cmputo?

( ) Operador
( ) Lder de proyecto
( ) Gerente
9.2.2.3 Preguntas de opcin mltiple

Tambin conocidas como preguntas peine o tems, presentan varias respuestas de entre las que se puede elegir slo una; por lo general, estos tems tienen una gama de
respuestas que varan de un extremo a otro, por ejemplo:
Elija la respuesta marcando con una x
Soltero
Divorciado
Viudo
Unin libre
Casado
(
(
(
(
(
)
)
)
)
)
Excelente
Bueno
Regular
Malo
Deficiente
(
(
(
(
(
)
)
)
)
)
Empleado
Usuario
Proveedor
Asesor
Directivo
(
(
(
(
(
)
)
)
)
)
9.2.2.4 Preguntas de opcin de rangos o grupos

Son las preguntas cuyas respuestas se encuentran comprendidas en ciertos rangos o
grupos, dentro de los cuales el encuestado puede elegir slo una de las respuestas, por
ejemplo:
Elija su tiempo de trabajo en computadora de entre alguno de los siguientes rangos:
Menos de 2 horas al da
De 2 a 4 horas al da
Ms de 8 horas al da
Nunca la utiliza
(
(
(
(
(
(
)
)
)
)
)
)
342
9.2.2.5 Gradacin (preguntas de grados opuestos)

Tambin conocida como gradacin de Likert; en este tipo de preguntas cerradas, las
respuestas se emplean para recopilar las opiniones, intereses o actitudes de los entrevistados, concentrando gradualmente cada una de las respuestas, una por una, hasta
obtener porcentajes representativos de ellas, por lo general estas preguntas se hacen
bajo cinco grados o tipos de respuestas, donde los extremos son totalmente opuestos
entre s, por ejemplo:
La empresa pretende modificar el sistema actual de procesamiento de datos por
un sistema de redes. Qu opina?
Totalmente de acuerdo
Generalmente de acuerdo
No s
Generalmente en desacuerdo
Totalmente en desacuerdo
(
(
(
(
(
)
)
)
)
)
Las respuestas a los cuestionarios aplicados se agrupan, una a una, y se concentran en cuadros estadsticos o grficas que arrojan informacin fcil de interpretar, por
ejemplo, para 100 cuestionarios, independientemente de los aspectos estadsticos, se
obtendran los siguientes datos:
Preguntas
Generalmente de acuerdo
No s
Generalmente en desacuerdo
Casos
35
21
7
23
14
343
9.2.2.6 Preguntas testigo

Son las preguntas que se hacen para comprobar la veracidad de las respuestas a otras
preguntas hechas con anterioridad, en otra forma y en otra parte del cuestionario; su
aplicacin es opcional, sin embargo, son muy tiles para comprobar la veracidad de las
respuestas que emiten los encuestados. Adems, estas preguntas se pueden hacer bajo cualquiera de los formatos analizados anteriormente.
9.2.2.7 Preguntas matriz

Estas preguntas tienen la peculiaridad de que se elaboran en cualquier medio, en cuadernillo, en grupo, en hojas sueltas u otro medio, pero son contestadas en una hoja en
forma de matriz, logrando con esto mayor congruencia, una rpida tabulacin y mayor
veracidad en las respuestas.
Adems, tienen la gran ventaja de poder agruparse en obtencin de datos aparentemente distintos y desconectados entre s, pero que le pueden ayudar al auditor a conocer aspectos especiales que desee auditar, por ejemplo:
Edad
Antigedad
Puesto rea
Nivel
Funciones que realiza
de
direc- deci- super- operaingresos tivo
sin
visor
cin
Gerente
Lder de
proyecto
Analista
Programador
Operador
Administrativo
El propio auditor puede elaborar estas preguntas para poder validar las respuestas
en el momento que las recibe, y las puede elaborar en grupo o de manera individual;
pero es l quien debe anotar las respuestas de los encuestados.
Es recomendable elaborar las preguntas previamente y efectuar pruebas piloto antes de aplicarlas, adems pueden aplicarse de manera grupal o individual.
9.2.2.8 Ventajas y desventajas de los cuestionarios

Los cuestionarios son los instrumentos ms populares para la recopilacin de informacin, sobre todo para la informacin relacionada con las auditoras de cualquier tipo.
344
Por esta razn son muy utilizados y tienen muchas ventajas para obtener grandes volmenes de datos, aunque tambin tienen grandes desventajas que limitan su aplicacin. A continuacin presentamos algunas de las ventajas y desventajas ms comunes
de los cuestionarios.
Ventajas
Facilitan la recopilacin de informacin y no se necesitan muchas explicaciones
ni una gran preparacin para aplicarlos.
Permiten la rpida tabulacin e interpretacin de los datos, proporcionndoles
la confiabilidad requerida.
Evitan la dispersin de la informacin requerida, al concentrarse en preguntas
de eleccin forzosa.
Por su diseo, los cuestionarios son muy rpidos de aplicar y ayudan a captar
mucha informacin en poco tiempo.
En el ambiente de sistemas es fcil capturar, concentrar y obtener informacin
til a partir de las respuestas, mediante el uso de la computadora. Incluso se
pueden proyectar los datos y hacer grficas.
Hacen impersonal la aportacin de respuestas; por lo tanto, en una auditora
ayudan a obtener informacin til y confiable, si se plantean bien las preguntas.
Desventajas
Falta de profundidad en las respuestas y no se puede ir ms all del cuestionario.
Se necesita una buena eleccin del universo y de las muestras utilizadas.
Pueden provocar la obtencin de datos equivocados si se formulan deficientemente las preguntas, si se distorsionan o si se utilizan trminos ilegibles, poco
usados o estereotipados.
La interpretacin y el anlisis de los datos pueden ser muy simples si el cuestionario no est bien estructurado o no contempla todos los puntos requeridos.
Limitan la participacin del auditado, ya que ste puede evadir preguntas importantes o se puede escudar en el anonimato que dan los cuestionarios.
Hacen impersonal la participacin del personal auditado, por lo que la aportacin de la informacin til para la auditora es limitada.
Denotan la falta de experiencia y pocos conocimientos del auditor que las aplica, si ste no plantea ni estructura correctamente las preguntas, lo cual puede
provocar que su trabajo sea rechazado.
9.2.3 Mtodo para disear y aplicar los cuestionarios

Ya sealamos al principio de este punto que el cuestionario es uno de los instrumentos ms utilizados en la recopilacin de informacin para cualquier tipo de auditora;
por esta misma razn, en la auditora de sistemas computacionales este valioso instru-
345
mento se puede aprovechar para la recopilacin de informacin sobre algunos aspectos concretos de los sistemas computacionales, sin embargo, para aplicarlo correctamente se necesita un procedimiento especfico que permita utilizar eficientemente
este tipo de instrumentos de auditora; basndonos en ello, a continuacin proponemos los siguientes pasos:
Determinar el objetivo del cuestionario
Elaborar un borrador del cuestionario
Aplicar una prueba piloto
Elaborar el cuestionario final
Determinar el universo y la muestra
Aplicar el cuestionario
Tabular la informacin del cuestionario y elaborar grficas y cuadros
Interpretar los resultados
Elaborar las observaciones
A continuacin analizaremos brevemente cada uno de estos puntos, a fin de entenderlos mejor.
9.2.3.1 Determinar el objetivo del cuestionario

Lo primero que debe hacer el auditor es determinar los objetivos que pretende alcanzar con la aplicacin del cuestionario, es decir, tiene que establecer el fin que persigue;
para ello se tiene que hacer las siguientes preguntas: Qu informacin pretende obtener con la aplicacin del cuestionario? Para qu aplicarlo? Qu informacin obtendr? Cmo la utilizar? La aplicacin del cuestionario satisface sus necesidades de
informacin? Y todo lo relacionado con la recopilacin de informacin para la auditora por medio de este instrumento.
Es importante que el auditor defina perfectamente los objetivos de recopilacin de
datos y los resultados que espera obtener con este instrumento.
9.2.3.2 Elaborar un borrador del cuestionario

Una vez definidos el objetivo y los resultados que espera obtener con este instrumento, el auditor debe elaborar el borrador mecanografiado del cuestionario, definiendo la
cantidad y el tipo de preguntas, as como la forma de aplicarlas para obtener mejores
respuestas sin perder de vista el objetivo de la evaluacin.
El auditor puede elaborar la cantidad de borradores que necesite, lo importante es
que haga el cuestionario lo mejor posible.
9.2.3.3 Aplicar una prueba piloto

Despus de elaborar el borrador del cuestionario, el siguiente paso es probarlo; para ello,
el auditor puede hacer la recopilacin inicial de informacin en forma de experimento, es
346
decir, puede aplicar el cuestionario a determinadas personas, observando la manera en

que lo contestan y las dificultades que hubiese; posteriormente, analizar las respuestas, el
auditor puede comprobar si el cuestionario cumple adecuadamente con los objetivos de
recopilacin de informacin y su utilidad para capturar la informacin que requiere.
El resultado obtenido con esta prueba piloto sirve para corregir, modificar o ratificar la forma en que estn planteadas las preguntas, a fin de recopilar eficientemente
la informacin.
Esta prueba se puede hacer tantas veces como sea necesario, y se puede utilizar
de muchas maneras, pero lo fundamental es hacerla para perfeccionar las preguntas
antes de aplicar el cuestionario final.
9.2.3.4 Elaborar el cuestionario final

Con los resultados de la prueba piloto se perfeccionan todos los detalles del cuestionario para elaborarlo de manera definitiva, a fin de reproducirlo y aplicarlo de acuerdo con
las necesidades y caractersticas de la recopilacin de datos que demanda su evaluacin.
Es muy importante que el auditor haga las pruebas piloto necesarias, a fin de elaborar correctamente el cuestionario final.
9.2.3.5 Determinar el universo y la muestra

ste es uno de los principales aspectos que se deben estudiar en la aplicacin del
cuestionario y de cualquier instrumento de recopilacin de informacin, ya que la validez estadstica de la recopilacin de datos para la auditora de sistemas depender de
su correcta eleccin.
El auditor debe determinar el universo en el que aplicar el cuestionario, de acuerdo con sus necesidades especficas de recopilacin de informacin y, si es necesario,
tambin debe calcular la muestra que utilizar en la aplicacin de los cuestionarios, de
acuerdo con las frmulas estadsticas correspondientes y las necesidades concretas
de la evaluacin.
Debido a la importancia del tema, en la seccin 9.6 de este captulo haremos un anlisis sobre la importancia de las muestras, su uso estadstico y la manera de aplicarlas.
9.2.3.6 Aplicar el cuestionario

El siguiente paso es aplicar el cuestionario a la muestra o personal seleccionado; para
esto se puede utilizar cualquier tcnica de aplicacin, ya sea por correo, directamente,
mediante encuestadores, en forma grupal o individual, o por cualquier otro mtodo.
9.2.3.7 Tabular la informacin del cuestionario y elaborar grficas y cuadros

Una vez que han sido recopilados todos los cuestionarios, el siguiente paso es capturar los datos de cada cuestionario y concentrarlos en cuadros estadsticos o grficas,
347
por medio del mtodo estadstico o programa de cmputo elegido para tabular la informacin, de acuerdo con lo determinado en la planeacin de la auditora, el universo y las muestras.
Debido a que existen muchos mtodos y programas de cmputo para la concentracin de informacin y presentacin de cuadros estadsticos y grficas de interpretacin,
en la seccin 9.6 de este captulo tambin haremos un anlisis sobre estos tpicos.
9.2.3.8 Interpretar los resultados

El siguiente paso y quizs el ms importante para el auditor de sistemas computacionales, es analizar la informacin concentrada en los cuadros estadsticos y grficas de
presentacin, con el propsito de interpretarla y evaluar el comportamiento del aspecto de sistemas auditado; esto tambin le ayuda a identificar las posibles desviaciones
que reportara.
Despus de la elaboracin del cuestionario, la interpretacin de la informacin recopilada con este instrumento es la funcin ms importante del auditor y del responsable de la auditora, ya que slo si tienen la experiencia y los conocimientos necesarios
podrn interpretar correctamente dicha informacin, para as emitir una explicacin
adecuada del comportamiento del mbito de sistemas auditado con este instrumento.
9.2.3.9 Elaborar las observaciones

Una vez interpretada la informacin recopilada, el auditor puede determinar las posibles observaciones sobre el funcionamiento del aspecto de los sistemas evaluados, para reportarlas en su informe. Aqu es donde el auditor establece las desviaciones
encontradas.
Cabe sealar que el cuestionario se puede aplicar en forma individual o general para todos los que trabajan en el rea de sistemas y para las personas involucradas en la
misma; tambin se puede aplicar en cualquier tipo de auditora, de acuerdo con las necesidades concretas de cada evaluacin, con el tiempo programado y con los recursos
disponibles para realizarla.
9.3
Encuestas
Las encuestas constituyen otra de las tcnicas ms populares y de mayor uso en una
auditora de sistemas computacionales, y son tiles principalmente para averiguar
opiniones sobre aspectos de la informtica tales como el servicio, el comportamiento
y utilidad del equipo, la actuacin del personal y los usuarios, la oportunidad de la presentacin de los resultados, entre otros juicios sobre la funcin informtica.
Existen muchas tcnicas y mtodos para aplicar las encuestas, no slo en la auditora sino tambin en las ciencias sociales, en donde tienen muchas aplicaciones y
sus resultados son cada vez ms confiables y aceptados, tanto por las tcnicas y procedimientos que se utilizan para su diseo, como por la eleccin del universo y deter-
348
minacin estadstica de las muestras. Tambin por la forma de captar las opiniones,
concentrar los datos y emitir los resultados en cuadros estadsticos y grficas, adems
de muchos otros aspectos que las han hecho cada da ms populares. Incluso en la
actualidad ya tienen ms aceptacin que otras herramientas para auditoras de sistemas computacionales, ya que son parte fundamental de una investigacin sobre la recopilacin de opiniones, y sus resultados son razonablemente aceptados.
Podemos definir una encuesta de la siguiente manera:
Es la recopilacin de datos concretos sobre un tema especfico, mediante el uso
de cuestionarios o entrevistas diseados con preguntas precisas para obtener
las opiniones de los encuestados, las cuales permiten, despus de hacer una rpida tabulacin, anlisis e interpretacin de esa informacin, conocer su punto
de vista y sentimientos hacia un tpico especfico.
Las encuestas son un complemento muy valioso para la informacin que obtiene el
auditor con los cuestionarios y entrevistas debido a que con ellas consigue comentarios,
opiniones, interpretaciones y datos a travs de preguntas sencillas y simples; asimismo,
puede concentrar esas opiniones a travs de tcnicas estadsticas para cuantificarlas y
darles una interpretacin sobre el fenmeno de sistemas estudiado.
Adems, haciendo primero las encuestas y despus entrevistas aleatorias, el auditor puede corroborar la informacin recopilada de un rea y compararla con la que tiene de esa misma rea o de otra. Esto le ayuda a hacer una mejor evaluacin de los
sistemas que est auditando.
Las encuestas tambin son un valioso auxiliar para obtener informacin abundante, til y confiable sobre el comportamiento, la utilidad y oportunidad con la cual se
proporcionan los servicios del sistema o del rea de sistemas de la empresa. Adems
permiten recopilar, cuantificar, tabular e interpretar fcilmente, en estadsticas, cuadros y grficas las tendencias de opiniones y comentarios de los encuestados.
Por estas razones, aparte de su creciente importancia, es muy conveniente conocer la manera de utilizar esta herramienta que ayuda al auditor en la recopilacin, tabulacin y anlisis, de informacin, no slo para auditoras de sistemas, sino para la
auditora en general.
No existen reglas para el uso de las encuestas en el rea de auditora de sistemas;
quiz las nicas son las que regulan los aspectos tcnico-estadsticos en la eleccin del
universo y la muestra; pero stas se pueden contemplar dentro de la aplicacin de mtodos probabilsticos y estadsticas para hacer la mejor eleccin de las muestras, as
como la seleccin de los mtodos de recopilacin de opiniones.
Con la aplicacin de encuestas en las auditoras de sistemas se busca que la forma de recopilar las opiniones sea gil, sencilla y poco complicada para los encuestados; esto se logra mediante preguntas claras, sencillas y de fcil entendimiento, a fin
de que las respuestas de los encuestados sean concretas y enfocadas hacia el tema de
estudio. Con las encuestas tambin se hace ms sencilla la tabulacin de la informa-
349
cin obtenida y, consecuentemente, se vuelve ms confiable la concentracin de esas

opiniones. Adems, permiten al auditor analizar e interpretar los resultados con mayor
facilidad para fundamentar sus opiniones.
Esta herramienta no es de uso exclusivo para la auditora sino que tambin se aplica, con mucho xito, en el anlisis y diseo de sistemas, el campo de las ciencias sociales y, principalmente, en los sondeos de opinin. Respecto a su aplicacin, existen
muchas tcnicas y mtodos; sin embargo, a continuacin haremos un breve anlisis de
las principales caractersticas de las encuestas y de cmo se aplican en la auditora de
sistemas.
9.3.1 Clasificacin de la encuesta por la forma de obtener la informacin

