Puntos clave para auditoría de sistemas

Propuesta de
puntos que se
deben evaluar
en una auditora
12
de sistemas
computacionales
Estructura del captulo

12.1 Auditora con la computadora
12.2 Auditora sin la computadora
12.3 Auditora a la gestin informtica del rea de sistemas
12.4 Auditora al sistema computacional
12.5 Auditora alrededor de la computadora
12.6 Auditora de la seguridad de los sistemas computacionales
12.7 Auditora a los sistemas de redes
12.8 Auditora outsourcing en los sistemas computacionales
12.9 Auditora ISO-9000 a los sistemas computacionales
12.10 Auditora ergonmica de los centros de cmputo
12.11 Auditora integral a los centros de cmputo
557
558 Auditora en sistemas computacionales
Objetivos del captulo
Considerando los tipos de auditora de sistemas computacionales expuestos en este li-

bro, sugerir los puntos especficos que el auditor debe tomar en cuenta para aplicarlos
de acuerdo con la actividad de sistemas que tenga que auditar. Estos puntos se presen-
tan en forma general y como un apoyo para el auditor.
Introduccin del captulo

En el captulo 1 definimos los tipos de auditora de sistemas computacionales
que permiten evaluar la actividad informtica de una empresa; asimismo, en los
siguientes captulos tambin sealamos los principales elementos de sistemas
que se deben tomar en cuenta en cada uno de los tipos de auditora ah propues-
tos. Tomando esto en cuenta, a continuacin haremos un anlisis ms profun-
do sobre la manera de aplicar cada uno de los tipos de auditora sugeridos, a fin
de que el lector conozca los puntos que debe considerar al planear su audito-
ra de sistemas computacionales; claro est, de acuerdo con las necesidades es-
pecficas de evaluacin de sistemas de la empresa que vaya a auditar.
Cabe sealar que para exponer las siguientes sugerencias de puntos espe-
cficos adoptaremos la misma estructura propuesta en la clasificacin de audi-
toras presentada en el captulo I, y aunque a primera vista los puntos que
vamos a estudiar en esta parte pueden parecer repetitivos, comparndolos con
lo expuesto a lo largo de los captulos anteriores, esta aparente repeticin de
conceptos no es tal, ya que presentaremos todo un panorama concreto de m-
todos, tcnicas, herramientas y procedimientos especficos de auditora de sis-
temas computacionales, los cuales se deben aplicar segn las necesidades
especficas de auditora de la empresa. Tambin presentamos los principales
aspectos que el auditor debe tomar en cuenta para disear su propia evaluacin
de sistemas, de acuerdo con sus requerimientos especficos de evaluacin y de
acuerdo con su experiencia, conocimientos y habilidades.
El esquema de presentacin de las auditoras de sistemas que seguiremos
ser el siguiente:
Auditora con la computadora
Auditora sin la computadora
Auditora a la gestin informtica del rea de sistemas
Auditora al sistema computacional
Auditora alrededor de la computadora
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 559
Auditora de la seguridad de los sistemas computacionales

Auditora a los sistemas de redes
Auditora outsourcing a los sistemas computacionales
Auditora ISO-9000 en los sistemas computacionales
Auditora ergonmica de los centros de cmputo
Auditora integral a los centros de cmputo
En aras de un mejor entendimiento, presentaremos nuevamente la defini-
cin de cada auditora, as como algunos puntos que se podran utilizar para
cada tipo de auditora, si el asunto informtico as lo permite. El propsito es
que el lector identifique todos los aspectos que le permitan adoptar, adaptar o
modificar las sugerencias de evaluacin informtica que se pueden utilizar en
esa auditora, o que al analizar lo que ah se propone pueda identificar aspec-
tos similares que le ayuden a satisfacer sus necesidades especficas de evalua-
cin de sistemas computacionales.
12.1 Auditora con la computadora

Podemos definir este tipo de auditora de la siguiente manera:
Es la auditora que se realiza con el apoyo de los equipos de cmputo y sus
programas para evaluar cualquier tipo de actividades y operaciones, no nece-
sariamente computarizadas pero s susceptibles de ser automatizadas; dicha
auditora se realiza tambin a las actividades del propio centro de sistemas y a
sus componentes. La principal caracterstica de este tipo de auditora es que,
sea en un caso o en otro, o en ambos, se aprovecha la computadora y sus pro-
gramas para la evaluacin de las actividades que se revisarn, de acuerdo con
las necesidades concretas del auditor, utilizando en cada caso las herramien-
tas especiales del sistema y las tradicionales de la propia auditora.
Esta auditora se caracteriza porque al realizarla se cuenta con el apoyo de los
equipos de cmputo y de sus programas de revisin especfica para evaluar la propia
rea de sistemas, utilizando los servicios informticos como si fueran elementos de so-
porte para auditar cualquier otra rea de la empresa, no necesariamente computariza-
da pero s susceptible de ser automatizada.
En esta auditora se utilizan los sistemas computacionales de acuerdo con las ne-
cesidades especficas de las reas a revisar, aprovechando las tcnicas especiales de
computacin que ofrecen estos sistemas, mismas que se adaptan a las tcnicas tradi-
cionales de auditora para realizar con ambos una revisin, evaluacin y dictamen de
las reas de sistemas que sern auditadas. Esta auditora tambin es aplicable a las
propias actividades administrativas e informticas del rea de sistemas de la empresa.
Este tipo de revisiones de auditora se puede clasificar de acuerdo con las siguien-
tes aplicaciones especficas:
Uso de la computadora y aplicaciones exclusivamente en auditoras de los sis-
temas computacionales de la empresa.
Uso de la computadora y aplicaciones exclusivamente en auditoras de las de-
ms reas de la empresa.
Auditoras con la computadora y aplicaciones, en combinacin con las herra-
mientas tradicionales, para evaluar los sistemas computacionales.
A continuacin analizaremos cada una de estas aplicaciones.
12.1.1 Uso de la computadora y aplicaciones exclusivamente en auditoras

de los sistemas computacionales de la empresa
En este tipo de auditoras se recurre al uso de los recursos informticos con los cuales
cuenta la empresa: sistemas computacionales, personal del rea de sistemas, mto-
dos, tcnicas y procedimientos informticos, desarrollo de programas especiales de
software, programas especiales de evaluacin informtica y todos los dems elemen-
tos del sistema computacional, con el propsito de evaluar las funciones, operaciones
y actividades informticas que se realizan, tanto en los propios sistemas computacio-
nales del centro de informtica como en las dems reas de la empresa que estn sis-
tematizadas.
El auditor, no necesariamente de sistemas, puede utilizar la computadora como un
auxiliar valioso en la recopilacin, procesamiento y emisin de datos procesados en el
sistema, mismos que le permitirn evaluar los aspectos que est auditando, a fin de
emitir su dictamen sobre el uso de los sistemas, el cumplimiento de sus funciones y el
desarrollo de las actividades y operaciones que se llevan a cabo dentro del centro de
cmputo.
En un plano puramente prctico, el auditor de sistemas, o de cualquier otra disci-
plina de la auditora, puede utilizar la computadora para evaluar muchos aspectos re-
lacionados con las actividades del rea de sistemas, o de las dems reas de la
empresa que cuenten con estos recursos informticos, de la misma manera como uti-
lizara la computadora para obtener informacin del sistema, para procesarla en el mis-
mo de ser necesario y emitir su opinin sobre el cumplimiento alcanzado, en
comparacin con lo esperado de esas reas.
A continuacin presentaremos una serie de posibles actividades del rea de siste-
mas que pueden ser evaluadas mediante el apoyo de estos recursos informticos, acla-
rando que con la presentacin de esta lista slo pretendemos ejemplificar el uso de la
computadora como soporte de la actividad del auditor.
12.1.1.1 Auditora del rendimiento y aprovechamiento

del hardware y del software en las reas de sistemas
En esta auditora se aprovecha la computadora para evaluar, dentro del propio siste-
ma, el uso y explotacin de todos los componentes y recursos del sistema, ya sea por
medio de programas internos o de programas diseados ex profeso para ello; as en-
contramos que se pueden auditar por medio de los siguientes programas:
Los programas especficos de revisin interna del sistema. Son programas y
utileras diseados por proveedores o desarrolladores para revisar el hardware,
el software y los dems componentes del sistema, a fin de emitir un diagnsti-
co sobre el funcionamiento interno de dicho sistema. A continuacin presenta-
mos algunos ejemplos de estos programas:
COMIT.* Es un programa que permite revisar el funcionamiento interno del sis-
tema, desde el procesador hasta la memoria, pantallas, mtodos de acceso de
informacin, dentro otros aspectos. Este programa emite un listado del sistema
revisado.
TO AUDIT. Programa de revisin interna del sistema, similar al anterior.
Los propios programas de auditora que incluyen sistemas. stos son programas
de aplicacin especfica que se utilizan para evaluar (y corregir) el funciona-
miento de los componentes del sistema. Tenemos como ejemplos de estos pro-
gramas las propias utileras de los sistemas computacionales, sean PCs, redes o
sistemas mayores, de las cuales no citamos ejemplos concretos.
Los programas elaborados por personal del rea de sistemas o desarrolladores
externos. Estos programas son elaborados, interna o externamente, para evaluar
aspectos especficos del software, ya sea el funcionamiento, aplicacin o cual-
quier otro aspecto relacionado con el sistema operativo, con los lenguajes de
programacin, programas de desarrollo, programas de aplicacin, utileras o
cualesquier programas que utilicen los sistemas computacionales. A continua-
cin citaremos algunas de las muchas aplicaciones de estos programas:
Guard Dog Deluxe.1 Paquete que protege en Internet de la transferencia de
controles ActiveX, pequeas aplicaciones Java, Cookies y virus.
McAfee VirusScan Security. Son programas elaborados con el propsito de evi-
tar la entrada de virus informticos en los sistemas computacionales, as como
para erradicarlos de esos sistemas; existen muchas aplicaciones de estos progra-
mas: en archivos, paqueteras, sistemas operativos, memoria o en Internet.
La computadora tambin se utiliza en algunos casos para valorar estadsticamen-
te el rendimiento y aprovechamiento de los sistemas computacionales, en lo referente
* Tanto COMIT como TO AUDIT son programas aplicados por este autor para evaluar el funcionamiento de la ar-
quitectura y componentes de las PCs.
al hardware, al software y a las bases de datos, entre muchas otras aplicaciones del sis-
tema. De esto no presentamos ejemplos de aplicacin, ya que obedeceran a usos con-
cretos del auditor.
12.1.1.2 Auditora a los mtodos y sistemas de seguridad

establecidos en el centro de cmputo
En esta auditora la computadora se utiliza para evaluar los sistemas de seguridad de
acceso al sistema, a las bases de datos, a los programas y a las aplicaciones especfi-
cas del sistema. Aqu el auditor utiliza la computadora, o una red, para valorar la ma-
nera en que estn diseadas, establecidas y protegidas las formas de acceso al
sistema, los privilegios de uso, las contraseas y las dems protecciones de los siste-
mas computacionales de la empresa.
En la parte que corresponde a la evaluacin de la seguridad de los sistemas compu-
tacionales, en este mismo captulo, ampliamos las opciones, caractersticas y aplicacio-
nes concretas de auditora para esta evaluacin de la seguridad; aqu slo mencionamos
su existencia como una parte de la auditora con la computadora.
12.1.1.3 Auditora al rendimiento y aprovechamiento

de los sistemas computacionales
Para estos casos, los sistemas informticos se emplean para valorar el aprovechamien-
to de los sistemas de informacin de la empresa, ya sean sistemas individuales (PCs),
sistemas de redes locales (LANs), redes de rea metropolitana (MANs), redes de rea
mundial (WANs), servidores de sistemas o sistemas mayores; asimismo, se recurre al
apoyo de los recursos de los sistemas computacionales para hacer la evaluacin del ren-
dimiento de los propios sistemas, de sus componentes, del manejo de la informacin,
administracin de las bases de datos, operacin y configuracin de los sistemas y de sus
componentes, de las telecomunicaciones y de las instalaciones de los sistemas.
Cuando el auditor de sistemas o de cualquier otra disciplina de auditora utiliza los
recursos del sistema para auditar cada uno de los integrantes del propio sistema, su
informacin y la administracin de todos sus recursos, utiliza el hardware, software, in-
formacin, capacidad de procesamiento y sus programas de cmputo, a fin de evaluar
el aprovechamiento real del sistema computacional de la empresa; para ello compara,
en el mismo sistema, el aprovechamiento y rendimiento obtenidos dentro de algn pe-
rodo, proceso o circunstancia especfica con el comportamiento esperado en ese mis-
mo lapso, proceso o situacin; con esto obtiene el comportamiento real del sistema
informtico de la empresa, el cual le es de gran ayuda para hacer su evaluacin e in-
forme correspondientes.
Al utilizar la computadora como soporte para su evaluacin de auditora, el audi-
tor tambin utiliza los siguientes programas:
Programas de evaluacin del sistema que l mismo haya diseado.

Programas elaborados por desarrolladores de software, paqueteras de aplica-
cin y evaluacin de sistemas.
Programas desarrollados por fabricantes, desarrolladores y distribuidores de
hardware, software y componentes del sistema.
Programas asociados al sistema operativo del propio sistema informtico.
Programas que desarrolla el personal informtico del rea, para evaluaciones es-
pecficas de los aspectos concretos que deben ser auditados.
Debido a que estas aplicaciones de programas de evaluacin por medio de los sis-
temas de la empresa son muy similares (diramos iguales) a las expuestas en la seccin
anterior, solamente las mencionamos para conocimiento del lector, ya que en los siguien-
tes tipos de auditoras las trataremos con mayor detalle.
12.1.1.4 Auditora a la productividad del procesamiento de informacin

Otro aspecto que tambin puede ser evaluado con el apoyo de la computadora es la
productividad de los sistemas computacionales de la empresa en cuanto al procesa-
miento de la informacin, lo cual se realiza a travs del anlisis de los resultados de los
procedimientos de captura y procesamiento de datos, as como de emisin de resulta-
dos, cualesquiera que sean los sistemas computacionales utilizados en la empresa.
Lo realmente importante de la evaluacin con el apoyo de la computadora es que
el auditor puede evaluar la cantidad, calidad, oportunidad, confiabilidad, suficiencia, ve-
racidad y congruencia de la informacin que se procesa en los sistemas de la empresa,
comparando la productividad del procesamiento del sistema mediante el uso de datos
ficticios, datos reales o un hbrido de ambos, esto mediante el diseo y aplicacin de
pruebas simuladas en el mismo sistema o con pruebas de aplicacin a la actividad in-
formtica real de los sistemas y sus datos ya sea con operaciones, reales o simuladas de
esos sistemas o por medio de cualquier otro mtodo de evaluacin y prueba. Lo impor-
tante para el auditor es evaluar el funcionamiento del sistema en cuanto a su producti-
vidad real, en comparacin con su productividad esperada.
El auditor recurre a los siguientes puntos para hacer este tipo de evaluaciones:
Los programas de evaluacin y prueba de la productividad del sistema disea-
dos por l mismo; por ejemplo:
Programas de simulacin de pruebas y de datos.
Programas de pruebas con aplicacin y datos reales.
Programas hbridos de aplicaciones reales y datos ficticios o de aplicaciones
simuladas y datos reales.
Los programas elaborados por desarrolladores y diseadores de software, pa-
queteras de aplicacin y evaluacin de sistemas, as como de diseo de bases
de datos.
Los programas desarrollados por fabricantes, desarrolladores y distribuidores

de hardware, software y componentes del sistema.
Los programas asociados al sistema operativo, los cuales evalan el procesa-
miento de la informacin que se procesa en el sistema.
Los programas que desarrolla el personal informtico del rea, para evaluar
pruebas y datos especficos de la informacin que debe ser auditada.
Debido a que estas aplicaciones de programas y pruebas para la evaluacin de la
productividad de los sistemas computacionales de la empresa son similares (diramos
casi iguales) a los expuestos en las secciones anteriores, slo que especificados para
los procesos de captura, procesamiento de datos y emisin de resultados sobre esa
informacin, nicamente los mencionamos para conocimiento del lector, ya que en
posteriores exposiciones los trataremos con mayor detalle.
12.1.2 Auditora con la computadora a las reas tradicionales

En este tipo de auditoras el auditor utiliza los servicios del sistema computacional, as
como sus procedimientos y programas especiales de revisin especfica, para realizar
la evaluacin de las dems reas de la empresa, e incluso del rea de sistemas como
una entidad ajena a los sistemas que se manejan en dicha empresa.
El auditor realiza esta evaluacin combinando la tcnica tradicional de auditora
con los recursos del sistema computacional y aplicando algn software de auditora o
programas de evaluacin que l mismo disea de acuerdo con sus necesidades, con el
fin de evaluar ms objetivamente todas las reas de una empresa, no slo las sistema-
tizadas, sino tambin las que tengan caractersticas especiales que le permitan siste-
matizar sus operaciones.
El propsito global de este tipo de auditoras es revisar las reas, operaciones y sis-
temas de una organizacin, utilizando las tcnicas y mtodos tradicionales de audito-
ra, as como los sistemas computacionales de la empresa. De esta manera, el auditor
de sistemas, o de cualquier otra disciplina de auditora, obtiene una mejor aplicacin
de las tcnicas, mtodos y procedimientos tradicionales de la auditora, y complemen-
ta dicha aplicacin con la confiabilidad, oportunidad y veracidad que le proporciona el
apoyo de los sistemas computacionales. Consecuentemente, realiza una mejor evalua-
cin de las actividades, operaciones y funciones de esas reas de la empresa, lo cual
le ayuda a emitir un mejor diagnstico y un dictamen ms acertado.
En la prctica, este tipo de auditora requiere de un amplio conocimiento de las tc-
nicas, mtodos y procedimientos de auditora, as como de un profundo conocimiento
del manejo, uso y aprovechamiento de los paquetes y programas de cmputo aplicables
a la auditora; en muchos casos es necesario hacer diseos especiales de programas de
revisin, ya que son pocos los desarrolladores de software que se han enfocado a satis-
facer las necesidades de los auditores no informticos. Actualmente se encuentran en
el mercado pocos programas y aplicaciones especficas de auditora que cuenten las he-
rramientas, tcnicas y procedimientos de la auditora tradicional, que le permitan al au-

ditor que no tiene experiencia en sistemas, evaluar los tpicos que no son informticos
de todas las reas de una organizacin por medio de la computadora.
Para ampliar este punto, a continuacin presentamos las siguientes subclasifica-
ciones para este tipo de auditoras, atendiendo al ambiente en donde se aplicarn los
programas de revisin.
12.1.2.1 Auditora con el apoyo de paquetera de aplicacin

especfica para auditoras tradicionales
En este caso, el auditor, de cualquier especialidad, utiliza la computadora para evaluar
cualquier rea de la empresa, incluso el rea de sistemas computacionales; para ello
se apoya en paquetera de aplicacin especfica para el tipo de auditora que desea
realizar; ya sea que esta paquetera exista, o mediante el diseo de aplicaciones espe-
ciales, de acuerdo con sus necesidades de evaluacin.
La caracterstica de esta auditora es que se utilizan las herramientas tradicionales
de la auditora para auditar las diferentes reas de la empresa, y se utiliza la computado-
ra nicamente como apoyo para obtener la informacin que se requiere de esas reas,
para hacer el procesamiento de datos, e incluso para llevar a cabo simulaciones de las
actividades normales de las reas evaluadas, si as se requiere. Esto le permite al au-
ditor hacer una evaluacin ms profunda, ahorrar tiempo y obtener resultados ms
confiables.
En la actualidad, con el concurso de los nuevos sistemas de redes de cmputo, en
los cuales se comparten los recursos y se aprovecha mutuamente la informacin de la
empresa, el auditor puede llevar a cabo su auditora desde una terminal del mismo sis-
tema de red; incluso, si la evaluacin as lo requiere, puede monitorear las actividades,
operaciones y manejo de la informacin de las reas que audita, sin que el usuario lo
note. Esto le permite evaluar con mayor profundidad esas reas y le ayuda a realizar el
seguimiento de la informacin y del manejo adecuado de los datos que est evaluan-
do, as como el uso, confiabilidad y seguridad de la informacin de las reas que eva-
la. Si el auditor utilizara nicamente las herramientas tradicionales de auditora,
difcilmente alcanzara tal profundidad.
Sin embargo, el principal problema en estas evaluaciones es la carencia de progra-
mas especficos de evaluacin para una auditora, lo cual obliga al auditor a realizar
programas de revisin concreta de acuerdo con las caractersticas de las reas que es-
t evaluando y con las necesidades de la propia revisin. No obstante, para los audito-
res que no estn muy familiarizados con el uso de los sistemas es muy difcil elaborar
estos programas, lo cual les obliga a recurrir al rea de sistemas computacionales pa-
ra que les elaboren dichos programas.
Debido a la diversidad de aplicaciones de este tipo de auditoras, no hemos pre-
sentado ejemplos, ya que stos estaran en funcin de las necesidades especficas de
evaluacin del auditor; solamente citamos la gran ayuda que proporciona la computado-
ra para realizar estas auditoras.
12.1.2.2 Auditora con el apoyo de paquetera de aplicacin

administrativa
Es la evaluacin que se realiza utilizando los paquetes de software especficos, cuya
aplicacin es de carcter administrativo, financiero, contable o estadstico, los cuales
han sido diseados para que puedan ser utilizados en cualquier sistema computacio-
nal; es decir, en macrocomputadoras, minicomputadoras, microcomputadoras, laptops
o sistemas de redes.
Con estos paquetes se facilitan las actividades de un auditor, debido a que, al apro-
vechar las facilidades que obtiene con el uso de dichos sistemas y programas, puede
realizar una evaluacin tradicional de los registros, operaciones, funciones y activida-
des de una empresa o una de sus reas especficas, utilizando las tcnicas, mtodos y
procedimientos tpicos de la auditora, pero apoyndose en los sistemas y programas
para la captura y el procesamiento de datos; con la combinacin de ambos obtiene los
resultados que le facilitan hacer la interpretacin, evaluacin y dictamen de los aspec-
tos resultantes de la evaluacin administrativa de las actividades y operaciones de la
empresa o de sus reas.
En el mercado hay mltiples ejemplos de lo anterior, as que slo presentaremos
el nombre de algunos de estos programas:
Diagnstik.2 Programa para el anlisis y diagnstico financieros que permite la
evaluacin del origen y aplicacin de recursos, ndices financieros, flujo de efec-
tivo y rentabilidad de la empresa.
Admiplus.* Programa de administracin empresarial que se utiliza para llevar a
cabo la administracin de la empresa, as como para auditar dicha administracin.
COI. Programa de contabilidad que se puede utilizar para realizar la contabili-
dad de la empresa y para la auditora de la misma.
NOI. Programa administrativo de nminas que se utiliza para realizar la nmina
del personal, el registro de sus ingresos, egresos y registros de impuestos en la
computadora. Tambin se puede utilizar para realizar la auditora del rea de
personal.
12.1.2.3 Auditora con el apoyo de hojas electrnicas de trabajo

Es la evaluacin que se hace aplicando los mtodos, tcnicas y procedimientos de la au-
ditora tradicional, pero apoyndose para procesar sus resultados en los clculos, esta-
dsticas y grficas que se obtienen con la aplicacin de programas de hoja de clculo.
* ADMIPLUS es una marca registrada por Grupo SP de Mxico, S.A. de C.V.

Con estas hojas de clculo, el auditor captura, procesa y emite los resultados deriva-
dos de los levantamientos de informacin que realiza con la aplicacin de las herra-
mientas tradicionales de auditora, slo que, en su tabulacin y procesamiento se
apoya en hojas de clculo, con el fin de obtener resultados ms confiables, acertados
y oportunos, lo cual le permite hacer una mejor evaluacin y elaborar un dictamen
ms eficiente.
Tradicionalmente, las hojas de clculo se han utilizado en las aplicaciones conta-
bles, administrativas y estadsticas, facilitando la captura y el procesamiento de los da-
tos obtenidos con las herramientas tradicionales; por esta razn se han popularizado
entre los auditores para realizar el procesamiento de informacin en las auditoras de
cualquier rea o tpico de una empresa.
En el mercado hay mltiples ejemplos de estas hojas de clculo, as que slo pre-
sentaremos algunos nombres de estos programas:
Hojas electrnicas de datos. Son los programas de aplicacin especfica de
programas integrados para realizar clculos estadsticos, matemticos y finan-
cieros en la computadora; entre estos programas, los ms populares son Excel
de Microsoft, Lotus de Lotus Develoment y Quatro, entre otros.
12.1.2.4 Auditora con el apoyo de programas de bases de datos

Es la evaluacin de los datos y sistemas de procesamiento y archivo de bases de da-
tos de una rea o de toda la empresa; para realizar esta revisin se utilizan los mto-
dos, tcnicas y procedimientos de la auditora tradicional, apoyndose en los datos
que se obtienen de los sistemas computacionales y de los programas de manejo, pro-
cesamiento y almacenamiento de archivos y bases de datos. El auditor utiliza los
datos y resultados arrojados por esos sistemas y, aplicando las herramientas tradicio-
nales de auditora, puede evaluar el comportamiento de la informacin y hacer su dic-
tamen sobre la actuacin de dicha informacin en reas especficas o en toda la
organizacin.
La auditora tradicional se apoya en los programas de bases de datos para obtener
los datos de un rea en especial o de toda la empresa, y con ellos realiza pruebas y
simulaciones del comportamiento de esos datos, lo que le permite verificar cmo se
realiza el manejo de la informacin en las diferentes reas de la empresa. Aqu se eva-
lan la administracin y manejo de los aspectos especficos de la informacin, as co-
mo tambin que su procesamiento y almacenamiento sean adecuados. Con estas
evaluaciones, apoyadas en equipos de cmputo, se obtienen auditoras ms comple-
tas, confiables, acertadas y oportunas.
En este mismo captulo trataremos ms a fondo el manejo de las bases de datos
que pueden ser aplicables a este punto; por esta razn no presentamos ejemplos al
respecto.
12.1.2.5 Auditora con el apoyo de paquetes contables

La auditora ms popular y que ms utilizan las empresas y las autoridades hacenda-
rias es la auditora de carcter contable; en sta, el auditor financiero realiza todas las
actividades y procedimientos de la tcnica contable, pero apoyndose en el equipo de
cmputo para realizar la recopilacin de los registros y operaciones contables de la or-
ganizacin, y privilegiando el uso de las tcnicas, procedimientos y herramientas de la
auditora contable para evaluar el registro adecuado y la elaboracin correcta de los
estados financieros de la empresa. A veces se apoya en estos sistemas para realizar el
procesamiento de informacin y los clculos financieros de esta auditora.
Las autoridades fiscales, por lo menos en muchos pases, ya aceptan los registros
de operaciones contables en sistemas de registro electromagnticos (discos, CD-ROMs
o cintas), en los que se asientan los resultados de las operaciones y los estados finan-
cieros de la empresa. Pero los equipos de cmputo slo se utilizan para registrar y pro-
cesar las actividades contables, bajo las tcnicas especficas de la auditora financiera.
Como ejemplos, podemos ver los casos citados en el apartado correspondiente al
apoyo de las paqueteras administrativas. Incluso, tambin se acepta el uso de las ho-
jas de trabajo para el ejercicio de los registros contables de la organizacin.
12.1.2.6 Auditora con el apoyo de diversas paqueteras

En esta evaluacin, el auditor, de cualquier especialidad, utiliza las tcnicas, mtodos
y procedimientos tradicionales de la auditora, pero se apoya en los sistemas compu-
tacionales, programas, paqueteras y lenguajes especficos, con los cuales puede rea-
lizar adecuadamente la revisin de las reas que debe evaluar.
Lo fundamental en este tipo de auditoras es que el auditor puede manejar libre-
mente los sistemas, lenguajes, paquetes y programas que existen en el mercado, y en
caso de que no existan programas que satisfagan sus necesidades, se apoya en el desa-
rrollo de las aplicaciones informticas que s lo hacen, para as obtener los resultados
deseados para su revisin. El propsito es procesar adecuadamente la informacin con
las herramientas tradicionales de auditora y emitir los resultados de esas aplicaciones
especiales. Con estos resultados, el auditor puede hacer una evaluacin adecuada de
los resultados finales de las reas auditadas y emitir un dictamen correcto sobre los as-
pectos evaluados.
A continuacin presentamos algunos ejemplos de estas aplicaciones:
Los paquetes estadsticos y de aplicacin financiera.
Los programas de telecomunicacin y teleprocesos de informacin.
Los paquetes de contabilidad.
Los sistemas para la emulacin de sistemas y realizacin de pruebas.
Los anteriores son slo algunos de los muchos tipos de aplicaciones de sistemas
concretos, las cuales se deben realizar de acuerdo con las necesidades especficas de
evaluacin de las reas, funciones y aplicaciones de una organizacin, as como con los
conocimientos, experiencia y habilidades del auditor.
12.1.3 Auditora con la computadora y aplicaciones combinadas en los sistemas

de computo y herramientas tradicionales
ste es un enfoque especial, en el que se combinan los dos tipos de auditoras que ana-
lizamos anteriormente; con la conjugacin de ambas herramientas, la computacin y la
auditora tradicional, se busca hacer una evaluacin integral de los sistemas de informa-
cin de la empresa, as como de sus dems reas, funciones, operaciones y actividades.
Esto se realiza mediante la aplicacin de las tcnicas, mtodos y procedimientos tradi-
cionales de la auditora y con el apoyo de los sistemas computacionales, incluyendo su
hardware, software y equipos perifricos para el procesamiento de datos y la emisin
de resultados.
Tambin se busca realizar una revisin integral de los propios sistemas computacio-
nales de la empresa, sean del rea de sistemas o de las dems reas, contando con las
herramientas tradicionales y con el apoyo de los sistemas computacionales para hacer
las evaluaciones de los resultados obtenidos con ambas herramientas y poder elaborar
el dictamen de sus propios sistemas y de las reas, operaciones, funciones y procedi-
mientos de toda la empresa.
Esta auditora es una combinacin natural de las dos que analizamos anteriormen-
te y se desarrolla mediante el uso de los programas elaborados deliberadamente para
hacer una auditora de sistemas computacionales y de sus componentes, as como de
las reas, funciones, actividades y operaciones manuales, mecnicas y electrnicas de
una empresa o de sus reas funcionales.
Ejemplos clsicos de este tipo de auditora son las revisiones integrales a la ges-
tin administrativa y a los sistemas de procesamiento, centralizados o compartidos, ya
que en ambos se pueden utilizar las herramientas tpicas de auditora con el apoyo de
los sistemas computacionales para evaluar tanto los propios sistemas computaciona-
les como las funciones, actividades y operaciones que se realizan en el centro de infor-
macin, as como en las dems reas de una empresa.
12.2 Auditora sin la computadora

Es la auditora cuyos mtodos, tcnicas y procedimientos estn orientados ni-
camente a la evaluacin tradicional del comportamiento y validez de las tran-
sacciones econmicas, administrativas y operacionales de un rea de
cmputo, y en s de todos los aspectos que afectan a las actividades en las que
se utilizan sistemas informticos, pero dicha evaluacin se realiza sin el uso de
los sistemas computacionales. Es tambin la evaluacin tanto a la estructura
de organizacin, funciones y actividades de funcionarios y personal de un centro

de cmputo, as como a los perfiles de sus puestos, a los reportes, informes y bi-
tcoras de los sistemas, a la existencia y aplicacin de planes, programas y pre-
supuestos en dicho centro, as como del uso y aprovechamiento de los recursos
informticos para la realizacin de actividades, operaciones y tareas. Asimismo,
es la evaluacin de los sistemas de seguridad y prevencin de contingencias, de
la adquisicin y uso del hardware, software y personal informtico, y en s de to-
do lo relacionado con el centro de cmputo, pero sin el uso directo de los siste-
mas computacionales.
En este tipo de auditoras, el auditor utiliza las tcnicas, mtodos y procedimientos
tradicionales de revisin, con el propsito de hacer una evaluacin manual del rea de
sistemas computacionales de la empresa, abarcando en ello todos los aspectos admi-
nistrativos, contables, financieros, estadsticos, de personal y de las dems especiali-
dades de las gestiones de carcter administrativo que intervienen en la operacin de
un centro de cmputo de una empresa, a fin de emitir un dictamen sobre la actuacin
de sus directivos y empleados, sobre el aprovechamiento y uso de todos los recursos
asignados a esa rea, en cuanto a sus equipos de computacin, sus instalaciones y la
administracin de sus consumibles, as como sobre los planes, presupuestos y progra-
mas que afectan el comportamiento financiero de dicha rea.
Esta revisin manual tambin se hace para evaluar la estructura de organizacin,
las lneas de autoridad, las funciones y el perfil de puestos de los directivos y emplea-
dos del rea de sistemas, la capacitacin y adiestramiento de su personal y usuarios,
la existencia y aplicacin de los sistemas de seguridad y prevencin de contingencias
que puedan afectar el funcionamiento de la funcin informtica de la empresa, as co-
mo los mtodos de evaluacin y adquisicin del hardware, software y consumibles que
se requieren en los sistemas computacionales de las distintas reas de la empresa. To-
das estas evaluaciones se realizan sin el uso de los sistemas computacionales.
Concretamente, podemos decir que este tipo de auditoras tiene como principal
caracterstica la realizacin de una evaluacin del centro de cmputo, de su gestin ad-
ministrativa y sus operaciones, realizando dicha evaluacin, tabulacin y emisin de re-
sultados en forma manual, sin el apoyo de los sistemas computacionales, sino
nicamente con las herramientas clsicas del auditor: calculadoras, recopilacin docu-
mental, observacin directa, comparacin y los otros elementos tradicionales que se
utilizan en este tipo de auditora.
A continuacin presentamos algunas gestiones concretas de carcter administrati-
vo que pueden ser evaluadas de forma tradicional:
Auditora a la actividad administrativa del centro de cmputo.
Auditora a la gestin financiera del centro de cmputo.
Auditora a la operacin de los sistemas.
Auditora al desarrollo de los proyectos de sistemas computacionales.
Auditora a las tcnicas y sistemas de procesamiento.

