Guía de La Auditoria de Sistemas de Información - Auditoria Superior Chihuahua PDF

ndice
I. GENERALIDADES DE LA GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN ....... 4

I.1. Antecedentes .................................................................................................................................... 4
I.2. Marco Legal....................................................................................................................................... 5
I.2.1 Legislacin e instituciones nacionales .................................................................................... 6
I.2.2 Legislacin e instituciones internacionales .......................................................................... 10
I.3. Objetivos de la Gua ...................................................................................................................... 15
I.4. Campo de Aplicacin de la Gua ................................................................................................. 15
I.5. Alcance de la Gua ......................................................................................................................... 15
I.6. Metodologa Utilizada en la Elaboracin de la Gua ................................................................ 16
II. AUDITORA DE TECNOLOGAS DE INFORMACIN .............................................................. 19
II.1. Tipos de Auditora de Tecnologas de Informacin................................................................. 19
II.2. Consideraciones para Establecer el rea de Auditora de Tecnologas de Informacin ... 20
II.3. Definicin de Auditora de Tecnologas de Informacin ....................................................... 22
II.4. Principios ........................................................................................................................................ 23
II.5. Objetivo de la Auditora de Tecnologas de Informacin ....................................................... 24
II.5.1. Objetivo general .................................................................................................................... 24
II.5.2. Objetivos especficos ............................................................................................................. 24
II.6. Caractersticas del Proceso de Auditora ................................................................................... 25
III. GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN ............................................. 27
III.1. Conocimiento Preliminar............................................................................................................. 28
III.2. Planeacin ..................................................................................................................................... 28
III.2.1.1 Riesgo y materialidad de la auditora............................................................................... 30
III.2.2. Solicitud de informacin ...................................................................................................... 31
III.2.3. Estudio y evaluacin del control interno ........................................................................... 37
III.2.4. Programacin......................................................................................................................... 38
III.2.5. Integracin ............................................................................................................................. 38
III.3. Ejecucin de la Auditora ............................................................................................................ 39
III.3.1. Inicio de la auditora ............................................................................................................. 40
III.3.2. Desarrollo de procedimientos............................................................................................. 41
III.3.3. Formulacin de posibles observaciones y/o recomendaciones .................................... 47
III.3.4. Comunicacin de posibles observaciones y/o recomendaciones ................................. 48
III.3.5. Archivo de papeles de trabajo ............................................................................................ 48
GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 1
AUDITORA DE TECNOLOGAS DE INFORMACIN

III.3.6. Cierre de auditora ................................................................................................................ 49
III.4. Elaboracin del Informe de Resultados .................................................................................... 49
III.4.1. Evaluacin de observaciones y/o recomendaciones ....................................................... 50
III.4.1.1. Documentacin e informacin ......................................................................................... 50
III.4.1.2. Procedimientos anlisis y evaluacin de aclaraciones y comentarios ........................ 51
III.4.1.3 Resultados de informes tcnicos ...................................................................................... 51
III.4.2. Elaboracin del informe ....................................................................................................... 51
III.4.3. Aprobacin............................................................................................................................. 52
GLOSARIO..................................................................................................................................... 54
ANEXOS
Diagrama de Flujo de la Auditora de Tecnologas de Informacin


I. GENERALIDADES DE LA GUA DE AUDITORA DE TECNOLOGAS DE
INFORMACIN
I.1. Antecedentes
La Auditora Superior del Estado es el rgano del Poder Legislativo del Estado de
Chihuahua que por disposicin de la Constitucin Estatal y de conformidad con la ley
que la crea, tiene la funcin de auditar el ingreso y la aplicacin de los recursos pblicos
de los tres poderes de Gobierno del Estado, los Ayuntamientos, los organismos que por
disposicin constitucional estn dotados de autonoma, los organismos pblicos
descentralizados, empresas de participacin y fideicomisos de la administracin pblica
o privada, que reciba, maneje, recaude o administre recursos pblicos, con la finalidad
de coadyuvar al desarrollo permanente de la eficiencia, eficacia, economa y
transparencia de la gestin pblica.
La fiscalizacin de los recursos pblicos debe realizarse desde el punto de vista

financiero, contable, presupuestal, tcnico de obra, legalidad y de gestin; la revisin
de las cuentas pblicas se realizaba de manera bidireccional, es decir solo desde el
punto de vista financiero y de obra, lo que ocasionaba que la gestin gubernamental
dejara de ser evaluada bajo la ptica de otras varias disciplinas para cumplir con mayor
eficiencia la funcin que nos han encomendado, es indispensable incorporar en los
procesos de auditora, disciplinas tales como: Tecnologas de la Informacin, Ambiental,
Legalidad y Desempeo, logrando as que el recurso pblico sea auditado y fiscalizado
bajo la perspectiva multidisciplinaria, dando pauta a la fiscalizacin multidireccional.
Con el modelo multidireccional que la Auditora Superior del Estado de Chihuahua est
implementando para desarrollar su facultad de fiscalizacin de la cuenta pblica,
incorpora el rea de auditora de tecnologas de informacin, en donde una de las
funciones de sta rea, es conocer la situacin en la cual se encuentran las tecnologas
de informacin de los entes pblicos.

El rea de auditora de tecnologas de informacin tiene como uno de sus objetivos;
promover y elevar la cultura del aprovechamiento en el uso de las tecnologas de
informacin en los entes a fiscalizar, constatando que se lleven a cabo las mejores
prcticas y se sigan los procedimientos que aseguren la veracidad, confidencialidad,
confiabilidad y disponibilidad de la informacin, garantizando de esta manera la
prevencin ante posibles contingencias que puedan impedir la continuidad del uso de
los recursos informticos.
Realizar las actividades correspondientes a la verificacin de los controles internos

establecidos en el rea de sistemas, as como el estudio de seguridad fsica y lgica, el
anlisis de los riesgos a que est expuesta la informacin y los equipos de cmputo.
Para el cumplimiento de los objetivos contenidos en sus planes y programas, el artculo

11 fraccin XIV de la Ley de Auditora Superior del Estado de Chihuahua; cita Artculo
11. Son facultades del Auditor Superior del Estado de Chihuahua fraccin XIV
establecer las reglas tcnicas, procedimientos, mtodos y sistemas de contabilidad y
de archivo de los libros y documentos justificativos y comprobatorios del ingreso y del
gasto pblico, as como todos aquellos elementos que permitan la prctica idnea de
las auditoras y revisiones.
I.2. Marco Legal
En este punto se describen la regulacin y las mejores prcticas de Auditora en

Informtica sobre la administracin de los riesgos en la misma, en base a los
organismos nacionales e internacionales, las cuales se han convertido en una pauta a
seguir por diversos organismos.

En este captulo se abordan las principales leyes existentes en materia informtica as
como las mejores prcticas que pueden ser aplicadas en el sector pblico o privado o
cualquier organizacin que utilice la auditora informtica.
I.2.1 Legislacin e instituciones nacionales
El Cdigo Penal de la Federacin, en el ttulo noveno Revelacin de secretos y acceso

ilcito a sistemas y equipos de informtica establece lo siguiente:
TTULO NOVENO
Revelacin de secretos y acceso ilcito a sistemas y equipos de informtica
CAPITULO I
Revelacin de secretos
Artculo 210.- Se impondrn de treinta a doscientas jornadas de trabajo en favor de la

comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que
pueda resultar perjudicado, revele algn secreto o comunicacin reservada que conoce
o ha recibido con motivo de su empleo, cargo o puesto.
Artculo 211.- La sancin ser de uno a cinco aos, multa de cincuenta a quinientos
pesos y suspensin de profesin en su caso, de dos meses a un ao, cuando la
revelacin punible sea hecha por persona que presta servicios profesionales o tcnicos
o por funcionario o empleado pblico o cuando el secreto revelado o publicado sea de
carcter industrial.
Artculo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en perjuicio de

otro, informacin o imgenes obtenidas en una intervencin de comunicacin privada,

se le aplicarn sanciones de seis a doce aos de prisin y de trescientos a seiscientos
das multa.
Captulo II
Acceso ilcito a sistemas y equipos de informtica
Artculo 211 bis 1.- Al que sin autorizacin modifique, destruya o provoque prdida de
informacin contenida en sistemas o equipos de informtica protegidos por algn
mecanismo de seguridad, se le impondrn de seis meses a dos aos de prisin y de
cien a trescientos das multa.
Al que sin autorizacin conozca o copie informacin contenida en sistemas o equipos

de informtica protegidos por algn mecanismo de seguridad, se le impondrn de tres
meses a un ao de prisin y de cincuenta a ciento cincuenta das multa.
informacin contenida en sistemas o equipos de informtica del Estado, protegidos por
algn mecanismo de seguridad, se le impondrn de uno a cuatro aos de prisin y de
doscientos a seiscientos das multa.