Esta clasificacin atiende a la manera de obtener la recopilacin de informacin, ya se
sea de las opiniones, comentarios, sugerencias o de cualquier otro dato importante para la auditora de sistemas; dicha recopilacin se puede realizar de tres formas distintas, mismas que analizaremos a continuacin.
9.3.1.1 Encuestas escritas

En estas encuestas se recopila la informacin mediante algn tipo de cuestionario que
el encuestado responde directamente con su puo y letra, quien, adems, puede responder a estas encuestas de manera annima o proporcionar sus datos de identificacin, segn las necesidades de la evaluacin.
La aplicacin de estas encuestas le puede proporcionar grandes ventajas al auditor de sistemas, debido a que le permite tabular y analizar la informacin fcilmente, y
con ello fundamentar sus comentarios, sin embargo, tambin puede haber serias dificultades para su aplicacin, ya sea por resistencia de los encuestados, por su falta de
cooperacin o porque proporcionan informacin limitada e insuficiente; esto puede limitar la utilidad de esta herramienta.
9.3.1.2 Encuestas verbales

En la aplicacin de estas encuestas, el auditor plantea las preguntas directamente al encuestado y obtiene sus respuestas de manera verbal, registrando sus opiniones y comentarios a travs de algn medio magntico o tomando nota l mismo. En este caso,
el encuestador registra las aportaciones del encuestado, sin embargo, en estas encuestas no se debe tratar de interpretar ni tratar de traducir las opiniones del encuestado,
solo debe captarlas.
sta es una de las herramientas ms valiosas en la auditora de sistemas para obtener las opiniones y comentarios de los auditados, ya que ayuda a vencer su resistencia y es de fcil aplicacin; siempre y cuando sea bien utilizada y estn bien definidos
los objetivos que se pretenden alcanzar con ella.
350
9.3.1.3 Encuestas mixtas

Estas encuestas son una combinacin de las dos tcnicas anteriores y se aplican de
acuerdo con las necesidades especficas de informacin del auditor y de acuerdo con
las caractersticas de los encuestados.
9.3.2 Clasificacin de la encuesta por la forma de realizarla

Esta clasificacin obedece exclusivamente a las diferentes formas de obtener las opiniones y comentarios de los auditados; estas formas de obtener la informacin se clasifican de la siguiente manera.
9.3.2.1 Encuestas dirigidas

Son las encuestas en donde un auditor induce al encuestado para que centre sus opiniones y comentarios hacia temas concretos sobre la evaluacin, sin embargo, este tipo de encuestas no se debe confundir con encuestas manipuladas. Lo fundamental de
estas encuestas es que se deben dirigir hacia un objetivo especfico de la evaluacin,
pero no se deben manipular ni desviar intencionalmente hacia un resultado.
A continuacin presentamos algunas aplicaciones para esta herramienta:
Para conocer las opiniones sobre el servicio que prestan los sistemas de la empresa; en estas encuestas todas las preguntas estn enfocadas a obtener opiniones y
comentarios de los usuarios sobre cmo sienten este servicio, y nicamente se deben hacer sobre este tpico, no se pueden hacer para obtener informacin sobre
algn otro tema.
Para conocer la utilidad de un programa desarrollado en la empresa; en este caso, todas las preguntas se enfocarn a que el usuario del programa opine sobre la utilidad
de ste, sus beneficios y defectos, pero nada ms sobre este programa y no sobre otros
similares.
Para las prestaciones que se otorgan a los trabajadores del rea de sistemas; aqu se
busca saber lo que opinan los trabajadores sobre las prestaciones, en dinero y en especie, que reciben como complemento de sus ingresos, pero slo sobre este tema, no
se pueden utilizar para otros temas.
stos son slo tres ejemplos que sirven para que el auditor entienda cmo funciona este tipo de encuestas y para que pueda disearlas de acuerdo con sus necesidades especficas de evaluacin.
9.3.3 Clasificacin de la encuesta por la forma de las preguntas

Por lo general, las encuestas se realizan con preguntas concretas (cerradas) o de carcter general (abiertas) que se centran en temas de inters para el auditor, buscando
351
obtener respuestas en slo dos sentidos; para el mejor entendimiento de esta forma
de elaborar las preguntas para una encuesta, conviene aplicar lo sealado en la seccin 9.2.2 de este captulo, pero adaptndolo a las encuestas. A continuacin haremos
un breve repaso de lo sealado en las preguntas de tipo cerrado.
9.3.3.1 Preguntas dicotmicas

Este tipo de preguntas slo tienen dos posibles respuestas, por lo general opuestas entre s, por ejemplo:
(
(
(
(
) S
) Masculino
) Presente
) Hardware
(
(
(
(
) No
) Femenino
) Ausente
) Software
En las encuestas se puede utilizar este tipo de preguntas, pero tendran muy pocas
aplicaciones y la obtencin de opiniones sera deficiente.
9.3.3.2 Preguntas tricotmicas

Son las preguntas que tienen tres opciones de respuesta, por ejemplo:
El sistema de cmputo instalado en la empresa funciona adecuadamente?
S ( )
No ( )
Sin respuesta ( )
Se va a implantar la capacitacin obligatoria en el manejo de Internet, cul es su posicin al respecto?
A favor ( )
En contra ( )
Sin opinin ( )
La emigracin de sistemas que llevar a cabo la empresa requiere la actualizacin de
los lenguajes; el primer lenguaje que se pretende implantar es Java. Qu opina?
De acuerdo ( )
En desacuerdo ( )
No opina ( )
Aqu las aplicaciones son ms amplias al obtener tres posibles respuestas, sin embargo, aunque se obtiene una mayor gama de opiniones, tambin se pueden considerar pobres y limitadas para las necesidades de una auditora de sistemas.
9.3.3.3 Preguntas de opcin mltiple

Tambin conocidas como preguntas peine o tems, tienen varias respuestas de entre las que se puede elegir una sola; por lo general, estos tems tienen una gama de
respuestas que varan de un extremo a otro, de mayor a menor o viceversa, por
ejemplo:
352
Cmo calificara el funcionamiento del sistema de red instalado en la empresa?

Excelente ( )
Bueno
( )
Regular
( )
Malo
( )
Psimo
( )
Cmo calificara la solucin de los problemas relacionados con el mantenimiento de
los sistemas computacionales?
( ) Muy buena
( ) Suficiente
( ) Mala
( ) Inexistente
La actualizacin del sistema de procesamiento de nmina cumple con los objetivos
trazados?
S cumple en su totalidad
( )
Desconoce si cumple ( )
Apenas y cumple
( )
Se abstiene de opinar ( )
No cumple en lo ms mnimo ( )
En una auditora de sistemas, este tipo de preguntas puede llevar a conclusiones
importantes sobre el funcionamiento actual y futuro de los sistemas.
9.3.3.4 Preguntas de opcin de rangos o grupos

Son las preguntas cuyas respuestas se encuentran comprendidas en ciertos rangos o
grupos que van desde un extremo mnimo hasta otro extremo mximo, dentro de los
cuales el encuestado puede elegir slo una respuesta que satisfaga su opinin. Generalmente se buscan grupos homogneos que representen aspectos graduables para
medir con mayor facilidad las opiniones de los encuestados, por ejemplo:
Cul es, en su opinin, el tiempo ptimo de trabajo en computadora para las actividades que realiza? Seleccione slo uno de los siguientes rangos.
Menos de 2 horas al da
( )
( )
( )
( )
Ms de 8 horas al da
( )
Nunca la utiliza
( )
Cunto tarda (en das hbiles) en capturar los datos para hacer el procesamiento de
la nmina del personal?
Menos de dos das a la quincena
( )
De tres a cinco das a la quincena
( )
353
De cinco a ocho das a la quincena

Ms de ocho das a la quincena
( )
( )
Estas preguntas pueden ser de mucha utilidad para el auditor, ya que las puede
aplicar en mltiples campos y en formas muy variadas, por su facilidad para estimar
rangos ms o menos homogneos en los que el encuestado tiene que opinar sobre uno
solo. Todo depender de los objetivos que el auditor pretenda alcanzar.
9.3.3.5 Gradacin de Likert

En este tipo de preguntas, las respuestas se emplean para recopilar las opiniones, intereses o actitudes de los entrevistados, concentrando gradualmente cada una de las
respuestas para conseguir porcentajes representativos de la mayora de las opiniones;
por lo general estas preguntas se hacen bajo cinco grados o tipos de respuestas, en
donde los extremos son opuestos entre s, por ejemplo:
La empresa pretende modificar el sistema actual de procesamiento de datos por un
sistema de redes. Qu opina de esta decisin?
( )
Parcialmente de acuerdo
( )
No puedo opinar
( )
Parcialmente en desacuerdo
( )
( )
Cmo es, en su opinin, la seguridad en el acceso a los sistemas computacionales
de la empresa, en cuanto a la satisfaccin de las necesidades de proteccin de sus
datos?
Absolutamente confiable
( )
Confiable
( )
Aceptable
( )
Poco confiable
( )
Absolutamente desconfiable
( )
Las respuestas a estas preguntas se agrupan, una a una, y se concentran en cuadros estadsticos o grficas que arrojan informacin fcil de interpretar. En la seccin
9.2.2 de este captulo presentamos un ejemplo de cuadro estadstico y una grfica.
9.3.3.6 Preguntas testigo (variables de control)

Son las preguntas que se hacen para comprobar la veracidad de las respuestas a otras
preguntas hechas anteriormente; con estas preguntas se verifica la honradez en las
respuestas; un claro ejemplo sera el caso de la edad; si vemos al encuestado maduro
354
(entre 36 y 50 aos) y ste pone la edad de un joven (entre 18 y 27), est claro que si
miente en esta respuesta, tambin puede mentir en otra parte del cuestionario; aqu lo
mejor es desechar estas respuestas. Una variante es hacer la misma pregunta en otra
parte de la encuesta, pero cambiando el formato, mas no el fondo; tericamente, la
respuesta debe ser similar; en caso de ser contraria, habra que valorar si se desecha
la encuesta o si estas opiniones se toman con reservas.
El uso de estas preguntas es opcional; sin embargo, son muy tiles para comprobar la veracidad en las respuestas de los encuestados. Adems, este tipo de preguntas, tambin llamadas variables de control, se puede hacer bajo cualquiera de los
formatos que indicamos a continuacin.
Sexo
Esto no se pregunta, slo se observa y se anota.
Masculino ( )
Edad
(
(
(
(
(
)
)
)
)
)
Femenino ( )
Joven [entre 18 y 27]

Adulto [entre 28 y 35]
Maduro [entre 36 y 50]
Mayor [entre 51 y 65]
Anciano [mayor a 66]
Una variante es no preguntar la edad sino el ao de nacimiento; de esta manera se

puede calcular automticamente la edad y observar la apariencia del encuestado.
Lugar de nacimiento
Se recaban el estado y municipio.
Esta pregunta puede ser muy importante en una auditora de sistemas, ya que la
respuesta puede indicar cierto tipo de comportamiento del encuestado, segn su lugar de origen; no es el mismo comportamiento en el sur, que en el centro o en el norte. Este criterio sera muy subjetivo en grandes ciudades y de acuerdo con el tiempo
de residencia, sin embargo, se debe tomar en cuenta cuando sea necesario diferenciar
algunas respuestas.
Educacin
Se mide en aos completos de estudio y se busca identificar el grado de conocimientos y participacin del encuestado en el ambiente informtico. No es lo mismo preguntar a un usuario con pocos conocimientos de sistemas qu opina acerca de la
instalacin de una red, que plantear la pregunta a un usuario con estudios especializados en sistemas. Las respuestas y opiniones son diametralmente opuestas. Para medir
355
el grado de educacin sugerimos utilizar los siguientes rangos, los cuales son aplicables slo al ambiente de sistemas, ya que en las ciencias sociales puede haber otros
parmetros de educacin que aqu no sealaremos:
1. Educacin bsica (para los empleados que tienen primaria o secundaria)
2. Educacin media superior (para los empleados que cursaron la preparatoria o
similar)
3. Educacin secretarial con apoyo de sistemas
4. Educacin tcnica ajena al rea de sistemas
5. Educacin tcnica con especialidad en sistemas
6. Profesional sin conocimientos de sistemas (o con conocimientos elementales)
7. Profesional en sistemas
8. Especialidad en sistemas (maestra, diplomado, certificado)
9. Otros estudios con manejo de sistemas
Manejo de la computadora
Cul es su trabajo en el rea de sistemas y qu equipo maneja?
(
(
(
(
(
(
(
(
) Usuario
) Operador de sistemas
) Desarrollador de sistemas
) Programador de sistemas
) Administrador del sistema
) Directivo de sistemas
) Asesor
) Desarrollador externo
(
(
(
(
(
(
(
(
) PC
) PC
) PC
) PC
) PC
) PC
) PC
) PC
(
(
(
(
(
(
(
(
) Red
) Red
) Red
) Red
) Red
) Red
) Red
) Red
(
(
(
(
(
(
(
(
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
) Equipo mayor
sta es otra de las preguntas que ayudan a valorar la profundidad de las encuestas sobre el dominio de los sistemas por parte del entrevistado, e incluso a rechazarlas. Es obvio que no es igual la opinin de un usuario inexperto en el manejo de una
PC, que la de un experto en redes; la diferencia de conocimientos informticos entre
uno y otro es abismal, por lo tanto, la diferencia en sus comentarios tambin lo es.
Puesto en la empresa
Otra de las preguntas que sirven de apoyo para validar la veracidad de la encuesta, as
como para calificar la importancia de la informacin recopilada en ella, es lo relacionado con el puesto que ocupa el entrevistado en el rea de cmputo, debido a que su
respuesta indica su responsabilidad, autoridad y nivel de toma de decisiones. Esto ayuda al auditor a diferenciar las opiniones y comentarios del auditado.
Es obvio que la opinin del ms alto directivo del rea de sistemas para autorizar
el desarrollo de un nuevo proyecto no es igual a la del operador del sistema, ni a la del
356
lder de proyectos encargado de desarrollar dicho proyecto, ni a la del programador del

sistema. Est claro que cada quien opinar desde su particular punto de vista, de
acuerdo con el nivel de estructura y a su responsabilidad en la empresa.
Qu revistas y peridicos especializados lee el auditado
Cules son los libros, revistas y peridicos especializados en sistemas que lee?
(
(
(
(
) Peridicos
) Revistas
) Libros
) Otros
Cules? _______________________
Cules? _______________________
Cules? _______________________
Cules? _______________________
Esta pregunta sirve para establecer el grado de cultura informtica y actualizacin

que tiene el entrevistado, con el propsito de valorar sus comentarios y opiniones.
9.3.3.7 Encuestas no dirigidas