Auditora a los sistemas de seguridad y prevencin de contingencias.
Auditora de los consumibles para el funcionamiento de los sistemas.
Auditora del uso y acceso a los sistemas y programas computacionales.
Existen, desde luego, otros tipos de evaluaciones especficas para auditar las acti-
vidades y operaciones del centro de sistemas mayores, intermedios, compartidos o de
aplicacin personal de cualquier empresa, segn las necesidades concretas de la au-
ditora y las actividades que se realizan en la gestin administrativa de dicho centro.
A continuacin presentamos el uso de cada una de las auditoras especificadas an-
teriormente, con el nico propsito de que el lector entienda su importancia.
12.2.1 Auditora a la actividad administrativa del centro de cmputo

Es la revisin de las actividades administrativas de cualquier rea de sistemas, la cual se
realiza con las herramientas tradicionales de auditora; esta revisin se practica a los si-
guientes aspectos: a la planeacin, organizacin, direccin y control de las diferentes ac-
tividades del rea de sistemas, al cumplimiento de las funciones, tareas y actividades
encomendadas a los funcionarios, personal y usuarios del rea de sistemas, al control fi-
nanciero y contable de sus bienes informticos, a los ejercicios del presupuesto asigna-
do a dicha rea, a la capacitacin, adiestramiento y promocin del personal del rea, al
funcionamiento de los sistemas de procesamiento y al uso del equipo de cmputo, entre
muchas otras acciones administrativas del rea de sistemas que pueden ser evaluadas.
A continuacin presentamos algunos aspectos que se evalan en este tipo de
auditoras:
Auditora a los planes, programas y presupuestos que afectan al centro de infor-
macin de la empresa.
Auditora a la estructura de organizacin, puestos, funciones, niveles de autori-
dad y canales de comunicacin del centro de cmputo, segn el tamao, carac-
tersticas y sistemas de procesamiento de la institucin.
Auditora a la seleccin, capacitacin, adiestramiento y promocin del personal
del rea y de los usuarios del sistema informtico de la empresa.
Auditora a la administracin, uso y mtodos de control para el acceso y protec-
cin de los sistemas computacionales, de los programas institucionales y de la
informacin de la empresa.
Auditora a la aplicacin de las tcnicas y mtodos de direccin, supervisin, to-
ma de decisiones, coordinacin y de motivacin del personal y de los usuarios
del centro de cmputo.
En el siguiente punto, Auditora a la gestin financiera de un centro de cmputo,
trataremos ms ampliamente stas y otras aplicaciones de este tipo de auditora; esto
obedece a que la auditora administrativa es uno de los aspectos bsicos que se utili-
zan para evaluar el centro de cmputo de cualquier empresa, dependiendo de las ne-
cesidades de revisin y de las caractersticas de los sistemas computacionales, de su
tamao, as como de las aplicaciones y servicios informticos que stos proporcionan
a las dems reas de la organizacin.
12.2.2 Auditora a la gestin financiera del centro de cmputo

sta es prcticamente una auditora de carcter financiero, en la cual se utilizan las tc-
nicas, mtodos y procedimientos de la auditora contable para revisar la contabilidad y el
manejo financiero del rea de sistemas; esta revisin puede ser realizada por el rea de
contabilidad de la empresa o por el rea de sistemas, si sta lleva su propia contabilidad.
Asimismo, con este tipo de evaluacin se puede realizar el seguimiento de las operacio-
nes y registros financieros que repercuten en el funcionamiento del centro de cmputo,
as como de las aplicaciones de los programas financieros, la asignacin de los presu-
puestos y el control de ingresos y egresos del rea de sistemas, el ejercicio correcto y
oportuno de los bienes informticos de esta rea y en s se puede hacer el seguimiento
de todos los aspectos financieros que repercuten en el funcionamiento del rea de siste-
mas de la organizacin.
Adems, en este tipo de auditora, el auditor se apoya en los criterios determina-
dos por el control interno contable y en los registros que afectan la proteccin de los
bienes y activos del rea de sistemas, as como sus actividades y operacin, para eva-
luar las operaciones financieras de esta rea y la proteccin de sus bienes y activos.
Este tipo de evaluacin puede y debe ser realizada por un auditor especializado en
la rama de la contabilidad y en la aplicacin de las herramientas, mtodos y procedi-
mientos propios de esta clase de auditora, debido a lo especializado de este tipo de
evaluacin. En razn de que la aplicacin de esta auditora contable es muy difundida
y popular, no tiene caso citar ejemplos; slo insistiremos en que esta auditora debe
tratar de cubrir todos los aspectos financieros y contables del centro de cmputo, lo
cual omite auditar muchas veces el auditor especializado en el rea de sistemas.
12.2.3 Auditora a la operacin de los sistemas

Es la evaluacin del desempeo y cumplimiento correctos de las actividades, funcio-
nes, tareas y operaciones encomendadas a las reas y unidades administrativas del
rea de sistemas de una empresa, utilizando las tcnicas, mtodos y procedimientos t-
picos de una auditora operacional.
Con esta auditora se busca verificar el cumplimiento adecuado de las operaciones
y actividades encomendadas al rea de sistemas, a fin de prevenir, o corregir, las posi-
bles deficiencias en el manejo y operacin del sistema de procesamiento de datos de
la empresa, con todo lo que esta evaluacin implica. Tambin se busca evaluar las me-
didas preventivas y correctivas de seguridad de las reas, sistemas y actividades de di-
cho sistema, as como los programas de contingencias informticas para el mejor fun-
cionamiento de las actividades y operaciones informticas de la empresa.
Igual que en los casos anteriores, tampoco presentamos ejemplos de la aplica-
cin de esta auditora operacional en el rea de sistemas, debido a que existe un sin-
nmero de autores de administracin y de ingeniera que abarcan las formas de
evaluacin a los aspectos operacionales de tiempos y movimientos, organizacin, m-
todos y procedimientos de operacin, actividades fabriles y todas las dems herra-
mientas de una evaluacin operativa, slo que en este caso stas debern estar
enfocadas al rea de sistemas.
12.2.4 Auditora al desarrollo de los proyectos de sistemas computacionales

Es la revisin que se hace utilizando las tcnicas, mtodos y procedimientos tradiciona-
les de auditora, con el fin de evaluar, entre muchas otras cosas, el desarrollo correcto
de los sistemas de aplicacin que se perfeccionan en el rea de sistemas de la empre-
sa, analizando la forma en que se llevan a cabo los proyectos de sistemas, la interpreta-
cin adecuada de las necesidades de los usuarios, la forma en que se implantan estos
sistemas en las reas involucradas, la posible repercusin de su implementacin en los
actuales sistemas de informacin institucionales, as como la posible influencia en el
funcionamiento de las actividades informticas en las reas de la empresa que utilizan
estos sistemas.
Esta auditora sin la computadora tambin se utiliza para evaluar la actualizacin
en el diseo de los sistemas de procesamiento de datos y la operacin de los equipos,
perifricos y procesadores, de acuerdo con las necesidades de informacin de la em-
presa y con los avances tecnolgicos de la informtica, as como la capacitacin nece-
saria para el personal y usuarios, derivada de la puesta en prctica de nuevos sistemas
computacionales en el rea de sistemas de la empresa.
En estas auditoras se utilizan las herramientas tradicionales de la auditora, mis-
mas que pueden ser aplicadas por cualquier auditor, debido a que el propsito es eva-
luar el uso de las metodologas y estndares institucionales para el anlisis, diseo e
implementacin de los sistemas computacionales, as como los estndares, polticas y
procedimientos para la programacin, documentacin, liberacin y mantenimiento de
un sistema que se desarrolla en el rea de sistemas o de uno que se adquiere de pro-
veedores y desarrolladores. Tambin se evala todo lo relacionado con la administra-
cin y control de los proyectos de sistemas de esta rea, en cuanto a la planeacin,
ejecucin y liberacin del sistema, incluyendo el manejo del personal y las herramien-
tas de administracin y control de su desarrollo.
A continuacin presentamos algunos aspectos que se evalan en este tipo de
auditoras:
Evaluacin de la existencia, seguimiento y cumplimiento de los planes, progra-
mas y presupuestos de elaboracin de los proyectos de sistemas de la empresa.
Evaluacin de la existencia, difusin y cumplimiento de los estndares de anli-

sis, diseo, codificacin, implementacin y mantenimiento de los nuevos siste-
mas computacionales en el rea de sistemas.
Evaluacin de la existencia, uso y seguimiento de las metodologas instituciona-
les para el desarrollo de los nuevos proyectos de sistemas de la empresa.
Evaluacin del desempeo, integracin y cumplimiento de las funciones, activi-
dades y tareas encomendadas al lder de proyectos, al personal asignado al
rea de sistemas y a los usuarios que intervienen en el proyecto de sistemas de
la empresa, as como de los desarrolladores externos y proveedores de siste-
Evaluacin de la existencia, aplicacin y cumplimiento de la planeacin y control
de los programas de actividades, tareas, eventos y tiempos para el desarrollo de
los proyectos de sistemas de la empresa.
Evaluacin de la existencia, estandarizacin y uso de las herramientas, tcnicas,
mtodos y procedimientos institucionales para el desarrollo de los proyectos de
sistemas de la empresa, as como de la constante actualizacin e innovacin tec-
nolgica de dichos sistemas.
Evaluacin de las actividades de implementacin, liberacin y mantenimiento
de los proyectos de sistemas elaborados en la empresa.
Evaluacin de las necesidades en cuanto a sistemas computacionales, as co-
mo del seguimiento de las soluciones de los problemas de dichos sistemas,
de acuerdo con los estndares de desarrollo de proyectos en el rea de sis-
temas.
12.2.5 Auditora a las tcnicas y sistemas de procesamiento

Esta auditora se realiza con el apoyo de las herramientas, mtodos y procedimientos
tradicionales de la auditora, a fin de evaluar la manera en que se aplican, actualizan y
aprovechan las tcnicas especficas de la funcin informtica, en cuanto al funciona-
miento, explotacin y aprovechamiento de los sistemas computacionales de la empre-
sa, as como las tcnicas, mtodos y procedimientos utilizados para la captura
procesamiento y almacenamiento de datos, la emisin de la informacin, la operacin
de los sistemas de seguridad, resguardo y custodia de la informacin procesada en el
sistema del centro de cmputo, los programas institucionales y los propios sistemas de
operacin en beneficio de la funcin informtica de la empresa.
Para practicar esta evaluacin, es necesario que el auditor sea especialista en au-
ditoras de sistemas, en ingeniera informtica o disciplinas similares, puesto que el
ejercicio de esta revisin exige un alto grado de conocimientos en informtica, ya que
est enfocada a evaluar los siguientes aspectos:
La problemtica relacionada con el funcionamiento tcnico del sistema compu-
tacional.
Las causas, incidencias y repercusiones de las cadas del sistema y las medi-
das preventivas y correctivas del caso.
La falta de aprovechamiento de los sistemas a causa de fallas de los componen-
tes internos, externos, de las instalaciones, del personal informtico o de los
usuarios del sistema.
La frecuencia del mantenimiento correctivo o la ausencia del mantenimiento
preventivo para asegurar el funcionamiento correcto de los sistemas.
La deteccin y frecuencia de errores en el procesamiento de la informacin.
stos son slo algunos de los casos de carcter tcnico que el auditor de sistemas
debe estar preparado para evaluar.
En estas auditoras se debe realizar una profunda evaluacin de las tcnicas y sis-
temas utilizados para el procesamiento de informacin del propio sistema, del funcio-
namiento de su arquitectura interna, de sus componentes y dems equipos asociados,
a fin de revisar el aprovechamiento adecuado de los siguientes aspectos:
La configuracin y arquitectura del sistema computacional, a fin de valorar que
cumplan con las necesidades informticas de la organizacin.
Las actividades y operaciones tcnicas del sistema, a fin de valorar la capacidad
de procesamiento, velocidad, memoria y aprovechamiento de las configuraciones
interna y externa del sistema, ya sea PC, red, cliente-servidor o sistemas mayores.
Los tiempos productivos y no productivos del procesador, a fin de valorar su re-
percusin en la actividad informtica de la empresa, en relacin con los siguien-
tes aspectos:
La operacin normal del sistema computacional.
La captura, actualizacin y consulta de datos.
El procesamiento de datos y la emisin de resultados.
El desarrollo, codificacin, compilacin e instalacin de los programas desa-
rrollados en el rea de sistemas.
Los lapsos improductivos y no aprovechados en los que no se utilizan los pe-
rifricos, equipos asociados y dems componentes del sistema computacio-
nal del rea de sistemas de la empresa.
Los tiempos productivos e improductivos del personal del rea y usuarios del
sistema.
Los tiempos productivos e improductivos en todas las actividades del rea de
sistemas, as como en las actividades del personal del rea y usuarios del sis-
tema.
Las tcnicas y actividades informticas para evaluar el aprovechamiento y la pro-
duccin del sistema, en cuanto a la operacin de sus componentes internos
(procesador, memorias, velocidad de procesamiento, etctera) y de sus compo-
nentes externos (disco duro, tarjetas, impresoras, drives, mdems, etctera).
En s, aqu se revisan todas las actividades que repercuten de alguna manera en la

operacin correcta y en el funcionamiento adecuado de los sistemas de procesamien-
to del centro de informtica de la empresa, as como todos los aspectos tcnicos, ad-
ministrativos e informticos que influyen en las actualizaciones tecnolgicas de los
sistemas computacionales.
En los siguientes puntos analizaremos con mayor profundidad esta evaluacin al
equipo de cmputo, anticipando que en estos casos se hace la evaluacin nicamente
con las tcnicas tradicionales de auditora y sin el uso de los sistemas computaciona-
les, mientras que, en lo que se analiza para esos puntos, se evalan contando con los
sistemas de cmputo en forma completa.
12.2.6 Auditora a los sistemas de seguridad y prevencin de contingencias

Es la evaluacin, con las herramientas tradicionales de auditora, de la existencia, apli-
cacin y operacin de los sistemas y mtodos de seguridad establecidos para el fun-
cionamiento correcto de un centro de cmputo, as como de la proteccin de sus
bienes informticos, como sistemas computacionales, equipos, instalaciones e infor-
macin, de los accesos de personal y usuarios, de la prevencin de desastres, de los
planes contra contingencias y dems posibles riesgos, tanto lgicos como fsicos, que
repercuten en la seguridad de dicho centro.
En estas auditoras se deben evaluar a fondo las medidas preventivas y correctivas,
los mtodos y procedimientos y los planes y programas contra contingencias; es decir,
los sistemas de seguridad establecidos para evitar los riesgos y contingencias en los
sistemas, equipos, instalaciones e informacin, as como para mantener la seguridad
del personal de un centro de cmputo.
Tampoco presentamos ejemplos de esta auditora, ya que en los puntos siguientes
trataremos ms a fondo los aspectos que se deben evaluar en una auditora a la segu-
ridad de los sistemas computacionales.
12.2.7 Auditora de los consumibles para el funcionamiento de los sistemas

sta es una auditora de carcter contable, en la que se utilizan las herramientas tradi-
cionales de la auditora financiera para evaluar todo lo relacionado con las instalaciones,
equipos adicionales, perifricos, consumibles (disquetes, cintas, papelera y tiles de
oficina) y todos los elementos que afectan el funcionamiento de un centro de cmputo,
as como para evaluar el control del mantenimiento, tanto preventivo como correcti-
vo, de las instalaciones fsicas y lgicas de dicho centro.
Dentro de estas tcnicas, mtodos y procedimientos de auditora se incluyen la
realizacin de inventarios, la revisin a los resguardos y asignacin de equipos, la se-
guridad y custodia de sus sistemas operativos, programas y paqueteras de procesa-
miento de informacin, as como de todo lo relacionado con la salvaguarda, custodia y

mantenimiento de los activos del centro de cmputo.
Debido a que estas auditoras son las ms comunes y las que ms practican los au-
ditores tradicionales, no mencionamos ejemplos de su aplicacin en las reas de sis-
temas, ya que hay mucha informacin sobre estas revisiones y la experiencia del
auditor contable es fundamental para aplicarlas correctamente.
12.2.8 Auditora del uso y acceso a los sistemas y programas computacionales

Es la evaluacin, con la aplicacin de las tcnicas, mtodos y procedimientos de la au-
ditora tradicional, del uso de los sistemas computacionales, de los medios y progra-
mas de acceso a stos, as como de los lenguajes, programas y paqueteras utilizadas
para el procesamiento de informacin del rea de sistemas y de las reas de la empre-
sa a las que se les proporcionan estos servicios, ya sean para los sistemas centraliza-
dos, descentralizados o compartidos.
En dicha evaluacin se incluyen la utilizacin de sistemas, programas y jerarquas de
acceso a la informacin, las medidas y sistemas de proteccin para el sistema compu-
tacional, los privilegios de acceso lgico, el almacenamiento de la informacin y de los
resultados de los procesamientos de datos, as como todos los medios de operacin
que repercuten en dicho sistema.
En la evaluacin al sistema computacional ampliaremos estos conceptos, pero en
esos casos aplicando las herramientas de cmputo para realizar estas evaluaciones.
Para concluir, diremos que con el anlisis de este tipo de auditora podemos en-
tender cmo se aplican las tcnicas, mtodos y procedimientos tradicionales de la au-
ditora para evaluar un centro de cmputo, sus actividades y operaciones, con el fin de
poder dictaminar sobre el buen desempeo de sus funciones, la proteccin y uso ade-
cuado de sus sistemas, instalaciones, equipos, perifricos, consumibles, informacin y
personal, as como de sus sistemas de acceso fsico y lgico.
Todo esto se realiza sin el uso de la computadora, slo con las herramientas tradi-
cionales de la auditora.
Evidentemente, estos tipos de auditora tienen ciertas limitaciones y se pueden en-
contrar serias deficiencias al aplicarlos en el ambiente de sistemas computacionales;
sin embargo, el propsito de este libro no es sealar las ventajas y desventajas de es-
tas auditoras sin la computadora, sino presentarlas con el nico fin de que el auditor
las identifique como parte de las auditoras que se pueden practicar a los sistemas
computacionales, y para sealarle al auditor ajeno a los sistemas que utilizando sus he-
rramientas tradicionales de evaluacin, tambin puede realizar estas evaluaciones in-
formticas. La profundidad y utilidad de estas evaluaciones depender de la habilidad
del auditor, as como de su experiencia y conocimientos sobre las herramientas, mto-
dos y procedimientos que utilice.
12.3 Auditora a la gestin informtica del rea de sistemas

Es la auditora cuya aplicacin se enfoca exclusivamente a la revisin de las fun-
ciones y actividades de tipo administrativo que se realizan dentro de un centro
de cmputo, tales como la planeacin, organizacin, direccin y control de di-
cho centro. Esta auditora tambin se realiza con el fin de verificar el cumpli-
miento de las funciones y actividades asignadas a los funcionarios, empleados y
usuarios de las reas de sistematizacin, as tambin para revisar y evaluar las
operaciones del sistema, el uso y proteccin de los sistemas de procesamiento,
de los programas y de la informacin. Se aplica tambin para verificar el desa-
rrollo correcto, instalacin, mantenimiento y explotacin de los sistemas compu-
tacionales, as como de sus equipos e instalaciones. Todo esto se lleva a cabo
con el propsito de dictaminar sobre la adecuada gestin administrativa de los
sistemas computacionales de una empresa y del propio centro informtico.
Este tipo de auditora sirve para evaluar la gestin administrativa del sistema compu-
tacional, el funcionamiento correcto de su hardware, software, componentes asocia-
dos, as como las instalaciones, programas, informacin, mobiliario, equipos y dems
activos informticos del rea de sistemas de la empresa; tambin sirve para evaluar el
cumplimiento adecuado de las funciones, operaciones y actividades de carcter admi-
nistrativo que ayudan a satisfacer las necesidades de informacin de las reas de la
empresa que utilizan sistemas computacionales, a fin de hacer ms eficiente el desem-
peo del centro de cmputo.
En estas auditoras se debe evaluar la gestin administrativa de la actividad inform-
tica de la empresa y del rea de sistemas, y tambin la gestin netamente administrati-
va de los directivos, empleados y usuarios de dicha rea. Sin embargo, con alarmante
frecuencia esta evaluacin no se realiza, se evita o se realiza muy superficialmente. Es-
to se debe en gran medida a la poca importancia que algunos administradores de sis-
temas otorgan a esta actividad tan importante.
Lo que realmente se busca con esta auditora de carcter administrativo es evaluar
la gestin administrativa del centro de cmputo de la empresa, aplicando cualquiera
de las herramientas sealadas en los captulos 9, 10 y 11 de este libro. Esta auditora
bien puede ser realizada por un auditor de sistemas computacionales, administrativo u
operacional, siempre y cuando contemple en su revisin, entre otras cosas, los siguien-
tes aspectos:
Auditora a la planeacin estratgica en la empresa y el rea de sistemas.
Misin de la actividad informtica.
Visin de la actividad informtica.
Objetivos generales y especficos de la actividad informtica.
Estrategias para el funcionamiento de la actividad informtica.

Funciones fundamentales para proporcionar el servicio informtico a las
reas de la empresa.
Polticas, normas y lineamientos que regulen la actividad informtica en la
empresa y en el rea de sistemas.
Procedimientos generales para proporcionar la actividad informtica.
Existencia, difusin, seguimiento y control de la misin, visin, objetivo, pol-
ticas, normas, lineamientos y procedimientos para la actividad informtica de
la empresa.
Auditora a la estructura de organizacin del rea de sistemas.
Divisin funcional (u otro criterio) para el rea de sistemas.
Estructura de puestos del rea de sistemas.
Funciones de los puestos del rea de sistemas.
Canales formales e informales de comunicacin en el rea de sistemas.
Niveles de autoridad y responsabilidad de los puestos del rea de sistemas.
Reestructuracin o actualizacin de puestos.
Perfiles de puestos.
Estructuras para el desarrollo de proyectos, atencin a usuarios y operacin
de las actividades informticas de la empresa.
Manuales de organizacin, procedimientos, operacin y dems documenta-
cin normativa del rea de sistemas.
Auditora al cumplimiento de las funciones, tareas y operaciones de la actividad
informtica en la empresa y el rea de sistemas.
Existencia, difusin y cumplimiento de las funciones, tareas y operaciones de
la actividad informtica en el rea de sistemas.
Seguimiento de los manuales e instructivos del rea de sistemas.
Mtodos y procedimientos para la actividad informtica en la empresa y el
rea de sistemas.
Cumplimiento de los fundamentos y principios administrativos aplicables al
rea de sistemas de la empresa.
Auditora a la direccin del rea de sistemas.
Ambiente laboral en el rea de sistemas.
Estilo de liderazgo y ejercicio de autoridad en el rea de sistemas.
Jerarquas de autoridad y responsabilidad en el rea de sistemas.
Coordinacin del personal y usuarios del rea de sistemas.
Coordinacin de los recursos informticos utilizados para la actividad infor-

mtica en el rea de sistemas y en la empresa.
Relaciones de trabajo jefe-subordinado e iguales.
Ejercicio y control de la toma de decisiones en el rea de sistemas.
Integracin de grupos de trabajo en el rea de sistemas.
Relaciones de comunicacin formal (comunicacin escrita, verbal, correo
electrnico u otras formas de comunicacin) en el rea de sistemas.
Auditora a la administracin del factor humano en el rea de sistemas.*
Coordinacin de las funciones, actividades, tareas y operaciones del personal
informtico del rea de sistemas.
Divisin funcional de las funciones, actividades y operaciones del factor hu-
mano del rea de sistemas.
Planes y programas de capacitacin, adiestramiento y promocin del perso-
nal y usuarios del rea de sistemas.
Rotacin y movilidad del personal del rea de sistemas.
Motivacin para el personal y usuarios del rea de sistemas.
Procesos de seleccin de personal para el rea de sistemas.
Remuneracin y prestaciones para el personal del rea de sistemas.
Integracin de grupos de trabajo.
Evaluacin del cumplimiento de las funciones y actividades del personal, del
perfil de puestos y la asignacin de actividades en el rea de sistemas.
Estudios ergonmicos para el personal y usuarios del rea de sistemas.
La gestin directiva de funcionarios, empleados y usuarios.
Auditora a la administracin de los recursos informticos no humanos del rea
de sistemas.
Administracin de los sistemas computacionales (hardware) del rea de sis-
temas y de los sistemas de las dems reas de la empresa.
Administracin del sistema computacional (software) del rea de sistemas y
del sistema de las dems reas de la empresa.
Administracin de las instalaciones del sistema computacional del rea de
sistemas y de las instalaciones de las dems reas de la empresa que cuen-
ten con sistemas.
* En la seccin 9.5.6. del captulo 9 de este libro, tratamos la divisin natural del personal que labora en el rea de
sistemas, el cual se clasifica de la siguiente manera: personal adscrito al rea de sistemas, usuarios, asesores y con-
sultores, as como distribuidores, proveedores y desarrolladores externos de sistemas. Esto es totalmente aplicable
en la auditora de este tipo.
Administracin de las telecomunicaciones del sistema computacional del

rea de sistemas y de las telecomunicaciones de las dems reas de la em-
presa que cuenten con sistemas.
Administracin de las bases de datos e informacin del rea de sistemas y de
las bases de datos de las dems reas de la empresa que cuenten con sistemas.
Administracin del mobiliario y equipo asignados al rea de sistemas y del
mobiliario de las dems reas de la empresa que cuenten con sistemas.
Administracin de los bienes materiales, consumibles y materiales de oficina
utilizados en el rea de sistemas y de los materiales de las dems reas de la
empresa que cuenten con sistemas.
Administracin de las adquisiciones de sistemas computacionales, hardware,
software, componentes, perifricos, mobiliario, equipos, consumibles y de-
ms implementos para el funcionamiento de los sistemas de la empresa.
Administracin de los bienes informticos y activos del rea de sistemas y de
los bienes informticos de las dems reas de la empresa que cuenten con
sistemas.
Los planes, programas y presupuestos que afectan al rea de sistemas.
La gestin financiera y contable de los recursos del rea de sistemas.
Auditora a los controles informticos del rea de sistemas.*
Controles internos sobre la organizacin del rea de sistemas.
Controles internos sobre el desarrollo de sistemas.
Controles internos sobre la operacin del sistema.
Controles sobre los procedimientos de entrada de datos, procesamiento de
informacin y emisin de resultados.
Controles internos sobre la seguridad en el rea de sistemas.
Evaluacin de la existencia, establecimiento y uso de los estndares de sistemas
para:
Metodologas del anlisis y diseo de sistemas.
Uso de software, lenguajes y programas de desarrollo para la programacin y
codificacin de sistemas.
Elaboracin y seguimiento de pruebas y simulaciones de sistemas, programas
y lenguajes de cmputo nuevos, as como para erradicar virus informticos.
Liberacin e implementacin de nuevos sistemas.
Capacitacin y adiestramiento del personal y los usuarios del rea de sistemas.
* En el captulo 5 de este libro analizamos el control interno informtico. Adems, en el captulo 4 tambin anali-
zamos el control interno, ambos aplicables en este tipo de auditora.
Documentacin de sistemas.
Adquisiciones de sistemas computacionales, as como de sus materiales y de-
ms componentes y consumibles.
Los dems estndares que regulen el desempeo de la funcin informtica en
la empresa.
Auditora a la documentacin de los sistemas en al rea de informtica y a la
documentacin de las dems reas de la empresa que cuenten con servicios
informticos.
Manuales de usuarios.
Manuales tcnicos del sistema.
Manuales de capacitacin.
Manuales de operacin.
Bitcoras de proyectos nuevos.
Documentacin de pruebas y simulaciones de sistemas.
Actualizacin de manuales.
Existencia, difusin, prstamo y uso de los manuales e instructivos de siste-
Los puntos sealados anteriormente son algunos de los muchos aspectos que se
pueden evaluar en una auditora de carcter administrativo de un centro de cmputo;
estos puntos nos sealan, a grandes rasgos, los asuntos ms importantes que se de-
ben tomar en cuenta para evaluar la gestin informtica de un rea de sistemas.
Sin embargo, es conveniente sealar que esos proyectos de evaluacin administra-
tiva se presentan nicamente como sugerencias, ya que el auditor de sistemas tiene la
potestad de adaptar aquellos aspectos que le sean tiles para su evaluacin, tomando
en cuenta las caractersticas del rea de sistemas que va a evaluar, sus costumbres y
lineamientos administrativos esenciales y todos los fundamentos para administrar di-
cha rea. Adems, el auditor debe disear sus instrumentos de evaluacin de acuerdo
con su experiencia, conocimientos y habilidades, as como con las peculiaridades de la
evaluacin administrativa que practique.
Recordemos que con estas auditoras se busca evaluar la participacin de la ges-
tin administrativa en el manejo, operacin y control de los sistemas computacionales
asignados a las reas de sistematizacin, con el fin de dictaminar sobre el uso correc-
to, manejo adecuado y explotacin eficiente de esos sistemas en el procesamiento de
informacin. Estas auditoras tambin sirven para evaluar la administracin del perso-
nal y de los bienes informticos asignados a las reas de sistemas de la empresa, la ad-
ministracin de los sistemas y mtodos de seguridad y prevencin de contingencias,
as como la adquisicin de software y hardware de los sistemas computacionales.
12.3.1 Sugerencias de herramientas, tcnicas y procedimientos

aplicables en la auditora a la gestin informtica
Como recomendacin final para la prctica de esta auditora, sugerimos al auditor que
utilice cualquiera de las herramientas sealadas en los captulos 9, 10 y 11 de acuer-
do con su experiencia, conocimientos y habilidades en el manejo de esta auditora.
Adems, ya que en la auditora a la gestin informtica del rea de sistemas de la em-
presa se tocan los aspectos administrativos, sera de mucha utilidad que el responsa-
ble de la auditora contara con la participacin de un auditor administrativo, pero bajo
un estricto enfoque de administracin de sistemas, jams desde la ptica de la activi-
dad administrativa de las dems reas de la empresa.
Es recomendable que el auditor de sistemas novato utilice las siguientes herra-
mientas, siguiendo cada uno de los puntos anotados anteriormente para la evaluacin
de la gestin informtica:
El diseo de entrevistas (seccin 9.1) cuestionarios (seccin 9.2) y encues-
tas (seccin 9.3) elaborados con preguntas acordes a las necesidades de su
evaluacin. Con ello tendr la oportunidad de revisar los principales aspectos
relacionados con la gestin informtica del rea de sistemas. Adems, tambin
debe utilizar las tcnicas de observacin del funcionamiento normal de las
funciones y actividades de la empresa (seccin 9.4), as como los inventarios
de recursos y personal informtico (seccin 9.5), cuando el caso lo requiera.
Algunas de las tcnicas que complementan la evaluacin a esta actividad de las
reas de sistemas son la siguientes:
Las tcnicas de revisin documental (seccin 10.5) complementadas con la
matriz de evaluacin (seccin 10.7) o la matriz DOFA (seccin 10.8), segn
las preferencias y necesidades de revisin del auditor, ya que as le permitirn
analizar las debilidades y fortalezas de la administracin del rea de sistemas,
as como las amenazas a la administracin y las reas de oportunidad de la ges-
tin administrativa de la funcin informtica de dicha rea.
Es indispensable que el responsable de esta auditora tome en cuenta lo siguiente
al elaborar su programa de auditora a la gestin informtica del rea de sistemas:
Una gua de evaluacin (seccin 11.1), a fin de planear especficamente cada
uno los aspectos sustantivos de la actividad administrativa que tiene que evaluar.
Para ello es recomendable que tome en cuenta cada uno de los puntos indica-
dos para realizar la auditora a la gestin informtica, adaptndolos e incluso
modificndolos conforme a sus propias necesidades de evaluacin, as como
conforme a las caractersticas propias del rea de sistemas que vaya a auditar.
Un buen elemento de control para el responsable de esta evaluacin es el siguiente:

La lista de chequeo (seccin 11.6), ya que puede verificar que quien practique
la auditora cubra todos los puntos descritos en su planeacin de auditora. In-
clusive, debido a la facilidad para utilizar esta herramienta, puede verificar la
existencia y uso adecuado de cada uno de los puntos que audite.
En todas las sugerencias anteriores se debe tomar en cuenta que son eso, suge-
rencias, y que es potestad absoluta del auditor responsable de la auditora utilizar las
tcnicas, mtodos y procedimientos de auditora que ms le agraden, e incluso utilizar
o adaptar los puntos indicados inicialmente para realizar esta auditora.
12.4 Auditora al sistema computacional

Es la auditora tcnica y especializada que se enfoca nicamente a la evalua-
cin del funcionamiento y uso correctos del equipo de cmputo, as como de
su hardware, software y perifricos asociados. Esta auditora tambin se reali-
za a la composicin y arquitectura de las partes fsicas y dems componentes
del hardware, incluyendo equipos asociados, instalaciones y comunicaciones
internas o externas, as como al diseo, desarrollo y uso del software de ope-
racin, de apoyo y de aplicacin, ya sean sistemas operativos, lenguajes de pro-
cesamiento y programas de desarrollo, o paquetera de aplicacin institucional
que se utiliza en la empresa donde se encuentra el equipo de cmputo que se-
r evaluado. Se incluye tambin la operacin del sistema.
Lo que se busca con este tipo de auditoras es evaluar exclusivamente el equipa-
miento del sistema computacional, a fin de analizar su funcionamiento adecuado; esto
se realiza con los propios sistemas computacionales o con las tcnicas, mtodos, pro-
cedimientos y herramientas diseadas especialmente para practicar estas auditoras
de sistemas. Lo importante de estas revisiones es evaluar, exclusivamente, el sistema
computacional, tanto desde el punto de vista fsico (hardware) como desde el punto
de vista lgico (software), as como todos los elementos que ayudan a su funciona-
miento, incluyendo las funciones de su personal y usuarios, la informacin, telecomu-
nicaciones y dems componentes del sistema.
En la realizacin de estas auditoras se tienen que considerar las caractersticas
propias de este tipo de revisiones, lo cual las hace un trabajo muy especializado que
slo pueden realizar los auditores que tienen conocimientos profundos sobre el rea
de sistemas, debido a que contiene aspectos muy especficos y caractersticos que son
exclusivos de los sistemas computacionales. No obstante, cualquier auditor que no
tenga experiencia en sistemas computacionales puede llegar a practicar esta auditora,
si aplica los recursos informticos especializados que necesita y los complementa con
su experiencia y conocimientos de las herramientas, tcnicas y procedimientos nece-
sarios para evaluar estos sistemas, as como con su habilidad para obtener informacin
til para realizar su auditora.
Es difcil tratar de englobar en unas cuantas lneas los principales aspectos que de-
ben ser evaluados en una auditora de sistemas computacionales, ya que es obvio que
intervienen muchas particularidades de los propios sistemas computacionales. Debe-
mos considerar que no es lo mismo auditar un sistema de red de rea local que uno
de rea metropolitana, mundial o de red virtual; tampoco es lo mismo evaluar el pro-
cesamiento de una plataforma para MS-DOS y Windows, que para Unix o para AS-
400, y no es lo mismo evaluar la arquitectura de una PC, de un servidor o de un
sistema mayor.
Asimismo, las aplicaciones administrativas para los sistemas comerciales de una
empresa comercializadora son diferentes a las de una institucin dedicada al desarro-
llo de software, por citar algunos ejemplos.
En todos los casos existen caractersticas propias de los sistemas que los hacen di-
ferentes unos de otros; es evidente que las tcnicas, herramientas, procedimientos y
mtodos de auditora que se utilizan tambin son muy diferentes.
En relacin con lo anterior, a continuacin presentamos algunas de las muchas
consideraciones que se deben tomar en cuenta sobre los sistemas computacionales:
El tipo del procesador del sistema computacional, as como su velocidad, capaci-
dad, memoria y dems caractersticas con los cuales opera el sistema de cmputo.
Los fabricantes del hardware, software y perifricos del sistema computacional.
Las caractersticas y especificaciones del diseo del sistema computacional.
Las plataformas, ambientes, el tamao y configuracin del sistema computacional.
Los sistemas operativos, lenguajes, programas de desarrollo y aplicacin, utile-
ras y dems software del sistema computacional.
La forma de administrar el sistema y sus componentes asociados.
El sistema de administracin de bases de datos e informacin manejado.
La arquitectura del sistema, sus perifricos, equipos asociados y dems com-
ponentes.
Las aplicaciones concretas para las que est destinado el sistema computacional.
Adems de estos aspectos, se deben tomar en cuenta diversas caractersticas que
sern diferentes de un sistema a otro, y que por obvias razones variarn de un rea de
sistemas a otra.
En relacin con estos grandes grupos de caractersticas, existen muchos puntos que
el auditor de sistemas debe tomar en cuenta para evaluar los sistemas computaciona-
les. A continuacin presentamos algunos aspectos que se deben evaluar en este tipo de
auditoras:
12.4.1 Auditora al sistema computacional segn

las caractersticas de su hardware
Los aspectos ms importantes de un sistema computacional son su parte fsica (hard-
ware) y su parte lgica (software); por esta razn, el auditor de sistemas debe evaluar
todo lo relacionado con los componentes fsicos, tanto internos como externos, del sis-
tema, tales como su procesador, perifricos, arquitectura y sus dems partes tangibles,
con el propsito de evaluar su funcionamiento correcto.
En este tipo de evaluacin, el auditor de sistemas debe conocer las principales ca-
ractersticas, componentes y funcionamiento de la parte fsica de los sistemas, a fin de
poder evaluar su aplicacin, uso y aprovechamiento adecuados en la funcin inform-
tica en la empresa.
Debido a que sera demasiado engorroso tratar de detallar todas y cada una de las
partes del hardware que tienen que ser evaluadas, a continuacin presentamos los
componentes ms significativos de la parte fsica de los sistemas, a fin de que el audi-
tor tenga puntos de referencia para determinar los aspectos concretos y especficos
que analizar en su evaluacin.
Tarjeta madre del sistema.
Fabricante, tipo, versin del BIOS, configuracin y componentes.
Arquitectura, componentes y caractersticas de la tarjeta madre.
Conjunto de chips.
Ranuras de expansin para Bus.
Ranuras de expansin tipo PCI.
Ranuras de expansin tipo ISA.
Capacidad mxima en RAM.
Ranuras de expansin de memoria (SIMM y DIMM).
Puertos paralelos, seriales y para ratn.
Socket para multiprocesadores.
Bahas para unidades accesibles en parte frontal e interna.
Capacidad del voltaje de la fuente de energa.
Capacidad mxima en ROM, EROM y EPROM.
Conexiones perifricas.
Procesador.
Fabricante, marca, tipo, configuracin y caractersticas.
Velocidad de procesamiento en Mhz.
Mxima memoria en RAM del sistema.
Memoria cach y RAM externa.
Coprocesador matemtico.
Conjunto de chips (fabricante, modelo, capacidad y caractersticas).
Administrador de memoria.
Unidades adicionales, caractersticas, interfaz y capacidad.
Unidades de discos flexibles.
Discos duros (fabricante, capacidad, caractersticas y nmero).
Unidades de CD-ROM, DVD, CD-R (modelo y velocidad.)
Unidades de cinta.
Dispositivos multimedia (sonido, tarjetas, bocinas, multimedia y sintetizador).
Fax mdem (marca, modelo, velocidad en Kbps).
Soporte para grficos (fabricante, capacidad en RAM e interfaz).
Monitor (fabricante, modelo, tamao y caractersticas).
Teclado, ratn, JOYSTICK.
Tarjetas adicionales al sistema.
Tarjeta aceleradora de grficos.
Tarjetas para red.
Tarjeta para multimedia.
Tarjeta para fax mdem.
Muchas otras tarjetas a travs de extensiones del sistema.
Perifricos externos asociados al sistema.
Impresoras (fabricante, modelo, tamao y caractersticas).
Sistemas de videoconferencia (fabricante, modelo, alcance, nitidez y caracte-
rsticas).
Escner y dictador de textos.
Aprovechamiento y utilidad de cada uno de los componentes internos y perif-
ricos del sistema.
Monitor, teclado, ratn y unidad de disco flexible.
CD-ROM, CD-RW, DVD y disco duro.
Conexiones de perifricos, de conectividad y de comunicacin.
Aprovechamiento y utilidad del sistema computacional.
Capacidad para el crecimiento del sistema.
Calidad de los componentes del sistema (fabricante, marca y caractersticas).
Obsolescencia y durabilidad del equipo (sistema y componentes).
Garanta y soporte del fabricante.
Mantenimiento bsico para los sistemas.

Mantenimiento preventivo y correctivo (frecuencia y resultados).
Sistemas reguladores de corriente y no-breaks.
Instalaciones y conexiones elctricas y de tierra.
Proteccin del medio ambiente contra humedad, polvo y esttica.
12.4.2 Auditora al sistema computacional segn

las caractersticas de su software
El alma del funcionamiento de un sistema computacional es el sistema operativo, los
lenguajes y programas de desarrollo, los programas y paqueteras de aplicacin y las
utileras empleadas para su funcionamiento. Todo concentrado en el llamado softwa-
re del sistema.
A causa del gran volumen, diversidad de lenguajes, paquetes, programas y aplica-
ciones, as como a su permanente actualizacin, tambin sera casi imposible auditar to-
das y cada una de las actualizaciones y presentaciones del software; por esta razn, a
continuacin sugerimos los aspectos ms significativos que se pueden evaluar de esta
parte lgica de los sistemas, agrupados en los renglones ms significativos del softwa-
re, o por lo menos en los ms identificados, con el nico propsito de que el auditor ten-
ga puntos de referencia para elegir los aspectos especficos para ejecutar su evaluacin:
Auditora al sistema operativo.
Fabricante, caractersticas y operabilidad.
Plataforma y ambientes de aplicacin.
Licencias y permisos.
Versin, actualizaciones, cambios e innovaciones.
Manuales e instructivos tcnicos, de operacin, de programacin y dems do-
cumentacin relacionada con el funcionamiento del lenguaje.
Facilidad para la administracin del sistema operativo.
Sistemas, rutinas y programas para la seguridad y proteccin de los datos y
del sistema operativo.
Tecnologa de aprovechamiento.
Compatibilidad y escalabilidad con otros sistemas operativos.
Ventajas y desventajas.
Auditora a los lenguajes de desarrollo.
Fabricantes, caractersticas y operabilidad del lenguaje.
Plataforma y ambientes de aplicacin y desarrollo.
Versin, actualizacin y utilidad para el sistema.

Facilidad de compilacin y traduccin al lenguaje de mquina.
Uso y generacin de cdigos y programas fuentes, seudocdigos, programas
objeto y programas ejecutables.
Libreras, bibliotecas, herramientas y utileras para programacin.
Facilidad de programacin y desarrollo.
Manuales e instructivos de instalacin, operacin, tcnicos, de programacin
y dems documentacin para el funcionamiento del programa.
Administracin del lenguaje.
Sistemas para la seguridad y proteccin de los datos y del propio lenguaje.
Facilidad de programacin, compatibilidad, escalabilidad y desarrollo con
otras plataformas y lenguajes.
Requerimientos de capacitacin y especializacin.
Auditora a los programas de desarrollo.
Fabricantes, caractersticas y operabilidad.
Plataforma y ambientes de aplicacin y explotacin.
Versin, actualizacin y utilidad para el sistema.
Facilidad de traduccin, comunicacin y compilacin en lenguaje de mquina.
Libreras, bibliotecas, herramientas y utileras para programacin.
Programas para bases de datos.
Facilidad de programacin (visual y de codificacin).
Uso y generacin de programas fuentes, programas objeto, programas grfi-
cos y programas ejecutables.
Compatibilidad, exportabilidad y escalabilidad con otros lenguajes y programas.
Sistemas para la seguridad y proteccin de los datos y del propio programa.
Administracin del programa de aplicacin.
y dems documentacin para el funcionamiento y uso del programa.
Facilidad de programacin, compatibilidad, escalabilidad y desarrollo con
otros sistemas, plataformas, lenguajes y programas.
Auditora a los programas y paquetera de aplicacin y explotacin.

Fabricantes, caractersticas y operabilidad del programa.
Ambiente de aplicacin y uso.
Versin, actualizacin y utilidad para el usuario.
Libreras, bibliotecas y utileras de apoyo.
Compatibilidad, exportabilidad y escalabilidad con otros programas y paque-
teras de aplicacin, de desarrollo o con el sistema operativo.
Paqueteras y programas desarrollados internamente.
y dems documentacin para el funcionamiento del programa.
Ventajas y desventajas de los programas y paqueteras de aplicacin.
Auditora a la administracin del software para aplicaciones.
Paqueteras y programas integrados (Office y SmartSuite, por ejemplo).
Programas y paqueteras para aplicaciones de escritorio (hojas de clculo, ba-
ses de datos, procesadores de texto, agendas y presentaciones).
Programas y paqueteras para grficos, diseo, presentaciones, publicacio-
nes, autoedicin y multimedia.
Programas y paqueteras de negocios y productividad.
Programas y paqueteras para comunicacin y red.
Aplicaciones y utileras para Internet.
Aplicaciones para la administracin de redes, cliente/servidor y sistemas ma-
yores.
y dems documentacin para el funcionamiento y uso del programa.
Otro software para aplicaciones y productividad.
Auditora a las utileras para el funcionamiento del sistema.
Utileras para el archivo de informacin.
Utileras para la compresin de datos.
Utileras para la administracin del sistema.
Utileras Windows para la administracin del sistema Windows.
Utileras, librera y bibliotecas para el manejo de redes.
Utileras para Internet y telecomunicacin.
Otras utileras para el manejo del sistema.
12.4.3 Auditora al diseo lgico del sistema

As como es importante evaluar el funcionamiento del software del sistema computacio-
nal del rea de sistemas de una empresa, tambin lo es auditar los aspectos lgicos que
intervienen en el funcionamiento de dicho sistema, de acuerdo con las propias caracte-
rsticas de dichos sistemas computacionales y con sus peculiaridades de operacin.
A continuacin presentamos algunas evaluaciones de los aspectos lgicos ms sig-
nificativos de los sistemas, con la intencin de que el auditor tenga valiosos puntos de
referencia para realizar su auditora:
Auditora a los componentes lgicos del sistema operativo, de desarrollo, de co-
municaciones, bases de datos y de los programas de aplicacin.
Caractersticas lgicas del funcionamiento del hardware, software, perifricos,
instalaciones y componentes asociados al sistema.
Auditora a los procesos lgicos para la captura y procesamiento de datos y ela-
boracin de informes.
Auditora a la arquitectura y configuracin lgicas (internas y externas) del siste-
ma, as como de sus perifricos y archivos.
Auditora al funcionamiento de las capas OSI y de los protocolos de comunica-
cin de datos del sistema.
Auditora a los componentes lgicos del sistema para las capas y protocolos de
comunicacin entre datos y archivos.
Auditora a las aplicaciones lgicas para el desarrollo y la programacin de nue-
vos sistemas.
Auditora a las aplicaciones lgicas para los mtodos de accesos, consulta y
operacin del sistema.
Auditora a la administracin y control de los niveles lgicos de acceso a los ad-
ministradores, operadores y usuarios del sistema, as como su uso y explotacin.
Auditora a los mtodos y sistemas lgicos para la seguridad y proteccin de len-
guajes, programas, paqueteras, utileras y dems software institucional.
Auditora a las aplicaciones de los esquemas de seguridad lgica para proteccin de
accesos, privilegios y manejo de las bases de datos y respaldos de informacin.
12.4.4 Auditora al diseo fsico del sistema

As como es importante evaluar el funcionamiento del software del sistema compu-
tacional del rea de sistemas de una empresa, tambin lo es auditar los aspectos fsi-
cos relacionados con dicho sistema, con lo cual se complementar la evaluacin del
funcionamiento de ese sistema. La auditora de estos componentes internos y externos
se debe hacer conforme a las caractersticas del sistema computacional y a sus pecu-
liaridades de operacin. A continuacin presentamos algunas evaluaciones de los as-
pectos fsicos ms significativos de los sistemas:
Auditora a la arquitectura interna y configuracin fsica del sistema computacio-

nal, as como de sus equipos perifricos, componentes e instalaciones.
Auditora a la arquitectura externa del rea de sistemas y a la configuracin fsi-
ca del sistema computacional, mobiliario, equipos e instalaciones.
Auditora a los componentes fsicos del sistema, as como a sus perifricos y
equipos complementarios que permiten su funcionamiento adecuado.
Auditora al diseo fsico de los circuitos, compuertas y cableado interno y ex-
terno del sistema computacional.
Auditora a las instalaciones elctricas, de comunicacin de datos y de comuni-
cacin telefnica del sistema computacional.
Auditora a la administracin y control de los mtodos de acceso, seguridad y
proteccin fsica del rea de sistemas, as como de la seguridad de los adminis-
tradores, operadores y usuarios del sistema, de la informacin y del propio sis-
tema computacional.
Auditora a la distribucin fsica del mobiliario, equipo y sistemas.
Auditora a los perifricos ms comunes del sistema:
Teclado y ratn (mouse) del sistema: marca, modelo, ergonoma, utilidad, du-
rabilidad y caractersticas.
Monitores: marca, modelo, caractersticas, aceleradores de grficos, tarjetas
de expansin y funcionamiento.
Impresoras: marca, modelo, caractersticas, velocidad de impresin, bferes,
compatibilidad, manejo de papel y tamao/peso.
CD-ROM: velocidad de lectura/acceso, velocidad de transferencia de datos e
informacin, capacidad de almacenamiento, compatibilidad de sonido, imge-
nes y datos, soporte multimedia, interfaz IDE/SCSI y software para respaldo.
CR-RW: velocidad de lectura/grabacin, velocidad de lectura/acceso, veloci-
dad de transferencia de datos e informacin, capacidad de almacenamiento,
compatibilidad con sonido, imgenes y datos, soporte multimedia, interfaz
IDE/SCSI, tecnologa para grabacin de copia, software para funcionamiento,
compatibilidad y multimedia.
DVD: velocidad de lectura/grabacin, velocidad de acceso/lectura, velocidad
de transferencia de datos e informacin, capacidad de almacenamiento, com-
patibilidad con sonido, imgenes y datos, soporte multimedia, compatibilidad
DVD/CD-ROM e interfaz IDE/SCSI.
Fax-mdem: velocidad de acceso (Mbps), software de soporte, compatibili-
dad y protocolos de comunicacin.
Otros perifricos.
12.4.5 Auditora a la administracion y control de accesos y salidas de datos

Tambin se debe auditar la entrada/salida de datos del sistema computacional del rea
de sistemas de una organizacin, a fin de evaluar el funcionamiento de dicho sistema.
La auditora a estos accesos de informacin se hace de acuerdo con las caractersticas
de dichos sistemas y con sus peculiaridades de operacin. A continuacin presenta-
mos algunas evaluaciones de los aspectos ms significativos de la entrada/salida de
datos del sistema:
Auditora a los estndares para entradas y salidas de datos del sistema.
Auditora a las especificaciones, privilegios, caractersticas y formas de accesos
de datos y emisin de informacin.
Auditora a los procedimientos administrativos y tcnicos para el acceso y sali-
da de datos.
Auditora a la administracin y control de privilegios, permisos, contraseas y ni-
veles de accesos y salidas de informacin para administradores, operadores y
usuarios del sistema.
Auditora a las normas, polticas y procedimientos para el acceso, procesamien-
to y salida de datos del sistema computacional.
Auditora a los procedimientos de acceso al procesador, terminales, sistemas
operativos, programas y paqueteras para el manejo de informacin.
Auditora a las incidencias de fallas, al mantenimiento y actualizacin para la en-
trada, procesamiento y salida de informacin del sistema.
Auditora a los perifricos para el acceso y salida de informacin del sistema.
Auditora a la administracin de la mesa de control de acceso y salida de datos
del sistema.
12.4.6 Auditora a la administracin y control del procesamiento de datos

El principal quehacer del sistema computacional del rea de sistemas es evaluar el pro-
cesamiento de la informacin que ingresa en l; por esta razn, el auditor de sistemas
debe evaluar la forma en que se realiza el procesamiento de datos en el sistema, de
acuerdo con su capacidad, volumen, confiabilidad, veracidad y oportunidad en ese
procesamiento, as como con todas las caractersticas especficas del sistema, de
acuerdo con su procesador, sistema operativo, lenguajes, programas y paqueteras. La
auditora al procesamiento de la informacin se hace de acuerdo con las caractersti-
cas del sistema computacional y con sus peculiaridades de operacin. A continuacin
presentamos algunas evaluaciones de los aspectos ms significativos de la administra-
cin y procesamiento de datos:
Auditora a los estndares e instrucciones de operacin y manipulacin para el
procesamiento de datos, de acuerdo con el propio sistema y su software.
Auditora a la estandarizacin del uso de sistemas operativos, lenguajes, progra-

mas y paqueteras para el procesamiento de informacin en el sistema.
Auditora a los procesos lgicos y fsicos para el procesamiento de datos.
Auditora a los procesos en lnea, en lote, multiprocesamiento y procesos com-
partidos por el sistema.
Auditora a la administracin y control de la frecuencia, volumen, repetitividad e
incidencias en los procesamientos de datos y operaciones lgico-matemticas
de las actividades que se realizan en el sistema.
Auditora a la administracin centralizada y descentralizada de sistemas para el
procesamiento de informacin.
12.4.7 Auditora a los controles de almacenamiento

El activo ms valioso de la actividad informtica es la informacin; por esta razn, el
rea de sistemas es la responsable directa del almacenamiento y proteccin de la in-
formacin que se procesa en sus sistemas computacionales, ya sea por los usuarios o
por la propia rea de sistemas de la empresa; debido a lo anterior, el auditor tiene que
evaluar todo lo relacionado con el almacenamiento de datos en el sistema, ya sea
que stos sean archivados en los dispositivos propios del sistema o en sus dispositivos
perifricos, tomando en cuenta la capacidad y volumen de datos que aceptan stos, la
confiabilidad de su almacenamiento y la oportunidad en el acceso y recuperacin de
esos datos, as como la custodia y salvaguarda de dicha informacin.
En esta auditora, el auditor de sistemas tambin debe evaluar el diseo de los
archivos de las bases de datos, as como su administracin y control, incluyendo los
respaldos, respaldos peridicos, su custodia y recuperacin, de acuerdo con las ca-
ractersticas especficas del sistema, con su procesador, sistema operativo, lengua-
jes, programas y paqueteras para la administracin de esas bases de datos. A
continuacin presentamos algunas evaluaciones de los aspectos ms significativos
de los controles de almacenamiento:
Auditora al diseo de archivos, bases de datos y medios establecidos para el al-
macenamiento de informacin de la empresa.
Auditora a la administracin y control de archivos de informacin del rea de
sistemas y de la empresa.
Auditora a los planes y programas de prevencin de contingencias relacionadas
con el manejo de la informacin en el rea de sistemas.
Auditora a la administracin y control de respaldos de informacin y de datos
del sistema, as como de los programas institucionales para el manejo de los ar-
chivos del centro de cmputo.
Auditora a la administracin y control de la seguridad y proteccin de respaldos
de informacin y de datos.
Auditora a las normas, polticas y procedimientos para el almacenamiento, cus-

todia, proteccin y seguridad de la informacin del rea de sistemas y de las
rea de la empresa que cuenten con sistemas computacionales.
12.4.8 Auditora a los controles de seguridad del sistema computacional

El rea de sistemas es la encargada de proporcionar la seguridad y proteccin a todos
los sistemas computacionales de la empresa; esto incluye al propio sistema compu-
tacional, a sus componentes fsicos (hardware), sus sistemas operativos, lenguajes, pro-
gramas, paqueteras, utileras, libreras y dems software; adems, esta rea es
responsable del almacenamiento, custodia y proteccin de la informacin que se proce-
sa en los sistemas computacionales.
Atendiendo a lo anterior, el auditor de sistemas tiene que evaluar todo lo relacio-
nado con la proteccin del sistema, tanto en el aspecto tcnico y lgico (el software
para la proteccin del propio sistema) como en el aspecto fsico, as como la forma en
que el personal del rea o los usuarios manejan los sistemas de la empresa o cualquier
otro aspecto relacionado con la seguridad de stos.
En las siguientes secciones de este captulo trataremos con mayor profundidad la
seguridad de los sistemas computacionales; sin embargo, a continuacin mencionare-
mos algunos aspectos que el auditor debe tomar en cuenta para auditar la seguridad
del sistema computacional:
Auditora a los mtodos, sistemas, rutinas de programacin, procedimientos y
medidas de seguridad y proteccin de los sistemas operativos, lenguajes, pro-
gramas, paquetes, utileras y dems software del sistema computacional.
Auditora a los mtodos, sistemas, rutinas de programacin, procedimientos y
medidas de seguridad y proteccin de los componentes fsicos (internos y exter-
nos) del sistema computacional, como son los perifricos, dispositivos asocia-
dos y dems componentes fsicos.
Auditora a los sistemas, rutinas de programacin, procedimientos y medidas de
seguridad y proteccin de la informacin que se procesa en el sistema compu-
tacional.
Auditora a los mtodos, procedimientos y sistemas de administracin y control
para los accesos (lgicos y fsicos), uso, consulta, captura de datos y modifica-
cin de informacin del sistema computacional del rea de sistemas y de las de-
ms reas de la empresa que cuenten con sistemas.
para los accesos (lgicos y fsicos) al procesador, terminales, programas e infor-
macin del sistema computacional.
Auditora a la administracin y control de los niveles de accesos, privilegios, per-
misos y contraseas para los administradores, operadores, usuarios, fabricantes,
proveedores y desarrolladores externos al rea de sistemas.

para los accesos remotos al sistema computacional, al procesador, a las termi-
nales y a los programas e informacin del rea de sistemas por medio de redes,
Internet, intranet, fax-mdem, redes virtuales y dems comunicacin externa.
para la proteccin contra virus informticos, hackers, crackers y personas ajenas
al sistema computacional de la empresa.
12.4.9 Auditora a los controles adicionales para la operacin del sistema

En el rea de sistemas existe un sinnmero de controles para el manejo y administra-
cin de los componentes fsicos (hardware), sistemas operativos, lenguajes, programas,
paqueteras, utileras, libreras y dems software de los sistemas computacionales, ade-
ms de una gama inmensa de procedimientos, sistemas y controles administrativos pa-
ra el manejo y procesamiento de la informacin. A continuacin presentamos algunas
evaluaciones de los aspectos ms significativos de estos controles:
Auditora de la existencia, difusin, acceso y uso de manuales e instructivos del
usuario, de operacin, tcnicos, de procedimientos, de elaboracin de proyec-
tos informticos, de programacin y los dems manuales e instructivos para el
manejo de los sistemas de la organizacin.
Auditora de la difusin y uso de metodologas y estndares para el desarrollo de
nuevos sistemas en la organizacin.
Auditora de la existencia, difusin y uso de estndares para el uso y programa-
cin de sistemas operativos, lenguajes, programas y paqueteras de desarrollo y
aplicacin de la empresa.
12.4.10 Auditora a la administracin del rea de sistemas computacionales

En la seccin anterior, Auditora a la gestin informtica del rea de sistemas, tocamos
los principales aspectos que deben ser evaluados sobre esta actividad; sin embargo,
como parte de la auditora al sistema computacional, tambin conviene sintetizar algu-
nos aspectos que deben ser auditados sobre la administracin de los sistemas compu-
tacionales, con el fin de verificar la administracin y el control adecuados de dichos
sistemas; esto incluye el manejo administrativo de los propios sistemas computaciona-
les, sus componentes fsicos (hardware), sus sistemas operativos, lenguajes, progra-
mas, paqueteras, utileras, libreras y dems software del sistema. A continuacin
presentamos algunas evaluaciones a este manejo administrativo:
Auditora al diseo de la estructura de organizacin del sistema y reas de tra-
bajo relacionadas con la administracin del sistema computacional.
Auditora a la administracin y control centralizado, descentralizado, desconcen-

trado e independiente de los sistemas computacionales, redes, sistemas perso-
nales, archivos y procesamiento de datos.
Auditora a la administracin y control de los recursos informticos asignados
para la administracin del sistema computacional, personal informtico, usua-
rios, hardware, software, informacin e instalaciones.
Auditora a los estndares, polticas y procedimientos para la adquisicin de hard-
ware, software, mobiliario, equipos e instalaciones para el sistema computacional.
Auditora a la administracin de estndares, procedimientos, polticas y normas
para la seleccin, capacitacin y desarrollo del personal encargado del sistema
computacional.
Auditora a la a supervisin y control de funciones, tareas, operaciones y acti-
vidades del personal del rea de sistemas y usuarios de los sistemas compu-
tacionales.
Auditora de la existencia, difusin y cumplimiento de los reglamentos de opera-
cin, uso y acceso al sistema computacional.
Auditora a la salvaguarda y custodia de los activos informticos, incluyendo el
resguardo de los sistemas computacionales, as como las licencias y permisos
para su uso.