de informtica del Estado, protegidos por algn mecanismo de seguridad, se le
impondrn de seis meses a dos aos de prisin y de cien a trescientos das multa.
A quien sin autorizacin conozca, obtenga, copie o utilice informacin contenida en

cualquier sistema, equipo o medio de almacenamiento informticos de seguridad
pblica, protegido por algn medio de seguridad, se le impondr pena de cuatro a diez
aos de prisin y multa de quinientos a mil das de salario mnimo general vigente en el
Distrito Federal. Si el responsable es o hubiera sido servidor pblico en una institucin

de seguridad pblica, se impondr adems, destitucin e inhabilitacin de cuatro a diez
aos para desempearse en otro empleo, puesto, cargo o comisin pblica.
Artculo 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de
informtica del Estado, indebidamente modifique, destruya o provoque prdida de
informacin que contengan, se le impondrn de dos a ocho aos de prisin y de
trescientos a novecientos das multa.
Al que estando autorizado para acceder a sistemas y equipos de informtica del Estado,
indebidamente copie informacin que contengan, se le impondrn de uno a cuatro
aos de prisin y de ciento cincuenta a cuatrocientos cincuenta das multa.
A quien estando autorizado para acceder a sistemas, equipos o medios de

almacenamiento informticos en materia de seguridad pblica, indebidamente
obtenga, copie o utilice informacin que contengan, se le impondr pena de cuatro a
diez aos de prisin y multa de quinientos a mil das de salario mnimo general vigente
en el Distrito Federal. Si el responsable es o hubiera sido servidor pblico en una
institucin de seguridad pblica, se impondr adems, hasta una mitad ms de la pena
impuesta, destitucin e inhabilitacin por un plazo igual al de la pena resultante para
desempearse en otro empleo, puesto, cargo o comisin pblica.
informacin contenida en sistemas o equipos de informtica de las instituciones que
integran el sistema financiero, protegidos por algn mecanismo de seguridad, se le
impondrn de seis meses a cuatro aos de prisin y de cien a seiscientos das multa.

de informtica de las instituciones que integran el sistema financiero, protegidos por

algn mecanismo de seguridad, se le impondrn de tres meses a dos aos de prisin y
de cincuenta a trescientos das multa.
Artculo 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de
informtica de las instituciones que integran el sistema financiero, indebidamente
modifique, destruya o provoque prdida de informacin que contengan, se le
impondrn de seis meses a cuatro aos de prisin y de cien a seiscientos das multa.
Al que estando autorizado para acceder a sistemas y equipos de informtica de las

instituciones que integran el sistema financiero, indebidamente copie informacin que
contengan, se le impondrn de tres meses a dos aos de prisin y de cincuenta a
trescientos das multa.
Las penas previstas en este artculo se incrementarn en una mitad cuando las
conductas sean cometidas por funcionarios o empleados de las instituciones que
integran el sistema financiero.
Artculo 211 bis 6.- Para los efectos de los artculos 211 Bis 4 y 211 Bis 5 anteriores, se
entiende por instituciones que integran el sistema financiero, las sealadas en el artculo
400 Bis de este Cdigo.
Artculo 211 bis 7.- Las penas previstas en este captulo se aumentarn hasta en una
mitad cuando la informacin obtenida se utilice en provecho propio o ajeno.
Instituto Mexicano de Auditores Internos, IMAI
Dedicado a la capacitacin e investigacin en de Auditora Interna y Control.
De acuerdo al IMAI su misin es promover el mejoramiento constante de la Prctica

Profesional de la Auditora Interna, para fortalecer el prestigio de esta profesin y de
quienes la practican.

Marco jurdico que sirve de referencia para la realizacin de pruebas sustantivas y de
cumplimiento, entre otras disposiciones legales, son las siguientes:
- Constitucin Poltica de los Estados Unidos Mexicanos

- Constitucin Poltica del Estado de Chihuahua
- Ley Orgnica del Poder Ejecutivo del Estado de Chihuahua
- Ley de Entidades Para Estatales del Estado de Chihuahua
- Ley de la Auditora Superior del Estado de Chihuahua
- Cdigo Municipal del Estado de Chihuahua
- Presupuestos de Egresos de Gobierno del Estado y sus Municipios
- Ley de Ingresos de Gobierno del Estado y sus Municipios
I.2.2 Legislacin e instituciones internacionales
INTOSAI
ISSAI 5310 Information System Security Review Methodology (Directriz sobre el

Control de Sistemas de Seguridad de la Tecnologa de Informacin)
Institute of System Audit and Association, ISACA
Asociacin de Auditora y Control de Sistemas de Informacin, lleva a cabo proyectos

de investigacin de gran escala para expandir los conocimientos y el valor del campo
de gobernacin y control de TI.
Institute of Internal Auditors, IIA
Organizacin profesional, reconocida mundialmente como una autoridad, pues es el

principal educador y el lder en la certificacin, la investigacin y la gua tecnolgica
en la profesin de la auditora interna.

Control Objectives for Information and related Technology, COBIT
Herramienta que permite evaluar la calidad del soporte de TI actual de la

organizacin, vinculando los distintos procesos del negocio con los recursos
informticos que los sustentan.
Figura 1. Estructura del marco de control COBIT.
BS 7799 e ISO 17799
British Standard Institute (BSI) publica la norma BS 7799, un cdigo de buenas

prcticas para la gestin de la seguridad de la informacin. En 1998 tambin el BSI
publica la norma BS 7799-2 con especificaciones para los sistemas de gestin de la
seguridad de la informacin. Actualmente las empresas deben asegurar que sus
recursos y la propiedad intelectual estn protegidos.

Committee of Sponsoring Organizations, COSO
Marco de control interno que plantea el informe COSO consta de cinco componentes
interrelacionados, derivados del estilo de la direccin, e integrados al proceso de
gestin:
Ambiente de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin
Figura 2. Cubo de los procesos y actividades del COSO

Metodologa de anlisis y gestin de riesgos de los sistemas de informacin, MAGERIT
Esta metodologa presenta un objetivo definido en el estudio de los riesgos que

afectan los sistemas de informacin y el entorno de ellos haciendo recomendaciones
de las medidas apropiadas que deberan adoptarse para conocer, prevenir, evaluar y
controlar los riesgos investigados.
Sarbanes-Oxley, SOX
Actualmente las organizaciones estn expuestas a ataques que propicien la prdida

de informacin y fraudes, para minimizar los riesgos de fraude, las empresas se
requieren revisar, evaluar y fortalecer sus propios controles internos.
La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de julio de 2002,

fue preparada a partir de los escndalos financieros de los ltimos aos y establece
una serie de nuevos requisitos tanto para las empresas estadounidenses como para
las extranjeras, tenedoras y subsidiarias, que cotizan en la bolsa de valores
estadounidense (New York Stock Exchange, NYSE), con la idea de regular el gobierno
corporativo.

Normas Internacionales de Auditora, NIA
Emitidas por el International Federation of Accountans (IFAC) a travs del International

Auditing and Assurance Standars Boards (IAASB). Son los requisitos mnimos de calidad
relativos a la personalidad del auditor, al trabajo que desempea y a la informacin que
rinde como resultado de dicho trabajo.
Figura 3. Estructura general de las normas internacionales de auditoria
Entrenamiento tcnico y capacidad profesional

Cuidado y diligencia profesional
Normas Independencia de criterio
personales
Planeacin y supervisin
Estudio y evaluacin del control interno
Normas de Obtencin de evidencia suficiente y competente
ejecucin
Aplicacin de las NIF

Revelacin suficiente
Normas de Opinin del auditor
informacion
Figura 4. Normas donde se mencionan los expertos para las revisiones.
Normas y Procedimientos de 3140 Efectos de la Tecnologa de Informacin

Auditora y Normas para (TI) en el desarrollo de una auditora de
Atestiguar estados financieros.
Normas Internacionales de 620 Utilizacin del trabajo de un experto