Al aplicar este tipo de encuestas, el auditor deja que el auditado exprese libremente
sus opiniones y comentarios, sin interferir en stos, sobre un tema especfico de la
evaluacin.
9.3.4 Clasificacin de las encuestas por el universo que abarcan

Es la clasificacin de las encuestas segn el mtodo que se sigue para recopilar las opiniones, ya sea que stas se obtengan de una sola persona, de un grupo o de una rea
en especial; esta clasificacin incluye los siguientes tipos de encuestas.
9.3.4.1 Encuestas individuales

Son las entrevistas que hace el auditor de manera individual a cada uno de los encuestados, utilizando cualquiera de las tcnicas de entrevista anteriores.
9.3.4.2 Encuestas de grupo

Son las encuestas que el auditor aplica a un mismo grupo de auditados, concentrando
de manera estadstica la informacin obtenida y registrndola en grupos, ya sea por
mayora simple, por grupos de opinin o por cualquier otro tipo de gradacin.
La aplicacin de este tipo de encuestas no es fcil ni tan comn, debido a que se
requiere el concurso de un grupo de auditados, los cuales muchas veces no estn dispuestos a cooperar o tratan de minimizar sus comentarios para no comprometerse, sin
embargo, ahorran mucho tiempo de recopilacin y cuando son bien aplicadas se obtiene informacin homognea y resultados confiables.
357
9.3.5 Clasificacin de la encuesta por la forma de manejar la informacin

Esta clasificacin se hace tomando en cuenta la forma de manejar las opiniones y comentarios de los encuestados, debido a que se busca ligar la forma de compilar los datos con
la forma de comprobar su veracidad, oportunidad y suficiencia, as como la forma de establecer un mtodo confiable para accesar la informacin en forma ms congruente.
9.3.5.1 Encuestas unidas

Son las encuestas que se aplican con preguntas hechas especialmente para ligar las
posibles respuestas, opiniones y comentarios de los encuestados, con el fin de obtener una secuencia lgica y confiable.
Este tipo de preguntas se debe realizar de manera simple, sin repetirlas y lo ms
transparentemente posible, ya que se busca verificar la confiabilidad de las respuestas
de los encuestados. Adems, estas preguntas son de gran utilidad para cualquier tipo
de auditora, ya que ayudan a recopilar la informacin de manera ms sencilla.
9.3.5.2 Encuestas transversales

Estas encuestas se hacen con preguntas que se cruzan entre s para obtener cierto grado de veracidad en las respuestas de los encuestados, es decir, se hace una pregunta
en algn lugar y de una manera muy especfica, y despus se hace otra pregunta relacionada con la primera, pero en distinto lugar; el propsito es obtener respuestas ms
o menos secuenciales de un mismo tema; con ello se puede verificar la confiabilidad
de las respuestas de los encuestados.
Estas preguntas son muy importantes en una auditora de sistemas para comprobar la confiabilidad de las respuestas, incluso para eliminar las que no sean tan confiables o para tomarlas con las reservas del caso.
9.3.5.3 Encuestas de candado

Son las encuestas que se hacen con preguntas que tienen el mismo contexto pero planteadas de diferentes formas y en distintas partes de la encuesta, con el fin de determinar la validez de las respuestas, opiniones y comentarios de los auditados es decir, a
travs de preguntas aparentemente diferentes, formuladas en diferentes partes de la encuesta, se obtienen respuestas, comentarios y opiniones similares. En caso de que las
respuestas sean diferentes, el auditor puede dudar de la veracidad de stas. Esto permite que el auditor valore la utilidad de estas encuestas.
9.3.6. Clasificacin de la encuesta por la forma

de participacin de los encuestados
Esta clasificacin permite desarrollar un tipo especial de obtencin de informacin, la
cual se concentra sobre un objetivo especfico, de acuerdo con lo que el auditor quiera analizar; a continuacin presentamos algunos ejemplos.
358
9.3.6.1 Encuestas de panel

Son las encuestas que permiten obtener la opinin de un grupo de auditados seleccionados por alguna caracterstica, conocimientos sobre un tema en especial o necesidad
de la auditora, a fin de ir conformando sus opiniones (iguales o diferentes); como si fuera un panel de libres aportaciones, en donde cada participante va opinando hasta llegar
a consensos o diferencias que ayudan al auditor a captar la informacin que requiere.
Estas encuestas tambin se aplican con otras tcnicas de manejo de grupos, como
tormenta de ideas, corrillos, mesa redonda, Phillips 66 o cualquier otra tcnica de manejo de decisiones grupales, segn la habilidad del auditor para aplicarlas y los resultados que espera obtener con este tipo de encuestas.
9.3.6.2 Encuestas de anlisis

Son las encuestas que se realizan para conocer las opiniones de los auditados y de los
supuestamente expertos en algn tema especializado de sistemas, partiendo de un
examen previo de los temas que interesa investigar, con lo cual se busca comprobar o
en su caso refutar un tema en estudio.
Este tipo de encuestas es muy til para analizar bajo una ptica especfica los datos, la informacin especializada o algn tema de inters especial para el auditor. Claro est, tomando en cuenta las opiniones y comentarios de los auditados y de los
especialistas encuestados.
9.3.6.3 Encuestas de libre albedro

Son las encuestas en las que la opinin del encuestado se analiza sin ningn plan ni
mtodo concreto, y se utilizan para que el auditor pueda examinar posibles opiniones
y comentarios expresados libremente y sin limitaciones. En algunos casos, estas encuestas sirven para saber hacia dnde enfocar la auditora.
9.3.6.4 Encuestas de confirmacin

Ese tipo de encuestas sirve para que el auditor confirme, valide o rechace informacin obtenida previamente sobre algn tema en especial, ya sea aplicando la encuesta a los responsables directos de algn fenmeno o a las personas que pueden validar
esa informacin.
Estas encuestas son muy similares a las que tratamos en la seccin 9.1.3.3; seccin 9.2.2.6 y seccin 9.3.3.6.
9.3.6.5 Encuestas de investigacin

Este tipo de encuestas sirve para que el auditor obtenga informacin sobre algn aspecto que desconoce del rea o tema que va a evaluar, con la colaboracin, forzada o
359
libre, del encuestado; adems, estas encuestas le ayudan a indagar, corroborar o reafirmar algn punto concreto con las opiniones y comentarios de los encuestados.
Podramos seguir explicando los tipos de encuestas que se pueden utilizar en una
auditora de sistemas, pero sera ocioso y a la vez inoperante, ya que el auditor debe
aplicar estas tcnicas y mtodos de encuesta de acuerdo con sus necesidades especficas de informacin, con su experiencia y conocimientos en el manejo de esta herramienta, y con su habilidad para el manejo de opiniones. Por tal razn dejaremos hasta
aqu el anlisis de esta herramienta.
9.4 Observacin
Una de las tcnicas ms populares, de mayor impacto y ms utilizadas para examinar
los diferentes aspectos que repercuten en el funcionamiento del rea de informtica o
del propio sistema, es la aplicacin de diversas tcnicas y mtodos de observacin que
permiten recolectar directamente la informacin necesaria sobre el comportamiento
del sistema, del rea de sistemas, de las funciones, actividades y operaciones del equipo procesador o de cualquier otro hecho, accin o fenmeno del mbito de sistemas.
Con el propsito de entender esta herramienta de la auditora de sistemas, a continuacin presentaremos algunas definiciones de observacin, y despus propondremos algunos enfoques concretos sobre su uso en la auditora de sistemas.
Observacin
Accin y efecto de observar [...] Atencin que se presta a ciertas cosas [...] Reflexin
[...] Explicacin de algo [...] Estudio notable sobre algunas cosas [...] Estudiar la marcha de [...]1
Es la accin de observar, de mirar detenidamente [...] La observacin puede ser estudiada desde el investigador que observa, que mira detenidamente y desde lo observado, lo mirado detenidamente [...] significa tambin el conjunto de cosas observadas, el
conjunto de datos y el conjunto de fenmenos...2
Observar
Del latn Observare: Ejecutar lo prescrito [...] Considerar con atencin [...] Espiar [...]
Notar [...] Advertir, reparar [...] Percibir [...] Atisbar [...] Mirar.3
Examinar con atencin, analizar [...] Advertir, reparar [...] Mirar con atencin y recato,
observar [...] Observar y cumplir lo mandado.4
Arias Galicia aporta
A fin de recolectar datos suficientes, se hace necesario, precisamente, observar los fenmenos en cuestin con objeto de determinar si existe [...] la palabra observacin
porque en ltima instancia los sentidos del investigador deben percibir los eventos directamente o por medio de registros realizados por algn aparato o los efectos del pro-
360
pio sujeto [...] En las ciencias de la conducta nos observamos a nosotros mismos y a
otras personas. En el primer caso hblese de introspeccin (ver hacia adentro) y en el
segundo de extrospeccin (ver hacia afuera). Ambas no necesariamente excluyentes sino, en realidad, se complementan en muchos casos.5
Como podemos deducir a partir de las definiciones anteriores, la accin de observar es el hecho de examinar, analizar, advertir o estudiar algo; en este caso, cuando el
auditor de sistemas aplica esta tcnica, lo que hace es observar todo lo relacionado
con los sistemas de una empresa, con el propsito de percibir, examinar o analizar lo
relacionado con los eventos que se presentan en el desarrollo de las actividades de un
sistema, de un centro de sistematizacin, de la operacin de la computadora o el desempeo de cualquiera de las actividades que le permitirn evaluar el cumplimiento
de las operaciones del sistema.
La observacin se puede hacer desde diferentes puntos de vista y con diversas tcnicas y mtodos que analizaremos a continuacin.
9.4.1 Observacin directa

Es la inspeccin hecha directamente en el contexto donde se presenta el hecho o fenmeno observado, a fin de contemplar todos los aspectos inherentes al comportamiento, conducta y caractersticas de ese ambiente. En este caso, el observador (el
auditor de sistemas) entra en contacto directo con el fenmeno observado, analizando
su comportamiento de dos maneras; por un lado permanece aislado al observar el
comportamiento del hecho o fenmeno (sistema) que va a estudiar, y por otro lado
participa en dicho fenmeno al observarlo. Lo importante es observar en forma directa lo que acontece en el sistema o rea de sistemas auditada. A continuacin presentamos algunos ejemplos de observacin:
Observar la forma en que ingresan los usuarios al centro de cmputo, a fin de conocer
las medidas de seguridad establecidas para el acceso a esta rea.
Observar el comportamiento de los usuarios de un sistema, a fin de evaluar su forma
de utilizarlo.
La observacin (monitoreo) hecha por el administrador de una red acerca del trabajo
que estn realizando los usuarios del sistema, a fin de validar las bases de datos que
ste est utilizando, sus privilegios y restricciones en el sistema, siempre que la observacin no sea oculta, es decir, que el usuario sepa lo que hacen l y el administrador.
En caso contrario, sera una observacin oculta.
Este tipo de observaciones se aplica espontnea e intuitivamente en cualquier tipo de auditora; recordemos que la principal funcin del auditor es observar el funcionamiento de lo que evala; en este caso, lo que observa del ambiente de sistemas en
forma franca, abierta y concisa.
361
9.4.2 Observacin indirecta

Es la observacin del hecho (gestin informtica) o fenmeno (sistema) en estudio, pero sin que el observador (auditor) entre en contacto directo con el aspecto observado,
sino que lo examina por medios indirectos, ya sea por referencias o comparaciones;
para lograr lo anterior, el auditor se vale de observaciones ajenas al hecho, sin entrar
en contacto ni participar por ningn motivo en su comportamiento, actividades o caractersticas.
En estos casos, la funcin del auditor est encaminada a observar las repercusiones del fenmeno contemplado, pero no estudia el propio fenmeno sino su repercusin, comparando lo observado con otro fenmeno similar o con las caractersticas que
debera tener, tomando como referencia otra manifestacin similar.
Este tipo de observacin es muy utilizado en una auditora de sistemas para evaluar el comportamiento de un sistema. A continuacin presentamos algunos ejemplos:
El monitoreo de las actividades de los usuarios en una red de cmputo; aqu no se observa directamente el sistema, sino su operacin.
El seguimiento de las fases de desarrollo de un nuevo sistema; aqu no se evala el desarrollo de los sistemas, sino las fases terminadas de los proyectos de sistemas de la
empresa.
La prueba de escritorio para corroborar la programacin adecuada de un sistema. Aqu
se siguen las instrucciones del sistema pero en el escritorio, como si el sistema estuviera funcionando, pero no se siguen en el sistema cuando ste est funcionando.
Un estudio paralelo de mercado para la adquisicin de equipo de cmputo. Es hacer un
estudio igual al que se lleva a cabo, pero sin que se note que se est realizando.
stos son algunos de los muchos ejemplos de observacin indirecta, la cual no debemos confundir con la observacin oculta, ya que aqu se observa el fenmeno pero
no se oculta que se est observando, e incluso en algn momento se puede comparar
con el fenmeno que se est estudiando.
9.4.3 Observacin oculta

Es cuando el observador (auditor), por las necesidades propias de la evaluacin, permanece oculto para observar el fenmeno que est auditando (sistema o gestin informtica), sin que los involucrados noten su presencia; con este tipo de observacin se
pretende estudiar el comportamiento y las caractersticas del fenmeno en su ambiente natural, sin que sufra ninguna alteracin ni influencia exterior. La presencia del auditor siempre interfiere, aunque no participe en el fenmeno observado.
Este tipo de observacin es muy til en una auditora de sistemas, ya que es muy
similar al sealado en el punto anterior, salvo que aqu nadie sabe que el auditor est
362
observando, entonces ste puede observar con absoluta libertad el comportamiento

del hecho o fenmeno auditado, logrando as identificar el verdadero comportamiento de los sistemas.
9.4.4 Observacin participativa