aplicables en la auditora de sistemas computacionales
Recomendamos al auditor que practique esta auditora utilizar cualquiera de las herra-
mientas sealadas en los captulos 9, 10 y 11 de este libro, adaptndolas al aspecto
tcnico que se requiere en esta revisin al sistema computacional, de acuerdo con ca-
da uno de los aspectos sealados al principio de este subcaptulo, los cuales son la ba-
se de una auditora de sistemas computacionales. Claro est, sujetando estos puntos
a su experiencia, conocimientos y habilidades, y modificndolos, adaptndolos o sus-
tituyndolos de acuerdo con la evaluacin del sistema, con sus caractersticas, plata-
formas y facilidades.
Incluso sera de mucha utilidad que el responsable de la auditora contara con la
participacin del personal especializado en el manejo de los sistemas computaciona-
les auditados, siempre y cuando l mismo cuente con los conocimientos mnimos in-
dispensables para poder determinar los aspectos del sistema que desea evaluar, e
incluso para que l mismo realice las pruebas y simulaciones necesarias, pero siempre
bajo un estricto enfoque de auditora de sistemas computacionales; jams desde el
punto de vista de la actividad informtica de desarrollo, programacin o administracin
del sistema, porque perdera la objetividad de la evaluacin del sistema.
Es recomendable que el auditor de sistemas computacionales utilice las siguientes

herramientas para evaluar el sistema computacional, siguiendo cada uno de los pun-
tos anotados anteriormente:
El diseo de entrevistas (seccin 9.1) cuestionarios (seccin 9.2) y encuestas
(seccin 9.3) elaborados con preguntas acordes a las necesidades de su evalua-
cin sobre el funcionamiento, uso, aprovechamiento y dems aspectos relacio-
nados con la operacin tcnica de los sistemas. Con ello tendr la oportunidad
de revisar los principales aspectos relacionados con la administracin, control y
seguridad del propio sistema, de sus componentes fsicos (hardware), sus siste-
mas operativos, lenguajes, programas, paqueteras, utileras y dems software
utilizado para el funcionamiento adecuado del sistema computacional del rea
de sistemas y de las reas de la empresa que cuenten con estos sistemas.
Las tcnicas de observacin (seccin 9.4) para evaluar el funcionamiento nor-
mal de las operaciones y actividades de captura de datos, procesamiento y emi-
sin de informacin en el sistema computacional; tambin puede realizar la
observacin oculta, participativa o los dems tipos de observacin descritos en
esa seccin.
Los modelos de simulacin (seccin 11.3) para hacer la simulacin del proce-
samiento de informacin, para el monitoreo de actividades, accesos al sistema
o cualquier otra prueba de simulacin necesaria para evaluar el funcionamiento
del sistema computacional, siempre y cuando esto no interfiera en la operacin
normal de la actividad informtica de la empresa.
Las tcnicas de revisin documental (seccin 10.5) para revisar los manuales,
instructivos, resguardos de sistemas, proyectos de sistemas, bitcoras de man-
tenimiento y evaluacin, planes, programas y presupuestos para la adquisicin
de sistemas y todas las dems evaluaciones que tenga que realizar a la docu-
mentacin utilizada para el manejo del sistema computacional.
La matriz de evaluacin (seccin 10.7) o la matriz DOFA (seccin 10.8), se-
gn sus preferencias y sus necesidades de revisin, para auditar las fortalezas
y debilidades del sistema computacional, as como las reas de oportunidad
de servicio y las amenazas de la tecnologa para el funcionamiento adecuado
de dicho sistema.
La elaboracin de una gua de evaluacin (seccin 11.1), a fin de planear espe-
cficamente cada uno de los aspectos importantes que deben ser evaluados so-
bre la actividad administrativa. Para ello le sugerimos que tome en cuenta cada
uno de los puntos indicados en las secciones anteriores, utilizndolos tal cual y
adaptndolos a sus necesidades especficas de evaluacin y conforme a las ca-
ractersticas del sistema computacional.
Algunos elementos de control que el responsable de la evaluacin del sistema

computacional puede tomar en cuenta son los siguientes:
El uso de la lista de chequeo (seccin 11.6), ya que mediante esta herramien-
ta el auditor podr verificar que la persona que practique la auditora de los sis-
temas computacionales cubra todos los puntos descritos en su planeacin de
auditora.
El uso de las tcnicas de muestreo (seccin 9.6), debido a que en el procesa-
miento de informacin de datos sera casi imposible, a la vez que inoperante, re-
visar todas las actividades que realiza el sistema computacional para evaluar sus
actividades y resultados; por eso es necesario utilizar muestras representativas
de su funcionamiento, de acuerdo con las necesidades y caractersticas del sis-
tema y con la necesidad de uso de datos reales o datos falsos. Esto independien-
temente del mtodo de muestreo que se utilice en esta evaluacin. El muestreo
se puede utilizar para evaluar tanto las actividades de los propios sistemas, co-
mo sus comunicaciones, as como muchos otros aspectos.
Para evaluar el hardware y software de los sistemas computacionales, el uso de sus
componentes asociados, as como el comportamiento de los sistemas adquiridos o de-
sarrollados en el rea de sistemas, el responsable de la auditora puede utilizar las si-
guientes herramientas:
La experimentacin (seccin 9.7) con cada uno de los sistemas computaciona-
les, a fin de evaluar su funcionamiento adecuado; la experimentacin se puede
realizar con todo el sistema o con cada uno de sus componentes por separado;
con ello el auditor estar en condiciones de opinar sobre el uso del hardware,
software e informacin que se maneja en dicho sistema. Asimismo, la experi-
mentacin debe estar bien fundamentada y soportada sobre pruebas reales o
simuladas y perfectamente controladas para que no repercuta en el comporta-
miento normal del sistema en evaluacin.
La ponderacin (seccin 11.2), que es una herramienta muy til que le permi-
te al auditor evaluar el funcionamiento adecuado de cada uno de los componen-
tes de los sistemas, as como darle a cada parte el peso que le corresponde
segn su participacin en el sistema computacional auditado. Recordemos que
con esta tcnica se busca darle un peso especfico a cada una de las partes del
sistema, de acuerdo con un criterio de evaluacin para hacer ms equitativa di-
cha evaluacin. La ponderacin se puede adoptar de cada una de las subseccio-
nes que conforman este subcaptulo; la responsabilidad del auditor ser darle el
peso a cada una de las subsecciones en que se dividi esta parte de la audito-
ra y aplicar cualquiera de los otros mtodos de evaluacin sugeridos para cada
parte ponderada, segn las caractersticas del sistema.
Tambin puede y debe aplicar la tcnica de inventarios (seccin 9.5) para eva-
luar el hardware, procesadores, perifricos, dispositivos asociados y resguardos,
as como los sistemas operativos, lenguajes, programas, paquetes, licencias y

dems software y activos informticos de cada uno de los sistemas asignados al
rea de sistemas y de los sistemas de las dems reas de la empresa.
En todas las sugerencias anteriores se debe tomar en cuenta que son eso, suge-
rencias, y que es potestad absoluta del auditor responsable de la auditora utilizar las
tcnicas, mtodos y procedimientos de auditora que ms le agraden, e incluso utilizar
o adaptar los puntos indicados en las secciones para realizar esta auditora conforme
a sus necesidades concretas de evaluacin.
12.5 Auditora alrededor de la computadora

Es la revisin especfica que se realiza a todo lo que est alrededor de un equi-
po de cmputo, como son sus sistemas, actividades y funcionamiento, evala
los mtodos y procedimientos de acceso y procesamiento de datos, la emisin
y almacenamiento de resultados, las actividades de planeacin y presupuesta-
cin del centro de cmputo, los aspectos operacionales y financieros, la ges-
tin administrativa de accesos al sistema, la atencin a usuarios y al desarrollo
de nuevos sistemas, las comunicaciones internas y externas, y en si todos aque-
llos aspectos que contribuyen al buen funcionamiento de una rea de sistema-
tizacin.
Con este tipo de auditora es posible evaluar todos los aspectos involucrados en el
funcionamiento de los sistemas computacionales de la empresa. Por esta razn, al rea-
lizar esta auditora no es necesario estar en contacto directo con el sistema compu-
tacional, pero s con todo lo que implica el cumplimiento de las acciones relacionadas
con el trabajo cotidiano de la funcin informtica de las reas de sistemas, las cuales
s repercuten de alguna manera en el desempeo de las actividades, operaciones y fun-
ciones del centro de cmputo de la empresa o de aquellas reas que tambin cuentan
con sistemas computacionales.
Para realizar esta auditora es necesario considerar todas las situaciones que re-
percuten de alguna manera en el funcionamiento del rea de sistemas, a fin de lograr
que realice su funcin informtica de manera eficiente y funcional. A continuacin pre-
sentamos algunos aspectos del entorno de la computadora que deben ser evaluados:
El diseo fsico del rea de sistemas y de las reas de la empresa que cuenten
con sistemas computacionales.
El anlisis y aprobacin de las propuestas para la adquisicin del software, hard-
ware, perifricos, equipos adicionales, bienes muebles, consumibles y materia-
les diversos que permiten el funcionamiento del sistema.
El medio ambiente de trabajo en el que se realiza la funcin informtica de la

empresa.
La gestin administrativa de la funcin informtica de la empresa.
El diseo de proyectos de nuevos sistemas computacionales en el rea de sistemas.
El diseo de formatos, formas y mtodos para la recopilacin de informacin
que ser procesada en el sistema.
La administracin y control de los sistemas de seguridad y salvaguarda de los
activos informticos, la informacin, el personal y los usuarios del sistema.
La administracin y control de accesos a las instalaciones del rea de cmputo,
a los sistemas, a la informacin y los bienes informticos del rea.
Todos aquellos aspectos especiales que intervienen de alguna manera en el
aprovechamiento y explotacin del sistema computacional y en la gestin admi-
nistrativa del centro de cmputo. Con la condicin indiscutible de no interferir
directamente en el uso del equipo de cmputo.
Estos aspectos que para el lector pueden parecer casi iguales a los indicados en la
auditora sin la computadora o en la auditora a la gestin informtica, en realidad son
complementarios entre s, ya que no existe una frontera real entre esos modelos de au-
ditoras y la auditora en el entorno de la computadora; incluso podran conjuntarse los
tres tipos de auditora en una misma.
La deferencia real para clasificarla como auditora en el entorno de la computado-
ra es que en esta evaluacin el auditor s debe tomar en cuenta los sistemas compu-
tacionales para realizar su auditora, pero sin auditarlos directamente; en las otras no;
en estos casos, se revisa concretamente todo lo que rodea a la funcin informtica de
la empresa. Adems, el auditor de sistemas puede practicar este tipo de evaluaciones,
ya que posee un profundo conocimiento del ambiente de sistemas; sin embargo, tam-
bin la podra realizar algn otro auditor, de preferencia un especialista en el mbito
administrativo, operativo o contable, debido a que la prctica de este tipo de auditora
exige conocimientos mnimos sobre el mbito en donde estn los sistemas.
Cabe sealar que existe un sinnmero de criterios para la aplicacin de una audi-
tora alrededor de la computadora; por ejemplo, los que nicamente consideran la eva-
luacin de los puntos que influyen directamente en la administracin del rea de
sistemas, como la capacitacin de personal y usuarios, elaboracin de los manuales e
instructivos de operacin, la seguridad de los bienes informticos e instalaciones del
centro de informtica, las actividades de organizacin y mtodos, la aplicacin y segui-
miento de presupuestos, planes y programas del centro de informtica de la empresa,
hasta el criterio de los que evalan todo lo relacionan con los sistemas, incluso sus ac-
tividades y funciones.
A continuacin presentamos los aspectos generales que intervienen en una audito-
ra alrededor de la computadora, ya que esta auditora se debe realizar de acuerdo con
las caractersticas, necesidades y repercusiones de la administracin del rea de siste-
mas de cada empresa o del propio equipo procesador:
Auditora a la administracin del software de la empresa.

Lenguajes y programas de desarrollo, aplicaciones y explotacin del software
institucional del rea de sistemas y del software de las dems reas de la em-
Especificaciones de acceso y uso de los datos e informacin del sistema, as
como de los procesos y operacin del propio sistema.
Estndares y mtodos de entradas de datos y salidas de Informacin.
Estndares para la operacin y manipulacin de datos del sistema.
Formas de procesamiento de informacin y procesos de datos en lnea o lote.
Administracin de archivos, programas e informacin institucional
Medidas para evitar la piratera de software, as como la instalacin de pro-
gramas ilegales en el rea de sistemas y en las dems reas de la empresa
que cuentan con sistemas.
Administracin y control de las licencias, resguardos y custodia del software
institucional.
Manuales e instructivos de operacin, tcnicos, de procedimientos, as como
de las instalaciones y dems documentacin relacionada con el funciona-
miento del sistema.
Metodologas y estndares para el desarrollo de nuevos sistema.
Estndares de programacin y documentacin de sistemas.
Adquisicin, desarrollo e instalacin de nuevos sistemas computacionales.
Mantenimiento preventivo y correctivo del sistema computacional, del hard-
ware, software, de la informacin y dems componentes de los sistemas de
la empresa.
Auditora a la configuracin fsica del rea de sistemas de la empresa.
Configuracin, ubicacin y adecuacin de las reas fsicas del centro de cmpu-
to y de las dems reas de la empresa que cuenten con sistemas, en relacin
con el aire acondicionado, pisos falsos, iluminacin, instalaciones y dems com-
ponentes fsicos para el bienestar y comodidad de los usuarios de sistemas.
Configuracin del sistema computacional, redes, procesadores, perifricos,
componentes e instalaciones fsicas internas y externas del centro de cmputo y
de las dems reas de la empresa que cuenten con sistemas computacionales.
Configuracin y caractersticas fsicas de locales, instalaciones, mobiliario y
equipos.
Distribucin de los equipos, componentes y configuracin fsica del centro de
cmputo y de las dems reas de la empresa que cuenten con sistemas.
Instalaciones elctricas (tipos de cableados y conexiones, tierra fsica, no-

breaks, reguladores de corriente, etc.), de comunicacin y de datos del rea
de sistemas y de las dems reas de la empresa que cuenten con sistemas.
Medio ambiente fsico del rea de sistemas (sistemas de calefaccin, polvo,
ruido, esttica, aire acondicionado, etc.) y los dems elementos ambientales
que pueden influir en el desarrollo adecuado de la funcin informtica en la
empresa.
Sistemas de acceso, seguridad y proteccin fsicos del rea de sistemas, as
como la seguridad de sus activos informticos, personal y usuarios.
Distribucin del mobiliario, equipo y sistemas.
Usuarios de los sistemas de red, PCs individuales, de correo electrnico, gru-
pales y usuarios de cualquier otro sistema.
Componentes externos del rea de sistemas y de las dems reas de la em-
Auditora a los mtodos de acceso, seguridad y salvaguarda de los activos infor-
mticos del rea de sistemas.
Planes y programas de prevencin contra contingencias en el funcionamien-
to del sistemas, en la informacin y datos de la empresa y en los dems bie-
nes informticos del centro de cmputo y de las dems reas de la empresa
que cuenten con sistemas.
Identificacin de accesos, almacenamiento y custodia de la informacin, sis-
temas operativos, lenguajes, archivos y programas institucionales.
Evaluacin de controles y sistemas de seguridad, proteccin y salvaguarda de
los activos, del personal, instalaciones, informacin, mobiliario y equipo del rea
de sistemas y de las dems reas de la empresa que cuenten con sistemas.
Planes contra contingencia para seguridad y proteccin de los programas, in-
formacin, instalaciones, empleados y usuarios del sistema computacional.
Sistemas de control de accesos lgicos al sistema y a las bases de datos.
Sistemas de control de accesos fsicos al centro de cmputo.
Prevencin y erradicacin de virus informticos.
Sistemas de proteccin y supresin de sistemas piratas y juegos en los siste-
mas computacionales de la empresa.
Auditora a la administracin del rea de sistemas.
Diseo de la estructura de organizacin del sistema, de las reas de trabajo y
de las funciones y lneas de autoridad y responsabilidad de funcionarios, em-
pleados y usuarios del rea de sistemas.
Administracin centralizada de sistemas, archivos y procesamiento de infor-

macin.
Administracin desconcentrada de sistemas, archivos y procesamiento de
informacin.
Administracin y control de los recursos informticos, personal, instalaciones,
mobiliario y equipo del rea de sistemas y de las dems reas de la empresa
que cuenten con sistemas.
Estndares, normas y polticas para la evaluacin y adquisicin del hardware,
software, perifricos, mobiliarios, equipos, instalaciones y artculos de consu-
mo para el rea de sistemas.
Estndares para la seleccin, capacitacin y desarrollo del personal y usua-
rios del centro de cmputo.
Supervisin, coordinacin y control de funciones y actividades de funciona-
rios, personal y usuarios del rea de sistemas computacionales.
Supervisin, coordinacin y control de la operacin de los sistemas, equipos,
perifricos e informacin del rea de sistemas.
Evaluacin de los aspectos tcnicos del sistema, en cuanto a caractersticas,
configuracin, procesamiento de informacin, componentes y dems peculia-
ridades de la funcin informtica en la empresa.
Administracin y control del sistema operativo, de los lenguajes, programas y
paqueteras institucionales utilizados en el procesador del sistema computa-
cional.
Administracin y control de los sistemas de red, cliente/servidor, multiusua-
rios y microcmputo de la empresa.
Administracin y control de sistemas de telecomunicacin de datos y telepro-
cesamiento de informacin.
Prevencin y control de la contaminacin informtica.
Actualizacin permanente de acuerdo con los cambios computacionales y
tecnologas informticas de vanguardia.
Diseo e implementacin de estndares de operacin, adquisicin, capacita-
cin, desarrollo de sistemas, accesos al sistema, procesamiento de datos y
dems estndares relacionados con la administracin y control del centro de
cmputo.
Auditora a los aspectos tcnicos del sistema.
Administracin y control de la configuracin de servidores, terminales y PCs
de la empresa, en cuanto a procesadores, tarjetas madre, cableado interno y
externo, componentes del sistema computacional y dems peculiaridades de
los sistemas de la empresa.
Administracin y control de los sistemas operativos, lenguajes de operacin,

desarrollo y aplicacin para la programacin y explotacin del sistema.
Administracin y control de los sistemas de red (LAN, MAN o WAN), siste-
mas mayores, cliente/servidor, multiusuarios y de PC personal.
Determinacin y aplicacin de normas y estndares para la instalacin de sis-
temas computacionales en la empresa, relacionados con los procesadores,
tarjetas madre, velocidades de procesos, memorias, medios de almacena-
miento secundario y dems componentes de los sistemas de la empresa.
Administracin y control de las bibliotecas del sistema, sean maestras, fuen-
te, de parmetros, de procedimientos, de carga, de objetivos y dems biblio-
tecas segn los sistemas operativos, lenguajes y programas de dicho sistema.
Administracin y control de los archivos del sistema, de los archivos de los
usuarios y de los especficos de produccin, pruebas de sistemas, operacin
de pruebas, nuevos proyectos y resguardos de la informacin institucional.
Administracin y control de las bases de datos del sistema y de los usuarios,
en relacin con su estructura, configuracin, caractersticas, lenguajes y pro-
gramas, resguardos, custodia interna y externa y dems formas de administra-
cin de las bases de datos.
Administracin y control de la arquitectura de comunicacin, de los sistemas
de telecomunicacin, teleprocesamiento, transmisin, retransmisin, interco-
nexin y de los sistemas utilizados para la transmisin va mdem, cableado
o satelital.
Prevencin, control y erradicacin de la contaminacin informtica, piratera
y virus informticos.
Actualizacin permanente de acuerdo con los cambios computacionales y
tecnolgicos que impactan la funcin informtica en la empresa.
Administracin y control de los estndares, velocidades, procesadores, memo-
rias y dems caractersticas de los sistemas computacionales de la empresa.
Auditora a la administracin del sistema.
Administracin estratgica de la funcin informtica, visin, misin y objeti-
vos del rea de sistemas, as como de las estrategias, los planes y programas,
normas, polticas, lineamientos y procedimientos para regular la actividad de
sistemas en la empresa.
Los planes, programas y presupuestos financieros que afectan la administra-
cin del centro de cmputo.
La estructura de organizacin, puestos, funciones, niveles de autoridad y ca-
nales de comunicacin del centro de cmputo, segn su tamao, caracters-
ticas y sistemas de procesamiento.
La seleccin, capacitacin, formacin, adiestramiento y contratacin de fun-

cionarios, personal y usuarios del rea de sistemas.
El establecimiento y uso de los sistemas y mtodos de control para el acceso
a los sistemas e informacin institucionales.
La aplicacin de las tcnicas y mtodos de direccin, supervisin, toma de
decisiones, coordinacin y de motivacin del personal y usuarios del centro
de cmputo.
Administracin de proyectos de sistemas informticos en la empresa, as co-
mo de la adquisicin, adecuacin o desarrollo interno de sistemas.
Existencia, difusin, actualizacin y uso de la documentacin tcnica y admi-
nistrativa del rea de sistemas, manuales de usuarios, de operacin del siste-
ma, manuales de organizacin, de procedimientos y de operacin
administrativa del rea de sistemas.
Existencia, difusin, y actualizacin de resguardos de sistemas computaciona-
les, licencias de lenguajes, programas y paquetes del sistema.
Administracin y control de los materiales y consumibles del rea de sistemas.
Evaluacin de los perfiles de puestos del rea de sistemas y cumplimiento de
los requisitos del puesto.
Anlisis del entorno de los sistemas, en relacin con la comunicacin de las
reas de la empresa y la atencin a usuarios.
Cumplimiento de las funciones administrativas de los funcionarios del rea de
sistemas, en lo referente a la planeacin, organizacin, direccin y control de
las funciones informticas de la empresa.

aplicables en la auditora alrededor de la computadora
Como pudimos observar en lo expuesto anteriormente, esta auditora se realiza a todo
lo que est en torno al sistema computacional, pero no a ste; no slo se evala lo pu-
ramente administrativo, sino tambin todos los dems aspectos relacionados con la
administracin y control de las actividades y operaciones que contribuyen al desempe-
o de la funcin informtica en la empresa. Por esta razn recomendamos al auditor
que practique esta auditora en el entorno de la computadora que utilice cualquiera de
las herramientas sealadas en los captulos 9, 10 y 11 de este libro, adaptndolas a los
aspectos de carcter administrativo y tcnico requeridos para evaluar las acciones en-
caminadas a favorecer la actividad eficiente de la funcin informtica en la empresa.
Pero jams debe realizar esta auditora al sistema computacional.
Tomando como base lo indicado en cada uno de los aspectos sealados al principio
de este subcaptulo, los cuales son la base de una auditora alrededor de la computado-
ra, es recomendable utilizar algunas de las tcnicas sealadas en los captulos 9, 10 y 11
de este libro. Claro est, el responsable de esta auditora debe utilizar estos puntos de
acuerdo con su experiencia, conocimientos y habilidades, a fin de que esos puntos sean
utilizados tal y como ah se describen, e incluso adaptndolos o sustituyndolos por
aquellos requerimientos especficos que sean necesarios, de acuerdo con las caracters-
ticas, plataformas, facilidades y dems distintivos propios de esta auditora.
En esta parte sera de mucha utilidad que el responsable de la auditora contara
con la participacin de auditores especializados en la auditora administrativa u opera-
cional; siempre y cuando estos especialistas cuenten con los suficientes conocimien-
tos de sistemas computacionales para poder determinar cules aspectos del entorno del
sistema deben ser evaluados, e incluso para que ellos mismos realicen las pruebas y
simulaciones necesarias, pero bajo un estricto enfoque de auditora de sistemas compu-
tacionales; jams desde la ptica de la auditora administrativa o contable, porque se
perdera la objetividad de la evaluacin del sistema.
Sugerimos al auditor de sistemas computacionales que, siguiendo cada uno de los
puntos anotados anteriormente para la evaluacin a todo lo que rodea al sistema compu-
tacional, utilice las siguientes herramientas:
(seccin 9.3) elaborados con preguntas acordes con las necesidades de su eva-
luacin sobre el funcionamiento, uso, aprovechamiento y otros aspectos de la
actividad informtica del rea de sistemas y de las dems reas de la empresa
que cuenten con esos sistemas. Con ello tendr la oportunidad de revisar los
principales aspectos relacionados con la administracin y control de las funcio-
nes, actividades, acciones y tareas encaminadas al funcionamiento adecuado
del sistema computacional.
Adems, quiz como una de las primeras acciones de evaluacin, el auditor tam-
bin puede utilizar las siguientes herramientas:
El levantamiento de inventarios (seccin 9.5), a fin de hacer un recuento de los
bienes informticos del rea de sistemas; para llevar a cabo esto, es recomen-
dable realizar los siguientes inventarios:
Inventarios de los equipos de cmputo, contemplando las marcas, procesado-
res, tarjetas madre, velocidad, configuracin, componentes, memorias, sistemas
de almacenamiento, tarjetas adicionales, nmeros de serie, responsables de su
resguardo y todos los dems aspectos relacionados con estos equipos.
Inventario de los sistemas operativos, lenguajes, programas, paqueteras, uti-
leras y dems software institucional, incluyendo licencias, resguardos, origi-
nales, copias autorizadas y copias piratas.
Inventario del personal informtico y usuarios del sistema, a fin de evaluar sus
perfiles de puestos, conocimientos, caractersticas y preparacin para el uso
de los sistemas computacionales de la empresa.
Inventario de bienes muebles, inmuebles, materiales y consumibles del rea

de sistemas.
Inventario de los sistemas de redes, cuando el sistema est diseado de esta
manera.
Inventario de instalaciones fsicas, protecciones, caractersticas y funcionali-
dad de las reas de sistemas, contemplando su medio ambiente de trabajo,
iluminacin, aire acondicionado, ruidos, temperatura, esttica y dems pecu-
liaridades de su funcionamiento.
Otros inventarios acordes con las necesidades de la auditora.
Algunas de las herramientas que sern ms utilizadas en estas auditoras son las
siguientes:
Las tcnicas de observacin (seccin 9.4) para evaluar el funcionamiento nor-
mal de las operaciones y actividades de las reas de sistemas, sus funciones, ac-
tividades y acciones de apoyo para la captura de datos, procesamiento y emisin
de informacin en el sistema computacional, as como la observacin oculta,
participativa y dems tipos de observacin descritos en esa seccin, cuando el
caso lo requiera.
Las tcnicas de revisin documental (seccin 10.5) para revisar los manuales,
instructivos, resguardos y proyectos de sistemas, bitcoras de mantenimiento y
evaluacin, los planes, programas y presupuestos para la adquisicin de siste-
mas y todas las dems evaluaciones que se tengan que realizar a la documenta-
cin utilizada para el manejo del sistema computacional. Siempre y cuando esta
revisin sea para evaluar lo que est alrededor del sistema, mas no el sistema.
La matriz de evaluacin (seccin 10.7) o la matriz DOFA (seccin 10.8) segn
sus preferencias y necesidades de revisin; el auditor puede auditar con estas
herramientas las fortalezas y debilidades del rea de sistemas y las de las dems
reas de la empresa que los tengan, as como las reas de oportunidad de ser-
vicio y las amenazas de la tecnologa para el funcionamiento adecuado de estos
sistemas.
cficamente cada uno los aspectos sustantivos que tenga que evaluar sobre la
actividad administrativa. Para ello es recomendable que tome en cuenta cada
uno de los aspectos sealados en esta seccin, as como lo sealado en las sec-
ciones de la gestin informtica, adaptndolos o modificndolos para configu-
rarlos conforme a sus propias necesidades de evaluacin, y conforme a las
caractersticas propias del sistema computacional que ser auditado.