Auditoria

I.3. Objetivos de la Gua
Son objetivos de la presente Gua:
a. Establecer los Procedimientos que faciliten la realizacin de la auditora de

tecnologas de informacin
b. Establecer los procedimientos que permitan interactuar con las diversas reas de
la Auditora Superior.
c. Estandarizar los procedimientos y alcances en la prctica de la auditora de
tecnologas de informacin.
d. Garantizar a los entes fiscalizables que la actuacin de la Auditora Superior del
Estado en la auditora de tecnologas de informacin se regir, entre otros por lo
principios de: Igualdad, Imparcialidad, Buena Fe, Transparencia y Confiabilidad.
I.4. Campo de Aplicacin de la Gua
Esta gua se realiz para uso de la Auditora Superior del Estado de Chihuahua, para su
aplicacin en el universo de entes pblicos sujetos a auditar en el Estado, mismos que
apliquen recursos pblicos de manera directa e indirecta en acciones tecnolgicas; as
como en sus diferentes reas, programas, planes, proyectos, operaciones y resultados
que se generen en el proceso de gestin informtica, y en sus aspectos administrativos,
financieros y tcnicos.
I.5. Alcance de la Gua
La presente gua est dirigida a los auditores de la Auditora Superior que realicen
funciones de auditora de tecnologas de informacin a los diferentes entes pblicos de
la administracin central, descentralizada ya sea estatal y municipal, autnomos,

fideicomisos y personas fsicas o morales que manejen, recauden o administren recursos
pblicos. Adems, el desarrollo de los procesos generales establecidos en la presente
gua es de aplicacin general y flexible de acuerdo a la naturaleza del ente.
I.6. Metodologa Utilizada en la Elaboracin de la Gua
La gua de auditora de tecnologas de informacin, se nutre entre otros de los

resultados y experiencias de los procedimientos de auditora y acciones tecnolgicas
realizados en el ejercicio anterior y de la normatividad antes mencionada.
Para la elaboracin de la presente gua, se consideraron los siguientes puntos:
a. Planear: se convoc a un grupo de auditores involucrados en la ejecucin de

auditoras de tecnologas de informacin para evaluar y mejorar la metodologa
utilizada en esta rea, para lo cual se recopil informacin en la materia con los
entes auditados, as como de procedimientos aplicables en otros pases en
relacin a auditoras a las tecnologas de informacin.
b. Organizar: una vez concluida la fase de planeacin, se define el plan de trabajo y
los aspectos a considerar para el proceso de la auditora, se procedi a elaborar
la presente gua.
c. Verificar: se remiti el documento de trabajo al personal involucrado en el
proceso de auditora de tecnologas de informacin, a fin de que se comente y
determine el contenido de la presente gua y se aporte un producto til para la
ejecucin de las auditoras.
d. Control: con el propsito de evaluar y encontrar reas de oportunidad para la
mejora en los distintos procesos considerados en esta metodologa, se procede
a revisar anualmente los aspectos considerados en la Gua de Auditora de
Tecnologas de Informacin

La presente gua ha sido redactada bajo el enfoque de procesos, presentando el
desarrollo de una secuencia lgica de actividades para la obtencin de un producto
final, el mismo que proporcionar informacin sobre posibles efectos tecnolgicos.
Las cuatro etapas del proceso de revisin de la auditora de tecnologas de informacin

son:
I. El conocimiento preliminar
II. La planeacin
III. Ejecucin de la auditora
IV. La elaboracin del informe
Figura 6. Desarrollo del Proceso de la auditora de tecnologas de informacin

Conocimiento preliminar
Estudio y revisin del archivo Solicitud de requerimientos
permanente Estudio y evaluacin del control
Seguimiento informe del ejercicio interno
inmediato anterior Acuerdo fechas

I
CONOCIMIENTO II PLANEACIN
PRELIMINAR
IV III EJECUCIN
ELABORACIN DE LA
DEL INFORME AUDITORA
Evaluacin de observaciones y/o

recomendaciones Desarrollo de procedimientos
Resultados de informes tcnicos Formulacin de posibles observaciones
y/o recomendaciones
Comunicacin de posibles observaciones
y/o recomendaciones


II. AUDITORA DE TECNOLOGAS DE INFORMACIN
II.1. Tipos de Auditora de Tecnologas de Informacin
Llevar a cabo una auditora de tecnologas de informacin requiere un mnimo de

conocimientos sobre temas tecnolgicos y sus impactos.
Existen diferentes tipos de auditoras:
Al ciclo de vida de sistemas

A un sistema en operacin
A controles generales del computador
A la administracin de la funcin informtica
Auditora a las microcomputadoras aisladas
Auditora de redes
Auditoras en las que pueden abordarse temas tecnolgicos
1. En la Auditora financiera o de estados contables, pueden incluirse, entre otros,

los siguientes asuntos informticos:
Iniciativas para prevenir, disminuir o remediar daos a la informacin.

La aplicacin de recursos informticos aprobados en los presupuestos
correspondientes.
Automatizacin de pruebas sustantivas.
2. En la Auditora de Normatividad, los criterios que utilice el auditor deben ayudar

a determinar si la entidad ha ejecutado las actividades relacionadas con el
cuidado de los recursos informticos. La auditora de normatividad, en el
contexto informtico se encargar de evaluar:

La verificacin del cumplimiento normativo de aplicacin a lo
tecnolgico.
II.2. Consideraciones para Establecer el rea de Auditora de Tecnologas de

Informacin
La Informtica en la actualidad, est subsumida en la gestin integral de las

organizaciones, por eso las normas y estndares propiamente informticos deben estar,
por lo tanto, sometidos a los estndares generales de la misma. En consecuencia, las
organizaciones informticas forman parte de lo que se ha denominado gestin de la
organizacin.
La Informtica no gestiona propiamente a la organizacin, ayuda a la toma de

decisiones, pero no decide por s misma. Por ende, debido a su importancia en el
funcionamiento de la misma, existe la Auditora Informtica o de tecnologas de
informacin. Las organizaciones acuden a las auditoras externas e internas cuando
existen sntomas perceptibles de debilidad. Estos pueden agruparse en clases:
a. Sntomas de descoordinacin y desorganizacin:
No coinciden los objetivos de la gerencia de TI con los de la propia

organizacin.
Los estndares de productividad se desvan sensiblemente de los
promedios conseguidos habitualmente.

b. Sntomas de mala imagen e insatisfaccin de los usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios

de software en los terminales de usuario, variacin de los archivos que deben
ponerse diariamente a su disposicin, etc.
No se reparan las averas de hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes en
la actividad del usuario, en especial en los resultados de aplicaciones crticas y
sensibles.
c. Sntomas de debilidades econmico-financieras:
Incremento desmesurado de costos.

Necesidad de justificacin de inversiones informticas.
Desviaciones presupuestarias significativas.
Costos y plazos de nuevos proyectos.
d. Sntomas de Inseguridad:
Evaluacin de nivel de riesgos

Seguridad lgica.
Seguridad fsica.
Confidencialidad.

II.3. Definicin de Auditora de Tecnologas de Informacin
Una auditora a tecnologas de la informacin es un examen profesional, objetivo y

sistemtico de las operaciones y actividades efectuadas por una organizacin, proyecto
o programa, para determinar el grado de cumplimiento y eficacia de:
La planificacin, el desarrollo y la implantacin de los sistemas utilizados.

La informacin producida por los sistemas, su pertinencia y confiabilidad.
La documentacin bsica de cada sistema, su implantacin y la divulgacin
de la misma entre los usuarios.
Los mecanismos de control incorporados en los sistemas.
Los recursos idneos identificados y disponibles para garantizar la
continuidad de las operaciones en caso de desastres.
El programa de adiestramiento al personal de sistemas de informacin, sus
usuarios y los auditores.
Entonces, se entiende por auditora a tecnologas de la informacin a aquella actividad

auditora que trata de evaluar la adecuada utilidad, eficiencia y fiabilidad de la
informacin mecanizada que se produce en una determinada organizacin pblica o
privada, as como los servicios que la elaboran y procesan.
Engloba el anlisis de la organizacin, seguridad, segregacin de funciones y gestin

de las actividades de proceso de datos.

II.4. Principios
La Auditora Superior, en el ejercicio de sus atribuciones, se regir por los principios de

posterioridad, anualidad, legalidad, imparcialidad, eficiencia, eficacia, economa y
transparencia.
a. Posterioridad: las acciones de la Auditora se llevarn a cabo una vez que los entes
pblicos hayan presentado su cuenta pblica anual, conforme lo establece la norma
vigente aplicable.
b. Anualidad: el perodo de revisin debe estar acotado a un ejercicio fiscal de los

entes, con salvedad de las hiptesis previstas en la propia normatividad.
c. Legalidad: la operacin de los entes pblicos se rige por la normatividad que

establece el marco jurdico que le aplica.
d. Imparcialidad: las auditoras se realizarn a los entes pblicos de una manera objetiva
y veraz.
e. Eficacia: capacidad de lograr los objetivos y metas programadas con los recursos
disponibles en un tiempo predeterminado.
f. Eficiencia: uso racional de los medios con que se cuenta para alcanzar un objetivo
predeterminado; es el requisito para evitar o cancelar dispendios y errores.
g. Economa: la adquisicin de bienes y servicios en mejores condiciones de precio,

calidad, cantidad y oportunidad, as como la ptima aplicacin de los recursos utilizados
en la administracin para la reduccin al mnimo de los costos.

h. Transparencia: est referida a la difusin de la labor de auditora, con la finalidad de
sensibilizar y concientizar a funcionarios y pobladores sobre la necesidad de conservar
el ambiente y propender a su desarrollo sostenible.
II.5. Objetivo de la Auditora de Tecnologas de Informacin
II.5.1. Objetivo general
Promover y elevar la cultura del aprovechamiento en el uso de las Tecnologas de

Informacin en los Entes a fiscalizar, constatando que se lleven a cabo las mejores
prcticas y se sigan los procedimientos que aseguren la veracidad, confidencialidad,
confiabilidad y disponibilidad de la informacin, garantizando de esta manera la
prevencin ante posibles contingencias que puedan impedir la continuidad del uso de
los recursos informticos.
Realizar las actividades correspondientes a la verificacin de los controles internos

establecidos en el rea de Sistemas, as como el estudio de seguridad fsica y lgica, el
anlisis de los riesgos a que est expuesta la informacin y los equipos de cmputo.
II.5.2. Objetivos especficos
Determinar la situacin actual del rea informtica, las actividades y esfuerzos

necesarios para lograr los objetivos propuestos.
Minimizar existencias de riesgos en el uso de tecnologa de informacin.
Evaluar la dependencia de los sistemas y las medidas tomadas para garantizar su
disponibilidad y continuidad.
Revisar la seguridad de los entornos y sistemas.