En este tipo de observacin, el observador (auditor) tiene la oportunidad de formar
parte del fenmeno observado (del sistema o la gestin informtica) como si fuera un
integrante del mismo. Esta participacin le permite observar ms de cerca las caractersticas, costumbres, comportamiento y actuacin del fenmeno observado; adems,
como pertenece a su ambiente, puede comprobar las modificaciones y variaciones determinadas previamente del comportamiento y conducta de los hechos.
Este tipo de observacin es muy til cuando se pretende probar el comportamiento del sistema, debido a que el auditor disea algunos experimentos con el nico propsito de conocer el comportamiento de dichos sistemas bajo ciertas condiciones. A
continuacin presentamos algunos ejemplos:
Procesamiento del sistema actual con datos ficticios. A fin de evaluar su comportamiento, pero con datos que no pueden alterar el sistema.
Modificacin de las operaciones y rutinas bsicas del proceso. Para que el auditor evale
la repercusin de los cambios en el sistema; siempre que se hayan tomado las medidas
pertinentes, como el respaldo del programa original y los cuidados debidos.
Cualquier otra transformacin programada de la operacin normal del sistema. A fin
de saber cul es su comportamiento bajo otras condiciones.
Tambin se pueden alterar otros aspectos del rea de sistemas, como el desarrollo de proyectos, la codificacin de instrucciones, las instalaciones fsicas de energa
elctrica, voz y datos, las actividades de los usuarios y muchos otros aspectos, siempre
que el auditor participe directamente en estos experimentos, a fin de valorar la conducta, caractersticas y alteraciones que sufre el sistema, su operacin e incluso los
usuarios y empleados del rea de informtica con esos cambios.
9.4.5 Observacin no participativa

En sta, el observador (auditor) evita participar en el fenmeno bajo estudio (el sistema o la gestin informtica), a fin de no impactar o contaminar con su presencia el
comportamiento, caractersticas y desenvolvimiento normal del fenmeno observado.
El propsito de este tipo de observacin es saber, de una manera ms confiable y veraz, cmo se comporta el fenmeno.
No debemos confundir este tipo de observacin con la observacin indirecta ni
con la oculta, pues aqu el auditor observa el fenmeno sin tener ninguna participacin
en el mismo, es decir, puede haber alteraciones en el sistema, pero no son producto
363
de la evaluacin sino de la propia operacin, slo que aqu el auditor observa el fenmeno y toma nota de las alteraciones en el comportamiento, pero l no las provoca. A
continuacin presentamos algunos ejemplos:
El comportamiento en los simulacros y pruebas del plan de contingencias. El auditor
observa las pruebas y puede tomar nota de las alteraciones que sufren, pero se abstiene de participar e inclusive de opinar.
Las pruebas de instalacin de programas y paqueteras. Aqu slo observa las variaciones y cambios que se van realizando en la instalacin, y aunque nota deficiencias en
esas pruebas, slo observa y evita opinar y participar en ellas.
Las modificaciones en la aplicacin de los presupuestos del rea de sistemas. Aqu slo valora que se apliquen correctamente los presupuestos, pero si hay cambios y alteraciones en dicha aplicacin, slo toma nota pero no hace comentarios ni sugerencias.
Si es el caso, lo anota en su informe, pero no en la observacin.
Lo fundamental de este tipo de observacin es que el auditor slo capta posibles
cambios en los que l no sugiere ni participa, sino que slo observa cmo se presentan
y cual es su comportamiento.
9.4.6 Introspeccin
En las ciencias sociales la introspeccin se entiende como el examen interno del comportamiento y actuacin del sujeto observado (sistema); en una auditora se entiende
como la observacin interna del fenmeno, es decir, es la investigacin en la que se
observa desde el interior del propio hecho en estudio. Su propsito es entender mejor
el comportamiento del fenmeno, sus caractersticas y su desenvolvimiento.
En este caso el auditor observa el hecho o fenmeno (sistema, gestin informtica
u operacin) desde su interior, a fin de conocer su comportamiento y sus posibles alteraciones desde lo ntimo del fenomeno. Con lo anterior puede hacer una evaluacin
ms directa y profunda. A continuacin presentamos algunos ejemplos:
Asistir a los cursos de capacitacin de los usuarios. Aqu puede participar en los cursos o slo estar como observador; de esta manera puede saber desde el interior cmo
se da la capacitacin en el rea de sistemas.
Estar presente en el anlisis del sistema actual para un nuevo diseo de sistemas. Aqu slo se dedica a observar el comportamiento de los analistas, evitando alterar con su presencia el desarrollo de esta fase del diseo de sistemas. Con ello puede observar, desde
el mismo proceso, qu tan oportunamente se cumple esta fase, y si se emplean las herramientas y metodologas adecuadas en los nuevos proyectos de sistemas de la empresa.
Monitorear las aplicaciones y actividades de los usuarios. Aunque sta tambin puede
ser una observacin oculta, aqu el auditor observa, desde lo ms profundo del sistema, el comportamiento de los usuarios y el aprovechamiento del sistema.
364
Modificar la nmina de cualquier empleado. En este tipo de pruebas, que deben ser
planeadas previamente y estar documentadas perfectamente, el auditor altera algn ingreso, sueldo o cualquier otro aspecto de la nmina (que supuestamente no podra alterar),* a fin de evaluar las repercusiones de estos cambios. Con ello conoce la
seguridad y confiabilidad del sistema desde el interior de ste.
Accesar a los niveles y privilegios que se pueda de una red. En estos casos, el auditor
evala las restricciones, contraseas y la seguridad de los sistemas de red, y evala de
paso la proteccin y confiabilidad de los datos y las restricciones de acceso a los niveles permitidos segn los privilegios de los usuarios.**
Los niveles ms comunes de acceso para los usuarios de sistemas son los siguientes:
Consulta: en este nivel, el usuario slo puede entrar a consultar la informacin.
Captura de datos: en este nivel, el usuario slo puede alterar los datos que permite el sistema.
Modificacin de programacin y datos: en este nivel, el usuario tiene el privilegio de modificar datos sustanciales del sistema, e incluso del programa.
Administrador de la red: en este nivel, el administrador tiene todos los privilegios
para alterar libremente los datos, programas, niveles de privilegios y dems acciones del sistema.
Los anteriores son slo algunos de los muchos casos en los que el auditor puede
valorar los fenmenos que estudia desde el interior de stos; esto le permite captar la
esencia de sus operaciones y su comportamiento real.
9.4.7 Extrospeccin
En este tipo de observacin, el observador (auditor) realiza la inspeccin desde un
punto de vista totalmente externo al fenmeno que est analizando, es decir, hace la
observacin sin entrar en contacto con el interior del hecho observado (el sistema). El
propsito es comprender la actuacin del fenmeno en relacin con otros fenmenos
similares que le servirn de parmetro para compararlo.
Estas pruebas son muy tiles para el auditor, ya que le permiten valorar el comportamiento de los sistemas (programas, paqueteras, gestin administrativa, gestin informtica, operacin, instalaciones, etc.) comparndolo con el comportamiento de
otros sistemas similares. Con ello puede opinar sobre el comportamiento del sistema,
* Tericamente, estos sistemas son inviolables y nadie, ni siquiera el auditor, puede entrar en ellos, mucho menos
hacerles cambios si no existe la debida autorizacin para ello.
** En teora, el auditor slo puede accesar a los niveles que le permita el administrador; por ningn concepto puede accesar a otros niveles sin esa autorizacin. La prueba consiste en entrar hasta donde pueda sin la aprobacin
de los directivos; en cada caso debe documentar los niveles de acceso y la posible alteracin que haga en el sistema de red, para despus reportar lo anterior en su informe.
365
no desde el punto de vista de cmo funciona, sino desde el punto de vista de cmo debera funcionar.
Sin embargo, debemos tomar en cuenta que el fenmeno observado es el que est siendo auditado y que tiene un comportamiento especfico de acuerdo con las caractersticas de operacin de la empresa, y aunque otro sistema est mejor aplicado,
se debe comparar el comportamiento de ambos para sugerir mejoras en la operacin
del sistema observado, y no slo para criticar sus deficiencias.
9.4.8 Observacin histrica

Este tipo de observacin se basa en el registro de los hechos pasados, a fin de analizarlos y proyectar hacia el futuro los resultados obtenidos, adems, el observador (auditor) inspecciona los registros de operaciones y actividades pasadas, histricas, para
estudiar su comportamiento pasado. A continuacin presentamos algunos ejemplos:
La revisin de la bitcora de los servicios de mantenimiento correctivo o preventivo que
se realizan durante un periodo determinado.* En este caso, las observaciones que se
realizan son propiamente la revisin a las observaciones obtenidas de quienes se registraron en las bitcoras.
De hecho, esto es muy similar a la auditora financiera, en la que se observan los
hechos registrados con anterioridad.
9.4.9 Observacin controlada

En este tipo de observacin, el observador (auditor) tiene libre acceso para manipular, de
manera controlada, las variables que afectan al fenmeno estudiado (procesamiento del
sistema, programas, paqueteras, forma de realizar las operaciones, etc.), a fin de analizar los cambios de conducta, los resultados y las caractersticas que se presentan al variar esas condiciones. El propsito de esta tcnica es observar directamente el impacto
que tienen las variaciones que se dan en el fenmeno, es decir, manipulando los cambios
que se van dando en el hecho estudiado. Es indispensable documentar estas variaciones
y, despus de que se hayan presentado, regresar el fenmeno a su estado natural.
Esta observacin es muy similar a las mencionadas anteriormente, slo que en sta el auditor debe planear perfectamente las modificaciones que va a realizar, con el
propsito de no alterar permanentemente el sistema en estudio. Lo ideal es probar las
modificaciones de manera simulada sin alterar para nada el sistema.
* En el ambiente especfico de informtica, al mantenimiento de sistemas se le ha clasificado en dos partes: el llamado mantenimiento preventivo, el cual pretende evitar que se presenten problemas en los sistemas, aplicndose
las medidas preventivas por medio de un programa, previamente establecido. Mientras que, el mantenimiento correctivo, corrige los desperfectos del sistema cuando stos ya ocurrieron. Se supone que el primero es mantenimiento para prevenir y el segundo es para corregir desperfectos.
366
9.4.10 Observacin natural

En esta observacin, a diferencia de la anterior, el observador (auditor) slo propone
las variaciones que va a estudiar, pero no las manipula de ninguna manera, ya que slo busca observar la conducta, los resultados y caractersticas del fenmeno en estudio, pero en su ambiente natural, con sus propias variaciones, sin alterarlas voluntaria
o involuntariamente. Es decir, es la observacin de la conducta del fenmeno estudiado tal y como es, sin alterarlo.
En un aspecto ms prctico, la observacin, en cualquiera de sus variaciones antes estudiadas, es una de las principales herramientas que se pueden utilizar en una
auditora de sistemas, debido a que por medio de las tcnicas y mtodos de observacin, el auditor puede examinar todos los aspectos que intervienen en el funcionamiento de un sistema, de su gestin administrativa y en el comportamiento del rea de
cmputo; ya sea en la operacin del propio equipo, en el desarrollo de las actividades
y el cumplimiento de las funciones del personal del rea de sistemas, en el desarrollo
e implantacin de nuevos sistemas, en las medidas de seguridad y previsin de contingencias del centro de informacin, o para estudiar cualquiera de los dems aspectos
de la actividad del rea de informtica susceptibles de auditar.
Es evidente que con la aplicacin de esta tcnica, el auditor de sistemas recolecta
informacin muy valiosa que le ayuda a emitir un juicio sobre el funcionamiento de cada uno de los aspectos que debe auditar.
Como parte del anlisis de este punto, a continuacin sealaremos algunos de los
aspectos ms relevantes de los sistemas de informacin en los que se puede utilizar la
tcnica de observacin, buscando cubrir algunos de los aspectos ms concretos para
evaluar en dichos sistemas. Cabe aclarar que el uso de esta herramienta bsica para la
auditora de sistemas es slo una sugerencia, ya que, como hemos citado a lo largo de
estas explicaciones, las tcnicas y mtodos de observacin se aplicarn de acuerdo
con las necesidades y caractersticas propias de cada centro de informacin.
La observacin del comportamiento del sistema, en cuanto al funcionamiento del equipo de cmputo, sus perifricos y equipos asociados, as como de su operacin y uso
de stos.
La observacin de la operacin del sistema de procesamiento de datos y el uso de sus
lenguajes, programas, paqueteras e informacin.
La observacin de la existencia y aplicacin de las medidas de seguridad establecidas
en el centro informtico para controlar el acceso del personal informtico, los usuarios
y de personas ajenas al sistema, a los programas, a la informacin y al propio sistema.
Observar los sistemas, proteccin y prevencin de contingencias que repercuten en los
sistemas de cmputo, los equipos, instalaciones, programas e informacin.
Observar la existencia y cumplimiento de los planes de contingencias para salvaguardar los sistemas, archivos y la informacin procesada en ellos.
367
Observar el desarrollo y cumplimiento de las funciones y actividades de los funcionarios, del personal del rea y de los usuarios del sistema.
Observar la administracin y control de proyectos, el desarrollo e implantacin de los
nuevos sistemas y el uso de las metodologas para su anlisis y diseo.
stos son slo algunos de los muchos ejemplos de la aplicacin de esta herramienta de auditora, adaptndola a las caractersticas y variaciones que hemos visto, y usndola de acuerdo con las necesidades de la auditora de sistemas.
9.5
Inventarios
Esta forma de recopilacin de informacin consiste en hacer un recuento fsico de lo
que se est auditando, a fin de saber la cantidad existente de algn producto en una
fecha determinada y compararla con la que debera haber segn los documentos en
esa misma fecha. Consiste propiamente en comparar las cantidades reales existentes
con las que debera haber para comprobar que sean iguales o, en caso contrario, para
resaltar las posibles diferencias e investigar sus causas.
Esta tcnica se utiliza principalmente en las auditoras de carcter financiero, operativo y administrativo, aunque tambin se utiliza en otros tipos de auditoras. Sin embargo, su realizacin consume muchos recursos, ya que es necesario conocer los
bienes existentes, los cuales deben ser contabilizados fsicamente y registrados en documentos formales para compararlos con algn registro formal de los bienes que debera haber.
Con la aplicacin de esta herramienta de la auditora tradicional, el auditor de sistemas tambin puede examinar las existencias de los elementos disponibles para el
funcionamiento del rea de informtica o del propio sistema, contabilizando para ello
los equipos componentes de los sistemas de cmputo, la informacin y datos de la empresa, los programas, perifricos, consumibles, documentos, recursos informticos y
los dems aspectos cuya existencia real se quiere conocer, a fin de comparar dicha
existencia (cantidad) con registros formales de la existencia que debera haber.
En la auditora de sistemas, este mtodo de recopilacin de informacin ayuda
enormemente a realizar una evaluacin adecuada de la gestin administrativa del rea
de sistemas, as como del aprovechamiento, custodia y control de los bienes informticos que hay en dicha rea. Sin embargo, por lo supuestamente tcnico del ambiente
de sistemas, as como por la poca importancia que se suele dar a estos aspectos considerados como administrativos, la realizacin de estos inventarios de bienes asignados al rea de sistemas se deja en segundo plano, a pesar de su importancia para
saber lo que tiene la empresa para realizar las actividades de cmputo, tanto por su
monto y forma de uso, como por lo valioso de los recursos y lo que representan como
bienes de la misma empresa.
Con el propsito de entender cmo se utiliza esta herramienta, a continuacin presentamos algunas definiciones de inventario:
368
Inventario
Lista ordenada de las cosas de valor de una persona o sociedad [...]6
El inventario incluye todos los stocks de artculos y materiales que posee una compaa y utiliza en el proceso de manufactura de productos o para ofrecer un servicio [...]
No obstante, numerosos autores incluyen los suministros de equipos, maquinarias, oficinas, cantina, bienestar, y de hecho todo lo que sea propiedad de la empresa [...]7
En el caso de la auditora de sistemas, definiremos el inventario de la siguiente
manera:
Es la recopilacin de todos los bienes y materiales que posee una empresa, a
fin de comparar las existencias reales con los registros contables.
En un plano ms prctico para la auditora de sistemas, a continuacin presentamos los principales tipos de inventarios aplicables en el ambiente de sistemas computacionales, asimismo, debido a su importancia, los analizaremos para saber cmo
utilizarlos adecuadamente y obtener buenos resultados.
Inventario del software
Inventario del hardware
Inventario de consumibles
Inventario de documentos
Inventario de inmuebles, instalaciones, mobiliario y equipos de sistemas
Inventario del personal informtico
Inventario de bases de datos e informacin institucional
9.5.1 Inventario del software