El uso de la lista de chequeo (seccin 11.6), ya que con esta herramienta pue-
de verificar que quien realice la auditora cubra todos los puntos descritos en su
planeacin de auditora. Inclusive, de acuerdo con el diseo de esta lista de che-
queo, tambin puede auditar todos los aspectos que estn alrededor del siste-
ma computacional, considerando el cumplimiento de cada uno de los puntos
contemplados en dicha herramienta.
El uso de las tcnicas de muestreo (seccin 9.6), debido a que al evaluar el
cumplimiento de las funciones, tareas y operaciones del rea de sistemas, sera
casi imposible, a la vez que inoperante, revisar todas las actividades que realiza
el sistema en la actividad administrativa de este centro, por eso tiene que utili-
zar muestras representativas de su cumplimiento, de acuerdo con las necesida-
des y caractersticas de la auditora. Esto independientemente del mtodo de
muestreo que utilice en esta evaluacin. Puede hacer lo mismo con las activida-
des de los propios sistemas, con sus comunicaciones y con todos los aspectos
que puedan ser evaluados mediante el muestreo.
El responsable de la auditora puede utilizar las siguientes herramientas para eva-
luar las funciones de los funcionarios, empleados y usuarios de sistemas, as como el
desempeo de todo lo que est alrededor de los sistemas del rea de sistemas:
La ponderacin (seccin 11.2), la cual le permite evaluar el funcionamiento
adecuado de cada una de las partes que rodean a la computadora, dndole a
cada parte el peso que le corresponde segn el apoyo que brinda al sistema
computacional para que cumpla con la funcin informtica en la empresa. Re-
cordemos que con esta tcnica es posible darle un peso especfico a cada una
de esas partes, de acuerdo con un criterio para hacer ms equitativa la evalua-
cin. Aqu se puede adoptar la ponderacin de cada una de las subsecciones
que conforman este subcaptulo; la responsabilidad del auditor ser darle el pe-
so a cada una de estas subsecciones en que se dividi esta parte de la audito-
ra y aplicar a cada parte ponderada cualquiera de los otros mtodos de
evaluacin sugeridos, segn las caractersticas del sistema.
Otra herramienta que puede utilizar el responsable de la auditora, en caso de ser
necesario, es la siguiente:
El acta testimonial (seccin 10.6), debido a que es una herramienta muy til
para confirmar, confrontar y asentar por escrito las anomalas, deficiencias e in-
cidencias que requieren de un sustento documental para fundamentar la opi-
nin que emite. En la auditora alrededor de la computadora se pueden
encontrar muchas incidencias que deben ser documentadas, como la falta de al-
gn bien informtico; en este caso, el auditor deber levantar esta acta; tambin
podra encontrar software no institucional y una serie de circunstancias que, en

ese momento, harn necesario el uso de esta acta documental. Recordemos
que en algn caso extremo, este documento se puede utilizar como prueba tes-
timonial de alguna incidencia especial.
La prctica de esta auditora tiene mucho de las evaluaciones tradicionales, por lo
que se pueden utilizar otras herramientas de la auditora tradicional, como las que
mencionamos a continuacin:
El examen (seccin 10.1), la inspeccin (seccin 10.2), la confirmacin (seccin
10.3) y la comparacin (seccin 10.4).
El responsable de la auditora debe tomar las sugerencias anteriores sobre los as-
pectos que pueden ser evaluados mediante la auditora alrededor de la computadora
de acuerdo con sus necesidades especficas de evaluacin, debido a que es su potes-
tad absoluta utilizar esas sugerencias, modificarlas, adaptarlas o sustituirlas por aque-
llos puntos concretos que ayuden a su auditora. Asimismo, tiene la facultad de utilizar
las tcnicas, mtodos y procedimientos de auditora que ms le agraden, que ms co-
nozca o las que pueda utilizar o adaptar a sus necesidades concretas de evaluacin.
12.6 Auditora de la seguridad de los sistemas

computacionales
Es la revisin exhaustiva, tcnica y especializada que se realiza a todo lo rela-
cionado con la seguridad de un sistema computacional, de sus reas y perso-
nal, as como a las actividades, funciones y acciones preventivas y correctivas
que contribuyan a salvaguardar la seguridad de los equipos computacionales,
de las bases de datos, redes, sistemas, instalaciones y usuarios del mismo. Es
tambin la revisin de los planes contra contingencias y mediadas de proteccin
para la informacin, los usuarios y los propios sistemas computacionales, y en
s es la evaluacin de todos aquellos aspectos que contribuyen a la proteccin y
salvaguarda del buen funcionamiento del rea de sistematizacin, sistemas de
redes o computadoras personales, incluyendo la prevencin y erradicacin
de los virus informticos.
El crecimiento de la tecnologa informtica ha sido tan desmesurado que hoy en
da no existe una empresa que no cuente con sistemas computacionales para desarro-
llar sus actividades; sin embargo, a la par de ese avance tecnolgico, tambin han cre-
cido los problemas relacionados con la administracin de la seguridad de los sistemas
computacionales y han surgido mltiples problemticas que repercuten en el trabajo
adecuado de dichos sistemas. Y no nicamente en las empresas, sino en las casas, las
escuelas y en muchos lugares donde la informtica est presente.
Precisamente, con la auditora de sistemas computacionales se puede evaluar la

repercusin de la seguridad, proteccin y salvaguarda de los sistemas de la empresa,
analizando sus impactos en los siguientes aspectos:
En los sistemas computacionales y dispositivos perifricos.
En la informacin institucional y bases de datos.
En los sistemas operativos, lenguajes, programas, paqueteras, utileras y dems
software institucional.
En los activos informticos del rea de sistemas.
En el personal informtico y los usuarios del sistema.
En la proteccin y conservacin de locales, instalaciones, mobiliario y equipos.
En los accesos a las reas de sistemas, as como a sus sistemas computaciona-
les, informacin y software.
En la arquitectura de las telecomunicaciones.
En los sistemas de redes, sistemas mayores y PCs.
En la piratera informtica.
En los virus informticos.
stos son algunos de los muchos aspectos de la seguridad de los sistemas compu-
tacionales de las empresas que se deben evaluar, aunque esto se puede aplicar tam-
bin para las populares computadoras de las casas, escuelas y pequeas empresas.
A continuacin analizaremos los principales aspectos que se deben contemplar
en la auditora de la seguridad de los sistemas computacionales, mismos que presen-
taremos de manera general, ya que su real aplicacin se debe hacer de acuerdo con
las caractersticas y necesidades de la administracin de la seguridad, proteccin y sal-
vaguarda de los bienes informticos o del sistema computacional del rea de cmpu-
to de cada empresa:
Auditora de la seguridad en las condiciones e instalaciones fsicas del rea de
sistemas.
Proteccin contra los riesgos y contingencias de origen natural relacionadas con
el medio ambiente de trabajo.
Las condiciones generales de trabajo de los sistemas computacionales, para
el bienestar y comodidad de los empleados y usuarios del sistema.
Proteccin contra la humedad del medio ambiente.
Medidas para prevenir que los sistemas computacionales, las instalaciones
elctricas, telefnicas y de datos tengan contacto con el agua.
Proteccin contra las partculas de polvo y desechos voltiles de cualquier ti-
po en el medio ambiente, a fin de evitar desperfectos en los sistemas compu-
tacionales, medios de almacenamiento y el deterioro de los activos
informticos del rea de sistemas.
Proteccin contra la esttica e imantacin producidas por fibras sintticas, me-

tales, por algunos plsticos y por el cabello humano y animal que pueden reper-
cutir en el funcionamiento de los sistemas computacionales de la empresa.
Anlisis de los sistemas de acondicionamiento y pisos falsos.
Anlisis de la regulacin de temperatura y aire acondicionado.
Anlisis de los suministros de energa, comunicaciones y procesamiento de
datos.
Anlisis de la limpieza del rea de sistemas.
Proteccin contra riesgos y contingencias relacionados con el medio ambiente
de trabajo en las reas de sistemas de la empresa.
La iluminacin artificial del rea de sistemas y la iluminacin por medio de
luz solar.
Las instalaciones elctricas, de datos y de comunicacin.
Los accesos y salidas en las reas de sistemas.
La repercusin de los aspectos de carcter ergonmico.
Las adaptaciones de los equipos de cmputo.
Las condiciones de trabajo con computadora.
Proteccin contra contingencias causadas por la temperatura del sistema de
aire acondicionado.
La ventilacin natural de las reas y espacios.
Proteccin contra riesgos y contingencias causados por factores meteorolgicos,
atmosfricos y desastres naturales incontrolables.
Por precipitacin pluvial, de nieve, de granizo y otras precipitaciones.
Por vientos, huracanes, ciclones y fenmenos atmosfricos.
Por terremotos y temblores.
Por inundaciones, marejadas, maremotos y fenmenos martimos.
Por tormentas elctricas.
Por incendios accidentales.
Otros fenmenos de origen natural que afectan a las reas de sistemas y a los
propias sistemas computacionales.
Proteccin contra riesgos y contingencias derivados del suministro de la energa
elctrica.
Prevencin de interrupciones del suministro de energa elctrica para el fun-
cionamiento de los sistemas computacionales.
Continuidad del suministro de la energa elctrica, por medio de la red pbli-
ca o plantas de emergencia, fuentes ininterrumpidas de poder y no-breaks.
Previsin en la funcionalidad, distribucin adecuada y seguridad de las insta-

laciones elctricas del rea de sistemas.
Prevencin de fallas y deficiencias de la red pblica de suministro de electri-
cidad.
Proteccin contra las variaciones de voltaje, as como el uso de reguladores
de corriente, contactos supresores de picos y sistemas de no-breaks.
El anlisis del cableado pblico de las instalaciones elctricas que estn fue-
ra de la empresa.
El anlisis del cableado, construcciones y adaptaciones elctricas, contactos,
tierra fsica y dems instalaciones elctricas internas del rea de sistemas.
Proteccin y seguridad de los espacios fsicos de las instalaciones de cmputo.
En los sistemas de vigilancia de las reas de sistemas.
En los accesos a las instalaciones de las reas de cmputo.
En las reas restringidas y de accesos exclusivos.
En las reas de trabajo de sistemas, almacenamiento, cintotecas (bvedas) y
otros espacios de sistemas.
En la administracin y control de los medios de seguridad, observacin y vi-
gilancia de los sistemas computacionales.
En la vigilancia del mobiliario, equipo y activos informticos de las reas de
sistemas.
En la vigilancia del almacenamiento de informacin, datos y software institu-
cional en las reas de cmputo.
En la vigilancia de accesos a los sistemas computacionales en las reas aje-
nas al centro de cmputo.
En la seguridad, salvaguarda y proteccin de las cintas, disquetes y otros me-
dios magnticos utilizados en el rea de sistemas.
En la seguridad y proteccin de manuales, instructivos, datos, informacin y
reportes del rea de sistemas.
La totalidad, veracidad y confiabilidad de la captura de informacin.
El anlisis a los planes de contingencias informticas.
Evaluar la existencia, difusin, aplicacin y uso del plan contra contingencias
de sistemas.
Evaluar la aplicacin de simulacros, as como del plan contra contingencias
durante la ocurrencia de siniestros en los sistemas.
Evaluar la confiabilidad, veracidad y oportunidad en la aplicacin de las me-
didas del plan contra contingencias.
Auditora de la seguridad y proteccin en el diseo de las instalaciones del rea

de sistemas de la empresa o empresas de cmputo.
En el anlisis de los estudios de localizacin de planta para instalar el rea de
sistemas.
En el anlisis para la localizacin de instalaciones fsicas del rea de sistemas.
En el anlisis de los estudios de la densidad de poblacin.
En el anlisis de la infraestructura pblica de servicios.
En el anlisis de los medios de comunicacin pblica, y de los medios de
transporte de pasajeros.
En el anlisis de los estudios de composicin del suelo para prevenir desas-
tres naturales.
En el anlisis del cableado telefnico interno para el funcionamiento del rea
de sistemas.
En el anlisis del cableado externo y redes pblicas del servicio telefnico, as
como de telecomunicacin para el funcionamiento del rea de sistemas.
Auditora de la seguridad en los sistemas computacionales.
Evaluar el rendimiento y uso del sistema computacional y de sus perifricos
asociados.
Evaluar la existencia, proteccin y periodicidad de los respaldos de bases de
datos, software e informacin importante de la organizacin.
Evaluar la configuracin, instalaciones y seguridad del equipo de cmputo,
mobiliario y dems equipos del rea de sistemas.
Evaluar el rendimiento, aplicacin y utilidad del equipo de cmputo, mobilia-
rio y dems equipos.
Evaluar la seguridad en el procesamiento de informacin.
Evaluar los procedimientos de captura, procesamiento de datos y emisin de
resultados de los sistemas computacionales.
Auditora de la seguridad del hardware.
Realizar inventarios de hardware, equipos y perifricos asociados.
Evaluar la configuracin del equipo de cmputo (hardware).
Evaluar el rendimiento y uso del sistema computacional y sus perifricos aso-
ciados.
Evaluar el estado fsico del hardware, perifricos y equipos asociados.
Auditora de la seguridad del software.
Realizar inventarios de software, paqueteras y desarrollos empresariales.
Evaluar las licencias, permisos y usos de los sistemas computacionales.
Evaluar el rendimiento y uso del software de los sistemas computacionales.

Verificar que la instalacin del software, paqueteras y sistemas desarrollados
en la empresa sea la adecuada para cubrir las necesidades de esta ltima.
Auditora de la seguridad en los sistemas computacionales.
Evaluar el rendimiento y uso del sistema computacional y sus perifricos aso-
ciados.
Evaluar la existencia, proteccin y periodicidad de los respaldos de bases de
datos, software e informacin importante de la organizacin.
Evaluar la configuracin, instalaciones y seguridad del equipo de cmputo,
mobiliario y dems equipos del centro de cmputo.
Evaluar el rendimiento, aplicacin y utilidad del equipo de cmputo, mobilia-
rio y dems equipos.
Evaluar la seguridad en el procesamiento de la informacin.
Evaluar los procedimientos de captura, procesamiento de datos y emisin de
resultados de los sistemas computacionales.
Auditora para verificar la captura, procesamiento de datos y emisin de resul-
tados.
Evaluar la totalidad, veracidad y confiabilidad de la captura de informacin.
Evaluar la existencia, difusin, aplicacin y uso del plan contra contingencias
en los sistemas.
Evaluar la aplicacin de simulacros, as como del plan contra contingencias
durante la ocurrencia de siniestros en los sistemas.
Evaluar la confiabilidad, veracidad y oportunidad en la aplicacin de las me-
didas del plan contra contingencias.
Auditora de la prevencin de actos premeditados que afecten el funcionamien-
to de los sistemas computacionales.
Proteccin contra los actos ilegales en contra de los sistemas, activos informti-
cos e informacin.
Contra sabotajes.
Por extorsin.
Por alteracin o destruccin de datos.
Por fraudes.
Proteccin contra el mal uso de la informacin.
Por invasin de privacidad.
Para mal uso de la confiabilidad.
Por uso inadecuado de los datos.
Proteccin contra la piratera y robo de informacin.

Con medidas preventivas.
Con la proteccin de archivos.
Con limitacin de accesos.
Con proteccin contra robos.
Con proteccin ante copias ilegales.
Proteccin para el almacenamiento de la informacin.
Respaldos de programas e informacin.
Almacenamiento y custodia de cintas, disquetes, etctera.
Lugares adecuados, como cintotecas (bvedas), discotecas, etctera.
El control y uso de informacin, programas y paquetes.
Proteccin contra actos no intencionales.
Por negligencia y descuido.
Por fallas del equipo y del sistema.
Por fallas de carcter externo.
Proteccin contra virus informtico.
Medidas preventivas y correctivas.
Uso de vacunas y buscadores de virus.
Proteccin de archivos, programas e informacin.
Proteccin y seguridad para el desarrollo de programas y proyectos de sistemas.
Desarrollo de programas y nuevos proyectos de sistemas.
Proteccin contra deficiencias de programas y lenguajes.
Prevencin de fallas del sistema operativo.
Proteccin en el establecimiento de estndares de proyectos.
Proteccin y seguridad para los accesos al sistema computacional y a la informacin.
En el uso de contraseas.
Establecimiento de niveles de acceso y uso de archivos.
Para el uso de sistemas de encriptacin.
Para el uso de estndares de seguridad y proteccin.
Proteccin y seguridad del hardware, componentes del sistema, perifricos y
equipos asociados.
Proteccin a la CPU.
Mantenimiento preventivo y correctivo a la CPU.
Medidas de seguridad y proteccin.

Rutinas internas para el inicio del sistema.
Rutinas internas de auditora y verificacin de componentes.
Mantenimiento preventivo y correctivo al sistema.
Rutinas internas de auditora y verificacin de conexiones.
Con el uso de manuales e instructivos de operacin.
Mantenimiento preventivo y correctivo a los perifricos.
Rutinas internas de auditora y verificacin de perifricos.
Para el uso adecuado de los perifricos.
Mantenimiento preventivo y correctivo al equipo adicional.
Rutinas internas de auditora y verificacin de equipos.
Resultados de auditoras de sistemas.
Seguridad ante fenmenos sociales.
Proteccin contra mtines, revueltas, etctera.
Prevencin de huelgas.
Prevencin ante cambios sociales, econmicos, legales, etc.
Prevencin ante cambios tecnolgicos.
12.6.1 Sugerencias de herramientas, tcnicas y procedimientos aplicables

en la auditora de la seguridad de los sistemas computacionales
En esta auditora se evalan todos los aspectos relacionados con la seguridad de los
sistemas computacionales, de la informacin, del personal de sistemas y de todo lo re-
lacionado con los bienes informticos de las reas de sistemas de la organizacin que
contribuyen al mejor desempeo de la administracin y control de las actividades y
operaciones de la funcin informtica en la empresa. Por esa razn recomendamos al
auditor encargado de practicar esta auditora que utilice cualquiera de las herramien-
tas sealadas en los captulos 9, 10 y 11 de este libro, adaptndolas a los aspectos de
carcter administrativo y tcnico requeridos para evaluar las medidas preventivas y co-
rrectivas encaminadas a favorecer la seguridad, proteccin y salvaguarda de la funcin
informtica. Claro est, sujetando estos puntos a su experiencia, conocimientos y ha-
bilidades, y modificndolos, adaptndolos o sustituyndolos de acuerdo con las nece-
sidades de evaluacin del sistema, con sus caractersticas, plataformas y facilidades.
Sugerimos al auditor de sistemas computacionales que, siguiendo cada uno de los
puntos anotados anteriormente para la evaluacin a todo lo que rodea la seguridad, pro-
teccin y salvaguarda de los bienes informticos, utilice las siguientes herramientas:

luacin sobre la seguridad, proteccin y salvaguarda de activos, informacin y
personal informticos, as como sobre las medidas preventivas y correctivas re-
lacionadas con la seguridad de la actividad informtica del rea de sistemas y de
las dems reas de la empresa que cuenten con esos sistemas.
Adems, quiz como una de las primeras acciones de evaluacin, el auditor tam-
bin puede utilizar las siguientes herramientas:
bienes informticos del rea de sistemas cuya seguridad se tenga que evaluar;
para llevar a cabo esto, es recomendable realizar los siguientes inventarios:
Inventarios de los equipos de cmputo, contemplando la seguridad, protec-
cin y salvaguarda de los bienes informticos y sistemas computacionales,
sus marcas, procesadores, tarjetas madre, velocidad, configuracin, compo-
nentes, memorias, sistemas de almacenamiento, tarjetas adicionales, nme-
ros de serie, responsables de su resguardo y todos los dems aspectos
relacionados con el inventario de la seguridad de estos equipos.
Inventario de los sistemas operativos, lenguajes, programas, paqueteras, utile-
ras y dems software institucional, incluyendo licencias, resguardos, originales,
copias autorizadas y copias piratas, a fin de valorar su proteccin y custodia.
Inventario del personal informtico y usuarios del sistema, a fin de evaluar la
proteccin de este importante recurso.
Inventario de las medidas de seguridad y proteccin para los sistemas opera-
tivos, lenguajes, programas, paqueteras, utileras y dems software institucio-
nal, incluyendo sus licencias, resguardos y copias de seguridad.
Inventario de los bienes muebles, inmuebles, materiales y consumibles del
rea de sistemas, a fin de valorar su proteccin y uso adecuados.
Inventario de los accesos a los sistemas de redes o sistemas mayores, depen-
diendo del diseado del sistema, as como del acceso a la informacin y a los
sistemas operativos, lenguajes, programas y dems software institucional de
esas redes o sistemas mayores.
Inventario de las instalaciones fsicas, a fin de evaluar la vigilancia y los acce-
sos establecidos para la proteccin y seguridad de los bienes informticos del
rea de sistemas.
Inventario de las normas, polticas, reglamentos y medidas preventivas y co-
rrectivas del rea de sistemas, a fin de evaluar la seguridad establecida para
satisfacer las necesidades de proteccin en la funcin informtica.
Otros inventarios relacionados con la seguridad, proteccin y salvaguarda de

los bienes informticos del rea de sistemas.
Asimismo, algunas de las herramientas que sern ms utilizadas en estas audito-
ras son las siguientes:
Las tcnicas de observacin (seccin 9.4) para evaluar los accesos a las reas
de sistemas, al propio sistema computacional, a la informacin y al software, y
para observar el desarrollo normal de las operaciones y actividades de las reas
de sistemas, a fin de evaluar las medidas de seguridad establecidas en ellas; in-
cluso para observar los simulacros contra contingencias de sistemas. Asimismo,
cuando el caso lo requiera, el auditor podr realizar la observacin oculta, par-
ticipativa y dems tipos de observacin descritos en esa seccin.
Las tcnicas de revisin documental (seccin 10.5) para revisar los planes con-
tra contingencias, manuales e instructivos de seguridad, licencias y resguardos
de sistemas, bitcoras de reportes de incidencias que afectan al rea de siste-
mas, proyectos de sistemas, bitcoras de mantenimiento y evaluacin, as como
los planes, programas y presupuestos para satisfacer los requerimientos de se-
guridad en el rea de sistemas computacionales. Siempre y cuando esta revisin
sea para evaluar lo que se refiere a la salvaguarda y custodia de los activos in-
formticos, personal, informacin y sistemas.
La matriz de evaluacin (seccin 10.7) o la matriz DOFA (seccin 10.8), segn
sus preferencias y sus necesidades de revisin; el auditor puede auditar las for-
talezas y debilidades de la seguridad del rea de sistemas, tales como los pla-
nes contra contingencias adecuados, la vigilancia adecuada de los accesos y
contraseas seguras. Adems puede analizar las reas de oportunidad para for-
talecer la seguridad de los sistemas de la empresa con nuevas tecnologas de
proteccin y barreras para impedir accesos de personas ajenas a la empresa, y
puede evaluar las posibles amenazas de la tecnologa para evitar la fragilidad en
la seguridad de los sistemas.
Es indispensable que el responsable de la auditora tome en cuenta lo siguiente al
elaborar su programa de auditora de la seguridad de los sistemas computacionales:
cficamente cada uno los aspectos sustantivos que tenga que evaluar sobre la
seguridad de los sistemas. Para ello es recomendable que tome en cuenta cada
uno de los puntos indicados en esta seccin, adaptndolos a las necesidades es-
pecficas de seguridad de la empresa, e incluso modificndolos para configurar-
los conforme con sus propias necesidades de evaluacin, y conforme a las
caractersticas propias del sistema computacional que ser evaluado.
El uso de la lista de chequeo (seccin 11.6), ya que con esta herramienta pue-
de verificar que quien realice la auditora cubra todos los puntos descritos en su
planeacin de auditora. Inclusive, de acuerdo con el diseo de esta lista de che-
queo, tambin puede auditar todos los aspectos que repercuten en la proteccin
y salvaguarda de la informacin, del software institucional, de los bienes infor-
mticos, del personal y de los usuarios del rea de sistemas, considerando la
evaluacin del cumplimiento de cada uno de los puntos contemplados en dicha
herramienta.
cumplimiento de las funciones, tareas y operaciones relativas a la seguridad en
el rea de sistemas, sera casi imposible, a la vez que inoperante, revisar todas
las actividades que realiza para analizar los aspectos de seguridad. Por esa ra-
zn tiene que utilizar muestras representativas de su cumplimiento, de acuerdo
con las necesidades y caractersticas de la seguridad adoptada en la empresa,
su volumen de trabajo y la magnitud de acciones a estudiar. Esto, independien-
temente del mtodo de muestreo que utilice en esta evaluacin, puede hacer lo
mismo con las actividades de los propios sistemas, sus comunicaciones y todos
aquellos aspectos que puedan ser evaluados mediante el muestreo.
Otra herramienta que puede utilizar el responsable de la auditora, en caso de ser
necesario, es la siguiente:
El acta testimonial (seccin 10.6), debido a que en la evaluacin de la seguridad
de los sistemas se pueden observar muchas incidencias y con ellas fincar respon-
sabilidades; estas actas testimoniales son una herramienta muy til para que el
auditor confirme, confronte o asiente por escrito las anomalas, deficiencias y
acontecimientos que requieren de un sustento documental para fundamentar la
opinin que emite. En la auditora a los sistemas computacionales se pueden en-
contrar muchas incidencias, deficiencias y problemas relacionados con la seguri-
dad del rea, mismos que se deben documentar mediante esta herramienta, ya
que se pueden dar casos de falta de algn bien informtico; en este caso, el au-
ditor deber levantar esta acta; tambin podra encontrar software no institucio-
nal y una serie de circunstancias que, en ese momento, harn necesario el uso de
esta acta documental. Recordemos que en algn caso extremo, este documento
se puede utilizar como prueba testimonial de alguna incidencia especial.
El responsable de la auditora puede utilizar las siguientes herramientas para eva-
luar las funciones de los ejecutivos, empleados y usuarios de sistemas, as como el de-
sempeo de todo lo que est alrededor de los sistemas del rea de sistemas:
La ponderacin (seccin 11.2), ya que le permite evaluar el funcionamiento
adecuado de cada una de las partes de la seguridad de los sistemas compu-
tacionales, dndole a cada parte el peso que le corresponde segn su participa-
cin en cada parte en que se dividan las reas de seguridad de la funcin infor-
mtica en la empresa. Recordemos que con esta tcnica es posible darle un pe-
so especfico a cada una de las partes en que se divide la seguridad, de acuerdo
con un criterio para hacer ms equitativa la evaluacin. Aqu se puede adoptar
la ponderacin de cada una de las subsecciones que conforman este subcaptu-
lo; la responsabilidad del auditor ser darle el peso a cada una de estas subsec-
ciones en que se dividi esta parte de la auditora y aplicar a cada parte
ponderada cualquiera de los otros mtodos de evaluacin sugeridos, segn las
caractersticas del sistema.
Otras herramientas que pueden ser de gran utilidad en la evaluacin de la seguri-
dad de los sistemas computacionales son las siguiente:
Los modelos de simulacin (seccin 11.3), ya que con ellos es posible hacer
simulacros de la seguridad de los sistemas, de los accesos a las reas fsicas y
de los accesos a los sistemas y a la informacin; tambin se pueden realizar
pruebas simuladas planeadas previamente, con las que el auditor busca vulne-
rar las medidas de seguridad establecidas en los sistemas computacionales, pa-
ra de esta manera valorar el grado de efectividad de dichas medidas. Tambin
puede hacer todo tipo de simulaciones, de acuerdo con las necesidades de eva-
luacin y con su experiencia.
El anlisis de la diagramacin de sistemas (seccin 11.7), el cual tambin
puede ser una herramienta valiosa para el auditor, ya que le permite hacer el
seguimiento de cualquiera de las actividades de captura, procesamiento de in-
formacin y emisin de resultados de los sistemas, as como de las rutinas de
programacin de los sistemas, de los flujos que se siguen en la informacin y
de las actividades y funciones relacionadas con la seguridad que se realizan en
el rea de sistemas, con lo cual se puede analizar la seguridad en la empresa.
El auditor responsable de la auditora debe tomar las sugerencias sobre los aspec-
tos que se pueden evaluar mediante la auditora alrededor de la computadora de
acuerdo con sus necesidades especficas de evaluacin, debido a que es su potestad
absoluta utilizar las sugerencias, adaptarlas, modificarlas o sustituirlas por los puntos
concretos que le ayuden en su auditora. Asimismo, tambin tiene la facultad de utili-
zar las tcnicas, mtodos y procedimientos de auditora que ms le agraden o que co-
nozca mejor.
12.7 Auditora a los sistemas de redes

Es la revisin exhaustiva, especfica y especializada que se realiza a los siste-
mas de redes de una empresa, considerando en la evaluacin los tipos de re-
des, arquitectura, topologa, sus protocolos de comunicacin, las conexiones,

accesos privilegios, administracin y dems aspectos que repercuten en su ins-
talacin, administracin, funcionamiento y aprovechamiento. Es tambin la re-
visin del software institucional, de los recursos informticos e informacin de
las operaciones, actividades y funciones que permiten compartir las bases de
datos, instalaciones, software y hardware de un sistema de red.
En la actualidad, las redes han invadido el entorno de los sistemas computaciona-
les y lo ms comn es encontrar empresas que comparten los recursos del sistema por
medio de redes computacionales para satisfacer ms su actividad informtica; la red
ms popular y de mayor aplicacin en el trabajo de sistemas es la red de rea local
(LAN: Local Area Network), aunque la red de rea metropolitana (MAN: Metropolitan
Area Network) y la red de rea amplia (WAN: Wide Area Network), esta ltima de co-
bertura mundial, tambin son muy utilizadas; dentro de este grupo de redes tambin
est la popular red mundial Internet, la ms conocida por quienes cuentan con siste-
Cada vez es ms difcil encontrar empresas que no utilicen redes de cmputo para
cumplir con el registro y control de informacin de sus actividades cotidianas; debido a
ello, es necesario realizar una auditora a los sistemas de redes de cmputo para eva-
luar el comportamiento informtico de muchas organizaciones. Este tipo de auditora
ha cobrado una importancia tal, que hoy en da su aplicacin es altamente demandada
en casi todas las instituciones en donde se realizan auditoras de sistemas.
Con la prctica de una auditora a los sistemas de redes de cmputo, evidentemen-
te se busca valorar todos los aspectos que intervienen en la creacin, configuracin,
funcionamiento y aplicacin de las redes de cmputo, a fin de analizar la forma en que
se comparten y aprovechan en la empresa los recursos informticos y las funciones de
sistemas; tambin se evalan la distribucin de cargas de trabajo, la centralizacin de
los sistemas de redes computacionales y la repercusin de la seguridad, proteccin y
salvaguarda de informacin, personal y activos informticos.
Para analizar el impacto de las redes en las empresas, se propone examinar las si-
guientes orientaciones que permitirn evaluar los principales aspectos que impactan el
funcionamiento de los sistemas de red de rea local, metropolitana y amplia, as como
de Internet; estudiaremos estos aspectos a travs de los siguientes rubros:
Los objetivos de una red de cmputo.
Las caractersticas de la red de cmputo.
Los componentes fsicos de una red de cmputo.
La conectividad y comunicaciones de una red de cmputo.
Los servicios que proporciona una red de cmputo.
Los sistemas operativos, lenguajes, programas, paqueteras, utileras y bibliote-
cas de la red de cmputo.
Las configuraciones, topologas, tipos y cobertura de las redes de cmputo.
Los protocolos de comunicacin interna de la red.

La administracin de una red de cmputo.
La seguridad de las redes de cmputo.
Debido al persistente y continuo avance tecnolgico en el ambiente de sistemas de re-
des, es preciso sealar que la prctica de la auditora a los sistemas de redes de cmpu-
to cada vez se vuelve ms compleja, minuciosa y especializada; adems, debido a los
constantes cambios y avances en las redes computacionales obligan al auditor de sis-
temas a actualizarse constantemente, en especial en los sistemas de redes. Esto es ne-
cesario si el auditor quiere contar con el suficiente conocimiento informtico que le
permita analizar los principales rubros que conforman una red de cmputo.
A continuacin presentamos, de manera general, los principales, y ms trascen-
dentales puntos que se deben considerar en esta evaluacin. Cabe aclarar que el au-
ditor experto puede encontrar aparentes repeticiones de conceptos y puntos que se
deben evaluar; sin embargo, vale la pena correr el riesgo de parecer repetitivos, en al-
gunos casos, en aras de una mayor cobertura de los principales aspectos que se de-
ben evaluar de los sistemas de redes de cmputo.
Como lo hemos dicho en las secciones anteriores de este captulo, es potestad ab-
soluta del responsable de esta auditora utilizar los puntos tal y como aqu se propo-
nen, modificarlos o eliminar los que no considere necesarios, de acuerdo con su
experiencia, conocimientos y habilidades; siempre y cuando su objetivo sea obtener
mejores resultados en su revisin. Todo de acuerdo con las caractersticas especficas
de la red de cmputo que vaya a evaluar y con las peculiaridades de la administracin
de estos sistemas. Recordemos que no es lo mismo administrar una red de rea local
que una de rea amplia, ni mucho menos una como Internet.
12.7.1 Evaluacin del diseo, instalacin y aprovechamiento

de la red de cmputo
En esta parte de la auditora se analizan las razones por las que fue necesario implan-
tar una red de cmputo en la empresa, investigando desde cmo se hizo el anlisis de
las necesidades del proyecto, el diseo de la red y su configuracin lgica y fsica, has-
ta su implementacin y aprovechamiento.
A grandes rasgos, el auditor de sistemas debe analizar, mediante el uso de las he-
rramientas sealadas en los captulos 9, 10 y 11 de este libro, los aspectos relaciona-
dos con los sistemas de red que presentamos a continuacin:*
* Al auditar los sistemas de redes de la empresa, el auditor puede encontrar alguno o todos los tipos de configu-
racin de redes, ya sean de rea local (LANs), de rea metropolitana (MANs) o de rea amplia (WANs); por esta
razn deber adaptar los puntos que se presentan a las necesidades concretas del tipo de red que est auditando.
Aqu se presentan de manera muy general todos los aspectos que se pueden contemplar en este tipo de evalua-
cin, sin hacer ninguna distincin si son aplicados a uno u otro tipo de red.
Evaluacin del anlisis de una red de cmputo.