Evaluar la suficiencia y eficacia de los planes de contingencia.
Analizar la garanta de calidad de los Sistemas de Informacin
Brindar una opinin y recomendaciones sobre la utilizacin eficiente de los
recursos informticos.
Analizar los controles y procedimientos tanto organizativos como operativos.
Apoyar a las dems reas de auditora con la realizacin de pruebas sustantivas y
de cumplimiento con el uso de las herramientas informticas.
II.6. Caractersticas del Proceso de Auditora
El proceso de auditora debe cumplir las siguientes caractersticas:
a. Objetividad: el auditor debe contar con actitud mental independiente sin

influencias personales, debiendo prevalecer en todo momento el juicio
profesional para analizar, interpretar y evaluar el cumplimiento normativo y el
registro de las operaciones realizadas.
b. Sistematicidad: porque a travs de una metodologa, se permite que el auditor

exprese y sustente una opinin sobre la gestin desarrollada por la entidad.
c. Especializacin: contando con los conocimientos en auditora, tecnologas de

informacin y disciplinas afines, respaldados por la experiencia.
d. Oportunidad: la ejecucin de la auditora, as como la presentacin del Informe

Tcnico de Resultados, que integra las observaciones y recomendaciones al ente
auditado, debern presentarse en los tiempos establecidos por la Legislacin
aplicable.


III. GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN
La auditora de tecnologas de informacin es un proceso que comprende cuatro fases:

Conocimiento Preliminar, Planeacin, Ejecucin de la Auditora y Elaboracin del
Informe de Resultados. Adicionalmente, se considera una fase de seguimiento posterior
a la conclusin de la auditora; tal como se muestra a continuacin:
Figura 7. Proceso de auditora de tecnologas de informacin
Conocimiento
preliminar
Elaboracin del
Informe Tcnico de Planeacin
Resultados
Ejecucin de la
auditora
La secuencia del proceso de actividades que comprende cada fase, es flexible y

aplicable de acuerdo a la naturaleza de la entidad, as como al plan, programa,
proyecto, obra, actividad o problema informtico que se va a auditar. El proceso
completo de la auditora se grafica en el Anexo 1 Diagrama de Flujo del Proceso de
auditora de tecnologas de informacin.

A continuacin, se analiza cada fase del proceso de auditora de tecnologas de
informacin.
Enfoque metodolgico
El enfoque metodolgico propuesto integra el conocimiento aportado por las

organizaciones que lideran el desarrollo de los estndares y mejores prcticas en el
mbito de las tecnologas de la informacin reconocidas a nivel internacional,
entregando un marco referencial para realizar auditoras a las tecnologas de
informacin centradas en los procesos de la organizacin, los sistemas de informacin
que los soportan y sus actividades de control.
III.1. Conocimiento Preliminar
Es la fase inicial del proceso de auditora de tecnologas de informacin, se considera el

archivo permanente que contiene la informacin general para el estudio y comprensin
de los entes a revisar en caso de que se hayan realizado auditoras en aos anteriores,
as como, revisar el informe del ejercicio anterior para darle seguimiento a las
observaciones.
III.2. Planeacin
La Planeacin es la primera fase del proceso de auditora, en ella se identifican las reas
crticas e informacin del rea de tecnologas de informacin, a partir del cual se
determina el alcance, procedimientos de revisin y el equipo auditor comisionado, con
el propsito de definir los objetivos de auditora teniendo como resultado la Planeacin
de la Auditora.

Para el desarrollo de la planeacin de auditora de tecnologas de informacin, se
debern considerar el desarrollo de los siguientes procesos:
Solicitud de informacin al rea del ndice de Rendicin de Cuentas (IRC) y

validacin de la misma.
Estudio y evaluacin del control interno en las reas de tecnologas de
informacin del ente a auditar, se aplica a travs de la herramienta SIDATI.
Solicitar informacin del contenido tecnolgico mediante instrumentos de
recopilacin como son: cuestionarios, entrevistas, inspeccin, etc.
Coordinarse con el resto de las reas de la ASE a efecto de compartir
informacin del tipo informtica que stas hayan considerado en sus
procedimientos de revisin.
Bases de datos de los sistemas a revisar.
Procedimientos a revisar por las diferentes reas de la ASE.
Coordinacin con el Sndico Municipal para el desarrollo de procedimientos
tcnicas e inspecciones de auditora de tecnologas de informacin.
Figura 8. Proceso de planeacin de la auditora de tecnologas de informacin
Informacin
Preliminar
Solicitud de Estudio y
Programacin
informacin Evaluacin de CI
Integracin
Planeacin
CATI

III.2.1.1 Riesgo y materialidad de la auditora
Se puede definir los riesgos de auditora como aquellos riesgos de que la informacin
pueda tener errores materiales o que el auditor de TI no pueda detectar un error que ha
ocurrido. Los riesgos en auditora pueden tener diversas clasificaciones.
El auditor puede llegar a la conclusin de que no existen errores materiales cuando en

realidad los hay. La palabra material utilizada con cada uno de los riesgos evaluados, se
refiere a un error que debe considerarse significativo cuando se lleva a cabo una
auditora. En una auditora de TI, la definicin de riesgos materiales depende del
tamao o importancia del objeto auditado as como de otros factores. El auditor de TI
debe tener una cabal comprensin de los riesgos de auditora al planificar.
Una auditora tal vez no detecte cada uno de los potenciales errores en un universo,
pero, s el tamao de la muestra es lo suficientemente grande, o se utilizan
procedimientos estadsticos adecuados, se llega a minimizar la probabilidad del riesgo
de deteccin.
De manera similar al evaluar los controles internos, el auditor de TI debe percibir que en
un sistema dado se puede detectar un error mnimo, pero ese error combinado con
otros, puede convertirse en un error material para todo el objeto auditado.
a. Tcnicas de evaluacin de riesgos
Al determinar que reas funcionales o temas de auditora que deben auditarse, el

auditor de TI puede enfrentarse a una gran variedad de temas candidatos a ser
auditados, el auditor debe evaluar esos riesgos y determinar cules de esas reas de
alto riesgo debe ser auditada.

b. Objetivos de controles y objetivos de auditora
El objetivo de un control es anular el riesgo siguiendo alguna metodologa, el

objetivo de auditora es verificar la existencia de estos controles y que estn
funcionando de manera eficaz, respetando las polticas del ente y los objetivos del
ente.
III.2.2. Solicitud de informacin
Este procedimiento deber realizarse de manera formal utilizando las herramientas

como son: oficios, cuestionarios, entrevistas, layouts, entre otros, con la finalidad de
documentar y soportar la auditora de tecnologas de informacin.
III.2.2.1. Documentacin e informacin
a. Normatividad: los auditores, entes auditados y el mismo proceso de auditora;

estn sometidos a un marco normativo que debe ser considerado a lo largo de
toda la auditora.
b. Lineamientos establecidos en la que contiene: el objetivo general, objetivos

especficos, metas y acciones, nmero de integrantes, planeacin general de la
auditora de tecnologas de informacin. A partir del plan se establece el
personal responsable. Cualquier otra accin no contemplada en la planeacin
estratgica se adicionar a los procedimientos aplicables para su ejecucin.
c. Archivo Permanente: est integrado por informacin general como es: ley
orgnica o decreto de creacin del ente, informes de auditoras y cdulas de

seguimiento, nombre del titular, domicilio, colindancia, telfono, etc., normativa
y documentos de gestin desarrollados por el ente auditado.
d. Informacin General: comprende el conocimiento del ente auditar, es decir, su

naturaleza, actividades y operaciones, obtenido a partir de decreto de creacin y
regulacin normativa que le aplique.
e. Antecedentes: incluye informes de auditoras anteriores, internos o externos,

denuncias de ciudadanos por aspectos tecnolgicos, requerimientos del titular
de la ASE, as como cualquier otra documentacin relacionada con la auditora.
f. Restricciones: tales como personal, tiempos, disponibilidad de equipos,

comunicaciones y otras que puedan interferir en la realizacin del proceso de
planificacin.
III.2.2.2. Procedimientos
El auditor de TI responsable, deber incluir de manera escrita o medios magnticos los

mtodos que utilizar para el desarrollo de los trabajos correspondientes de acuerdo
con el programa detallado de actividades y los alcances definidos para la Auditora.
a. Revisin del archivo permanente:

De existir una auditora realizada con anterioridad a la entidad o rea a evaluar,
se debe contar con un archivo permanente que contiene normas generales,
especficas y documentos de gestin de la entidad que pueden ser revisados
inicialmente como referencia. Es el archivo con los antecedentes que reflejan el
estado de organizacin y funcionamiento de los procesos y sistemas auditados
en una entidad. Este archivo contiene informacin de la organizacin que es
poco cambiante y, por consiguiente, tiene validez continua a travs del tiempo.