Uno de los documentos fundamentales para una auditora de sistemas es el inventario
de programas, lenguajes, paqueteras, sistemas operativos y cualquier otro software
utilizado en la institucin para el procesamiento de su informacin y la operacin de
sus sistemas computacionales. El propsito de este inventario es evaluar la existencia
del software, su uso adecuado, su resguardo y aprovechamiento en el rea de sistemas, incluyendo las licencias para su uso, registros y dems caractersticas.
Este inventario se realiza mediante un documento formal en el que se detalla todo
el software que est instalado en los sistemas de la empresa, incluyendo todas sus caractersticas, versiones, formas de presentacin e incluso nmero de licencias para su
uso. Adems, en este inventario tambin se incluye a los responsables del aprovechamiento y resguardo del software, as como la instalacin del software no autorizado (pirata), las razones para utilizarlo y el control que hay de los programas de la empresa.
El auditor de sistemas realiza este inventario con el propsito de contar con un registro pormenorizado del total de software institucional que tiene la empresa, ya sea
en cada una de sus computadoras, en sistemas mayores, en redes de cmputo, sistemas multiusuarios o en todo el sistema; tambin puede realizar el inventario del soft-
369
ware que no est instalado o del utilizado en cualquier equipo de otras reas de la empresa. Asimismo, puede inventariar tanto el software adquirido de terceros, el llamado
software comercial, como el desarrollado en la propia institucin, llamado software desarrollado, o el que haya sido adquirido de cualquier otra forma.
El inventario del software se tiene que realizar invariablemente en dos partes, por
un lado el recuento fsico del software de los sistemas de la empresa, y por otro la comparacin de ese recuento fsico con lo que hay en los registros oficiales de la empresa.
Supuestamente, estos registros deben ser iguales al recuento fsico; en caso contrario,
se deben establecer las diferencias entre ambos. A continuacin analizaremos ambas
partes por separado.
9.5.1.1 Inventario fsico del software

Es el recuento fsico, diramos lgico, de todos los programas de aplicacin, sistemas
operativos, paqueteras, lenguajes y dems software instalado en los sistemas computacionales de la empresa; este recuento se hace con el propsito de identificar el software con el que cuenta el rea de sistemas o los dems equipos de la empresa, ya sea
del que tenga licencia o del instalado sin el permiso correspondiente (conocido como
software pirata).
El auditor realiza este inventario introducindose al rea de sistemas, identificando el software instalado en el equipo de cmputo, listando su existencia en papel o en
cualquier otro medio informtico en el cual contemple con lujo de detalles todo el software que sea considerado como programas, paquetes de aplicacin y explotacin, lenguajes, sistemas operativos y dems programas institucionales o adquiridos de terceros.
Tambin debe incluir en dicho listado todos los programas considerados como ejecutables o los considerados como aplicaciones, inclusive los juegos y utileras.
370
En algunos casos, el auditor debe tratar de identificar el software que est instalado a
simple vista y el que est escondido, as como el que estuvo instalado en el sistema de
cmputo, sin importar que ste haya sido escondido o borrado al momento de hacer el
levantamiento del inventario. Esto se logra mediante el uso de las utileras modernas
que permiten al auditor identificar y recuperar los archivos y programas borrados del
sistema permanente de almacenamiento del sistema computacional. Lo anterior se hace con el propsito de evaluar la forma en que se usa este software.
En el cuadro anterior presentamos un prototipo del documento que se debe utilizar para hacer el inventario fsico del software; ste incluye los detalles mnimos que
se deben considerar en dicho inventario.
9.5.1.2 Registros existentes del inventario del software

Una vez realizado el inventario fsico del software, el siguiente paso es realizar la revisin documentada del mismo; el software debe estar registrado en los documentos
formales de la empresa, ya sea en los registros contables, facturas o en cualquier otro
registro que avale que es propiedad de la empresa, as como el derecho de uso y explotacin de los sistemas adquiridos de terceros o de los desarrollados en la empresa,
incluyendo los lenguajes, programas de explotacin y aplicacin, paqueteras, sistemas
operativos y dems software encontrado en la misma.
Cabe destacar que esta revisin documental del software se hace para comprobar
que el software detectado en el inventario fsico realmente corresponda a lo que se encuentra registrado en la empresa. Casi siempre se compara con las facturas y notas de
adquisicin, los registros contables y cualquier otro documento oficial que avale la posesin del software. Incluso debe haber documentacin comprobatoria que avale el
desarrollo de los propios sistemas en la empresa.*
Con esta comparacin se pueden obtener los siguientes resultados:
Que no existan diferencias y que la empresa tenga las licencias y registros correspondientes para el software instalado.
En estos casos, el auditor debe comprobar que coincida el inventario fsico del software con los registros del mismo. stos pueden ser localizados en contabilidad, en registros documentales del rea de sistemas, en las propias licencias o en cualquier
documento que a criterio del auditor avale la existencia del software.
Que haya software instalado en algn sistema sin que la empresa tenga el registro y la
licencia correspondientes.
* En la prctica, las facturas que amparen la adquisicin del software deben permanecer en el rea contable, pero
las licencias de uso, en el rea de sistemas; el auditor debe verificar la ubicacin de estas licencias y las razones
para que permanezcan en ese lugar, as como el resguardo de las mismas.
371
Cuando ocurre esta situacin, se debe investigar por qu la empresa carece de los
registros oficiales para la instalacin y explotacin del software detectado en los sistemas computacionales, lo cual puede ocurrir por los siguientes factores:
Que haya sido adquirido e instalado en forma ilegal con el conocimiento de los responsables del rea de sistemas.
Que la persona responsable del sistema haya instalado el software en forma ilegal,
sin el conocimiento de los responsables del rea de sistemas.
Que se desconozca dnde est su documentacin oficial.
Que est instalado doblemente sin el permiso correspondiente (con una sola licencia).
Que la empresa tenga el registro y la licencia del software y ste no est instalado.
Es cuando por alguna causa imputable al rea de sistemas (o al responsable del
sistema), el software que aparece en los documentos oficiales no est instalado en los
sistemas computacionales; en este caso, el auditor debe averiguar las razones de esto
ltimo; entre algunas de estas consideraciones podemos encontrar lo siguiente:
Que sea obsoleto y que ya no se requiera su instalacin en el rea de sistemas, pero que an no se haya dado de baja del rea.
Que haya sido extraviado o sustrado del rea de sistemas, y que dicha desaparicin no haya sido reportada.
Que haya sido extraviado o sustrado del rea de sistemas, y que dicha desaparicin s haya sido reportada, pero que an siga vigente en documentos.
Que est registrado en documentos, pero que por cualquier razn no haya sido entregado en el rea de sistemas.
Que haya software instalado sin que la empresa tenga el registro y la licencia correspondientes, y que la empresa tenga el registro y la licencia del software y ste no est
instalado.
Este caso es la combinacin de las dos situaciones que analizamos anteriormente,
y se dan los casos planteados en ambas.
9.5.2 Inventario del hardware

Otro de los aspectos fundamentales que debe ser considerado en una auditora de sistemas es el inventario de los sistemas computacionales y de sus componentes y perifricos fsicos utilizados en la institucin para la captura de datos, el procesamiento de la
informacin y la emisin de sus resultados. El propsito es evaluar su uso adecuado, su
resguardo, su aprovechamiento y el estado en que stos se encuentran; incluyendo las
instalaciones internas y los componentes fsicos de los sistemas computacionales.
372
Igual que en el punto anterior, este inventario se realiza mediante un documento

formal, en el que se deben detallar todas las caractersticas del hardware que la empresa tiene a su disposicin: la marca, modelo, caractersticas propias del sistema, modalidades de procesamiento, velocidad, nmero y tipos de memorias, sistemas
adicionales de almacenamiento, componentes asociados al propio sistema, e incluso
perifricos que complementen su uso adecuado. Adems, en este inventario tambin
se anota a los responsables del aprovechamiento del hardware, as como la existencia
de sus resguardos correspondientes.
El auditor realiza este inventario con el propsito de tener un registro pormenorizado del total de hardware que tiene la empresa, ya sea en cada una de sus reas, en
todo el sistema, en sistemas mayores, redes de cmputo, sistemas multiusuarios o en
forma individual; tambin puede realizar el inventario del hardware que no est en el
rea de sistemas de la institucin.
Es importante que en este inventario tambin se realice la evaluacin de los resguardos que existen para la asignacin de este hardware, as como la identificacin del
responsable de su uso, ya que estos sistemas pueden estar asignados al responsable
de un rea o cada uno a una persona en especfico.
El inventario del hardware tambin se tiene que realizar invariablemente en dos
partes, por un lado el recuento fsico del hardware, y por otro la comparacin de ese
recuento fsico con lo que hay en los registros oficiales de la empresa, a fin de encontrar las posibles diferencias entre ambos. A continuacin analizaremos por separado
ambos tipos de inventarios.
9.5.2.1 Inventario fsico del hardware

Es el recuento fsico de todos los sistemas computacionales instalados en el rea de
sistemas, o de todos los equipos para el procesamiento de informacin disponibles en
las dems reas de la institucin que cuentan con sistemas computacionales; dicho recuento se hace con el propsito de identificar el total del hardware que tiene la empresa, ya sea del que tenga una administracin de sistemas de tipo centralizado,
desconcentrado, compartido o independiente, as como de su conservacin, custodia
y formas de resguardo. El auditor realiza este inventario de muy distintas maneras, entre las cuales tenemos las siguientes:
Inventario individual de los equipos, contndolos uno por uno, as como sus componentes, tanto internos como externos, e incluyendo los perifricos y dems elementos
que integran dichos equipos como una sola unidad.
Inventario global del hardware, contando en forma global los sistemas de cmputo,
despus sus componentes, posteriormente sus perifricos y tambin por separado todos los elementos adicionales a los sistemas.
Cuando el auditor realiza el inventario fsico, en ambos casos tiene que identificar
plenamente el hardware instalado como equipo de cmputo, detectando totalmente su
373
presencia en el rea de sistemas que est auditando, o en cualquier rea que cuente con
estos sistemas; adems tiene que anotar en papel o en cualquier otro documento informtico dichos datos. En este listado se tienen que contemplar, con lujo de detalles, todos los aspectos que integran el hardware considerado como sistema computacional,
incluyendo en dicho listado los elementos tangibles que de alguna manera sean considerados como componentes directos o asociados a los propios sistemas computacionales.
A continuacin presentamos un ejemplo de este inventario, considerando los detalles mnimos que debe contener.
9.5.2.2 Registros existentes del inventario del hardware

Una vez realizado el inventario fsico del hardware, el siguiente paso es realizar la revisin documentada del mismo; el hardware debe estar registrado en los documentos
374
formales de la empresa, ya sea en los registros contables, facturas o en cualquier otro

registro que avale que es propiedad de la institucin.
Esta revisin documental del hardware se hace para comprobar que el equipo, perifricos y componentes detectados en el inventario fsico, realmente corresponda a lo
que se encuentra registrado en la empresa. Casi siempre se compara con las facturas
y notas de adquisicin, los registros contables y cualquier otro documento oficial que
avale la posesin del hardware.
Con esta comparacin se pueden obtener los siguientes resultados:
Que no existan diferencias y que la empresa tenga los registros correspondientes para
el hardware instalado.
En estos casos coincide el inventario fsico del hardware con los registros de ese
mismo hardware.
Que haya hardware, equipos y componentes sin que la empresa tenga el registro y los
documentos correspondientes.
Cuando ocurre esta situacin, el auditor debe investigar por qu la empresa carece de los registros oficiales para la instalacin y explotacin del hardware detectado en
los sistemas computacionales, lo cual puede ocurrir por los siguientes factores:
Que haya sido adquirido en forma provisional con el conocimiento de los responsables del rea de sistemas.
Que la persona responsable de los sistemas haya instalado el hardware en forma
provisional, sin el conocimiento de los responsables del rea de sistemas.
Que se desconozca dnde est la documentacin oficial del equipo, aunque ste
se tenga fsicamente.
Que haya sido prestado a algn usuario o proveedor, y que no se haya realizado la
notificacin correspondiente.
Que la empresa tenga el registro y los documentos del hardware, pero que no lo
tenga fsicamente.
Es cuando, por alguna causa imputable al rea de sistemas, el hardware que aparece en los documentos oficiales no se encuentra fsicamente en el rea de sistemas o
en el rea que debera estar; entre algunas razones podemos encontrar las siguientes:
Que sea obsoleto y que ya no se requiera su uso en el rea de sistemas, pero que
an no se haya dado de baja del rea.
Que sea obsoleto y que ya no se requiera su uso en el rea de sistemas, y que s
haya sido dado de baja del rea, pero que an siga vigente en documentos de la
empresa.
Que est descompuesto y fuera del rea de sistemas, pero que no haya sido dado
de baja del rea y que no sea necesario notificar la situacin.
375
Que haya sido extraviado o sustrado del rea de sistemas, y que dicha desaparicin no haya sido reportada.
Que haya sido extraviado o sustrado del rea de sistemas, y que dicha desaparicin s haya sido reportada, pero que an siga vigente en documentos.
Que est registrado en documentos, pero que por cualquier razn stos no hayan
sido dados de baja ni entregados del rea de sistemas al rea contable.
Que est prestado en forma externa y esto no haya sido notificado en documentos.
Que haya hardware instalado sin que la empresa tenga el registro y los documentos correspondientes, y que la empresa tenga el registro y los documentos del hardware, pero que no lo tenga fsicamente.
Este caso es la combinacin de las dos situaciones que analizamos anteriormente,
y se dan los casos planteados en ambas situaciones.
Es importante que el auditor, al realizar las comparaciones entre el recuento fsico
del hardware y su registro en los documentos correspondientes, tambin evale que
existan los resguardos correspondientes, debidamente actualizados y que estn asignados al personal que los utiliza, a fin de verificar el adecuado control de su asignacin, proteccin y uso.
9.5.3 Inventario de consumibles

Otro de los inventarios que se debe realizar en una auditora de sistemas computacionales es el inventario fsico de todos los materiales que se consumen en el rea de sistemas,
a fin de conocer, valorar y resguardar todos los materiales que contribuyen al desarrollo
de las actividades necesarias para el procesamiento de informacin de la empresa.
Este inventario es de carcter administrativo o financiero, debido a que se hace un
conteo fsico de los consumos normales de insumos de sistemas de la empresa, valorando contablemente las existencias, consumos promedios, periodicidad de abastecimientos, justificaciones de los faltantes y costos financieros de estos materiales, sin
embargo, a pesar de que este inventario es de carcter contable, le ayuda al auditor de
sistemas a valorar los activos del rea de sistemas y a evaluar la forma en que se lleva
acabo el control administrativo y los gastos de la empresa en este rubro, as como a
determinar la razonabilidad de los gastos en materiales consumibles para dicha rea.
9.5.3.1 Materiales que deben ser inventariados