Evaluacin de la existencia y uso de metodologas, normas, estndares y polti-
cas para el anlisis y diseo de redes de cmputo.
Anlisis de la definicin de la problemtica y solucin para instalar redes de
cmputo en la empresa.
Anlisis del cumplimiento de los objetivos fundamentales de la organizacin pa-
ra instalar una red de cmputo, evaluando en cada caso:.
La forma de compartir los recursos informticos de la organizacin, especial-
mente la informacin y los activos.
La cobertura de los servicios informticos para la captura, procesamiento y
emisin de informacin en la organizacin.
La cobertura de los servicios de comunicacin.
La frecuencia con que los usuarios recurren a los recursos de la red.
La confiabilidad y seguridad en el uso de la informacin institucional.
La centralizacin, administracin, operacin, asignacin y control de los recur-
sos informticos de la organizacin.
La distribucin equitativa de los costos de adquisicin y operacin de los re-
cursos informticos de la organizacin.
La escalabilidad y emigracin de los recursos computacionales de la organi-
zacin.
La satisfaccin de las necesidades del poder computacional de la organiza-
cin, sea con redes, cliente/servidor o mainframe.
La solucin a los problemas de comunicacin de informacin y datos en las
reas de la organizacin.
Anlisis de la delimitacin de los proyectos de red, a fin de evaluar la manera en
que se cumple con:
La delimitacin temporal, por el tiempo en que se instalar la red.
La delimitacin espacial, por las dimensiones fsicas y lgicas del proyecto
de red.
La delimitacin conceptual, por el anlisis especfico de las necesidades que
se deben satisfacer con la red de cmputo.
La delimitacin tecnolgica, por los requerimientos y conocimientos inform-
ticos especficos en sistemas de red.
Anlisis de los estudios de viabilidad y factibilidad en el diseo e instalacin de
la red de cmputo en la empresa, en relacin con:
El estudio de factibilidad tecnolgica.
El Estudio de factibilidad econmica.

El estudio de factibilidad administrativa.
El estudio de factibilidad operativa.
Otros estudios de factibilidad que repercuten en el diseo e instalacin de la
red en la organizacin.
Anlisis de la escalabilidad y aprovechamiento de los recursos informti-
cos de la empresa para instalar una red de cmputo.

Anlisis de la tolerancia de las posibles fallas de la red.
Anlisis de la transparencia del trabajo para los usuarios de la red.

Evaluacin del diseo e implementacin de la red segn el mbito de cobertura.*
Anlisis de las redes de multicomputadoras.
Evaluar el funcionamiento la cobertura de punto a punto.
Evaluar el funcionamiento la tecnologa que se usa con un solo cable en-
tre las mquinas conectadas.

Evaluar el funcionamiento de las aplicaciones, usos y explotacin de estas
redes.
Anlisis de la red de rea local (LAN).
Evaluar su cobertura de 10 metros a 1 kilmetro.**
Evaluar el uso adecuado y confiable de la tecnologa utilizada internamen-
te para la transmisin de datos, como el cable coaxial, cable par trenzado,

fibra ptica o sistemas de transmisin satelital o de microondas en todas
las computadoras conectadas a la LAN.***
Evaluar la restriccin adoptada para establecer el tamao de la red.
Evaluar el tiempo promedio de transmisin de la red (entre el peor y el
mejor caso de transmisiones conocidas de datos).

Evaluar que las velocidades utilizadas normalmente en su transmisin es-
tn en el rango de 10 a 100 Mbps.****

* En los siguientes puntos mostraremos los diferentes aspectos que el auditor puede llegar a encontrar en la eva-
luacin de una red de cmputo, los cuales se pueden presentar segn el tamao y configuracin del sistema en
uno u otro de los puntos sealados, o varios de stos a la vez. Lo importante es que el auditor cuente con el cono-
cimiento de los aspectos de redes que debe evaluar.
** Para evaluar las coberturas entre estas redes se deben actualizar los estndares para el alcance de la comuni-
cacin de la red; actualmente se tienen establecidas: LANs de 0.1 a 10 km2, MANs de 10 a 100 km2 y WANs de
ms de 100 km2.
*** Para evaluar la tecnologa utilizada para la transmisin de datos, tambin se tienen que actualizar los medios
de comunicacin fsica, como el cable coaxial, cable par trenzado, fibra ptica o de transmisin de radio, microon-
das, satlites, infrarrojo o cualesquier otros mecanismos de comunicacin sin cable.
**** Mbps (megabits por segundo; un megabit est compuesto por 1.000.000 de bits).
Anlisis de la red de rea metropolitana (MAN).

Evaluar su cobertura de 10 a 100 km.
Evaluar los criterios adoptados para establecer el tamao y cobertura de
la red.
Evaluar el funcionamiento de la tecnologa utilizada internamente en la
transmisin de datos, como el cable coaxial, cable par trenzado, fibra p-

tica o sistemas de transmisin satelital o de microondas en todas las m-
quinas conectadas en la red LAN.
Evaluar el tiempo promedio de transmisin de la red.
Evaluar las velocidades utilizadas normalmente en su transmisin.
Anlisis de la red de rea amplia (WAN)

Evaluar su cobertura de 100 a 1,000 km.
Evaluar el funcionamiento de la composicin, consistente en la coleccin
de hosts (computadoras interconectadas) o LANs de hosts conectados

por medio de subredes.*
Evaluar la forma de enviar los paquetes de un enrutador router a otro, se-
gn las caractersticas de envo de la red.**

Evaluar el uso adecuado y confiable de la tecnologa utilizada (interna y
externamente) en la transmisin de datos, como el cable coaxial, cable par

trenzado, fibra ptica o sistemas de transmisin satelital o de microondas
en todas las mquinas conectadas a las LANs y a la WAN.
Evaluar la conveniencia del tiempo promedio de transmisin de la red en-
tre LANs y entre subredes.

Evaluar que las velocidades utilizadas normalmente en su transmisin,
sean conforme a los rangos establecidos para este tipo de redes.

Anlisis de las redes pblicas (tambin incluida Internet).
Evaluar su cobertura de 10,000 a 100,000 km.
Evaluar la composicin de esta red, consistente en la integracin de la red
Internet a la vinculacin con puertas de enlace (gateways), computadoras

que pueden traducir entre formatos incompatibles.
Evaluar el uso adecuado y confiable de la tecnologa y sistemas de inter-
conexin utilizados (interna y externamente) en la transmisin de datos,

como el cable coaxial, cable par trenzado, fibra ptica o sistemas de trans-
misin satelital o de microondas.
* La subred consiste en las lneas de transmisin y los enrutadores, que son computadoras dedicadas a cambiar
de ruta.
** stos son packet switching, por medio de paquetes de enrutador o store-and-forward, porque son de guardar
y reenviar.
Evaluar las velocidades utilizadas normalmente en su transmisin.
Anlisis de la redes inalmbricas.
Evaluar el uso adecuado de este tipo de red segn sus caractersticas.
Evaluar el uso adecuado y confiable de la transmisin de datos por medio
de radio, microondas, satlites o infrarrojo o cualesquier otros mecanis-

mos de comunicacin sin cable.
Evaluar La posibilidad de combinar las redes inalmbricas con otras com-
putadoras mviles u otras redes.

Evaluar las posibilidades de integrar Internet o su vinculacin con puertas
de enlace u otros sistemas de computadoras que pueden traducir entre

formatos incompatibles.
Evaluacin del diseo e instalacin de la red segn su configuracin bsica.
Anlisis del diseo e implementacin de los tipos de redes establecidos en la
empresa:
Red basada en el concepto de servidor nico.
Red basada en el concepto cliente/servidor.
Red de punto a punto (uno a uno).
Redes de multipunto (uno a muchos, muchos a muchos).
Red lgica, basada en el concepto de conexin entre terminales sin cables.
Red virtual basada en el concepto de tecnologa y comunicacin va In-
ternet.
Anlisis del diseo e implementacin de la topologa de cobertura de la red,
en cuanto a:
Estudio de las necesidades de cobertura con la topologa fsica de la red.
Estudio de las necesidades de cobertura con la topologa lgica de la red.
Anlisis del diseo de los modelos de comunicacin ISO de la red de la em-

presa, en cuanto al funcionamiento de las siguientes capas:
Capas fsicas.
Capas de enlace.
Capas de red.
Capas de transporte.
Capa de sesin.
Capa de presentacin.
Capa de aplicacin.
Anlisis de los estndares adoptados para el funcionamiento de las siguien-

tes redes:
Ethernet (norma IEEE 802.3).

Token Ring (norma IEEE 802-5).
ARCnet (Attached Resource Computer Network, Red de Computadoras
de Recursos Conectados).
IPX (Internetwork Packet Exchange, Intercambio de Paquetes entre Redes).
Evaluacin del diseo e implementacin de la red segn sus caractersticas.

Anlisis de la confiabilidad en el funcionamiento de los medios de transmi-
sin y del medio fsico que utiliza la red para la comunicacin entre las compu-
tadoras que la integran.
Cableado.
Transmisin por radio, microondas, satelital, infrarrojo y cualesquier otros
tipos de comunicacin sin cable.

Combinacin de ambos medios de transmisin.
Anlisis de las tcnicas de transmisin que determinan cmo se utilizan los

medios fsicos para la comunicacin entre las computadoras de la red, estu-
diando el funcionamiento de:
La transmisin sncrona.
La transmisin asncrona.
La transmisin analgica.
La transmisin digital.
La codificacin de datos en seales analgicas.
La transmisin en paralelo.
La transmisin en serie.
Los cdigos de comunicacin de datos.
Anlisis del funcionamiento y confiabilidad de los dispositivos para conectar

las redes, tales como:
Repetidores. Sirven para amplificar o regenerar las seales, con lo cual
se pueden utilizar cables ms largos.

Puentes (bridges). Son los dispositivos de guardar y reenviar los datos en
la red, y operan en el nivel de enlace y pueden cambiar los campos de los

marcos.
Enrutadores (routers) de protocolos mltiples. Son como los puentes
que admiten el funcionamiento de la red en este nivel y que permiten la

conexin de redes con distintos protocolos.
Puertas de enlace (gateways) de transporte. Que permiten la conexin
de las redes en el nivel de transporte.

Puertas de enlace de aplicacin. Conectan dos partes de una aplica-

cin, aunque stas utilicen formatos distintos.

Anlisis del funcionamiento de las tcnicas de transferencia de datos.
Simplex. Solamente en un sentido.
Half-duplex. En ambos sentidos, pero uno a la vez.
Full-duplex. En ambos sentidos a la vez.
Anlisis de los tipos de topologas utilizados en el diseo de la red.

Topologa de bus.
Topologa de estrella.
Topologa de anillo.
Topologa de malla.
Topologa de doble anillo.
Anlisis de los mtodos de acceso al medio y de la manera en que se conec-

tan los dispositivos de la red para utilizar la transmisin por el medio fsico.
Evaluacin del diseo e implementacin de los componentes de la red de
cmputo.
Anlisis del diseo e implementacin del tipo de servidor principal para la red.
Servidores dedicados.
Servidores no dedicados.
Anlisis del diseo e implementacin de los servidores de apoyo.

Servidores de archivos (distribuidos, dedicados y no dedicados).
Servidores de discos (dedicados y no dedicados).
Servidores de impresin.
Servidores de comunicacin.
Concentradores.
Otros tipos de servidores.
Anlisis del diseo e implementacin de las estaciones de trabajo.

Caractersticas y componentes de la terminal o estacin de trabajo.
Nmero de terminales o estaciones de trabajo.
Aplicaciones de la terminal o estacin de trabajo.
Privilegios, informacin y uso de la terminal o estacin de trabajo.
Anlisis del diseo e implementacin de los nodos de la red.

Anlisis del uso de las tarjetas de la red.
Tarjetas de interfaz de red.
Adaptador de 2Mbps (este adaptador soporta longitudes de hasta 500

metros de cable par trenzado sin blindaje o UTP).
Adaptador Ethernet AE-1/t de bajo costo y nmero limitado por nmero
de puertos HUB y velocidad de transferencia de 10 Mbps.

Adaptador Ethernet AE-2; es un adaptador inteligente con autoconfigura-
cin de seleccin de parmetros ptimos de funcionamiento.

Adaptador Ethernet AE-2/t para conexiones de cable UTP y cable coaxial.
Adaptador Ethernet AE-3 para soportar tres tipos de cable: UTP, Coaxial
grueso y coaxial delgado.

Anlisis del funcionamiento y confiabilidad de los elementos de enlace fsico
de la red.
Cable par trenzado de amplio rango, sin blindaje y UTP.
Cable coaxial.
Cable de banda base para un solo canal con un solo mensaje a la vez y ve-
locidades de 10 a 80 Mbps.
Cable de banda ancha; este cable maneja varias bandas a la vez y en dife-
rentes frecuencias de manera simultnea, con sistema dual de cable o un

solo cable y amplificadores bidireccionales.
Cable de fibra ptica.
Anlisis de la confiabilidad y funcionamiento correcto de los elementos esta-

blecidos para la expansin de la red.
Repetidores, para recibir y retransmitir datos, compensando las prdidas
de seal.
Puentes (bridges) y dispositivos para la capa de enlace OSI, para manejar
datos de rigen y destino de la informacin.

Puentes/enrutadores, dispositivo de interconexin de la red.
Enrutadores relacionados directamente con los protocolos de comunicacin.
Puertas de enlace, dispositivos para la conexin de minicomputadoras y
macrocomputadoras (mainframes).
Evaluacin del diseo e implementacin de los protocolos de comunicacin de
la red.
Anlisis de la adopcin de jerarquas de protocolos en la red de la empresa,
en relacin con:
El software para controlar las redes y las estructurar para manejar la
complejidad.
La organizacin en la mayor parte de las redes en una pila de niveles.
Los niveles que ofrecen ciertos servicios a los niveles superiores y la imple-
mentacin de estos servicios en el nivel inferior siguiente para brindarlos.
El nivel de comunicacin n de una computadora con el nivel n de otra
computadora.
Las reglas y convenciones que controlan la conversacin entre las compu-
tadoras, segn el nivel n de los protocolos.

Las entidades en niveles correspondientes de comunicacin entre compu-
tadoras distintas.
La transferencia de los datos directamente del nivel n de otro nivel, a fin
de pasar la informacin hacia abajo de un nivel a otro hasta que llegue al

nivel del medio fsico.
Los niveles donde estn las interfaces permiten cambios en el estableci-
miento de un nivel sin afectar el nivel superior.

El nivel que tiene que transmitir un paquete a otra computadora para que
sta pueda agregar un encabezamiento al paquete y puedan identificar el

mensaje y el destino al nivel de la mayor parte de las redes para imponer
el lmite en el tamao de los paquetes.
Anlisis del funcionamiento del modelo OSI (Open Systems Interconection
Reference Model; Modelo de Referencia de Interconexin de Sistemas Abier-
tos) para la red, estudiando el comportamiento de los siguientes niveles:
Nivel fsico. Para las relaciones de los voltajes, la duracin de un bit, el es-
tablecimiento de una conexin, el nmero de polos de enchufe y dems

aspectos tcnicos de este nivel.
Nivel de enlace. Para convertir el medio de transmisin inicial en uno que
est libre de errores de transmisin de datos en cuanto al remitente de los

datos de entrada, el procesamiento del acuse de datos y el manejo de los
marcos perdidos, daados o duplicados, y en cuanto a la regulacin de la
velocidad del trfico.
Nivel de red. Para determinar el ruteo de los paquetes desde sus fuentes
a sus destinos, manejando la congestin a la vez y su incorporacin a la

funcin de contabilidad.
Nivel de transporte. Es el primer nivel de comunicacin directa de su par
en el destino (los anteriores niveles son de computadora a computadora).

Este nivel suministra varios tipos de servicio: abrir conexiones mltiples de
red para proveer capacidad alta, se puede utilizar el encabezamiento de
transporte para distinguir entre los mensajes de conexiones mltiples en-
trando en una mquina y abastece el control de flujo entre los hosts.
Nivel de sesin. Parecido al nivel de transporte, pero provee servicios

adicionales, ya que puede manejar Token (objetos abstractos y nicos)
para controlar las acciones de participantes o puede hacer checkpoints
(puntos de recuerdo) en las transferencias de datos.
Nivel de presentacin. Provee funciones comunes a muchas aplicacio-
nes, tales como traducciones entre juegos de caracteres, cdigos de n-

meros, etctera.
Nivel de aplicacin. Define los protocolos usados por las aplicaciones in-
dividuales, de la red, entre estas aplicaciones tenemos el manejo de E-

mail y de Telnet, entre otros.
Anlisis del funcionamiento adecuado de los protocolos X.25 para la red, es-
tudiando el comportamiento de sus siguientes capas:
Capa fsica.
Capa de bloque.
Capa de paquetes.
Anlisis del funcionamiento adecuado de los protocolos TCP/IP (Transmission

Control Protocol/Internet Protocol, Protocolo de Control de Transmisin/Pro-
tocolo Internet).
Evaluar en cumplimiento de los objetivos, la conexin de redes mltiples
y la capacidad de mantener conexiones aun cuando una parte de la su-

bred est perdida.
Evaluar la aplicacin de red packet switching (o de conmutacin de pa-
quetes), basada en un nivel de Internet sin conexiones.

Evaluar la aplicacin y el funcionamiento de los niveles fsico y de enlace
(nivel de hosts a red) y su definicin (si es que la hay) en esta arquitectura.

Evaluar el funcionamiento del nivel de Internet, en el que los hosts intro-
ducen paquetes en la red que viajan independientemente del destino, pe-

ro sin garantas de entrega ni de orden.
Evaluar la definicin que provee el ruteo y control de congestin en el ni-
vel del IP (Protocolo Internet).

Evaluar el funcionamiento del nivel de transporte. Esto permite que los
pares en los hosts de fuente y destino puedan conversar en sus dos pro-
tocolos: TCP (Transmission Control Protocol, Protocolo de Control de
Transmisin), el cual permite que dos computadoras conectadas a Inter-
net establezcan una conexin confiable para la entrega sin errores de un
flujo de bytes; tambin maneja el control de flujo. Y el UDP (User Data-
gram Protocol, Protocolo de Datagramas de Usuario). Este protocolo es
menos confiable que el TCP y no intenta establecer una conexin con una
computadora remota para la entrega de mensajes discretos o para la en-

trega rpida, cuando sta es ms importante que la entrega garantizada.
Evaluar el funcionamiento del nivel de aplicacin. Como en OSI. No usa
los niveles de sesin o presentacin.

Evaluar el funcionamiento del protocolo Telnet para terminales virtuales.
Evaluar el funcionamiento del SMTP (Simple Mail-Transport Protocol-
/Protocolo Simple de Transporte de Correo).

Evaluar el funcionamiento del FTP (File Transfer Protocol, Protocolo de
Transferencia de Archivos).
Evaluar el funcionamiento del SNMP (Simple Network Management Pro-
tocol, Protocolo Simple de Administracin de Red).

Anlisis del funcionamiento de los protocolos.
IP (Internet Protocol, Protocolo Internet).
ICPM (Internet Control Message Protocol, Protocolo de Mensajes de
Control en Internet).
TCP (Transmisin Control Protocol, Protocolo de Control de la Transmisin).
UDP (User Datagram Protocol, Protocolo de Datagramas de Usuario).
FTP (File Transfer Protocol, Protocolo de Transferencia de Archivos).
SMTP (Simple Mail Transport Protocol, Protocolo Simple de Transporte
de Correo).
SNMP (Simple Network Management Protocol, Protocolo Simple de Ad-
ministracin de Red).
DNS (Domain Name System, Sistema de Nombres de Dominio).
Telnet (Telecommunication Network, Red de Telecomunicaciones).
Anlisis de otros protocolos de transmisin de una red.

Anlisis del funcionamiento del mtodo de transmisin de datos CSMA/CD
(Carrier Sense Multiple Access with Collision Detection, Acceso Mltiple por
Percepcin de Portadora con Deteccin de Colisiones).
Evaluacin de la instalacin fsica de la red.*
Anlisis del diseo arquitectnico de las instalaciones de la red.
Anlisis de los elementos de enlace y cableado de la red.
Anlisis del mantenimiento fsico, correctivo y preventivo de los foros donde
estn las instalaciones de la red.
* Se refiere a los mismos aspectos sealados en Auditora al diseo e implementacin a los componentes de la red
de cmputo y Auditora al diseo e implementacin de los protocolos de comunicacin de la red, solo que adapta-
dores a la evaluacin fsica de stos.
Anlisis de la instalacin, funcionamiento y mantenimiento de las tarjetas que

configuran la red.
Anlisis de la instalacin, funcionamiento y mantenimiento de los servidores
y terminales de la red de la empresa.
Auditora de los elementos de expansin de la red.
Evaluacin de los aspectos tcnicos de la red de cmputo.*
Anlisis de los estndares de redes locales, segn la referencia y formatos que
se utilicen para el funcionamiento de la red de la empresa.
Modelo de Referencia OSI (Open System Interconnection, Interconexin
de Sistemas Abiertos).
Norma IEEE 802 (Institute of Electrical and Electronics Engineers, Institu-
to de Ingenieros Elctricos y Electrnicos).

Mtodos de acceso CSMA/CD (Carrier Sense Multiple Access With Co-
llision Detection, Acceso Mltiple por Percepcin de Portadora con De-

teccin de Colisiones).
IPX (Internetwork Packet Exchange).
SPX (Secuenced Packet Exchange).
Anlisis del funcionamiento tcnico de los sistemas operativos de la red.

Evaluacin de la administracin y control de la red de cmputo.**
Anlisis del acceso a los siguientes aspectos de la red:
A la informacin institucional por reas, privilegios y niveles de operacin
de los datos.
A los sistemas y software.
Anlisis del cambio peridico de niveles, privilegios y contraseas de acceso

al sistema.
Anlisis de los reportes de incidencias, contingencias y circunstancias que
afecten el funcionamiento de la red, a su informacin o software.
Anlisis de la atencin y rapidez de respuesta para satisfacer las necesidades
informticas de los usuarios del sistema.
Anlisis de la existencia, acatamiento y actualizacin de las polticas y regla-
mentos de uso de los sistemas computacionales de la red.
* Para realizar esta auditora se recomienda adaptar algunos puntos establecidos en la auditora al sistema compu-
tacional (seccin 12.4), ya que son muy similares a los que se tratan en esta evaluacin.
** Para realizar esta auditora se recomienda adaptar algunos puntos sealados en la auditora a la gestin infor-
mtica del rea de sistemas (seccin 12.3), ya que son muy similares a los que se tratan en esta evaluacin.
Anlisis del cumplimiento de la actividad informtica de los servidores, termi-

nales, sistemas y programas de cmputo utilizados para satisfacer las necesi-
dades de los usuarios del sistema.
Anlisis de la atencin y solucin de algunas diferencias en la operacin en-
tre redes:
La clase de servicio. Evaluando su orientacin permanente a la conexin
o no-conexin de las terminales de servicio, de acuerdo con las polticas

del rea de sistemas.
El funcionamiento adecuado de los protocolos de la red.
El funcionamiento correcto de direcciones, ya sean por un nivel o jerrquicas.
El manejo de los tamaos de paquetes que se manejan en la red, segn
su mximo.
El control de errores para la entrega confiable y en orden o sin orden de
la informacin que se transmite en la red.

Control del flujo y de velocidad de transmisin de los datos de la red.
Control de congestin del manejo de la informacin, transmisin y proto-
colos de la red.
Administracin y control de la problemtica de seguridad de la red, la in-
formacin, los usuarios, los sistemas computacionales y de las instalacio-

nes fsicas.
Contabilidad de los tiempos de uso del sistema, ya sea por conexin de
las terminales, por paquete, por byte, por proceso o por cualquier otra ac-
tividad que se realiza en los sistemas de la red.
Evaluacin de la seguridad y proteccin de la red y de los activos informticos
de la empresa.*
Anlisis del funcionamiento de los mecanismos de control de acceso a las ins-
talaciones, informacin y software institucionales.
Anlisis de la prevencin de accesos mltiples, sin permisos, dolosos y de todas
aquellas acciones para ingresar al sistema sin la autorizacin correspondiente.
Anlisis del procesamiento de informacin en los sistemas de red.
Anlisis de la administracin y el control de la asignacin de los de niveles de
acceso, privilegios y contraseas para los usuarios para ingresar al sistema y
la informacin.
Anlisis del monitoreo de las actividades de los usuarios.
* Aqu se recomienda utilizar los puntos sealados en la auditora de la seguridad de los sistemas computacio-
nales (seccin 12.6), salvo que en este caso tiene que adaptar especficamente las necesidades de la auditora a la
configuracin, topologa y dems caractersticas de la red de cmputo que audite.
Anlisis de las medidas correctivas y preventivas para evitar la piratera de in-

formacin, software, activos informticos y consumibles del rea de sistemas.
Anlisis de la realizacin, actualizacin y custodia de los respaldos de siste-
mas e informacin que se procesan en la red.
Anlisis de las Auditoras peridicas del funcionamiento de la red.
Anlisis de las medidas preventivas y correctivas para erradicar de la red los
virus informticos.
Anlisis del establecimiento de las barreras fsicas y lgicas para proteger los
accesos de intrusos, piratas, hackers y crackers informticos y cualquier otra
intromisin, accidental o dolosa.
Evaluacin del uso y funcionamiento adecuado del software de la red.
Anlisis de los sistemas operativos para el funcionamiento de la red.
Anlisis de los lenguajes y programas de desarrollo de la red.
Anlisis de los programas y paquetes de aplicacin de la red.
Anlisis a las utileras, libreras y bibliotecas de la red.
Anlisis de la disponibilidad de licencias y permisos de instalacin del soft-
ware de la red.
Anlisis de la actualizacin informtica y de los proveedores de sistemas de
la red.
Anlisis del diseo de nuevos proyectos informticos para el funcionamiento
de la red.
Anlisis de la actualizacin tecnolgica del software desarrollado en la em-
presa y del que se encuentra en el mercado.
Anlisis de la administracin y control de las utileras, libreras y bibliotecas
para el funcionamiento adecuado de la red.
Anlisis de las utileras para el funcionamiento del software y juegos no auto-
rizados (piratas).
Evaluacin del mantenimiento de la red.
Anlisis de los reportes y servicios de mantenimiento correctivo y preventivo
de la red.
Anlisis de las bitcoras y estadsticas de incidencias de la red.
Anlisis de las estadsticas de incidencias, descomposturas, cadas del siste-
ma, colisiones, prdidas de informacin y dems detalles que repercuten en
la operacin de la red.
Como pudimos observar en el estudio de estos puntos, la auditora a la red de
cmputo es mucho ms especializada y, por lo tanto, para realizarla es necesario tener
un amplio conocimiento en el ambiente de los sistemas de red, as como una amplia
experiencia en el manejo de los aspectos concretos que se deben auditar sobre su ad-
ministracin y operacin, segn la configuracin, tipo, caractersticas, tamao y com-
ponentes de la red de cmputo de la organizacin, tanto de su hardware y software
como del espacio fsico donde est instalada.
Debemos sealar nuevamente que el responsable de la auditora debe seleccionar
de los puntos sealados anteriormente aquellos que considere que satisfacen sus ne-
cesidades de evaluacin; asimismo, el auditor est en libertad absoluta de modificar o
eliminar los puntos que le servirn para una mejor evaluacin de la red de cmputo.

aplicables en la auditora a los sistemas de redes
En esta auditora se evalan los aspectos especficos de la red de cmputo, consideran-
do las caractersticas de la red, su tamao y cobertura, configuraciones fsica y lgica, to-
pologas, protocolos de comunicacin y aspectos tcnicos de su composicin; tambin
se evala la forma en que se aprovechan los recursos informticos de la organizacin, la
informacin y todo lo relacionado con la funcin informtica en la institucin. Esto con
el objeto de validar la administracin adecuada de la red, su funcionamiento correcto
y el aprovechamiento de las actividades informticas de la empresa.
Por esta razn se recomienda al auditor que practique esta auditora a los sistemas
de redes que utilice cualquiera de las herramientas sealadas en los captulos 9, 10 y
11 de este libro.
El responsable de esta auditora puede adaptar esas herramientas a los aspectos de
carcter tcnico que se requieren para evaluar todo lo sealado en esta seccin. Claro
est, como en los casos anteriores, utilizando esos puntos de acuerdo con su experien-
cia, conocimientos y habilidades, e incluso adaptndolos o sustituyndolos por aquellos
requerimientos especficos que sean necesarios de acuerdo con la evaluacin, con sus
caractersticas, plataformas, facilidades y dems distintivos propios de esta auditora.
herramientas, siguiendo cada uno de los puntos anotados anteriormente, para evaluar
todo lo que rodea a los sistemas de redes:
El diseo de entrevistas (seccin 9.1), cuestionarios (seccin 9.2) y encuestas
luacin sobre la configuracin de la red, el anlisis y diseo para su instalacin,
la configuracin e instalacin fsica y lgica de la red, as como sobre la actuali-
zacin informtica, emigracin de sistemas, las medidas preventivas y correcti-
vas relacionadas con la seguridad de la actividad informtica del rea de
sistemas y de las dems reas de la empresa que cuenten con sistemas.
Tambin puede utilizar dichas herramientas para evaluar la opinin de los usua-
rios de sistemas, respecto al funcionamiento de la red, la frecuencia de fallas, si
las hay, la satisfaccin de sus necesidades informticas, la disponibilidad de los
sistemas y el manejo de la informacin de sus reas, as como sobre la adminis-