b. Reuniones interinstitucionales:
Como parte del ente pblico a auditar y de la problemtica a ser considerada en
el diagnstico inicial, los auditores realizarn reuniones, de ser posible, con los
funcionarios del ente, con el fin de conocer su forma de trabajo, establecer el
contacto inicial con los responsables de rea, con la finalidad de obtener una
mayor eficiencia en la revisin.
c. Sistematizacin y bsqueda de la informacin:

Comprende la revisin de informacin que se obtiene a partir de publicaciones,
estudios de investigacin, Internet, sistemas de informacin y otras adicionales a
la informacin obtenida del ente a auditar.
d. Anlisis de hechos:
Para identificar el problema principal o rea crtica objeto del desarrollo de la
auditora, es necesario que los auditores se basen en hechos y no se dejen guiar
solamente por el sentido comn, la experiencia o la habilidad; lo cual podra
ocasionar un resultado contrario al esperado.
e. Levantamiento de la informacin bsica y detallada:

El levantamiento de informacin que se realiza en esta etapa, tiene como
finalidad asegurar que el auditor comprenda la filosofa y las caractersticas de
funcionamiento de los procesos de negocio y sistemas de informacin en
estudio. Esto es imperativo dentro del proceso de la auditora, puesto que toda
la pericia y el conocimiento tcnico del auditor seran inaplicables si antes no
obtiene la comprensin de aspectos claves del universo que ser auditado.

Como resultado de esta actividad, el auditor obtiene la siguiente informacin:
1. De los procesos de negocio
Estructura organizacional.
Estructura de las reas propietarias de la informacin de los procesos
de negocio.
Clientes internos y externos.
Dependencias de la organizacin.
Tareas o actividades que realiza cada dependencia.
Terceros que intervienen en el manejo de la informacin.
Cuantificacin de las cifras de operaciones que manejan los procesos
de negocio (promedio durante un ao).
Polticas y procedimientos establecidos en la organizacin relacionados
con los procesos de negocio.
Normas legales e institucionales que rigen el funcionamiento del
servicio.
Informacin sobre fraudes y otros antecedentes en las operaciones del
servicio.
2. De las tecnologas de informacin que soportan los procesos de negocio

Funciones y operaciones del negocio que ejecutan los sistemas.
Modelo entidad/relacin de las bases de datos de los sistemas.
Diccionario de datos de los modelos entidad/relacin.
Inventario de documentos fuentes y otros medios de entrada de datos.
Personas claves que dan soporte tcnico a la operacin y
mantenimiento de los sistemas para cada dependencia.
Terceros que prestan servicios de tecnologas de informacin para los
procesos de negocio.

Inventario de informes que producen los sistemas y destinatarios de los
mismos.
Interfaces entre sistemas (informacin que reciben o proporcionan a
otros sistemas).
Manuales existentes con la documentacin tcnica y del usuario.
Plataforma en la que funcionan los sistemas de informacin (sistema
operativo, software de desarrollo y motor de base de datos utilizados).
Si el sistema de informacin fue adquirido; datos del proveedor, ao de
adquisicin, versin en produccin, cantidad de usuarios con licencia,
poseen programas fuentes y contrato de mantencin).
Si el sistema de informacin fue desarrollado internamente (tipo de
lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso a
produccin, versin actual en produccin).
f. Ficha tcnica de los sistemas de informacin

La ficha tcnica es un documento con el resumen gerencial de las principales
caractersticas del proceso de negocio y de las tecnologas de informacin que
soportan sus operaciones.
III.2.2.3. Resultados de la planeacin
a. Diagnstico de Materialidad en la Auditora, segn el punto III.2.1.1:

Documento donde los auditores responsables de la planeacin efectan un
primer anlisis de la problemtica a ser evaluada, identificando las reas de
oportunidad, provenientes de la aplicacin de las herramientas de identificacin
de problemas, de la revisin de la documentacin y realizacin de las reuniones
interinstitucionales. Este diagnstico ayudar a identificar la problemtica
tecnolgica del ente para establecer los procedimientos a aplicar. Dicho

documento es aprobado por el equipo supervisor e instancia superior
correspondiente.
b. Determinacin de reas de oportunidad:

Los pasos anteriores ayudan a definir las unidades de la entidad y los temas de
inters a ser examinados. Esto no exime la posibilidad de que el auditor revise
otras reas no consideradas en la planeacin.
c. Informacin adicional:
Si existe la necesidad de informacin complementaria se procede a requerirla de
manera formal, utilizando medios telefnicos y correo electrnico. Asimismo, a
travs de la ASE mediante formatos internos de requerimientos del ndice de
Rendicin de Cuentas (IRC).
d. Inspecciones:
Extraordinarias: igualmente y solo de ser necesario, el auditor responsable de la
planeacin elaborar un documento proponiendo y justificando estas visitas, dicho
documento deber contener como mnimo lo siguiente:
Justificacin: la necesidad de la realizacin de la inspeccin.

Objetivo: qu se desea obtener como resultado de la inspeccin.
Puntos de inters: qu se requiere revisar durante la inspeccin.
Actividades: rutas, tiempos, responsables etc.
Necesidades: movilidad, equipos logsticos, costos (viticos en el caso de
realizarse fuera del mbito geogrfico de la entidad auditora).
El documento final ser remitido a la instancia superior correspondiente para su

aprobacin y posterior archivo en los papeles de trabajo de la fase de planeacin.

III.2.3. Estudio y evaluacin del control interno
El estudio y evaluacin del control interno se efectuar con el objeto de cumplir con la
norma de ejecucin del trabajo que requiere el auditor, que le sirva de base y
determine el grado de confianza que va a depositar sobre el control interno y que esto
le permita determinar la naturaleza, el alcance y la oportunidad en los procedimientos
de auditora.
Esta etapa tiene como objetivos conocer y comprender el ambiente de organizacin,

tecnolgico y operativo de los procesos de negocio y los sistemas de informacin que
los soportan. Implica para el auditor realizar un levantamiento de la informacin
detallada a travs de entrevistas con las personas apropiadas, de observacin de la
forma como se ejecutan las operaciones y de la comprensin de la lgica del negocio,
los flujos de informacin, el rol de las personas y dependencias que intervienen en el
manejo de las operaciones y otros aspectos que el auditor considere importantes.
Cuando se realiza por primera vez la auditora en un servicio, la informacin relevante

obtenida en esta etapa se organiza en un documento conocido como archivo
permanente o expediente continuo de auditora. Si el archivo ya existe, es necesario su
revisin y actualizacin con los cambios efectuados desde la ltima auditora.
Este documento contiene informacin sobre los objetivos y procesos que soportan los
sistemas de informacin y sobre los recursos de tecnologa utilizados (instalaciones de
procesamiento, infraestructura, personal, contratos, etc.) y la importancia relativa de las
cifras que se procesan y otros datos de inters.

III.2.4. Programacin
El Programa Anual de Auditora que al efecto se elabore por la ASE, establecer el

universo de entes pblicos a auditar durante el ejercicio fiscal que corresponda,
asimismo establece la calendarizacin dentro de la programacin de las auditoras.
De igual forma se comisiona al equipo de auditores de TI para llevar a cabo las

auditoras del Programa Anual de Auditora. El programa de trabajo se formula en
papeles o medios magnticos en los cuales generalmente se anotarn los siguientes
encabezados:
Procedimiento: Para describirlo lo ms claro y breve posible.

Extensin: Deber incluirse y describirse su tcnica.
Oportunidad: Donde se aclara la poca o fecha que debe efectuarse el
trabajo especfico.
Auditor: Donde se asigna el responsable y equipo auditor de la revisin.
Tiempo estimado: Donde se anota el tiempo en horas que se estima
concluir la revisin.
Tiempo real: Para anotar el tiempo realmente empleado
Variacin: Para anotar los tiempos reales respecto a los estimados y hacer
las explicaciones pertinentes.
Observaciones: Para aclarar aspectos especiales en relacin con el trabajo
o la cuenta a revisar.
III.2.5. Integracin
Considerado como el ltimo de los procesos en la fase de planeacin. Es aqu donde se

consolida la informacin generada y que documentalmente establece la evidencia del

proceso de planeacin, del estudio y evaluacin del control interno, de los
procedimientos a aplicar en la auditora, de la supervisin a realizar, as como la
programacin de las auditoras.
III.3. Ejecucin de la Auditora
La fase de ejecucin de la Auditora se lleva a cabo en dos vertientes, el trabajo de

campo que se realiza generalmente en el domicilio del ente, y otros procedimientos de
la auditora se realizan de gabinete en las oficinas de la Auditora Superior. En la etapa
de ejecucin se realizan las pruebas de evaluacin de cumplimiento normativo, el
examen documental y la obtencin de evidencias suficientes, competentes y relevantes
que permitan cumplir los objetivos generales y especficos considerados en la
planeacin de auditora de tecnologas de informacin.
Figura 9. Proceso de Ejecucin de Auditora
Planeacin
CATI
Inicio de la Desarrollo de Formulacin de