Respecto a la forma de realizar este inventario, existen muchas tcnicas y mtodos utilizados en la auditora contable; por esta razn, slo sealaremos los principales rubros
que deben ser inventariados como consumibles para el rea de sistemas, los cuales sern clasificados de acuerdo con los siguientes materiales:
376
Inventario de medios de almacenamiento electromagntico

Disquetes
Cintas electromagnticas
Casetes
CD-ROMs y CD-Rs
Otros medios
Inventario de material para impresin
Material para impresoras de matriz de puntos
Material para impresoras lser
Material para impresoras de inyeccin de tinta
Hojas stock y de consumo para impresin
Otros materiales especiales de impresin
Inventario de papelera y tiles de oficina
Materiales consumibles para oficina
Formas continuas y de consumo administrativo
Otros implementos para oficina
Materiales para mantenimiento y limpieza de oficinas
Inventario de refacciones y elementos para el mantenimiento de los sistemas
Tarjetas, procesadores, chips de memoria, etc.
Partes y refacciones para vdeo
Partes y refacciones para los perifricos externos del sistema
Partes y refacciones para los componentes y las conexiones internas del sistema
Diversas refacciones relacionadas con los sistemas
Inventario de otros consumibles para sistemas
Accesorios adicionales para los sistemas
Partes y refacciones elctricas para mantenimiento de las instalaciones
Otros implementos auxiliares para los sistemas
9.5.3.2 Procedimiento para inventario de consumibles

El procedimiento para realizar este inventario es similar a los sealados para los inventarios anteriores, pero en el inventario de consumibles se deben seguir los siguientes pasos:
El primer paso es hacer el recuento fsico de los diversos materiales que deben ser inventariados, aplicando cualquiera de las tcnicas y mtodos contables para levantar inventarios; generalmente se hacen conteos por cada grupo de consumibles.
A continuacin se hace el anlisis de los registros contables de los consumos de estos
materiales.
377
Despus se comparan los resultados del inventario fsico y los datos obtenidos de la
revisin documental, a fin de evaluar los registros de consumos y verificar diferencias
y faltantes.
Despus se elabora un estudio estadstico sobre el volumen de consumos, periodicidad y frecuencia de las reposiciones, estudios de consumos mximos y mnimos y
otros aspectos estadsticos que permitan evaluar el aprovechamiento adecuado de estos materiales.
Finalmente se elabora una evaluacin global sobre los costos financieros de los consumos, su aprovechamiento en el procesamiento de informacin, y en caso de haber faltantes de consumibles, la aclaracin de esos faltantes.
Es evidente que cada auditor puede realizar el tipo de inventario de consumibles
que ms le convenga, incluso aprovechar el mismo que hace en la auditora financiera.
9.5.4 Inventario de documentos

Este inventario se realiza para buscar los elementos de apoyo bibliogrfico que contribuyan al buen desempeo de las actividades y tareas que se realizan en el rea de
cmputo; su propsito es verificar la existencia de documentos que apoyen y avalen la
gestin administrativa de funcionarios, directivos, empleados y usuarios del centro de
sistemas, as como la operacin y el funcionamiento de los diversos sistemas instalados en el rea de sistemas o en las dems reas de la empresa.
Adems de verificar si existen estos documentos, tambin se pretende evaluar si
estn a disposicin de funcionarios, empleados y usuarios de los sistemas de la empresa para su consulta y si aplican en el desarrollo de sus tareas las tcnicas y procedimientos establecidos en dichos documentos, as como la forma en que los utilizan.
La recopilacin de informacin que aportan estos inventarios va ms all de verificar la existencia de documentacin relacionada con los sistemas de la institucin
y su registro adecuado, ya que tambin se verifica, cmo ayudan a determinar si ese
soporte documental sirve como respaldo y consulta para el funcionamiento correcto
de los sistemas y el cumplimiento de las tareas y actividades de los funcionarios, empleados y usuarios del sistema de cmputo. Estos inventarios tambin sirven para verificar si el personal que est relacionado con los sistemas sabe de la existencia de
dicha documentacin, cada cundo los consultan y cmo los aplican, as tambin para evaluar su elaboracin, actualizacin y aplicacin en los diversos trabajos que se
desarrollan en el rea de sistemas.
Para el mejor desarrollo de estos inventarios, a continuacin mencionaremos los
principales tipos de inventarios de documentos que se pueden realizar en una auditora de sistemas computacionales, agrupndolos bajo el criterio de funcionalidad y uso
de la informacin contenida en estos documentos.
378
9.5.4.1 Inventario de documentos administrativos

Con este inventario se busca evaluar toda la documentacin relacionada con la gestin
administrativa del rea de sistemas, con lo cual el auditor podr dictaminar si esa documentacin sirve de soporte para el desarrollo y cumplimiento adecuados de las funciones y actividades administrativas encomendadas a los funcionarios, empleados y
usuarios del sistema.
Estos documentos se pueden agrupar segn el tipo de informacin que contienen.
Manuales de organizacin
El inventario de estos documentos se hace para verificar que existan y que est plenamente difundida la estructura de organizacin del rea de sistemas, las funciones de
sus encargados, empleados y usuarios, as como los canales de autoridad y responsabilidad que regulan el trabajo en esta rea.
Manuales de procedimientos administrativos
Este inventario tambin se hace para verificar la existencia de manuales e instructivos
que regulen las acciones administrativas y los procedimientos normales de la operacin que contribuyan a la obtencin de informacin y emisin de resultados derivados
del sistema; la informacin que contienen estos manuales se utiliza para identificar los
procesos que se siguen en el rea de sistemas, as como la forma en que se difunde el
contenido de dichos manuales, su aplicacin y cumplimiento, y para verificar que el
personal que labora en el rea desarrolle correctamente las actividades que indican estos manuales.
Manuales de perfil de puestos
Este inventario se realiza para verificar que existan los documentos formales que avalen los requerimientos establecidos para cada uno de los puestos del rea de sistemas, as como para valorar las caractersticas, modalidades y dems aspectos
inherentes a cada puesto, y para revisar si en el proceso de seleccin, capacitacin y
promocin de los empleados se cumple con lo normado en estos documentos. En algunos casos, estas auditoras tambin se hacen para revisar la existencia y aplicacin
de estos documentos en el rea de sistemas y con el personal informtico del rea,
as como para verificar su actualizacin permanente.
Otros manuales administrativos
Este inventario se realiza para verificar la existencia de todos los manuales e instructivos distintos a los antes sealados que regulan la actividad administrativa del rea de
sistemas, as como para verificar que dichos documentos se difundan y estn a disposicin del personal, que ste los utilice en sus actividades y que sean actualizados
constantemente.
379
9.5.4.2 Inventario de documentos tcnicos para el sistema

Este inventario se realiza para verificar la existencia, difusin, uso y actualizacin de los
manuales e instructivos tcnicos que regulan la actividad especfica de un sistema, as
como la operacin de los equipos, sistemas y procesamiento de datos del rea. En algunos casos, este inventario se realiza para verificar si los usuarios de sistemas cumplen con lo especificado en estos documentos.
Podemos agrupar dichos inventarios bajo los siguientes aspectos relacionados con
los principales manuales de sistemas de operacin.
Manuales e instructivos tcnicos del software del sistema
Es el inventario de los documentos con los que se regula la aplicacin tcnica de los
programas, lenguajes, sistemas operativos, paqueteras y dems software instalado en
el sistema, ya sea que dichos programas hayan sido desarrollados en la empresa o adquiridos a terceros.
Manuales e instructivos tcnicos del hardware,
perifricos y componentes del sistema
Este inventario se realiza con el propsito de verificar la existencia y uso de la documentacin que auxilia en la operacin de los equipos de cmputo, sus partes, conexiones, componentes internos, componentes asociados externos, perifricos y dems
elementos de apoyo para el buen funcionamiento de dichos equipos.
Manuales e instructivos de operacin del sistema de cmputo
Es el inventario de la documentacin tcnico-especializada que est a disposicin de
los operadores y responsables del sistema, tanto en lo relativo al software como al
hardware, lo cual permite verificar el uso adecuado de estos documentos en lo relativo a la operacin de los sistemas computacionales de la empresa.
Manuales e instructivos de los usuarios del sistema
Es el inventario de todos los documentos que sirven para conocer el funcionamiento y
aplicacin de los sistemas implantados en el centro de cmputo; este inventario se realiza con el propsito de evaluar la difusin y disponibilidad de estos documentos para
los usuarios, qu tan habitualmente los utilizan, con qu facilidad, e inclusive su actualizacin permanente.
Manuales, instructivos y procedimientos
para el procesamiento de informacin
Es el inventario de todos los procedimientos y normas documentados que regulan la
captura de datos, el procesamiento de informacin y la emisin de resultados de un
sistema de cmputo, tanto desde el punto de vista tcnico y operativo del sistema, como desde el punto de vista administrativo de la informacin.
380
Manuales e instructivos de mantenimiento lgico del sistema (software)

Es el inventario de los documentos que regulan y determinan la actualizacin y mantenimiento del software de los sistemas, tales como reportes de fallas y mantenimiento
correctivo, programas de mantenimiento preventivo y estadsticas de incidencias.
Manuales e instructivos de mantenimiento fsico de sistemas (hardware)
Es el inventario de los documentos que regulan y determinan la actualizacin y mantenimiento del hardware de los sistemas, de los perifricos y de los componentes asociados, tales como reportes de fallas y mantenimiento correctivo, programas de
mantenimiento preventivo, estadsticas de incidencias, compras de refacciones, piezas
y otros componentes.
En algunos casos, este inventario se puede realizar para evaluar los servicios de
mantenimiento y apoyo para los usuarios de los sistemas, por medio del llamado Helpdesk interno de sistemas.
Manuales e instructivos didcticos de apoyo
Es el inventario de todos los documentos que sirven de apoyo didctico para el aprendizaje, optimizacin de la operacin y uso de los sistemas, capacitacin de empleados
y usuarios del sistema y de otros aspectos formativos que ayudan al buen funcionamiento de los sistemas.
Otros manuales e instructivos para el desarrollo del sistema
Es el inventario de los dems documentos normativos que contribuyen al desarrollo de
las actividades y operacin de los sistemas, de sus funcionarios y usuarios, dicho inventario tambin se hace para evaluar la disponibilidad y el uso de estos documentos.
9.5.4.3 Inventario de documentos para el desarrollo de sistemas

Este inventario le sirve al auditor de sistemas para evaluar las metodologas y los estndares de desarrollo de los sistemas que se crean en la empresa, tanto desde el
punto de vista del anlisis, diseo, bases de datos y programacin del sistema, como
desde el punto de vista de su implantacin, aplicacin, capacitacin de los usuarios y
su documentacin.
Tambin le sirve para evaluar las metodologas, normas y procedimientos que se
utilizan en la empresa para la optimizacin, mantenimiento y modificacin de los sistemas instalados, as como para evaluar la adquisicin de sistemas, lenguajes, paqueteras y programas de aplicacin y explotacin en el rea de sistemas y en los dems
equipos computarizados de la empresa.
Existe una inmensa gama de aplicaciones y formas de desarrollar estndares de
sistemas; por esta razn, a continuacin proponemos la siguiente clasificacin.
381
Inventario de metodologas para el desarrollo de sistemas

Es la recopilacin de la documentacin que regula los mtodos para realizar el anlisis,
desarrollo, diseo e implantacin de sistemas en la empresa; ya sea que estos mtodos
sean adaptados de los autores sobre el tema, o que sean los estndares de la propia institucin; siempre y cuando estas metodologas estn debidamente documentadas.
Inventario de estndares, normas y procedimientos
para el desarrollo de sistemas
Es el registro documental de las regulaciones del rea, mediante las cuales se determinan los procedimientos y mtodos de trabajo de carcter administrativo y tcnico
para el diseo de bases de datos, desarrollo y programacin de nuevos sistemas, o para su compra, estos documentos regulan las fases, etapas, estndares y metodologas
establecidas para el desarrollo de sistemas o para su adquisicin.
Inventario de estndares para el diseo de bases de datos
Es el registro documental de los estndares, lineamientos y normas que regulan el diseo y elaboracin de las bases de datos y de la informacin que se maneja en el rea
de sistemas y en la empresa en general, as como lo relacionado con su difusin y cumplimiento por quienes desarrollan los sistemas en la empresa.
Inventario de estndares y normas de documentacin de sistemas
Es el inventario de los documentos relacionados con la aplicacin de las normas y lineamientos que regulan la forma en que se van a documentar los sistemas de la empresa; ya sean los desarrollados en la empresa o los adquiridos a terceros, as como las
paqueteras y programas de aplicacin.
Inventario de otros estndares, normas y lineamientos
que regulan el desarrollo de sistemas
Es el inventario de todos lo dems documentos que regulan el desarrollo de sistemas
en la empresa, desde el anlisis y diseo, hasta la programacin, documentacin, capacitacin e implantacin del sistema.
Inventario de documentos de apoyo para el funcionamiento de los sistemas
Es el inventario de los documentos que indican las actividades administrativas, tcnicas
y operativas para estandarizar el funcionamiento de los sistemas de la empresa; en este
inventario se pueden incluir todas las funciones, actividades y tareas de los funcionarios,
empleados, usuarios y dems personal que est en contacto con el rea de sistemas, la
informacin que se procesa en la misma o cualquier otra correlacin con los sistemas.
En relacin con este tipo de inventarios, debemos aclarar que el auditor debe decidir, segn su criterio, cules sern los inventarios de documentos que le ayudarn a
evaluar el apoyo para el funcionamiento de los sistemas de la empresa, ya que la infor-
382
macin que obtenga y su modo de adquirirla depender directamente de las actividades del centro de cmputo, de su forma de administracin y del personal que trabaja
en dicho centro.
Al realizar estos inventarios, el auditor tambin deber evaluar el uso que se les da
a estos documentos del sistema, ya que no slo deben existir en el rea de sistemas
sino que deben ser utilizados por los responsables de la operacin, los empleados y
los usuarios del sistema. Para ello deben tomarse en cuenta los siguientes aspectos:
Que en el rea de informtica existan los manuales, instructivos y documentos del
sistema.
Que estn vigentes y actualizados de acuerdo con las caractersticas de los sistemas en
la empresa.
Que se difunda, mediante algn medio interno, la existencia, adquisicin y actualizacin de estos documentos del sistema.
Que estn disponibles para la consulta de los directivos, empleados y usuarios del
sistema.
Que el personal del rea de sistemas los utilice para la operacin de los mismos.
En caso de no cumplirse algunos de los casos anteriores, el auditor deber evaluar
las razones por las cuales no se cumplen, ya que esto implicara deficiencias en el manejo de los sistemas de la empresa.
9.5.5 Inventario de inmuebles, instalaciones, mobiliario y equipos de sistemas

ste es un inventario de carcter muy general, y bien podra pertenecer a otro tipo de
auditora, principalmente contable; debido a que es el recuento de los activos de la empresa y de sus instalaciones, es decir, de sus bienes muebles, inmuebles, conexiones
elctricas, de comunicacin, de acceso al personal, del medio ambiente, de la seguridad de los empleados y dems aspectos relacionados con los edificios, oficinas, equipos y mobiliarios de la empresa.
Sin embargo, para el auditor de sistemas es muy importante realizar este inventario, debido a las propias caractersticas de los sistemas, ya que debe verificar si se
cuenta con los activos inmuebles, muebles, equipos e instalaciones adecuados para el
funcionamiento de los sistemas que satisfacen las necesidades de comunicacin de la
empresa; en su caso, para la instalacin de redes de cmputo, transmisin de informacin, instalacin y proteccin de sistemas de electricidad, mantenimiento de temperatura, diseo de sistemas de proteccin contra desastres y sabotajes, proteccin de los
usuarios y equipos de cmputo, mobiliario y de los dems activos y tipos de instalaciones que contribuyen al desarrollo de los sistemas computacionales de la empresa.
A continuacin presentamos una propuesta para realizar este tipo de inventarios
bajo el siguiente criterio de clasificacin.
383
9.5.5.1 Inventario de activos inmuebles del rea de sistemas