tracin de sistemas de red en la empresa.
Adems, quiz como una de las primeras acciones de evaluacin, el auditor de sis-
temas tambin puede utilizar esta herramienta:
bienes informticos destinados al funcionamiento de la red y del rea de siste-
mas, as como de los bienes informticos que se pueden analizar en el funcio-
namiento de los sistemas que conforman la red. Para llevar a cabo esto, es
recomendable realizar los siguientes inventarios:
Inventarios de los componentes de las redes de cmputo de la empresa, que
incluyan servidores, terminales, cableados, componentes y dems bienes in-
formticos que integran la red, as como los fabricantes, marcas, modelos
procesadores, tarjetas madre, velocidad, configuracin, memorias, sistemas
de almacenamiento, tarjetas adicionales, nmeros de serie, responsables de
su resguardo y todos los dems aspectos relacionados con el inventario de la
seguridad de estos equipos.
leras y dems software institucional, as como de las licencias, resguardos,
originales, copias autorizadas y copias pirata, a fin de valorar la proteccin y
custodia de dichos sistemas.
Inventario de la seguridad y proteccin de la informacin y de los datos del
sistema de red.
rea de sistemas, a fin de valorar su proteccin y uso.
Inventario de los accesos a los sistemas de redes, as como del acceso a la in-
formacin que se maneja en ellos y los sistemas operativos, lenguajes, progra-
mas y dems software institucional de esas redes o de equipos mayores en red.
Inventario de las instalaciones fsicas de las redes, a fin de evaluar los acce-
sos establecidos para la proteccin de los bienes informticos del rea de sis-
temas, as como su uso.
Inventario de configuraciones, protocolos, tarjetas y dems caractersticas
tcnicas del funcionamiento de los sistemas de red.
Inventario de las normas, polticas, reglamentos y medidas preventivas y co-
rrectivas del rea de sistemas, a fin de evaluar la seguridad establecida para
satisfacer las necesidades de proteccin de la funcin informtica.
Otros inventarios relacionados con la seguridad, proteccin y salvaguarda de
los bienes informticos del rea de sistemas.
Otras herramientas que es recomendable utilizar en estas auditoras son las si-
guientes:
Las tcnicas de observacin (seccin 9.4), a fin de evaluar el funcionamiento
normal del sistema operativo de la red, el procesamiento y uso de la informacin
y del software de la empresa, as como para observar el desarrollo normal de las
operaciones y actividades de los usuarios de la red, actividades y acciones de
stos para comprobar las medidas de seguridad establecidas para la red, e in-
cluso para la observacin de su comportamiento durante simulacros realizados
de acuerdo con los planes contra contingencias de los sistemas de la red. Asi-
mismo, cuando el caso lo requiera, el auditor podr realizar la observacin ocul-
ta, el monitoreo, la observacin participativa y los dems tipos de observacin
descritos en esa seccin.
Las tcnicas de revisin documental (seccin 10.5) para revisar los proyectos
de instalacin de la red, planos de configuracin de cableado, configuraciones,
distribucin de los componentes de la red, los planes contra contingencias, ma-
nuales e instructivos de seguridad, licencias y resguardos de sistemas, bitcoras
de reportes de incidencias que afectan a la red y al desarrollo de proyectos de
redes y de nuevos sistemas, bitcoras de mantenimiento y evaluacin, as como
planes, programas y presupuestos para satisfacer los requerimientos de opera-
cin y funcionalidad de la red de cmputo. Siempre y cuando esta revisin se
realice para evaluar lo que se refiera a la administracin y control de las funcio-
nes de la red, de los activos informticos que la integran, as como el manejo de
su informacin y sus sistemas.
las preferencias y necesidades de revisin del auditor; con estas herramientas
puede auditar las fortalezas y debilidades del funcionamiento de la red de cmpu-
to, tales como la administracin del servidor, las terminales, el software, la infor-
macin, el aprovechamiento de los recursos informticos de la empresa y la
respuesta a las necesidades informticas. Tambin puede analizar las reas de
oportunidad para fortalecer la comunicacin entre los sistemas de la empresa,
la actualizacin de tecnologas de proteccin y las barreras para proteger los ac-
cesos del exterior. Tambin puede analizar las posibles amenazas del avance de
la tecnologa de redes y de comunicacin para evitar la fragilidad en la actuali-
zacin de los sistemas de red.
al elaborar su programa de auditora a los sistemas de redes:
La elaboracin de una gua de evaluacin (seccin 11.1), a fin de planear espec-
ficamente cada uno los aspectos importantes del funcionamiento de las redes
que tiene que evaluar, tanto en lo tcnico, como en la configuracin, operacin,
compatibilidad, comunicacin y dems aspectos relacionados con el funciona-
miento de la red. Para ello es recomendable que tome en cuenta cada uno de
los puntos indicados en el inicio de esta seccin, adaptndolos a las necesida-
des especficas de la red en la empresa, e incluso modificndolos para adecuar-
los conforme a sus propias necesidades de evaluacin, y conforme a las
caractersticas propias del sistema de red, a su tamao, componentes, configu-
racin y dems peculiaridades de la red.
El uso de la lista de chequeo (seccin 11.6), ya que con esta herramienta puede
verificar que quien realice la auditora cubra todos los puntos descritos en su pla-
neacin de auditora. Inclusive, de acuerdo con el diseo de esta lista de chequeo,
tambin puede auditar todos los aspectos que repercuten en la red de la empresa.
cumplimiento de las funciones, tareas y operaciones relativas a la administra-
cin y funcionamiento de una red de cmputo, sera casi imposible, a la vez que
inoperante, revisar todas las actividades que se realizan en la red, ms an cuan-
do sta es WAN o Internet. Por esta razn tiene que utilizar muestras represen-
tativas del cumplimiento de las operaciones de la red, de acuerdo con las
necesidades y caractersticas de la red adoptada en la organizacin, as como
con su configuracin, componentes y la magnitud de interacciones que ocurren
en la transmisin de datos de la red. Esto independientemente del mtodo de
muestreo que se utilice en esta evaluacin.
Puede hacer lo mismo con las actividades de los protocolos de transmisin de in-
formacin, el manejo de sus sistemas de comunicacin, el procesamiento de infor-
macin y operaciones que permiten el funcionamiento de la red y todos aquellos
aspectos que se puedan evaluar mediante el muestreo de las actividades de la red.
El responsable de la auditora puede utilizar la siguiente herramienta para evaluar
las funciones de los ejecutivos, empleados y usuarios de sistemas, as como el desem-
peo de todo lo que est alrededor del funcionamiento de una red de cmputo:
La ponderacin (seccin 11.2) es una herramienta muy til , ya que le permi-
te evaluar el funcionamiento adecuado de cada una de las partes de la red de
cmputo, al asignarle a cada parte el peso que, segn su criterio, le correspon-
da, para hacer ms equitativa la evaluacin, en este caso a cada una de las par-
tes consideradas como divisin fundamental del funcionamiento de una red;
por ejemplo, la evaluacin del diseo de la red, del funcionamiento de los pro-
tocolos, de la parte tcnica de su funcionamiento o cualquier otra divisin es-
tablecida por el auditor
Recordemos que con esta tcnica es posible darle un peso especfico a cada
una de las partes en que se divide la actividad de las redes, y que la pondera-
cin se tiene que adoptar de cada una de las subsecciones que conforman este
subcaptulo. La responsabilidad del auditor ser darle el peso a cada una de es-
tas subsecciones en que se dividi esta parte de la auditora y aplicar a cada par-
te ponderada cualquiera de los otros mtodos de evaluacin sugeridos, segn
las caractersticas de la red.
Otras herramientas que pueden ser de gran utilidad en la evaluacin de la red de
cmputo son las siguientes:
simulacros del funcionamiento de la red, de los accesos a las reas fsicas y de
los accesos a los sistemas y a la informacin de la red; tambin se pueden rea-
lizar el desarrollo de pruebas simuladas, planeadas previamente, con las que el
auditor realiza actividades concretas para utilizar la red de una manera inade-
cuada y ver su comportamiento. Tambin puede hacer todo tipo de simulacio-
nes, de acuerdo con las necesidades de evaluacin y con su experiencia.
puede ser una herramienta valiosa para el auditor, ya que le permite hacer el se-
guimiento de las redes de cmputo, de su instalacin, diseo e implementacin,
as como el seguimiento de cualquier actividad de captura, procesamiento y
emisin de resultados de los sistemas de red, de los flujos que se siguen en la
transmisin de la informacin entre las partes que la integran, adems del se-
guimiento de las rutinas de los programas de sta o de las actividades y funcio-
nes que se realizan en ella.
pectos que se pueden evaluar mediante la auditora a los sistemas de redes de acuer-
do con sus necesidades especficas de evaluacin, ya que es su potestad absoluta
utilizarlas como estn, adaptarlas e inclusive sustituirlas por aquellos puntos concretos
que le ayuden a realizar su auditora. Tambin debe utilizar las tcnicas, mtodos y pro-
cedimientos de auditora que le convengan ms o las que conozca ms.
12.8 Auditora outsourcing en los sistemas computacionales

Es la revisin exhaustiva, sistemtica y especializada que se realiza para eva-
luar la calidad, eficiencia y oportunidad en el servicio de asesora o procesa-
miento externo de informacin que proporciona una empresa a otra. Esto se
lleva a cabo con el fin de revisar la confiabilidad, oportunidad, suficiencia y
asesora por parte de los prestadores de servicios de procesamiento de datos,
as como el cumplimiento de las funciones y actividades que tienen encomen-
dados los prestadores de servicios, usuarios y el personal en general. Dicha re-
visin se realiza tambin en los equipos y sistemas.
Conviene iniciar el tratamiento de esta auditora analizando brevemente el concep-

to outsourcing, vocablo derivado de out: fuera y source: manantial, fuentes; su defini-
cin es la siguiente:
Estamos hablando de la subcontratacin de servicios, partiendo del supues-
to de que s existe un tercero capaz de hacer el trabajo con mayor eficiencia y
a menor costo de lo que se puede lograr al interior de la organizacin. ste es,
como muchos otros en la administracin moderna, un trmino nuevo para un
viejo concepto.3
Este concepto antiguo se refiere con el nombre nuevo a la prestacin de un servi-
cio, generalmente especializado, que un particular proporciona a una empresa que lo
contrata, a fin de realizar las actividades que sta no puede, no quiere o no est capa-
citada para realizar por s misma; estos servicios son muy diversos, pero los ms cono-
cidos y populares son los siguientes:
Servicio de comedor para los empleados. Es cuando la empresa proporciona
este servicio a sus empleados, pero contrata a un particular para que lo realice
por ella, sea en instalaciones propias o del prestador del servicio.
Contratacin y capacitacin de empleados. Es cuando la empresa solicita los
servicios de un tercero para la seleccin y capacitacin de su personal, en lugar
de realizarlo ella misma.
Servicios de limpieza y mantenimiento. Es cuando la institucin contrata a ter-
ceros para que realicen el aseo, la limpieza y el mantenimiento en sus instala-
ciones, evitando con ello la carga de esta funcin y el manejo de personal en
esta actividad.
Servicios contables de auditora, legales y trmites administrativos. Es
cuando la empresa contrata a un tercero para que le realice todas las activida-
des inherentes al aspecto contable y administrativo, as como la representacin
legal y auditoras en la empresa.
Podemos definir el concepto outsourcing informtico de la siguiente manera:
Es la subcontratacin de los servicios de cmputo, a fin de que la empresa
contratante libere a su personal e instalaciones de la prctica de la actividad
informtica y encomendar su realizacin en otros especialistas con ms cono-
cimientos, ms eficiencia y a un costo menor.
Est claro que la actividad informtica desarrollada con recursos propios muchas ve-
ces eleva considerablemente los costos de su realizacin, debido a que son excesivos,
comparados con los beneficios que obtiene la empresa de esta actividad. Sin embargo,
en la actualidad es indispensable que las empresas cuenten con esta importante activi-
dad de apoyo para el registro y manejo de su informacin, a pesar de los elevados cos-
tos de dicha actividad. Hoy en da las empresas tienen que estar a la vanguardia en el
mbito de sistemas, a pesar del costo que estas actividades representan para ellas.
Debemos tomar en cuenta que las empresas tienen que desembolsar una cantidad
inicial para adquirir los sistemas computacionales necesarios para el funcionamiento de
estas reas, as como el hardware, perifricos y software para el desarrollo y aplicacin
de los sistemas, el mobiliario especializado para los equipos y el mobiliario de oficina, y
la adaptacin de las instalaciones; adems continuamente tienen que realizar gastos pa-
ra la contratacin de funcionarios y empleados y para consumibles y materiales de ofici-
na del rea de sistemas, y deben tomar en cuenta los gastos fijos para el mantenimiento
del rea de sistemas, tales como energa elctrica, vigilancia y mantenimientos, entre mu-
chos otros gastos peridicos. En algunos casos tambin existen gastos, programados o
no programados, por la constante actualizacin del hardware y software y los activos in-
formticos para mantener vigente la funcin informtica de la organizacin.
A causa de estos altos costos en los sistemas, en la actualidad las empresas tienen
que recurrir a las instituciones y profesionales que proporcionan estos servicios de
cmputo (outsourcing informtico), con lo cual se liberan no slo de los altos gastos
que implican estas reas sino tambin de su administracin y del manejo y gasto de
personal que las maneja; reduciendo considerablemente las erogaciones por esta ac-
tividad informtica.
Una variante de este servicio de sistemas es el llamado HelpDesk (ayuda de es-
critorio), mismo que podemos definir de la siguiente manera:
Es la prestacin del servicio interno de sistemas y del apoyo para la solucin
de las problemticas que se les presentan a los usuarios en sus sistemas; este
servicio lo presta personal especializado, contratado ex profeso para ello; el
cual proporciona los servicios o auxilio informticos a las reas de la empresa,
a fin de mantener el funcionamiento de los sistemas de la institucin; por lo ge-
neral, dicho servicio se presta por medio de la red de cmputo, y la mayora de
servicios se realizan va telefnica o a travs de la propia red.
Con la auditora outsourcing en los sistemas computacionales se busca evaluar la
eficiencia y eficacia de los servicios que se proporcionan a las organizaciones, enfocn-
dolos principalmente desde dos puntos de vista: por un lado, aquel en el cual se audi-
tan las actividades, funciones y operaciones del prestador de servicios, en cuanto a la
administracin de sus recursos informticos, la confiabilidad, oportunidad y eficiencia
con las que trata la informacin de las organizaciones, los resultados que obtiene del
procesamiento de datos y la eficiencia y eficacia de sus servicios. Por otro lado, aquel
en donde se evala la forma en que se lleva a cabo la actividad de outsourcing en la
empresa que lo proporciona, analizando la calidad, rapidez, oportunidad, confiabilidad,
eficacia y eficiencia con las que trabaja para suministrar de una manera adecuada la
actividad informtica a la institucin contratante.
En ambos casos, el auditor de sistemas deber realizar dicha auditora a los si-
guientes aspectos:
La infraestructura informtica para la prestacin de los servicios outsourcing.
La administracin adecuada y el control en la prestacin del servicio de outsour-

cing informtico.
La eficiencia y eficacia de los sistemas de comunicacin entre prestador y con-
tratante de los servicios informticos.
La confiabilidad, veracidad, integridad, oportunidad, suficiencia y calidad con las
que se procesa la informacin de la empresa que contrata los servicios.
La configuracin, composicin e integracin de los sistemas computacionales pa-
ra evaluar la capacidad y suficiencia del prestador de los servicios de cmputo.
El mantenimiento preventivo y correctivo de los servicios de cmputo, tanto del
prestador como del que los contrata.
Esta auditora se realiza para evaluar todo lo relacionado con la prestacin de ser-
vicios informticos (outsourcing informtico), enfocndola hacia el anlisis de los sis-
temas computacionales que tiene el que proporciona el servicio y tambin la forma en
que lleva a cabo esta actividad. Dicha evaluacin se puede realizar en varias formas.
A continuacin realizaremos, desde varias perspectivas, un anlisis sobre los aspec-
tos que se deben evaluar en la auditora outsourcing en los sistemas computacionales:
Los servicios prestados por medio de sistemas compartidos son aquellos en los
que se tienen sistemas computacionales conectados a una red principal, administrada
por el prestador del servicio, en la que se realiza todo la captura, procesamiento, cus-
todia y administracin de la informacin de la empresa contratante; en dicha red tam-
bin se administra el uso de los sistemas de desarrollo y aplicacin; adems se
proporciona ayuda en lnea para resolver cualquier problemtica de los usuarios a los
que se les proporciona este servicio informtico.* Aqu se debe aplicar la auditora a
los sistemas de redes (seccin 12.7), analizando los aspectos sealados para las redes,
pero enfocndola con especial nfasis a la prestacin de servicios.
Cuando se suministran los servicios con equipos individuales, no conectados a la
red, stos se utilizan nicamente para llevar a cabo el procesamiento de la informacin
en la empresa contratante; dichos equipos pueden estar en las instalaciones del recep-
tor del servicio, con el fin de realizar ah todas las actividades necesarias para la cap-
tura, procesamiento de informacin y emisin de resultados, Para lo cual fue
contratado.** Para realizar esta auditora, es recomendable utilizar los mismos proce-
dimientos sealados para la auditora al sistema computacional (seccin 12.4), eva-
* Los servicios outsourcing en sistemas de cmputo se pueden proporcionar mediante sistemas en lnea conecta-
dos a una red de computadoras administrada por el proveedor; en la que se lleva el control de la captura y proce-
samiento de informacin y emisin de resultados; esto hace que las computadoras instaladas en la empresa que
recibe el servicio, en este caso terminales de la red, sean consideradas como parte de una red, con los privilegios
de acceso, niveles de consulta, contraseas y dems restricciones que permiten las redes, para as contar con la
confiabilidad necesaria para el manejo confidencial de la informacin de la empresa. Tambin se proporciona la
ayuda en lnea para solucionar las problemticas que se les presentan a los usuarios outsourcing.
** Este tipo de servicios se utiliza, por lo general, slo para pequeas aplicaciones, como la nmina, la contabili-
dad, cobranzas, enseanza o cualesquier otras aplicaciones, pero de manera individualizada y, casi siempre, para
pequeas y medianas empresas o reas especiales que no necesitan grandes aplicaciones.
luando todo lo sealado en ese apartado, adems de los puntos que trataremos pos-
teriormente.
En ambos casos, adems de esos puntos indicados, la auditora outsourcing en los
sistemas computacionales se tiene que complementar con las evaluaciones que pre-
sentamos a continuacin.
12.8.1 Auditora a los sistemas, personal informtico,

instalaciones, comunicacin y dems aspectos relativos
al prestador de los servicios outsourcing
En esta auditora se evala la eficiencia y eficacia con las que el prestador de servicios
proporciona los servicios informticos a la organizacin que lo contrat; para realizar
esta evaluacin se deben tomar en cuenta estos criterios: si el servicio se proporcio-
na a travs de sistemas de redes, entonces se debe aplicar lo sealado para la audi-
tora a los sistemas de redes (seccin 12.7), analizando los aspectos sealados para las
redes, pero enfocando la evaluacin en la prestacin de servicios informticos. Pero si
los servicios se prestan con sistemas individuales, entonces se sugiere utilizar los
procedimientos sealados para la auditora al sistema computacional (seccin 12.4),
pero adaptndolos para analizar la forma en que terceras personas suministran los ser-
vicios informticos.
Para ambas posibilidades se sugiere aplicar la auditora que corresponda al tipo de
prestacin de servicios, junto con los aspectos que complementan la auditora outsour-
cing, mismos que presentamos a continuacin:
Evaluacin de la prestacin de los servicios outsourcing informticos.
Existencia del contrato de servicios outsourcing informticos, contemplando
las clausuras de servicio, seguridad, costos, tipo de servicios y todos los de-
talles inherentes a la prestacin de la actividad informtica.
Anlisis de la planeacin estratgica del servicio outsourcing, en relacin con:
La administracin de la prestacin/recepcin de servicios outsourcing in-
formticos.
El cumplimiento de la misin, visin y objetivo de la actividad outsourcing
informtica, tanto del prestador de servicios como de quien los contrata.

La existencia y aplicacin de las estrategias, procedimientos y funciones
sustantivas para proporcionar el servicio outsourcing informtico.

La existencia, aplicacin y seguimiento de las polticas, normas y lineamientos
que regulen la actividad informtica en la empresa y en el rea de sistemas.

La existencia, difusin, seguimiento y control de la misin, visin, objetivo,
polticas, normas, lineamientos y procedimientos para cumplir con la acti-

vidad y el servicio outsourcing informticos en la organizacin.
Evaluacin de las estructuras de organizacin del rea de sistemas del presta-

dor de servicios y de la empresa receptora del servicio outsourcing informtico,
en cuanto a los siguientes aspectos:
Divisin funcional (u otro criterio) para el servicio outsourcing informtico,
tanto del prestador como del receptor del servicio.
Estructura y perfiles de puestos para el servicio outsourcing informtico, tan-
to del prestador como del receptor del servicio.
Cumplimiento en las funciones, canales de comunicacin (formales e infor-
males), niveles de autoridad y responsabilidad de los puestos para el servicio
outsourcing informtico en el rea de sistemas del prestador del servicio.
Estructuras para el desarrollo de proyectos, atencin a usuarios y operacin
de las actividades outsourcing informticas.
Evaluacin de la administracin de las funciones, actividades, tareas y operacio-
nes del prestador del servicio para cumplir con la actividad outsourcing inform-
tica de la empresa contratante.
Existencia, difusin, cumplimiento y seguimiento de los compromisos, funcio-
nes, actividades, tareas y operaciones de la actividad outsourcing informtica
en el rea de sistemas.
Cumplimiento de los mtodos, procedimientos, fundamentos y principios ad-
ministrativos, as como de manuales e instructivos aplicables a la actividad
outsourcing informtica por parte del prestador de servicios.
Evaluacin de la direccin del rea de prestacin/recepcin de servicios out-
sourcing informticos de la empresa contratante y de la empresa que presta
el servicio.
Anlisis del ambiente laboral en la prestacin/recepcin del servicio out-
sourcing informtico.
Anlisis del estilo de liderazgo, relaciones de trabajo, jerarquas de autori-
dad y ejercicio de autoridad en la prestacin/recepcin del servicio out-

sourcing informtico.
Evaluacin del cumplimiento de la responsabilidad en la recepcin o en la
prestacin del servicio outsourcing informtico.

Anlisis de la coordinacin del personal, usuarios y recursos informticos
del rea utilizados para la prestacin/recepcin del servicio outsourcing in-

formtico.
Evaluar la forma en que se ejerce y se controla la toma de decisiones para
la prestacin/recepcin del servicio outsourcing informtico.

Anlisis de la integracin de grupos de trabajo para la prestacin/recep-
cin del servicio outsourcing informtico, as como de las relaciones de co-

municacin formal (comunicacin escrita, verbal, correo electrnico u
otras formas de comunicacin).
Evaluacin de la administracin del factor humano del rea de sistemas.*

Coordinacin de las funciones, actividades, tareas y operaciones del personal
informtico destinado a la prestacin/recepcin del servicio outsourcing in-
formtico.
Divisin de las funciones, actividades y operaciones del factor humano dedi-
cado a la prestacin/recepcin del servicio outsourcing informtico.
Evaluacin de la existencia y cumplimiento de los planes y programas de ca-
pacitacin, adiestramiento y promocin del personal dedicado a la presta-
cin/recepcin del servicio outsourcing informtico.
Anlisis de la rotacin y movilidad en el personal dedicado a la prestacin/re-
cepcin del servicio outsourcing informtico, as como de los procesos de se-
leccin de personal para esta actividad.
Anlisis de la remuneracin y prestaciones para el personal dedicado a la
prestacin/recepcin del servicio outsourcing informtico, as como de la
motivacin para que permanezca y progrese en esta actividad.
Anlisis de la integracin de grupos de trabajo dedicados a la prestacin/re-
cepcin del servicio outsourcing informtico, as como de la gestin directiva
de funcionarios, empleados y usuarios.
Anlisis de la asignacin y cumplimiento de las funciones y actividades del
personal dedicado a la prestacin/recepcin del servicio outsourcing infor-
mtico, as como del perfil de puestos de dicho personal.
Anlisis de la existencia y aplicacin de estudios ergonmicos para el perso-
nal y usuarios dedicados a la prestacin/recepcin del servicio outsourcing
informtico.
Evaluacin de la administracin de los recursos informticos no humanos del
rea de sistemas
Anlisis de la administracin del sistema computacional, en relacin con el
hardware, software y con las instalaciones dedicadas a la prestacin/recep-
cin del servicio outsourcing informtico.
Anlisis de la administracin de las telecomunicaciones, bases de datos e in-
formacin del sistema computacional dedicado a la prestacin/recepcin del
servicio outsourcing informtico.
Anlisis de la administracin del mobiliario, equipo, bienes materiales, consumi-
bles y materiales de oficina utilizados en la prestacin/recepcin del servicio out-
sourcing informtico, as como del manejo financiero de los bienes informticos.
Anlisis de la administracin de las adquisiciones de sistemas computaciona-
les, hardware, software, perifricos, mobiliario, consumibles y dems imple-
mentos para la prestacin/recepcin del servicio outsourcing informtico.
* En la seccin 9.5.6. del captulo 9 determinamos la divisin natural del personal que labora en el rea de siste-
mas, clasificndolo en: personal del rea de sistemas, usuarios, asesores y consultores, proveedores y distribuido-
res de sistemas. Esto es totalmente aplicable en la evaluacin de la prestacin del servicio outsourcing informtico.
Anlisis de los planes, programas y presupuestos que afectan a la gestin fi-

nanciera y contable de sus recursos dedicados a la prestacin/recepcin del
Evaluacin de los controles informticos del rea de sistemas dedicada a la
prestacin/recepcin del servicio outsourcing informtico.*
Anlisis de la aplicacin de los controles internos a los servicios outsourcing
informticos.
Controles internos sobre la organizacin de la prestacin/recepcin del
servicio outsourcing informticos.

Controles internos sobre el desarrollo de sistemas dedicados a la presta-

Controles internos sobre la operacin de los sistemas dedicados a la pres-
tacin/recepcin del servicio outsourcing informtico.

Controles sobre los procedimientos de entrada de datos, procesamiento de
informacin y emisin de resultados con el servicio outsourcing informtico.

Controles internos sobre la seguridad en la prestacin/recepcin del servi-
cio outsourcing informtico.

Evaluacin de la existencia, establecimiento y uso de los estndares de siste-
mas dedicados a la prestacin/recepcin del servicio outsourcing informtico.
Metodologas del anlisis y diseo de sistemas dedicados a la prestacin-
/recepcin del servicio outsourcing informtico.

Anlisis del uso de software, lenguajes y programas de desarrollo para la
programacin y codificacin de sistemas dedicados a la prestacin/recep-

Anlisis de la elaboracin y seguimiento de pruebas y simulaciones de sis-
temas, programas y lenguajes de cmputo nuevos dedicados a la presta-

cin/recepcin del servicio outsourcing informtico, as como el anlisis
de la liberacin e implementacin de nuevos sistemas, de la capacitacin
y adiestramiento del personal y los usuarios del rea de sistemas y de la
documentacin de los sistemas
Anlisis de las adquisiciones de sistemas computacionales, materiales y
dems componentes y consumibles dedicados a la prestacin/recepcin

del servicio outsourcing informtico.
Auditora a la documentacin y dems estndares de sistemas dedicados a la
prestacin/recepcin del servicio outsourcing informtico.
* En el captulo 5 de este libro analizamos el control interno informtico aplicable en una auditora a los sistemas
computacionales. Adems, en el captulo 4 tambin analizamos el control informtico contable, igualmente aplica-
ble en este tipo de auditora.
Existencia, difusin, prstamo y uso de los manuales de usuarios, manua-
les tcnicos de los sistemas, manuales de capacitacin, manuales de ope-
racin y bitcoras de nuevos proyectos.
Anlisis de la documentacin de pruebas y simulaciones de sistemas, de la
actualizacin de manuales e instructivos de sistemas computacionales, ma-
nuales de organizacin, procedimientos, operacin y dems documenta-
cin normativa del rea de sistemas.
Hemos presentado los conceptos anteriores, de manera muy general, para evaluar
la prestacin del servicio outsourcing informtico; sin embargo, al igual que en los ti-
pos de auditora anteriores, el responsable de la auditora debe utilizar los puntos pro-
puestos segn sus necesidades y de acuerdo con las caractersticas especficas de los
servicios outsourcing informticos proporcionados a los usuarios de la empresa. Asi-
mismo, es potestad del responsable de la auditora determinar los criterios adecuados
para medir la eficacia y eficiencia de esta actividad en la empresa que audita.
12.8.2 Evaluacin de la forma en que la empresa contratante

recibe el servicio outsourcing
Con la realizacin de esta auditora se busca evaluar la calidad, suficiencia, eficiencia
y eficacia de la recepcin de servicios outsourcing informticos en la empresa, encau-
zando la revisin hacia el anlisis de los sistemas computacionales con los cuales se
proporciona el servicio a los usuarios de la empresa, as como la forma en que se lle-
va a cabo esta actividad. En dicha evaluacin se deben tomar en cuenta los mismos cri-
terios sealados en el tipo de auditora outsourcing anterior:
Cuando los servicios se proporcionan con equipos individuales, no conectados en
red, stos se utilizan nicamente para llevar a cabo el procesamiento de la informacin
en la empresa receptora; dichos equipos pueden estar en las instalaciones de la empre-
sa contratante del servicio y ah, en sus instalaciones, es donde se debe realizar la eva-
luacin de todas las actividades que se realizan para la captura de datos, procesamiento
de informacin y emisin de resultados en sistemas computacionales particulares.
Los servicios prestados por medio de sistemas compartidos son aquellos en los que
la empresa que proporciona el servicio administra los sistemas computacionales de la
empresa contratante por medio de una red principal; en dicha red se realiza toda la cap-
tura, procesamiento, custodia y administracin de la informacin de la organizacin con-
tratante, as como la administracin del uso de sus sistemas; adems, la empresa
contratante recibe ayuda en lnea para resolver cualquier problemtica de sus usuarios.*
* Recordemos que los servicios outsourcing en sistemas computacionales se pueden proporcionar mediante siste-
mas en lnea conectados a una red de computadoras, administrada por el proveedor, en donde se lleva el control
de la actividad informtica y de la informacin, con los privilegios de acceso, niveles de consulta, contraseas y de-
ms restricciones que permiten las redes, para as contar con la confiabilidad necesaria para el manejo confiden-
cial de la informacin de la empresa contratante. Adems, dicha empresa obtiene la ayuda en lnea para solucionar
las problemticas de sus usuarios.
Es recomendable aplicar la auditora que corresponda a cualquiera de los dos ti-

pos de recepcin de servicios que tratamos anteriormente, junto con los aspectos que
complementan la auditora outsourcing, mismos que presentamos a continuacin:
Inventarios de la prestacin de servicios outsourcing informticos.
Inventarios de los componentes de las redes de cmputo o sistemas indivi-
duales de la empresa receptora de los servicios outsourcing informticos,
contemplando dentro de sus instalaciones:
Inventario de los servidores, terminales, cableados, componentes de la red,
medios de comunicacin y dems bienes informticos que integran la red

de prestacin de servicios outsourcing informticos instalada en la organi-
zacin contratante.
Inventario de la configuracin de los sistemas individuales con los que se
presta el servicio outsourcing informtico en la organizacin contratante,

contemplando en forma particular: los fabricantes, marcas, modelos, pro-
cesadores, tarjetas madre, velocidad, configuracin, componentes, memo-
rias, sistemas de almacenamiento, tarjetas adicionales, nmeros de serie,
responsables de su resguardo y todos los dems aspectos relativos al in-
ventario de estos equipos para recibir el servicio outsourcing informtico.
Inventario del software de desarrollo y de aplicacin que est a disponibi-
lidad de los usuarios que reciben el servicio outsourcing informtico, a fin

de comprobar que se satisfagan las necesidades informticas de la empre-
sa receptora de dicho servicio.
Inventario del personal destinado a la recepcin de los servicios outsour-
cing informticos en la organizacin receptora, as como del personal infor-

mtico del prestador de los servicios.
Evaluacin de la recepcin de los servicios outsourcing informticos.*
Evaluacin de la existencia y cumplimiento del contrato del servicio outsour-
cing informtico, contemplando las clausuras de servicio, seguridad, costos,
tipo de servicios y todos los detalles inherentes a la prestacin de la activi-
dad informtica.
Anlisis de la administracin estratgica de la prestacin/recepcin de los
servicios outsourcing informticos, en relacin con:
Evaluacin de las estructuras de organizacin del rea de sistemas del presta-
dor de servicios outsourcing informticos, as como de las de la empresa que
contrata dichos servicios, en cuanto a:
* Para no ser repetitivos en estos conceptos, se deben aplicar los mismos aspectos sealados para la auditora a
los sistemas, personal informtico, instalaciones, comunicacin y dems aspectos relativos al prestador de
servicios outsourcing (seccin 12.8.1); por esta razn, nicamente se mencionan los principales puntos a consi-
derar; pero enfocados hacia la recepcin de los servicios outsourcing.
Evaluacin de la administracin de las funciones, actividades, tareas y operacio-

nes del prestador del servicio para cumplir con la actividad outsourcing inform-
tica de la empresa contratante.
Cumplimiento de los mtodos, procedimientos, fundamentos y principios ad-
ministrativos, as como de manuales e instructivos aplicables a la actividad
outsourcing informtica por parte del prestador de servicios.
Evaluacin de la direccin del rea de prestacin/recepcin de los servicios
outsourcing informticos de la empresa contratante y de la empresa que
presta el servicio.
Auditora a la administracin del factor humano del rea de sistemas.*
Coordinacin de las funciones, actividades, tareas y operaciones del perso-
nal informtico destinado a la prestacin/recepcin del servicio outsourcing
informtico.
Divisin de las funciones, actividades y operaciones del factor humano dedi-
cado a la prestacin/recepcin del servicio outsourcing informtico.
Evaluacin de la existencia y cumplimiento de los planes y programas de ca-
pacitacin, adiestramiento y promocin del personal dedicado a la presta-
Anlisis de la rotacin y movilidad en el personal dedicado a la prestacin/re-
cepcin del servicio outsourcing informtico, as como de los procesos de se-
leccin de personal para esta actividad.
Anlisis de la remuneracin y prestaciones para el personal dedicado a la
prestacin/recepcin del servicio outsourcing informtico, as como de la
motivacin para que permanezca y progrese en esta actividad.
Anlisis de la integracin de grupos de trabajo dedicados a la prestacin/re-
cepcin del servicio outsourcing informtico, as como de la gestin directi-
va de funcionarios, empleados y usuarios.
Anlisis de la asignacin y cumplimiento de las funciones y actividades del
personal dedicado a la prestacin/recepcin del servicio outsourcing infor-
mtico, as como del perfil de puestos de dicho personal.
Anlisis de la existencia y aplicacin de estudios ergonmicos para el perso-
nal y usuarios dedicados a la prestacin/recepcin del servicio outsourcing
informtico.
Evaluacin de la administracin de los recursos informticos no humanos del
rea de sistemas.
Anlisis de la administracin del sistema computacional, en relacin con el
hardware, software y con las instalaciones dedicadas a la prestacin/recep-
* En la seccin 9.5.6 del captulo 9 determinamos la divisin natural del personal que labora en el rea de siste-
mas, clasificndolo en: personal del rea de sistemas, usuarios, asesores, consultores, distribuidores y proveedores
de sistemas. Esto es totalmente aplicable en la evaluacin de la recepcin del servicio outsourcing informtico.
Anlisis de la administracin de las telecomunicaciones, bases de datos e in-

formacin del sistema computacional dedicado a la prestacin/recepcin del
Anlisis de la administracin del mobiliario, equipo, bienes materiales, con-
sumibles y materiales de oficina utilizados en la prestacin/recepcin del
servicio outsourcing informtico, as como del manejo financiero de los bie-
nes informticos.
Anlisis de la administracin de las adquisiciones de sistemas computacio-
nales, hardware, software, perifricos, mobiliario, consumibles y dems im-
plementos para la prestacin/recepcin del servicio outsourcing informtico.
Anlisis de los planes, programas y presupuestos que afectan a la gestin fi-
nanciera y contable de sus recursos dedicados a la prestacin/recepcin del
Auditora de los controles informticos del rea de sistemas dedicada a la pres-
tacin/recepcin del servicio outsourcing informtico.
Anlisis de la aplicacin de los controles internos a los servicios outsourcing
informticos.
Evaluacin de la existencia, establecimiento y uso de los estndares de siste-
mas dedicados a la prestacin/recepcin del servicio outsourcing informtico.
Auditora a la documentacin y dems estndares de sistemas dedicados a
la prestacin/recepcin del servicio outsourcing informtico.
Hemos presentado estos conceptos, de manera muy general, para evaluar la activi-
dad outsourcing informtica; el propsito es indicar los principales aspectos a conside-
rar para auditar lo relacionado con la recepcin de servicios outsourcing informticos en
la empresa; sin embargo, al igual que en los tipos de auditora anteriores, el responsable
de la auditora debe utilizar los puntos propuestos segn las necesidades y caractersti-
cas especficas de los servicios outsourcing informticos que reciben los usuarios de la
empresa. Asimismo, es potestad del responsable de la auditora determinar los criterios
adecuados medir la eficacia y eficiencia de esta actividad en la empresa que audita.
12.8.3 Evaluacin del servicio HelpDesk (ayuda en lnea) de la empresa