auditora procedimientos posibles observaciones
Archivo de papeles de Comunicacin de

trabajo observaciones
Cierre de
auditora Informe previo

En esta fase, el equipo auditor realizar de ser necesario los ajustes al programa de
auditora, con el fin de lograr el objetivo de la misma, registrando los cambios.
III.3.1. Inicio de la auditora
III.3.1.1. Acreditacin
Es aqu donde se apersonan los auditados comisionados del rea informtica ante el
titular y/o funcionario facultado, para dar inicio a la auditora en el domicilio del ente a
quienes se le presenta el Oficio de Comisin emitido por funcionario facultado de la
Auditora Superior para la realizacin de la auditora procediendo a acreditarse los
auditores comisionados con las credenciales de identificacin correspondiente y el
oficio de comisin. Posteriormente se solicita el nombramiento de testigos y la
identificacin y/o acreditacin de los funcionarios y testigos con la finalidad de levantar
el acta de inicio respectiva, firmando en dicho documento las partes que en ella
intervienen.
III.3.1.2. Actividades
a. Reunin inicial:
La reunin inicial es presidida por el auditor encargado, haciendo la presentacin
del equipo de auditora a los funcionarios del ente auditado, ante quien exponen
los objetivos, alcance y naturaleza de la misma y hacen entrega del documento
original de acreditacin ante el titular de la entidad.
b. Acta de inicio:
Posterior a la presentacin del oficio de comisin y explicado el objeto del
mismo, se proceder a solicitar al titular la designacin de dos testigos a afecto

de elaborar el acta de inicio, firmando al trmino de la misma los actuantes en el
proceso de inicio de la auditora.
En caso de no designar a los testigos antes citados, se har constar dicha

circunstancia en el acta de inicio, y se proceder al inicio de la auditora.
c. Lugar de trabajo:
Solicitar al titular del ente auditado un espacio adecuado para el desarrollo de
los trabajos de auditora, asimismo las herramientas y equipo requerido por los
auditores para el mejor desempeo de su comisin.
III.3.2. Desarrollo de procedimientos
De acuerdo a las tareas asignadas en la planeacin de la auditora, el equipo asignado

se orientar al logro de los objetivos de la revisin, a travs del examen documental, la
inspeccin y la verificacin de la informacin del ente en lo referente a programas,
planes y acciones, aplicando los procedimientos y tcnicas de auditora necesarios.
III.3.2.1. Actividades
a. Evaluacin del control interno:
Todos los tipos de auditora ejecutados en la ASE, deben evaluar la estructura de

control interno de los entes a auditar, que sirva de apoyo en la toma de
decisiones de los auditores y establecer los pronunciamientos normativos
aplicables a su estudio y evaluacin como un aspecto fundamental al establecer
la estrategia de la auditora.

Particularmente, el rea de auditora de tecnologas de informacin desarroll un
software en web que permiti la aplicacin de un cuestionario de control interno
y la solicitud de inventarios de tecnologas de informacin a cada uno de los
entes que conforman el sector gubernamental con la finalidad de obtener un
diagnstico general de los recursos informticos (humano, tcnico, y de sistemas)
del sector pblico del Estado de Chihuahua. Este sistema fue desarrollado y
fundamentado en el Marco de Control COBIT.
Figura 10. Sistema WEB SIDATI
En esta etapa los auditores deben evaluar el sistema de control interno existente
en los procesos de negocio y sistemas de informacin objeto de la auditora,
como base para determinar la naturaleza y extensin de las pruebas de auditora
que se requieran. Evaluar el sistema de control interno significa: Determinar si
los controles establecidos en los procesos de negocio y los sistemas de

informacin, ofrecen la proteccin apropiada para reducir los riesgos a niveles
aceptables para la organizacin.
El propsito de la evaluacin de control interno, es determinar si es suficiente y

efectiva para proteger a la organizacin, contra los riesgos que podran afectarla
en los procesos de negocio y sistemas de informacin que se estn auditando.
Esto es, evaluar la confiabilidad de los controles utilizados para prevenir o
detectar y corregir las causas de los riesgos y minimizar el impacto que estos
tendran en caso de llegar a materializarse.
La evaluacin del sistema de control interno produce resultados intermedios, de

valor importante para las etapas restantes del proceso de auditora, estos son:
1) El auditor fundamenta su opinin sobre la confiabilidad que ofrecen los

controles utilizados, para reducir la probabilidad de ocurrencia o el impacto de
los riesgos. Los resultados de esta evaluacin sirven al auditor como base para
determinar la naturaleza y extensin de las pruebas de auditora que se
consideren necesarias y apropiadas a las circunstancias.
2) El auditor identifica y soporta debilidades y oportunidades de mejoramiento

(observaciones de auditora) en la estructura de los controles. Estas
observaciones son insumos para el informe de auditora.
3) El auditor identifica los controles que debern verificarse en la etapa de

ejecucin de pruebas de auditora, para determinar que realmente existen, estn
operando y son entendidos por las personas encargadas de ejecutarlos (pruebas
de cumplimiento).

4) El auditor identifica los datos crticos y actividades sobre las cuales es
necesario aplicar pruebas para verificar la exactitud y confiabilidad de los clculos
y de la informacin que producen los sistemas de informacin para apoyar el
desarrollo de las operaciones del negocio (pruebas sustantivas).
5) El auditor documenta las observaciones de auditora para los procesos de

negocio y los sistemas de informacin que los soportan. Esta presenta las
debilidades y deficiencias de control interno y seguridad identificadas en la
evaluacin de controles.
Los controles internos comprenden planes, mtodos, procedimientos y otras medidas,

incluyendo la actitud de funcionarios y dems personal de la entidad, encargados de
lograr los objetivos de efectividad, eficiencia y economa; proteger y conservar los
recursos pblicos; y cumplir leyes, reglamentos y otras normas.
b. Obtencin de pruebas de auditora:

Aplicando los procedimientos y tcnicas de auditora, el auditor debe obtener
evidencia suficiente, competente, relevante y aplicar pruebas de control y
procedimientos sustantivos, que le permitan fundamentar razonablemente los
juicios y conclusiones que le formule al ente auditado.
c. Las pruebas a realizar son:

De control: para confirmar que los programas o acciones han operado
efectivamente durante el perodo examinado.
De cumplimiento: Sobre la observancia de las disposiciones legales y

reglamentarias vigentes. Todas las pruebas deben incorporarse en los papeles
de trabajo de la comisin de auditora, con su respectivo anlisis y conclusin.

d. Las tcnicas de auditora son:
Verificacin ocular: Los auditores se cerciorarn personalmente, sobre los hechos
y circunstancias, cmo el personal de la entidad ejecuta las operaciones.
Verificacin oral: Indagacin, averiguaciones o conversaciones con el personal

del ente auditado. Varias respuestas relacionadas entre s, razonables y
consistentes, suministran un elemento de juicio satisfactorio.
Entrevistas: Con beneficiarios de programas o proyectos, deber prepararse

apropiadamente, e identificar quines sern los entrevistados, as como definir el
propsito y los puntos a abordar.
Verificacin escrita: Radica en corroborar la verdad, certeza o probabilidad de

hechos, situaciones, sucesos u operaciones mediante documentacin certificada,
datos e informacin obtenidos de manera directa de los funcionarios o terceros
que participan o ejecutan las operaciones sujetas a verificacin.
Confirmacin: Permite comprobar la autenticidad de los registros y documentos

a travs de la informacin directa o escrita otorgada por una persona
independiente del ente auditado y que se encuentre en posibilidades de
conocer la naturaleza y condiciones de la operacin y por lo tanto confirmar de
una manera valida esta tcnica.
Verificacin documental: Se aplica para constatar la existencia, legalidad,

autenticidad y legitimidad de las operaciones efectuadas por el ente, mediante la
verificacin de los documentos que las justifiquen.

Verificacin fsica: La Inspeccin es el examen fsico presencial de activos, obras,
documentos, escenarios, con el objeto de establecer su existencia, estado y
autenticidad.
Inspecciones: Si bien las inspecciones forman parte de las tcnicas de verificacin

fsica, su realizacin debe ser selectiva. Deben contar con un plan que contenga
como mnimo:
Objetivo
Actividades a desarrollar
Lugares a visitar
Recursos humanos
Apoyo logstico
Duracin
Responsable
Certificacin: Obtencin de un documento de que se asegura la verdad de un

hecho, legalizado por la firma de una autoridad facultada para hacerlo.
Reuniones de avances de auditora: Durante la fase de ejecucin de la auditora,

se realizan reuniones de avances. Estas reuniones deben ser presididas y guiadas
por la supervisin.
Cruce de informacin: En la auditora de las tecnologas de informacin por ser

parte de la estructura multidisciplinaria de la ASE, es necesario crear los canales
y filtros de informacin entre comisiones de auditora que ayuden al logro del
xito de la misma.