Es el inventario fsico de terrenos, edificios, instalaciones donde se encuentran los sistemas y en general de todos los activos inmuebles del rea de sistemas de una empresa.
Debido a lo especializado de este tipo de inventarios, es recomendable que el auditor de sistemas utilice los inventarios que se realizan para las auditoras financieras
o contables.
9.5.5.2 Inventario de mobiliario y equipos de sistemas

Este inventario es muy importante, ya que incluye los componentes de soporte para los
sistemas computacionales, sus perifricos y usuarios, adems de la forma de distribucin y conexin de dichos sistemas.
Este inventario se realiza en dos partes: primero se hace el recuento fsico del
mobiliario y equipo asignado al rea de sistemas, y despus se comparan los resultados de ese recuento con los registros contables de la empresa para determinar la
correcta asignacin, distribucin y resguardo de los bienes, as como las posibles deficiencias y faltantes de los mismos.
9.5.5.3 Inventario de las instalaciones elctricas del rea de sistemas

Es el inventario de todo lo relacionado con las instalaciones elctricas, es decir, cableados, conexiones, tipos y ubicacin de las tomas elctricas a las que estn conectados
los sistemas computacionales, tomas especiales, instalaciones monofsicas, trifsicas,
instalaciones de tierra, no-breaks, supresores de picos de corriente y todos los dems
elementos elctricos que hay en el rea de sistemas.
El propsito de este inventario es comprobar que existan fsicamente las instalaciones y compararlas con los planos de construccin e instalacin, as como comprobar la existencia de las bitcoras de mantenimiento preventivo y correctivo de estas
instalaciones para comprobar que sean adecuadas y seguras para el funcionamiento
de los sistemas computacionales de la empresa.
9.5.5.4 Inventario de instalaciones de datos

Se refiere a la manera como estn distribuidos y conectados los sistemas computacionales en la empresa, ya sean de manera individual, por medio de sistemas de redes, equipos de minicomputadoras o en los llamados sistemas mayores; el propsito es levantar
el inventario de las instalaciones de estos sistemas y, contando con ello, evaluar su funcionamiento de acuerdo con los sistemas instalados en la organizacin. Tambin se pueden comparar con los planos y diseos de instalacin establecidos en la empresa. Incluso
su estado de uso, mantenimiento y posible deterioro.
384
Este levantamiento de informacin est ntimamente relacionado con las formas de

procesamiento establecidas en las reas de la empresa, con las necesidades de informacin de las mismas, as como con el tipo de sistemas computacionales que se hayan adoptado.
En el caso de redes y sistemas multiusuarios, tambin se evaluarn las topologas
de conexin, los protocolos de comunicacin, el tipo de hardware y software de estos
sistemas y los dems aspectos que se requieren para valorar el funcionamiento de las
comunicaciones de datos en la empresa. Adems, se pueden valorar la existencia de
diseos arquitectnicos, planos y proyectos de instalacin de estos sistemas.
9.5.5.5 Inventario de comunicaciones

El inventario de telecomunicaciones le ayuda al auditor de sistemas a evaluar adecuadamente la forma en que se encuentran interconectados los sistemas para la comunicacin interna, externa y entre empleados y usuarios, tanto desde el punto de vista
administrativo como del tcnico.
En este inventario se recopila informacin relacionada con las comunicaciones telefnicas, las comunicaciones a travs de los sistemas, los tipos de cableado utilizados
en los sistemas de redes e Internet, los equipos de intercomunicacin (redes, faxes,
mdems), as como las medidas de control y accesos a la informacin de la empresa.
Debemos recordar que en el ambiente de sistemas las comunicaciones pueden ser va
telefnica, inalmbricas, satelitales o a travs de los propios sistemas.
Con dicha informacin, el auditor de sistemas puede emitir un juicio respecto a la
utilidad, aprovechamiento y explotacin de la comunicacin, tanto interna como externa, que existe en el rea de sistemas.
9.5.6 Inventario del personal informtico

Para el auditor de sistemas, este levantamiento de informacin relacionada con los directivos, empleados y usuarios del rea de sistemas es de suma importancia, ya que le
permitir valorar la importancia y utilidad del factor humano que contribuye al desarrollo de los trabajos de sistemas de la empresa.
Con estos inventarios, adems de otras tcnicas de evaluacin de sistemas y recopilacin de informacin, se pueden evaluar la gestin administrativa del rea de sistemas, el cumplimiento de las funciones y actividades administrativas y operativas del
personal que labora en dicha rea, as como su participacin en el desarrollo de sistemas y el procesamiento y manejo de informacin de la empresa.
El inventario del personal informtico est muy relacionado con los manuales de
organizacin y los manuales de perfiles de puestos, entre otros documentos.
Es de suma importancia destacar que estos inventarios de personal, as como la
evaluacin de ste, estarn definitivamente influidos por el tipo de sistemas estableci-
385
dos en el centro de cmputo, su forma de administracin y los puestos existentes en

el mismo, de acuerdo con las necesidades concretas de procesamiento de informacin
de la empresa. Para el mejor entendimiento de este punto, le recomendamos que vea
lo sealado en el captulo 4, Control interno.
Conviene hacer un parntesis para sealar la importancia del factor humano que
participa en la operacin del rea de sistemas, as como las principales posiciones que
ocupa en el desarrollo de las actividades de dicha rea; as encontramos que existen
cuatro tipos de personal que participan en las actividades de un centro de cmputo, y
con base en ellos se deber hacer el inventario del factor humano de los sistemas; dichos tipos de personal son los siguientes.
Personal del
rea
de sistemas
Usuarios
del sistema
Directivos del rea

de sistemas
Asesores
y consultores
Proveedores y
distribuidores
9.5.6.1 Personal adscrito al rea de sistemas

Sobre este personal se tiene una autoridad directa y son los responsables de la operacin de los sistemas de la empresa. Este personal est subordinado exclusivamente al
jefe del rea de sistemas, ya que es a quien rinden cuentas de sus acciones. Aqu se da
un tipo de autoridad lineal y posiblemente la profesional y la carismtica.
9.5.6.2 Usuarios del sistema

Sobre este personal no se tiene ningn tipo de autoridad formal, ya que slo se presta el servicio de los sistemas a estos usuarios, pero la autoridad lineal de este personal pertenece a su rea de origen. Se podran dar la autoridad profesional y la
carismtica, pero su dependencia directa y subordinacin estar en su rea de origen.
386
Aunque este personal no pertenece al rea de sistemas, es necesario considerarlo

dentro del inventario del factor humano del rea, ya que participa en la operacin del
sistema.
9.5.6.3 Asesores y consultores

Sobre este personal, que generalmente es ajeno a la empresa, se puede tener un cierto tipo de autoridad, la derivada de la contratacin de los servicios; pero eso no es propiamente dependencia del rea, mejor dicho es un convenio de prestacin de servicios
que difiere bastante de la relacin laboral jefe-subordinado. Sin embargo, se presentan los servicios de este personal y, de alguna manera, son parte del inventario de los
recursos humanos del rea.
En esta clasificacin se puede incluir al personal de outsourcing y, en algunos casos, al
de los llamados escritorios de ayuda (helpdesks) o a quienes prestan servicios similares.
9.5.6.4 Proveedores, distribuidores y desarrolladores externos

Sobre este personal no se tiene ninguna autoridad en absoluto, y en casi todos los casos se depende de ellos profesionalmente, ya que de ellos se adquieren los sistemas
(hardware, software, instalaciones, equipos adicionales, etctera) con los cuales funciona la empresa. Por lo general, este personal no participa directamente en las actividades del rea de sistemas, sino que imparte capacitacin, adiestramiento y asesora
sobre nuevos productos. Sin embargo, tambin forma parte del inventario del factor
humano de los sistemas de la empresa.
9.5.7 Inventario de bases de datos e informacin institucional

Este inventario se realiza de acuerdo con las caractersticas especficas de cada empresa, y no tiene alguna clasificacin especial, es decir, se realiza de acuerdo con el tipo de
informacin que se maneja en la empresa, con las caractersticas de los sistemas y con
el aspecto normativo para el diseo de las bases de datos.
Sin embargo, el inventario de bases de datos e informacin institucional debe incluir algunos aspectos similares entre todas las reas de sistemas; entre estos aspectos destacan los siguientes.
9.5.7.1 Inventario de la informacin importante de la empresa

Es el inventario de la informacin considerada importante para el funcionamiento de
la empresa; este inventario se realiza con el fin de evaluar la forma en que dicha informacin es almacenada, custodiada y protegida contra cualquier incidencia voluntaria
o fortuita, as como su importancia, actualizacin peridica y utilidad para el rea de
sistemas, entre muchos otros aspectos.
387
9.5.7.2 Inventario de los respaldos de informacin (backups)

Es el inventario de los respaldos de informacin de la empresa, con el
fin de evaluar su forma de almacenamiento, proteccin y custodia, periocidad de las actualizaciones, y la utilidad de los respaldos, entre muchos otros aspectos.
9.5.7.3 Inventario de los sistemas de operacin y programas

de aplicacin
Es el inventario global de todos los sistemas computacionales y de los programas originales que sean desarrollados en la empresa o adquiridos a terceros, y de los respaldos o copias de dichos programas.
Con la informacin obtenida en este inventario se
pueden evaluar las formas de resguardo, la asignacin de los programas y la forma de proteccin para
el funcionamiento de los sistemas. Este inventario es
similar al inventario de software que analizamos al principio de esta seccin, y se aplican los mismos aspectos sealados en ese punto; la razn
para mencionar aqu el inventario de software es que tambin puede formar parte de
los inventarios de las bases de datos y del manejo de la informacin de la empresa.
No mostramos ejemplos de los ltimos tipos de inventarios, ya que stos seran
muy especializados, de acuerdo con la empresa que se trate.
9.6 Muestreo
Es obvio que sera imposible y a la vez inoperante que un auditor se pusiera a revisar todas las actividades, transacciones y procesamientos de datos que se realizan cotidianamente en el centro de informacin de una empresa, sin embargo, para emitir una opinin
fundamentada sobre el funcionamiento de esas operaciones, es necesario evaluarlas.
Esto se puede lograr si se recurre al auxilio de una muestra representativa del comportamiento de cada una de las actividades, transacciones y procesamientos que deben ser revisados; siempre y cuando esa muestra cumpla con las caractersticas y
requerimientos necesarios para hacer vlido su uso. As, al revisar slo las operaciones
seleccionadas en la muestra, el auditor ahorra mucho trabajo y tiempo, y con la informacin que obtiene puede emitir un dictamen correcto y confiable.
Una de las tcnicas que ms aportaciones hacen a la auditora de sistemas computacionales es el muestreo, ya que una aplicacin correcta de los mtodos y procedimientos estadsticos ayuda bastante a seleccionar una parte representativa del
universo que se tiene que revisar; el propsito es obtener la misma informacin o parecida a la que se obtendra al revisar todo ese universo. De esta manera, el auditor
388
puede determinar el comportamiento global de todo el universo y con ello puede contar con los elementos de juicio necesarios para emitir un dictamen apegado a la veracidad de los hechos auditados.
No es necesario explicar que esta herramienta es de gran utilidad para cualquier tipo
de auditora. Sin embargo, en la prctica es poco empleada o se aplica en forma muy limitada, ya que para utilizarla es necesario tener amplios conocimientos en los aspectos
estadsticos, matemticos y de probabilstica; adems, se requiere una gran habilidad y
experiencia para elegir el universo y determinar las muestras que sern utilizadas, as tambin de un buen manejo en la recopilacin de informacin y la determinacin de los procedimientos necesarios para la tabulacin e interpretacin de los resultados obtenidos.
Esta herramienta es fundamental en la auditora de sistemas, debido a que el auditor se apoya en los propios sistemas computacionales para disear la muestra, seleccionar la probabilidad de la captura de datos y despus procesar esa informacin para
elaborar los cuadros y grficas representativos de los resultados. Adems, a travs del
uso de las hojas de clculo y programas estadsticos se pueden manejar los aspectos
estadsticos y matemticos con mayor exactitud, e incluso en el propio sistema se pueden hacer pruebas con las muestras elegidas, utilizando los mismos datos del sistema,
a fin de compararlos con los resultados elegidos.
Otro aspecto fundamental del muestreo es que mediante programas especiales de
cmputo tambin se pueden hacer simulaciones y proyecciones que son de gran utilidad en una auditora de sistemas, aunque el muestreo sea matemtico, estadstico o
por computadora.
Continuando con el mismo mtodo de estudio seguido en este libro para cada una
de las herramientas aqu sealadas, a continuacin presentamos algunas definiciones
y conceptos de esta herramienta.
Muestreo.
Seleccin de muestras representativas de la calidad o caractersticas medias de un todo. Tcnica empleada para la seleccin.8
El muestreo en auditora consiste en la aplicacin de un procedimiento de cumplimiento o sustantivo a menos de la totalidad en las partidas que forman el saldo de una
cuenta o una clase de transacciones (muestra), que permitan al auditor obtener y evaluar la evidencia de alguna caracterstica del saldo o transaccin y que le permita llegar a una conclusin en relacin a tal caracterstica.9
Muestreo es seguir un mtodo, un procedimiento tal que al escoger un grupo pequeo de la poblacin podamos tener un grado de probabilidad de que ese pequeo grupo efectivamente posee las caractersticas del universo y la poblacin que estamos
estudiando... Los tres puntos importantes respecto a una muestra son los procedimientos para determinar la representatividad de la muestra, los procedimientos para determinar el error de la muestra y los procedimientos para determinar el tamao de la
muestra... Hay dos tipos principales de muestreo probabilstico que hace posible de-
389
terminar el error posible de la muestra y el muestreo probabilstico que carece de esa

probabilidad [...]10
Muestra
Porcin de un producto o mercanca que sirve para conocer su calidad. Porcin de
una sustancia que sirve para examinarla. Modelo que se ha de copiar o imitar [...]11
Muestra es un conjunto de n observaciones (unidades elementales) extradas de una
poblacin. Esta n es el tamao de la muestra [...] El tipo de muestra que se obtiene depende de la forma en que se ha extrado la muestra de la poblacin. As se habla de
muestreo simple, muestreo sistemtico y muestreo o conglomerado [...]12
Muestra representativa
[...] es aquella en la cual las caractersticas de la muestra de inters para la auditora
son aproximadamente las mismas de la poblacin. Esto significa que las partidas
muestreadas son similares a las no muestreadas.13
Universo
Universo o poblacin [...] Todo grupo de objetos que poseen una caracterstica comn
[...] est formado por entidades que tienen una misma caracterstica [...]14
Una poblacin (o universo) se define como la suma (totalidad) de las unidades elementales. Si el nmero de unidades elementales es igual al nmero de observaciones,
se dice que la poblacin es la suma de las observaciones [...]15
Poblacin
Es la totalidad de fenmenos a estudiar en donde las unidades de poblacin poseen
una caracterstica comn, la cual se estudia y da origen a los datos de la investigacin
[...] Shellhz nos indica que una poblacin es el conjunto de todas las cosas que concuerdan con una serie determinada de especificaciones.16
El uso de esta herramienta exige ciertos conocimientos de estadstica, probabilstica y matemticas, a fin de manejar correctamente las tcnicas y procedimientos necesarios para determinar la muestra, la probabilidad de errores de la misma, la
tabulacin de datos y la obtencin de resultados confiables, debido a que en su aplicacin intervienen elementos estadsticos, aleatorios y de incertidumbre que hacen
necesario el manejo de las estadsticas y probabilidades en la seleccin del universo,
muestras y resultados.
Actualmente existen muchas formas de utilizar el muestreo estadstico para recopilar datos; el muestreo se utiliza de acuerdo con las caractersticas especficas de la
exploracin a realizar, sin embargo, en este libro no pretendemos realizar un tratado
estadstico de la forma de seleccionar una muestra para una investigacin, sino sealar la importancia que tiene la eleccin de una muestra en la recopilacin de datos tiles para la auditora de sistemas computacionales.
390
9.6.1 Procedimiento general para definir la recopilacin

de informacin mediante el uso de una muestra
Para obtener estadsticamente la informacin en una auditora de sistemas computacionales, se debe emplear un mtodo especfico para determinar el universo donde
se realizar la recopilacin de informacin y elegir la muestra que ser utilizada; por
esta razn, a continuacin presentamos un procedimiento general que se utiliza en la
eleccin de una muestra para cualquier tipo de investigacin:
Definir el tipo de investigacin que se va realizar
Planteamiento concreto del problema
Definir el mtodo de investigacin que se va a utilizar
Determinar el universo, la poblacin y la muestra
Determinar el universo y la poblacin que sern utilizados para cubrir las necesidades de informacin para la investigacin
Determinar el mtodo y tipo de muestreo que sern utilizados en la recopilacin de datos
Calcular el tamao y la forma de seleccionar la muestra de datos para que
sea vlida para la investigacin
Establecer las caractersticas, modalidades y cualidades que debern reunir
los elementos de la muestra
Definir las herramientas de recopilacin de datos
Disear los instrumentos de recopilacin de datos
Elaborar pruebas piloto y correcciones
Elaborar los instrumentos de recopilacin
Recopilar la informacin
Preparar y capacitar a los recopiladores de informacin
Recopilar la informacin en campo, de acuerdo con la muestra
Verificar el cumplimiento de la recopilacin de acuerdo con la muestra
Tabular los datos
Concentrar y validar la informacin
Elaborar cuadros estadsticos y grficas representativas
Interpretar los datos obtenidos
Analizar cuadros y grficas
Comparar con datos similares
Difundir los resultados
Debido a que esta seccin se refiere nicamente al muestreo, a continuacin haremos un anlisis de cmo obtener una muestra, citando en cada caso algunos ejemplos de la aplicacin de esa muestra.
391
9.6.2 Eleccin de una muestra en una auditora de sistemas

El primer paso para aplicar la tcnica del muestreo es saber seleccionar el tipo de
muestra que servir para hacer el estudio, la cual depender del tipo de muestreo que
ser aplicado. En el caso de la auditora de sistemas, se debe tomar en cuenta que tanto el universo como la muestra son elegidos de acuerdo con lo que se quiere evaluar.
En relacin con esto, se tienen que considerar los siguientes aspectos:
...a partir de una muestra, es necesario primero escogerla y recopilar la informacin
apropiada respecto a ella. Si la muestra no se selecciona adecuadamente, o si la recopilacin de informacin es incorrecta, o no se ajusta a una secuencia apropiada... Se
debe tener siempre mucho cuidado al evaluar los datos (as como al recopilarlos) con
objeto de evitar posibles errores en la seleccin de las muestras y en las desviaciones
de los datos.17
A continuacin presentamos algunos ejemplos de los tipos de muestra que se pueden presentar en una auditora de sistemas computacionales.
9.6.2.1 Muestreo aleatorio simple

[...] Cuando todos los miembros de una poblacin tienen la misma probabilidad de
ser seleccionados.18
En estos casos, el auditor selecciona cualquier elemento de la poblacin, mediante algn tipo de muestreo aleatorio, de entre los cuales tenemos los siguientes.
Por medio de algn sistema computacional
Es la eleccin de una muestra no probabilstica por medio de un sistema computacional, con programas especiales de estadstica, hojas de clculo o programas realizados
explcitamente para ello.
En la tabla se presenta un muestreo por computadora en el cual podemos identificar algunas operaciones elegidas mediante la funcin aleatoria y redondeo:
Da elegido
Nm. de operacin
Del lunes 3
Del martes 4
Del mircoles 5
Del jueves 6
Del viernes 7
1 986
106
4 886
822
6 622
En este ejemplo seleccionamos cinco operaciones realizadas en el sistema computacional, del 3 al 7 de agosto de 2000, elegidas en forma aleatoria
392
en una hoja de clculo como Excel; estas operaciones fueron rastreadas desde la captura de datos, el clculo manual y los resultados arrojados despus del
proceso.
Por una simple y sencilla operacin aritmtica
Para este caso se elige la muestra mediante una operacin aritmtica simple, que se
hace arbitrariamente y sin mayores complicaciones, como en el siguiente ejemplo:
Supongamos que un auditor desea revisar la instalacin, el tipo de cableado, aprovechamiento del procesamiento, las actividades de los usuarios durante la semana anterior, el monitoreo de las operaciones de los dos das
siguientes y otros aspectos de 10 de las 100 estaciones de una red de cmputo de la empresa.
Nuestra frmula, elegida arbitrariamente, ser la siguiente:
N=N+7
Inicio en la mquina N = 25 (porque as se eligi)
De ah sumamos 7 a la N y nos queda una nueva N, a la cual se le vuelven a
sumar otra vez 7, y as sucesivamente. Entonces los nmeros de estacin seleccionados sern:
25, 32, 39, 46, 53, 60, 67, 74, 81, 88, 95
Mtodo aleatorio determinado por frmulas matemticas
Aqu el auditor realiza un proceso de clculo utilizando una funcin algebraica o de
cualquier tipo de arreglo matemtico, mediante la cual obtiene nmeros aleatorios que
le servirn para seleccionar los elementos de la poblacin.
Como ejemplo podemos citar lo siguiente:
Supongamos que un auditor va a revisar un universo de 3 000 empleados y que
en el programa de auditora se determin que va a evaluar el clculo correcto
de las 24 quincenas del ltimo ao, as como el clculo del aguinaldo de cada
empleado.
Si el auditor decidiera revisar todas las operaciones de la nmina, estaramos hablando de 72 000 resultados por calcular, en los cuales tendra que hacer operaciones por los ingresos, egresos, impuestos y retenciones de cada
trabajador; adems tendra que verificar la oportunidad, confiabilidad y veracidad en la captura de datos, emisin de resultados y almacenamiento de esa informacin, as como del procesamiento del sistema, la inclusin correcta de los
datos del empleado, su capacitacin, sus ltimos movimientos salariales y otros
aspectos inherentes al desempeo de su actividad en el rea de sistemas.
Hacer uno a uno estos clculos sera muy tedioso adems de inoperante,
con riesgos de errores y con un consumo de tiempo muy abundante.
393
Por esta razn, aprovechando una muestra determinada mediante una frmula, en este caso un proceso aleatorio matemtico, seleccionaremos a los empleados que cumplan con las condiciones de la frmula, y en cada resultado
revisaremos sus clculos de nmina y dems condiciones.
Elegiremos el nmero de los empleados del entero que resulte de la siguiente expresin:
X = (4Y2 + 5Z)
Donde tomamos como valores de Y = desde 24 hasta 5
Donde tomamos como valores de Z = desde 0 hasta 19
(valores elegidos en forma arbitraria)
La quincena se calcula de la siguiente manera:
Q=Y3oQ=Y+3
Donde se aplican estas restricciones:
Si Y > Z, entonces anotamos
(Q = Y 3)
Pero si Y < Z, entonces anotamos
Q=Y+3
Aplicando la primera frmula para calcular
el nmero de empleado, tenemos que:
Para el primer rengln del cuadro: donde
Y = 24; Z = 0
X = 4(24)2 + 5(0) = 4(576) + 5(0) = 2304,
Para el segundo rengln del cuadro: donde Y = 23; Z = 1
X = 4(23)2 + 5(1) = 4(529) + 5(1) = 2121
Para el dcimo rengln del cuadro: donde
Y = 15; Z = 9
X = 4(15)2 + 5(9) = 4(225) + 5(9) = 945
Aplicando la segunda frmula para la
quincena, tenemos que:
Para el primer rengln del cuadro: donde
Y = 24; Z = 0
Como Y > Z entonces Q = (24 3) = 21
Para el segundo rengln del cuadro: donde Y = 23; Z = 1
Como Y > Z entonces Q = (23 3) = 20
Para el dcimo rengln del cuadro: donde Y = 15; Z = 9
Como Y < Z entonces Q = (9 + 3) = 12
394
Concretando, para estos ejemplos tenemos que se revisarn los clculos de las
operaciones de los empleados: Nmero 2 304, y quincena 24
Nmero 2 121 y quincena 20
Nmero 947 y quincena 9
Como ejemplo tenemos la tabla anterior, en donde elegimos a 20 empleados.
El auditor puede elaborar estas tablas bajo cualquier criterio o frmula, siempre y
cuando las elabore para elegir aleatoriamente una muestra y dentro de los rangos del
universo que va a utilizar.
9.6.2.2 Muestreo no probabilstico

Es frecuente que en una auditora se tengan que seleccionar elementos de una poblacin que tienen exactamente el mismo comportamiento que los elementos que se van
a revisar; en estos casos se dice que la eleccin de la muestra es de carcter no probabilstico, ya que no existe ninguna posible variacin en el comportamiento de los sujetos que van a ser utilizados en la revisin; todos guardan el mismo comportamiento.
El muestreo no probabilstico se define de la siguiente manera:
Es la muestra cuya eleccin no vara respecto a la poblacin total y cuya designacin no representa ningn riesgo de desviacin ni alteracin del comportamiento de cada miembro elegido. Estas muestras no estadsticas se obtienen
cuando se toman todos los elementos de la poblacin o cuando cualquiera de
los integrantes elegidos es representante idntico de cualquier otro miembro
de ese universo, y en todos los casos su comportamiento es similar al de otro
y no existe ninguna variacin en la conducta observada entre ellos.
Al no ser probabilsticos, todos los elementos de la poblacin tienen la misma oportunidad de ser elegidos, y no se seleccionan por ningn mtodo matemtico ni estadstico, sino por cualquiera de los siguientes mtodos.
Muestreo intencional
En estos casos, el auditor aplica ciertos juicios y tendencias en la seleccin de
las muestras, basndose en su experiencia, conocimientos y en las necesidades de evaluacin, a fin de obtener muestras representativas de las caractersticas visibles del comportamiento especfico de los elementos de la poblacin;
el propsito es que dichos elementos sean tiles para la auditora.
Aunque este tipo de muestreo no es muy ortodoxo ni tiene nada de estadstico ni
matemtico, es muy til para el auditor con experiencia y conocimientos en auditoras
de sistemas, ya que con su correcta aplicacin puede obtener lo siguiente:
Elementos de la poblacin con tendencias a errores significativos en sistemas.
Desviaciones comunes que se dan en todas las actividades, procesos y operaciones del
rea de sistemas.

Muñoz Razo

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Muñoz Razo

Cargado por

Copyright:

Formatos disponibles

Metodologa

Estructura del captulo

Marco conceptual de la metodologa para realizar auditoras de

Auditora en sistemas computacionales

Objetivos del captulo:

Introduccin del captulo

Con base en lo anterior podemos entender la necesidad de establecer una

Metodologa para realizar auditoras de sistemas computacionales

Determinar puntos a evaluar

Elaborar planes, presupuestos y programas

Identificar y seleccionar herramientas, mtodos,

Asignar los recursos de auditora y sistemas

Indentificar desviaciones y elaborar borrador de informe

Presentar desviaciones a discusin

Elaborar borrador final de desviaciones

Presentar del informe de auditora

tambin nos servir para establecer las tcnicas, mtodos y procedimientos

Auditora en sistemas computacionales

Esta metodologa tiene tres etapas fundamentales:

Marco conceptual de la metodologa para realizar

Metodologa para realizar auditoras de sistemas computacionales

as como polticas de desarrollo, programas y procedimientos para alcanzarlos[...] La

Auditora en sistemas computacionales

Metodologa para realizar auditoras de sistemas computacionales

6.2 Metodologa para realizar auditoras de sistemas

2 etapa: Ejecucin de la auditora de sistemas computacionales

Realizar las acciones programadas para la auditora

3 etapa: Dictamen de la auditora de sistemas computacionales

Auditora en sistemas computacionales

1 etapa: Planeacin de la auditora de sistemas

Metodologa para realizar auditoras de sistemas computacionales

Cuadro de 1 etapa: Planeacin de la auditora de sistemas computacionales

A peticin de accionistas, socios y dueos

P.1.2 Por solicitud expresa de procedencia externa

Por mandato de autoridades judiciales

P.1.3 Como consecuencia de emergencias y condiciones especiales

Rriesgos y contingencias del personal informtico

P.1.5 Como resultado de los planes de contingencia

Auditora en sistemas computacionales

P.2 Realizar una visita preliminar al rea que ser evaluada

Evaluacin de los recursos humanos del rea de sistemas

P.4.6 Elegir los tipos de auditora que sern utilizados

Personal para la auditora de sistemas

P.5 Elaborar planes, programas y presupuestos para realizar la auditora

Cartula de identificacin del plan de auditora

Metodologa para realizar auditoras de sistemas computacionales

P.5.1.5 Planes de auditora

Definir los objetivos finales de la auditora

Auditora en sistemas computacionales

P.6.2 Elaborar la gua de la auditora

Metodologa para realizar auditoras de sistemas computacionales

P.6.5.4 Disear, aplicar y evaluar los resultados de los programas, mtodos y

6.3.1 P.1 Identificar el origen de la auditora

Auditora en sistemas computacionales

P.1.1 Por solicitud expresa de procedencia interna

P.1.1.1 A peticin de accionistas, socios y dueos

P.1.1.2 Por orden de la direccin general

Metodologa para realizar auditoras de sistemas computacionales

que se ordena la auditora e invariablemente se tiene que realizar. Lo deseable es que

P.1.1.3 Por orden de las gerencias o departamentos a nivel superior

P.1.1.4 A solicitud de funcionarios y empleados de otros niveles

P.1.2 Por solicitud expresa de procedencia externa

P.1.2.1 Por mandato de autoridades judiciales

Auditora en sistemas computacionales