III.3.3. Formulacin de posibles observaciones y/o recomendaciones
Las posibles observaciones y/o recomendaciones determinadas o formuladas como

resultado de los procedimientos de auditoras de tecnologas de informacin aplicados
al ente auditado, los cuales estn referidos al incumplimiento de la normatividad
aplicable, por desvi de recursos destinados a programas tecnolgicos.
Fuentes de criterio: Normativa general y especfica, documentos diversos que sustenten

el incumplimiento normativo y desviaciones detectadas.
Riesgos en el proceso de auditora: Derivado de la supervisin en el proceso de

ejecucin de la auditora, existen situaciones de irregularidad que pueden alterar o
modificar el desarrollo de los procedimientos y alcances considerados en la planeacin
de la auditora.
Desarrollo: El auditor al momento de ejecutar los procedimientos de auditora debe

tener en cuenta las siguientes caractersticas:
Debe estar basado en hechos y evidencias precisas debidamente

documentadas.
Debe ser objetivo y completo.
Debe estar basado en una razn suficiente para respaldar las conclusiones.
Debe ser convincente y claro para una persona que no haya participado
en la auditora.

De contener las caractersticas y atributos sealados, la observacin se redacta segn la
estructura: rubro, cuenta o concepto, descripcin de la falta normativa o determinacin
de diferencias encontradas, as como la fundamentacin de la legislacin que se
incumpli.
Anlisis de la observacin: El auditor debe considerar los siguientes criterios para

analizar la viabilidad de una observacin. Materialidad: para que una observacin sea
significativa debe garantizar la recoleccin de evidencias. Asimismo se debe tener en
cuenta la relevancia en la desviacin de recursos.
Revisin y Supervisin: Las observaciones deben ser revisadas como mnimo en dos
niveles, el de la jefatura de la auditora y el de la supervisin, los cuales deben asegurar
el cumplimiento de los puntos anteriores.
III.3.4. Comunicacin de posibles observaciones y/o recomendaciones
El auditor encargado es el responsable de comunicar oportunamente las posibles

observaciones y/o recomendaciones al jefe inmediato superior, a fin de que puedan
presentar sus comentarios y aclaraciones sustentados documentadamente en el plazo
fijado, para su oportuna evaluacin y consideracin en el informe final correspondiente.
III.3.5. Archivo de papeles de trabajo
Es el archivo con las hojas de trabajo que contienen las evidencias del desarrollo de
cada una de las etapas de la auditora. Los documentos de este archivo tienen validez
por una sola vez, es decir, para cada auditora realizada a las aplicaciones que estn en
proceso de evaluacin. Por consiguiente, cada vez que se efecte una auditora se
debe elaborar un nuevo archivo con la informacin recopilada.

III.3.6. Cierre de auditora
Es la culminacin de la fase de ejecucin o el trabajo de campo; aqu se sustentan los

objetivos y procedimientos de las observaciones y/o recomendaciones, asimismo el
auditor tiene que hacer uso de sus conocimientos del rea y de su juicio profesional
aplicando en gran medida la experiencia para lograr la evidencia de auditora suficiente
que permita determinar que el ente auditado cumpli con las expectativas.
Concluida la fase de ejecucin, el equipo de auditora se prepara para iniciar la etapa

de la elaboracin del informe tcnico de resultados.
III.4. Elaboracin del Informe de Resultados
El informe tcnico de resultados es el documento ms importante del trabajo de la

auditora de tecnologas de informacin, por presentar los resultados obtenidos en la
revisin al ente. El informe de auditora debe contener la expresin de razonamientos o
juicios fundamentados en las evidencias obtenidas en relacin a los objetivos de la
auditora.

Figura 11. Proceso de Informe Tcnico de Resultados
Informe Previo
Evaluacin de
observaciones Elaboracin del ITR Aprobacin del ITR
y comentarios
Informe Tcnico de Entrega a Comisin de

Resultados (ITR) Fiscalizacin
Publicacin
del ITR
III.4.1. Evaluacin de observaciones y/o recomendaciones
El titular de la auditora tecnologas de informacin deber evaluar las observaciones

y/o recomendaciones resultantes de la auditora al ente. Dichos informes deben
redactarse de manera clara para facilitar su comprensin, por lo tanto deben estar libres
de imprecisiones y ambigedades y conservar las caractersticas de independencia,
objetividad, etc.
Aclaraciones y Comentarios: producto de las observaciones, se proceder a la

realizacin de las aclaraciones y comentarios correspondientes del ente auditado,
dentro de los plazos establecidos en la Ley de la Auditora Superior del Estado de
Chihuahua.

III.4.1.2. Procedimientos anlisis y evaluacin de aclaraciones y comentarios
Permite diferenciar con la mayor objetividad, si lo plasmado en las observaciones y las

aclaraciones o comentarios que efecten los funcionarios del ente respecto de la
observacin. Lo realiza el equipo de auditora bajo responsabilidad del auditor
encargado.
III.4.1.3 Resultados de informes tcnicos
Documentos Evaluados: es el resultado del anlisis efectuado por el equipo auditor y

deber ser considerado en el resultado final de cada observacin y/o recomendacin e
incluido en el informe de auditora a manera de anexo.
III.4.2. Elaboracin del informe
El informe tcnico de auditora de conformidad con la Ley de la Auditora Superior, es el

resultado de la auditora practicada al ente auditado, dicho documento se estructura
con los conceptos revisados, resaltando las irregularidades detectadas y la
cuantificacin de las mismas, asimismo se integrar con recomendaciones de acciones y
programas encaminados a mejorar el desempeo del ente auditado.
De considerarse pertinente, se incluirn grficos, fotos, tablas y cuadros que apoyen al

informe Tcnico de Resultados.
Programa Anual de Auditora: Que el ente auditado se encuentre integrado en el

programa anual de auditora de conformidad a lo que establece la norma.

Desarrollo de la Estructura y Contenido del Informe: la elaboracin del informe, est a
cargo del equipo de auditora conjuntamente con la supervisin y debe ser redactado
en base al ndice de reas auditadas, integrando las observaciones encontradas, as
como a las recomendaciones segn las mejores prcticas.
Revisin del Informe: recae en el titular del rea la revisin del informe realizado por el
auditor encargado, para obtener un producto final de calidad.
III.4.2.3. Resultado de la elaboracin del informe

Informe de Auditora: es el producto principal de la auditora de tecnologas de
informacin y contiene las observaciones, conclusiones y recomendaciones orientadas a
la mejora de los procesos y actividades de la entidad auditada.
Ficha Tcnica: Es aquella que concentra los asuntos ms importantes de la auditora,

debe ser breve y contener la posicin de la ASE frente a la problemtica evaluada.
III.4.3. Aprobacin
Concluida la elaboracin del informe del rea de auditora de tecnologas de
informacin, es revisado por la instancia de normatividad para su aprobacin legal y
posteriormente remitirlo al ente auditado para la respuesta a las observaciones que
integra el mismo, con la finalidad de agotar el derecho de audiencia del auditado.
III.4.3.1. Remisin a la entidad:

La remisin del informe de auditora deber estar acorde a los plazos establecidos en el
programa anual de auditora y disposiciones legales aplicables, permitiendo as que la
informacin motivo del informe, sea utilizada oportunamente por el titular de la entidad

Anexo 1: Diagrama de Flujo de la auditora de tecnologas de informacin
Conocimiento ? Inicio de la ?
Preliminar Auditora
Evaluacin de
Solicitud de Desarrollo de
observaciones y
Informacin Procedimientos comentarios
Estudio y Formulacin de posibles Elaboracin del ITR

observaciones
Evaluacin del CI
Programacin Comunicacin de Aprobacin del ITR

observaciones
Integracin
Conclusin ITR
Cierre
Entrega a la Comisin
Planeacin Informe Previo de Fiscalizacin
? ? Publicacin del ITR

GLOSARIO
Aplicacin: Aunque se suele utilizar indistintamente como sinnimo genrico de

'programa' es necesario subrayar que se trata de un tipo de programa especficamente
dedicado al proceso de una funcin concreta dentro de la empresa.
Aplicacin Web: Aplicaciones que los usuarios pueden utilizar accediendo a un servidor
web a travs de Internet o de una intranet mediante un navegador.
ASE: Auditora Superior del Estado de Chihuahua.
Auditor: Persona que efecta una auditora
Auditora: Examen de las operaciones de una empresa por especialistas ajenos a la

operacin y con objetivos de evaluar el ambiente de control y la situacin de la misma.
Bases de Datos: Coleccin de datos organizados para que a travs de las aplicaciones y
programas la computadora pueda acceder rpidamente a ella.
COBIT: Objetivos de Control para la Informacin y las Tecnologas Relacionadas.
Confidencialidad: Se refiere a que la informacin solo puede ser conocida por

individuos autorizados.
Control Interno: Conjunto de objetivos, polticas, procedimientos y registros con el

propsito de:
I. Procurar mecanismos adecuados de operacin, acordes con las estrategias y
fines de las instituciones, que permitan identificar, dar seguimiento y evaluar los
riesgos que puedan derivarse de las actividades del negocio, con propsito de

reducir las prdidas en que puedan incurrir en la realizacin de actos o hechos
voluntarios o involuntarios.
II. Delimitar las diferentes funciones y responsabilidades entre sus rganos
sociales, unidades administrativas y personal, a fin de obtener eficiencia y eficacia
en la realizacin de sus actividades.
III. Disear sistemas de informacin administrativa y financiera, correcta, precisa,
ntegra, confiable y oportuna.
IV. Coadyuvar permanentemente a la observancia de la normatividad aplicable a
las actividades de las instituciones.
COSO: Committee of Sponsoring Organizations of the Treadway Commission.
Costo: Desembolso en efectivo o en especie por algn beneficio.
Hardware: Conjunto de dispositivos fsicos de los que consiste un sistema. Comprende

componentes tales como el teclado, el mouse, las unidades de disco, el monitor, cada
una de las partes fsicas que forman un ordenador, incluidos sus perifricos, etc.
I.I.A: Institute of Internal Auditors.
I.M.A.I.: Instituto Mexicano de Auditores Internos, A.C.
Integridad: Totalidad, plenitud. La habilidad de determinar que la informacin recibida

es la misma que la informacin enviada.
Investigacin: Representa la obtencin de informacin, datos y comentarios de los

funcionarios y empleados de la empresa.
IRC: Sistema de ndice de Rendicin de Cuentas ASE.

I.S.A.C.A: Information Systems Audit and Control Association (Asociacin de Auditora y
Control de Sistemas de Informacin).
ISO: (Organizacin Internacional para la Normalizacin) Organizacin de carcter

voluntario fundada en 1946 que es responsable de la creacin de estndares
internacionales en muchas reas, incluyendo la informtica y las comunicaciones. Est
formada por las organizaciones de normalizacin de sus 89 pases miembro.
Lenguaje: En informtica, conjunto de caracteres e instrucciones utilizadas para escribir

programas de ordenador.
Management: La administracin de empresas (Management), o ciencia administrativa es

una ciencia social que estudia la organizacin de las empresas y la manera como se
gestionan los recursos, procesos y resultados de sus actividades.
Medidas: Son medidas cuantitativas del desempeo del negocio utilizado por la alta
gerencia para supervisar el negocio, obtener informacin y proporcionar
retroalimentacin. Una medida es efectiva cuando es parte de un proceso de
supervisin que incluye objetivos y parmetros de accin o de excepcin.
Metodologa: Conjunto de pasos utilizados para lograr un objetivo.
NAGAS: Normas de Auditora Generalmente Aceptadas.
Norma: Principio que se impone o se adopta para dirigir la conducta o la correcta

realizacin de una accin o el correcto desarrollo de una actividad.
Observacin: Presencia fsica de cmo se realizan ciertas operaciones o hechos.

Papeles de trabajo: Registro del trabajo del auditor, el cual contiene la evidencia del
trabajo realizado, sus observaciones y los resultados y conclusiones extradas a la
evidencia obtenida. Se utilizan para controlar el progreso del trabajo realizado y para
respaldar la opinin del auditor. Los papeles de trabajo pueden estar constituidos por
datos conservados en papel, pelcula, medios electrnicos u otros medios.
Planeacin: Consiste en prever cuales procedimientos de auditoria va a emplearse, la

extensin y oportunidad en que van a ser utilizados y el personal que debe intervenir en
el trabajo.
Poltica: Orientaciones o directrices que rigen la actuacin de una persona o entidad en

un asunto o campo determinado.
Procedimiento: Mtodo o sistema estructurado para la ejecucin de actividades.
Proceso: Conjunto de operaciones lgicas y aritmticas ordenadas, cuyo fin es la

obtencin de resultados.
Programa: Secuencia de instrucciones que obliga al ordenador a realizar una tarea

determinada.
Seguridad de la Informacin: Se refiere a la confidencialidad, integridad y

disponibilidad de la informacin y datos, independientemente de la forma, los datos
pueden ser: electrnicos, impresos, audio u otras formas.
Servidor o server: Ordenador que ejecuta uno o ms programas simultneamente con

el fin de distribuir informacin a los ordenadores que se conecten con l para dicho fin.

SIDATI: Sistema de Diagnstico de Auditora de Tecnologas de Informacin.
Sistema de Informacin: Se denomina Sistema de Informacin al conjunto de

procedimientos manuales y/o automatizados que estn orientados a proporcionar
informacin para la toma de decisiones.
Software: Componentes inmateriales del ordenador: programas, sistemas operativos,

etc. Son aquellos programas que nos ayudan a tareas especficas como edicin de
textos, imgenes, clculos, etc. tambin conocidos como aplicaciones.
SOX: La ley Sarbanes-Oxley.
TI: Tecnologas de Informacin. Conjunto de servicios, redes, software y dispositivos

que tienen como fin la mejora de la calidad de vida de las personas dentro de un
entorno, y que se integran a un sistema de informacin interconectado y
complementario.
Auditora de Tecnologas de Informacin: Se encarga de la verificacin de los controles

internos establecidos en el rea de sistemas del ente, as como estudios de seguridad
de la Informacin, Hardware y Software.
Recursos Informticos: Son todos aquellos componentes de hardware y software, as

como el personal que labora en l, o para el rea de sistemas.


Guía de La Auditoria de Sistemas de Información - Auditoria Superior Chihuahua PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guía de La Auditoria de Sistemas de Información - Auditoria Superior Chihuahua PDF

Cargado por

Copyright:

Formatos disponibles

ndice

I. GENERALIDADES DE LA GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN ....... 4

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 1

AUDITORA DE TECNOLOGAS DE INFORMACIN

Diagrama de Flujo de la Auditora de Tecnologas de Informacin

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 2

AUDITORA DE TECNOLOGAS DE INFORMACIN

AUDITORA DE TECNOLOGAS DE INFORMACIN

La fiscalizacin de los recursos pblicos debe realizarse desde el punto de vista

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 4

AUDITORA DE TECNOLOGAS DE INFORMACIN

Realizar las actividades correspondientes a la verificacin de los controles internos

Para el cumplimiento de los objetivos contenidos en sus planes y programas, el artculo

I.2. Marco Legal

En este punto se describen la regulacin y las mejores prcticas de Auditora en

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 5

AUDITORA DE TECNOLOGAS DE INFORMACIN

I.2.1 Legislacin e instituciones nacionales

El Cdigo Penal de la Federacin, en el ttulo noveno Revelacin de secretos y acceso

Revelacin de secretos y acceso ilcito a sistemas y equipos de informtica

Artculo 210.- Se impondrn de treinta a doscientas jornadas de trabajo en favor de la

Artculo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en perjuicio de

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 6

AUDITORA DE TECNOLOGAS DE INFORMACIN

Al que sin autorizacin conozca o copie informacin contenida en sistemas o equipos

Al que sin autorizacin conozca o copie informacin contenida en sistemas o equipos

A quien sin autorizacin conozca, obtenga, copie o utilice informacin contenida en

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 7

AUDITORA DE TECNOLOGAS DE INFORMACIN

A quien estando autorizado para acceder a sistemas, equipos o medios de

Al que sin autorizacin conozca o copie informacin contenida en sistemas o equipos

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 8

AUDITORA DE TECNOLOGAS DE INFORMACIN

Al que estando autorizado para acceder a sistemas y equipos de informtica de las

Instituto Mexicano de Auditores Internos, IMAI

Dedicado a la capacitacin e investigacin en de Auditora Interna y Control.

De acuerdo al IMAI su misin es promover el mejoramiento constante de la Prctica

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 9

AUDITORA DE TECNOLOGAS DE INFORMACIN

- Constitucin Poltica de los Estados Unidos Mexicanos

I.2.2 Legislacin e instituciones internacionales

ISSAI 5310 Information System Security Review Methodology (Directriz sobre el

Institute of System Audit and Association, ISACA

Asociacin de Auditora y Control de Sistemas de Informacin, lleva a cabo proyectos

Institute of Internal Auditors, IIA

Organizacin profesional, reconocida mundialmente como una autoridad, pues es el

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 10

AUDITORA DE TECNOLOGAS DE INFORMACIN

Herramienta que permite evaluar la calidad del soporte de TI actual de la

Figura 1. Estructura del marco de control COBIT.

BS 7799 e ISO 17799

British Standard Institute (BSI) publica la norma BS 7799, un cdigo de buenas

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 11

AUDITORA DE TECNOLOGAS DE INFORMACIN

Figura 2. Cubo de los procesos y actividades del COSO

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 12

AUDITORA DE TECNOLOGAS DE INFORMACIN

Esta metodologa presenta un objetivo definido en el estudio de los riesgos que

Actualmente las organizaciones estn expuestas a ataques que propicien la prdida

La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de julio de 2002,

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 13

AUDITORA DE TECNOLOGAS DE INFORMACIN

Emitidas por el International Federation of Accountans (IFAC) a travs del International