El servicio HelpDesk est concebido para ayudar a resolver, dentro de la misma em-
presa, los problemas que se les presentan a los usuarios en el manejo de sus sistemas
computacionales; con esta ayuda se abarcan todos los problemas que ocurren durante
la actividad informtica. Lo mismo desde el simple manejo de los sistemas, tales como
no poder prender la computadora, que no enciende la pantalla o no funciona la impre-
sora, hasta la solucin a problemticas ms complicadas en el manejo del software ins-
titucional, las deficiencias tcnicas en la aplicacin de los sistemas y el mantenimiento
correctivo y preventivo a stos o a sus aplicaciones informticas. Lo fundamental de es-
te servicio es que ayuda a corregir cualquier deficiencia en la prctica de la actividad in-

formtica de la empresa.
Para que se preste con eficiencia y eficacia el servicio HelpDesk, es indispensable
que los equipos de los usuarios estn conectados con la red de servicio, a fin de que,
al recibir una llamada de auxilio del usuario, el encargado de solucionar el problema
pueda identificar la problemtica y, de ser posible, se aboque a la aplicacin de ruti-
nas y procedimientos de solucin desde su terminal. En la prctica real, casi todos los
servicios se solucionan desde una terminal, y son muy pocos los casos en los que el
especialista se tiene que desplazar al rea fsica donde est la computadora para re-
solver ah el problema. Aunque esto ltimo tambin es ayuda de escritorio.
La funcin del auditor es, precisamente, evaluar todos los aspectos relativos a la
calidad, rapidez y confiabilidad con la que se proporciona este servicio a los usuarios.
Evaluacin del soporte tcnico, de asistencia y capacitacin a los usuarios, as
como del mantenimiento de los sistemas y deteccin de incidencias de proble-
mticas para la solucin a los reportes de los usuarios.*
Anlisis de la oportunidad en la atencin y solucin de las problemticas re-
portadas por los usuarios del sistema.
Evaluacin estadstica de las incidencias de mayor problemtica reportadas,
y valoracin de los tiempos de solucin a esos reportes.
Anlisis de la capacidad de respuesta del personal especializado para solu-
cionar las problemticas que reportan los usuarios.
Evaluacin de la comunicacin en lnea entre los usuarios y el servicio Help-
Desk, tanto de la comunicacin telefnica como en red.
Evaluacin de la eficacia y eficiencia de las formas de comunicacin, ya sea
telefnica, escrita, va fax, correo electrnico o cualquier otro medio, entre el
prestador del servicio y el usuario solicitante de las ayudas.
Anlisis de las bitcoras de reportes y de servicios, a fin de evaluar.
La calidad en la atencin de las solicitudes de servicios.
La oportunidad, en das u horas promedio, en que se proporciona el servi-
cio, desde que entra la llamada hasta su solucin final.

La capacitacin tcnica y psicolgica para la atencin a los usuarios solici-
tantes de servicios, aun en caso de desconocimiento del manejo elemen-

tal de los sistemas computacionales.
* Para la prctica de esta auditora, tambin se tienen que incluir la evaluacin a cada uno de los aspectos seala-
dos para la auditora a los sistemas, personal informtico, instalaciones, comunicacin y dems aspectos re-
lativos al prestador de los servicios outsourcing (seccin 12.8.1) y la evaluacin de la forma en que la empresa
contratante recibe el servicio outsourcing (seccin 12.8.2); debido a que stos forman parte sustancial de la eva-
luacin de estos servicios adems de los aspectos que ah se agregan.
La frecuencia de las incidencias y problemticas que reportan los usuarios,

evaluando estadsticamente las mayores ocurrencias, sus soluciones y las

medidas para evitar que se presenten.
La confiabilidad en la solucin a los problemas reportados, en grado de
aceptacin y porcentaje de soluciones.

Acciones de capacitacin para los usuarios, sobre la base de los reportes de
incidencias, a fin de evitar la frecuencia de los reportes.
Evaluacin de las actividades en lnea para la solucin de las problemticas
reportadas por los usuarios.
Evaluacin de las actividades tcnicas para proporcionar asistencia y manteni-
miento a los sistemas computacionales.*
Anlisis de los objetivos, caractersticas, componentes, conectividad y comu-
nicacin de la red para la atencin en lnea HelpDesk y su aplicacin en la
solucin de las problemticas reportadas por los usuarios del sistema.
Anlisis de las caractersticas de configuracin de la red, en cuanto a topolo-
gas, tipo de red, componentes, protocolos de comunicacin, servidores, ter-
minales, instalaciones de comunicacin y dems aspectos de la red utilizada
para proporcionar la ayuda en lnea a los usuarios de dicha red.
Anlisis de los componentes internos, externos y de la arquitectura fsica y l-
gica del sistema de red, a fin de evaluar que cuente con los elementos tcni-
cos necesarios para prestar la ayuda en lnea a los usuarios del sistema.
Anlisis de la confiabilidad y funcionalidad de los medios de transmisin,
medios fsicos, instalaciones telefnicas, de datos y de energa elctrica que
se utilizan para mantener la comunicacin entre el usuario demandante de
auxilio y el prestador de la ayuda en lnea.
Anlisis del diseo y funcionamiento de los servidores, estaciones de trabajo,
componentes, perifricos, sistemas de instalaciones, protocolos de comunica-
cin y enlace fsico de la red, a fin de evaluar la eficiencia de las comunicacio-
nes para la ayuda en lnea de los usuarios.
Anlisis del diseo y aplicacin del software especializado de atencin, solu-
cin, desarrollo y aplicacin para atender y solucionar las necesidades de
cmputo de los usuarios del sistema.
Anlisis de las utileras, bibliotecas y dems software que se utiliza en la red.
Anlisis de la proteccin, resguardo, respaldo y custodia de la informacin de
los usuarios que solicitan ayuda en lnea, as como el respaldo de dicha in-
* En esta auditora se sugiere aplicar los mismos puntos sealados para la auditora al sistema computacional
(seccin 12.4) y la auditora a los sistemas de redes (seccin 12.7), ya que ambos casos se aplican a la presta-
cin de este servicio; dndoles el enfoque de servicios de HelpDesk; tambin se puede complementar con lo se-
alado en la auditora alrededor de la computadora (seccin 12.5), pero dndole el enfoque de evaluacin de
servicios HelpDesk.
formacin, evaluando la ayuda y capacitacin proporcionadas a los usuarios

para el manejo ptimo de su informacin.
Anlisis de la administracin y control de la red de servicios en lnea, eva-
luando el cumplimiento de:
La confiabilidad, privilegios, niveles de acceso y contraseas para ingresar
a la red y a las terminales que solicitan ayuda en lnea, a fin de mantener la

integridad del sistema y proporcionar la atencin solicitada en dicha red.
El funcionamiento tcnico y operativo de los sistemas de red de ayuda en
lnea y del software especializado de atencin a usuarios y mantenimiento

fsico.
La seguridad de la red y proteccin de los activos informticos de la red de
servicios* y de los sistemas computacionales para la atencin HelpDesk, a

fin de mantenerlos en condiciones ptimas para la prestacin de la ayuda
en lnea a los usuarios.

en la auditora outsourcing en los sistemas computacionales
Como hemos sealado, en esta auditora outsourcing en los sistemas computaciona-
les se busca evaluar la eficiencia y eficacia con las que la empresa prestadora de estos
servicios proporciona dichos servicios a la empresa que los contrata, enfocndolos a
la administracin de la actividad de outsourcing; analizando la calidad, rapidez, opor-
tunidad, confiabilidad, eficacia y eficiencia con las que trabaja para administrar la ac-
tividad informtica y la informacin de la institucin contratante; tambin, sus recursos
informticos, el manejo, confiabilidad, oportunidad y calidad, el tratamiento de la in-
formacin y los resultados.
Por esta razn, se recomienda al auditor que practique esta auditora, que utilice
cualquiera de las herramientas sealadas en los captulos 9, 10 y 11 de este libro, y que
las adapte a los aspectos concretos, de carcter tcnico y de servicio, que se requie-
ren para evaluar todo lo sealado en el servicio outsourcing y HelpDesk analizados en
esta seccin. Claro est, como en los casos anteriores, utilizando estos puntos de
acuerdo con su experiencia, conocimientos y habilidades.
herramientas, siguiendo cada uno de los puntos anotados para la auditora outsourcing
en los sistemas computacionales:
* En esta parte se recomienda utilizar los puntos sealados en la auditora de la seguridad de los sistemas compu-
tacionales (seccin 12.6), con las adaptaciones necesarias para evaluar la seguridad de la red de ayuda en lnea.
luacin sobre la prestacin del servicio outsourcing informtico y ayuda en lnea,

sobre la calidad, rapidez, eficiencia, eficacia y confiabilidad de la atencin; as co-
mo sobre la funcionalidad, configuracin e instalaciones fsica y lgica de la red
utilizada para la atencin y ayuda a los usuarios; tambin en la indagatoria de la
actualizacin del sistema, las medidas preventivas y correctivas relacionadas con
la prestacin de la actividad informtica del rea de sistemas y de la pronta aten-
cin a los problemas relacionados con la actividad informtica de la empresa.
Tambin puede aplicar dichas herramientas para evaluar la opinin de los usua-
rios de sistemas, respecto al funcionamiento de la red de servicios, frecuencia
de fallas, el tiempo de respuesta y la calidad de la atencin, as como sobre la
satisfaccin de sus necesidades informticas, la disponibilidad de los sistemas,
el manejo de la informacin de sus reas y, por ltimo, sobre la administracin
outsourcing de los sistemas de red de la empresa.
Adems, quiz como una de las primeras acciones de evaluacin, el auditor de sis-
temas tambin puede utilizar la siguiente herramienta:
bienes informticos destinados al funcionamiento de la red de servicios para
atender las necesidades outsourcing y ayuda en lnea de las reas de la empre-
sa contratante, as como de los bienes informticos que se pueden analizar en
el funcionamiento de los sistemas que conforman la red de servicios. Para llevar
a cabo esto, es recomendable realizar estos inventarios:
Inventario de los componentes de las redes de servicio outsourcing o siste-
mas individuales que cumplan con la prestacin de servicios informticas en
la organizacin, contemplando los servidores, terminales, cableados, compo-
nentes y dems bienes informticos que integran la red, as como los fabrican-
tes, marcas, modelos procesadores, tarjetas madre, velocidad, configuracin,
memorias, sistemas de almacenamiento, tarjetas adicionales, nmeros de se-
rie, responsables de su resguardo y todos los dems aspectos relacionados
con dicho inventario.
leras y dems software institucional, incluyendo licencias, resguardos, origi-
nales, copias autorizadas y copias pirata, a fin de valorar la prestacin de los
servicios informticos y la ayuda en lnea con estos sistemas.
Inventario de la seguridad y proteccin de la informacin y datos del sistema
de red de servicios, a fin de evaluar la confiabilidad en el manejo de los re-
cursos informticos de la empresa que presta los servicios informticos y la
ayuda en lnea.
rea de sistemas, para valorar su proteccin y uso adecuados.
Inventario de los medios, privilegios, niveles y mtodos de acceso a los siste-

mas de los usuarios en lnea, a fin de valorar la confiabilidad en el acceso a
su informacin y a los sistemas operativos, lenguajes, programas y dems
software institucional de esas redes o de los equipos mayores en red.
Inventario de las instalaciones fsicas de las reas que reciben y proporcionan
los servicios outsourcing y ayuda en lnea, a fin de evaluar la calidad, confia-
bilidad, control y vigilancia del uso de los bienes informticos en las activida-
des outsourcing informticas y ayuda en lnea.
Inventario de las configuraciones, protocolos, tarjetas y dems tecnologa uti-
lizada para el funcionamiento de los sistemas de red de servicios outsourcing
y ayuda en lnea, as como de los sistemas individuales de servicios.
Inventarios de las normas, polticas, reglamentos, medidas preventivas y co-
rrectivas del rea de sistemas, a fin de evaluar la satisfaccin de las necesi-
dades de servicios outsourcing informticos y ayuda en lnea de la empresa.
Otros inventarios relacionados con la prestacin/recepcin de los servicios
outsourcing informticos y ayuda en lnea (HelpDesk) para los usuarios de
sistemas de la empresa.
al elaborar su programa de auditora a los sistemas de redes utilizados para brindar el
servicio outsourcing informtico:
cficamente cada uno los aspectos importantes del funcionamiento de las redes
que tiene que evaluar, tanto en lo tcnico, como en la configuracin, operacin,
compatibilidad, comunicacin y dems aspectos relacionados con el funciona-
miento de la red. Para ello es recomendable que tome en cuenta cada uno de
los puntos indicados en el inicio de esta seccin, adaptndolos a las necesida-
des especficas de la red en la empresa, e incluso modificndolos para adecuar-
los conforme a sus propias necesidades de evaluacin, y conforme a las
caractersticas propias del sistema de red, a su tamao, componentes, configu-
racin y dems peculiaridades de la red.
guientes:
Las tcnicas de observacin (seccin 9.4), a fin de evaluar el funcionamiento del
sistema operativo de la red de servicios, as como el procesamiento de la infor-
macin y el uso del software institucional, para comprobar la calidad, confiabili-
dad, oportunidad, eficacia y eficiencia de los servicios outsourcing informticos y
la ayuda en lnea proporcionados a los usuarios, ya sea por medio de sistemas in-
dividuales o con las redes de servicios. Asimismo, cuando el caso lo requiera, el
auditor podr realizar la observacin oculta, participativa, el monitoreo y los de-

ms tipos de observacin descritos en esa seccin.
Las tcnicas de revisin documental (seccin 10.5) para revisar la prestacin
del servicio outsourcing informtico y la eficiencia de la atencin en lnea, me-
diante el anlisis de los documentos que avalen el tipo de servicios que se de-
ben recibir/proporcionar, los proyectos de instalacin de la red de servicios, de
configuracin y distribucin de los componentes de la red, as como para eva-
luar los planes de atencin a contingencias, los manuales e instructivos de se-
guridad, las licencias y resguardos de sistemas, bitcoras de reportes de
incidencias de atencin a los servicios solicitados y acciones de mantenimiento.
con esta tcnica tambin se puede hacer el anlisis de los planes, programas y
presupuestos para valorar la satisfaccin de los requerimientos de operacin y
funcionalidad de la actividad informtica contratada. Obviamente, esta revisin
se debe hacer para evaluar lo que se refiera a la administracin y control de los
servicios outsourcing informticos y la ayuda en lnea que integran la presta-
cin/recepcin de estos servicios.
las preferencias y necesidades de revisin del auditor; con estas herramientas
puede analizar las fortalezas y debilidades del servicio outsourcing informtico, ta-
les como la administracin del servicio, la calidad en la atencin a los usuarios y
las ventajas y desventajas de dicho servicio en la empresa; asimismo, puede eva-
luar las fortalezas y debilidades en el manejo de los sistemas a travs de terceros,
el manejo de software e informacin, el mejor aprovechamiento de la cobertura
de necesidades informticas de la empresa y la respuesta a las solicitudes de ser-
vicios outsourcing informticos y de ayuda en lnea para los usuarios.
Tambin puede analizar las reas de oportunidad para fortalecer la funcin de
comunicacin entre los sistemas de la empresa que proporciona el servicio out-
sourcing y la ayuda en lnea y los usuarios de la empresa que los recibe, evaluan-
do las amenazas y fortalezas de la actualizacin en las tecnologas de servicio,
las necesidades de reas internas de cmputo, los costos de la actividad infor-
mtica, as como el avance de la tecnologa de redes y comunicacin para evi-
tar la fragilidad en la actualizacin de la actividad informtica de la institucin
que recibe los servicios.
El uso de la lista de chequeo (seccin 11.6) es muy importante, ya que, con es-
ta herramienta, se puede verificar que quien realice la auditora cubra todos los
puntos descritos en su planeacin de auditora. Inclusive, de acuerdo con el di-
seo de esta lista de chequeo, tambin puede auditar todos los aspectos que re-
percuten en la prestacin de los servicios outsourcing informticos y en la ayuda
en lnea.
El uso de las tcnicas de muestreo (seccin 9.6), debido a que sera casi impo-
sible, a la vez que inoperante, revisar todas las actividades que se llevan a cabo
para el cumplimiento de las funciones, tareas y operaciones de la prestacin/re-
cepcin del servicio outsourcing y la ayuda en lnea, ms si stos se realizan me-
diante una red de servicios, y sta es WAN o Internet. Por esta razn, al practicar
el levantamiento de informacin, el auditor tiene que utilizar muestras represen-
tativas para evaluar el cumplimiento de las necesidades de los usuarios del ser-
vicio outsourcing informtico, de acuerdo con las necesidades y caractersticas
de la prestacin/recepcin adoptadas en la empresa, sus componentes y la
magnitud de servicios y en la transmisin en lnea.
El responsable de la auditora puede utilizar la siguiente herramienta para evaluar
las funciones de los ejecutivos, empleados y usuarios de sistemas, as como el desem-
peo de todo lo que est alrededor del funcionamiento de una red de cmputo utiliza-
da para la prestacin de servicios outsourcing informticos:
La ponderacin (seccin 11.2) es una de las herramientas ms tiles , ya que le
permite evaluar el funcionamiento adecuado de cada una de las partes en que
se dividi esta auditora, dndole a cada una de esas partes un peso ponderado
que, segn su criterio, le corresponda. Por ejemplo: un peso x para evaluar al
prestador del servicio, otro para el que recibe el servicio y otro ms para la ayu-
da en lnea. Estos pesos ponderados se asignan de acuerdo con un criterio de
evaluacin para hacer ms equitativa la revisin de la actividad outsourcing. De-
bemos sealar que es potestad absoluta del auditor establecer la divisin que
ms convenga a sus requerimientos de evaluacin.
Recordemos que con esta tcnica es posible darle un peso especfico a cada
una de las partes en que se divide la actividad de las redes, y que la pondera-
cin se tiene que adoptar de cada una de las subsecciones que conforman este
subcaptulo.
Otras herramientas que pueden ser de mucha utilidad para evaluar el servicio out-
sourcing, tanto en las empresas que lo proporcionan como en las que lo reciben, son
las siguientes:
simulacros sobre la prestacin de los servicios outsourcing proporcionados a los
usuarios de sistemas de la empresa que los contrata, en este caso mediante el
desarrollo de pruebas simuladas, planeadas previamente, en las que el auditor
hace mal uso del servicio outsourcing y de la ayuda en lnea. Esto se evala a
travs de acciones premeditadas, donde el auditor realiza actividades concretas
para analizar el funcionamiento de la actividad informtica que se ofrece a los
usuarios outsourcing, a la atencin de sus necesidades informticas o solicitu-
des de ayuda en lnea; se pueden hacer tantas pruebas como sean necesarias;
ya sea para mal usar la actividad outsourcing y de ayuda en lnea, para analizar
su comportamiento y cumplimiento, o bien, realizar todo tipo de simulaciones,
de acuerdo con las necesidades de evaluacin y experiencia del auditor, lo cual
le permitir medir el grado de cumplimiento y satisfaccin de las actividades in-
formticas para el servicio de los usuarios de la empresa.
puede ser una herramienta valiosa para el auditor, ya que le permite hacer el se-
guimiento de cualquier actividad de captura, procesamiento de informacin y
emisin de resultados en los sistemas outsourcing y ayuda en lnea, a fin de eva-
luar si el flujo de los servicios es acorde con las necesidades de los usuarios.
Tambin puede hacer el seguimiento de las rutinas de los programas de aten-
cin a los usuarios y la prestacin de los servicios informticos; incluso le sirve
para evaluar que los flujos de comunicacin que se utilizan en la transmisin/re-
cepcin de la informacin y de los servicios que integran la actividad outsour-
cing y ayuda en lnea sean acordes con las actividades y funciones que contrat
la empresa.
pectos que se pueden evaluar mediante la auditora outsourcing en los sistemas compu-
tacionales de acuerdo con sus necesidades especficas de evaluacin, ya que es su
facultad absoluta utilizarlas como estn, adaptarlas e inclusive sustituirlas por aquellos
puntos concretos que le ayuden a realizar mejor su auditora. Tambin debe utilizar las
tcnicas, mtodos y procedimientos de auditora que le agraden o que conozca ms.
12.9 Auditora ISO-9000 a los sistemas computacionales

Es la revisin exhaustiva, sistemtica y especializada que realizan nicamente
los auditores especializados y certificados en las normas y procedimientos
ISO-9000, aplicando en forma exclusiva los lineamientos, procedimientos e
instrumentos establecidos por esta asociacin. El propsito fundamental de
esta revisin es evaluar, dictaminar y certificar que la calidad de los sistemas
computacionales de una empresa se apegue a los requerimientos del ISO-9000.
Es la evaluacin de la calidad de los sistemas computacionales, de acuerdo con los
estndares y requerimientos de las normas ISO-9000, a fin de obtener la certificacin
de los sistemas de la organizacin.
Por lo general, esta auditora ISO-9000 es de carcter externo y tiene que ser prac-
ticada por algn despacho reconocido y autorizado para otorgar la certificacin ISO-
9001, ISO-9004 o la ms reciente, que es la ISO-14000, aplicables segn los criterios
de certificacin a los sistemas de cmputo. Cuando un auditor de sistemas que no es-
t certificado como auditor ISO-9000 realiza la auditora, entonces se considera como

auditora interna de sistemas y no tendr validez para obtener alguna certificacin de
calidad. Para obtener su certificacin de calidad es necesario recurrir a los auditores
ISO-9000, certificados.*
Los fundamentos de la calidad ISO-9000 se pueden resumir en tres acciones fun-
damentales:
Documentar lo que se hace.
Realizar lo que se est documentado.
Revisar lo que se hace con lo documentado.
Casi no existen normas especficas que se puedan aplicar expresamente a la cer-
tificacin de los sistemas computacionales; tal es el caso de la norma ISO-9004, la
cual se puede aplicar a los sistemas computacionales utilizando los elementos de ad-
ministracin y sistemas de calidad en sus cuatro partes:4
Parte 1. Guas
Parte 2. Guas para servicios
Parte 3. Guas para materiales procesados
Parte 4. Guas para mejoramiento de la calidad
Por otro lado, tambin se utiliza la norma ISO-9001, ya que se puede aplicar bajo
el enfoque del modelo cliente-servidor en una fbrica de software a la medida, debido
a que este modelo representa a cualquier empresa que ofrece sus productos (en este
caso software) a sus clientes como resultado de todos los procesos que se siguen pa-
ra realizar dicho software.5
Bajo este enfoque, se pueden aplicar las 20 secciones de esta norma, con sus ca-
ractersticas especficas de aplicacin.
Para el enfoque de auditora ISO-9000 que pretendemos mostrar en esta parte,
aceptaremos como vlidos ambos criterios, a fin aplicar esos elementos a la auditora
ISO-9000 a los sistemas computacionales; tambin debemos sealar que es respon-
sabilidad del auditor vigilar que se cumpla con los puntos indicados en las guas esta-
blecidas en la norma ISO-9004 o con los criterios sealados en la norma ISO-9001.
Adems, el cumplimiento tanto de las acciones como de los aspectos sealados en
las guas de la norma ISO-9004 y en la norma ISO-9001, se verifica a travs de los cri-
terios de las normas fundamentales, las cuales se listan en la siguiente tabla; tambin
se anotan las normas ISO-9002 e ISO 9003, para tener el panorama completo de es-
tos criterios.
* El tratamiento de este punto se refiere exclusivamente a la calidad ISO-9000; sin embargo, los mismos concep-
tos, procedimientos, aplicaciones y sugerencias para realizar este tipo de auditora, tambin pueden hacerse exten-
sivos a las nuevas corrientes de certificacin de calidad que se estn exigiendo a las empresas de hoy. Algunos
ejemplos: NOM (Normas Mexicanas de Calidad), TQS (Sistemas de Calidad Total).
Criterio de la norma ISO-9000* ISO-9001 ISO-9002 ISO-9003 ISO-9004

Responsabilidad administrativa S S S S
Sistemas de calidad S S S S
Revisin del contrato S S S
Control de diseo de proyectos S S
Control de documentos e informacin S S S S
Control de compras (adquisiciones) S S S
Control de productos suministrados S S S
por el cliente
Identificacin del producto y posibilidad S S S S
de seguimiento
Rastreabilidad S S S
Control de procesos S S S
Inspecciones y pruebas S S S S
Control de inspecciones, equipos S S S S
de mediciones y prueba
Estado de inspeccin y prueba S S S S
Control de productos que no llenan requisitos S S S S
Acciones correctivas y preventivas S S S
Manejo, almacenamiento, embalaje, S S S S
preservacin y envo
Control de registros de calidad S S S S
Auditoras internas de calidad S S S S
Programas de capacitacin S S S S
Control de servicios al cliente S S S S
Tcnicas estadsticas S S S S
Costo de la calidad S
El auditor de sistemas que aplica la auditora de calidad ISO-9000 a los sistemas

computacionales debe vigilar que se cumplan estos criterios; adems debe verificar el
cumplimiento de los puntos sealados en las guas de la norma ISO-9004 y los de la
norma ISO-9901.
Cabe aclarar que la presentacin de esta auditora de calidad ISO-9000 a los siste-
mas computacionales no pretende sustituir ni modificar los lineamientos de la auditora
de certificacin ISO-9000, sino que el propsito es mostrar al auditor de sistemas los
elementos que le ayudarn a complementar la prctica de una auditora de sistemas
* Este articulista de Soluciones avanzadas. ISO-9000, Eduardo Cadena Gmez, , aporta 22 criterios, mientras que
los dems autores del tema aportan slo 20 de ellos, ya que muchos consideran que los puntos 9, Rastreabilidad,
y 10, Control de procesos, son uno solo; adems agrega el 22, Costo de la calidad.
computacionales, a fin de hacer ms completa la revisin, ya que en esta auditora bien

podra aplicar las Normas Mexicanas de Calidad, o tambin las normas sealadas por
System Quality. En todos los casos, el propsito es ayudar a satisfacer los requisitos pa-
ra la aplicacin de esas normas de calidad; aunque en algunos casos, s podra coadyu-
var a la obtencin de una certificacin a los sistemas, bajo la auditora especfica de las
normas ISO-9000 y la certificacin de un auditor autorizado para ello.
En consideracin a ello, se sugiere utilizar los siguientes puntos:
Evaluacin del cumplimiento de los requisitos de la norma ISO-9004.*
Analizar el grado de cumplimiento de los criterios de la norma ISO-9004, a
fin de evaluar si el cumplimiento es acorde con los requisitos establecidos
para obtener la certificacin ISO-9000.
Analizar si las pruebas de certificacin ISO-9000 se realizan conforme con
los requisitos sealados en las guas de criterios de esas normas.
Analizar si se cumple con la documentacin de las actividades de sistemas
y cmo se acatan los elementos fundamentales de las normas ISO-9000 en
ese rengln:
La existencia y actualizacin de la documentacin de las actividades infor-
mticas que se realizan en las reas de sistemas de la organizacin.

Que estn documentados los desarrollos de sistemas que se han realizado
dentro de la institucin.
La existencia de la documentacin completa y necesaria del software de
desarrollo, de aplicacin y utileras adquiridos para el rea de sistemas.

La existencia de manuales e instructivos de organizacin, operacin, flujo
de informacin y todos los dems documentos que sealen las actividades

de sistemas en la empresa.
La existencia y uso de documentacin de estndares y metodologas para
el desarrollo de proyectos informticos

Analizar si las actividades informticas se cumplen conforme estn estable-
cidas en la documentacin de actividades de sistemas, de acuerdo con los li-
neamientos fundamentales de las normas ISO-9000:
Comprobar que las acciones informticas se estn realizando conforme se
describe en la documentacin de esas actividades.

Evaluar el grado de cumplimiento de las actividades, conforme a lo descri-
to en la documentacin de actividades del centro de cmputo.
* Para complementar esta auditora, sera de mucha utilidad que el auditor utilizara los aspectos sealados en
la auditora sin la computadora (seccin 12.2), la auditora a la gestin informtica del rea de sistemas
(seccin 12.3) y la auditora alrededor de la computadora (seccin 12.5), ya que estas auditoras estn muy
relacionadas con lo que se busca evaluar con la auditora ISO-9000.
Evaluar que los sistemas desarrollados o adquiridos para el rea de siste-

mas cuenten con la documentacin y manuales de usuarios, de operacio-

nes, de flujo de actividades y dems documentacin donde se pueda
validar el cumplimiento de sus actividades.
Analizar que se verifique el cumplimiento de las actividades de sistemas,
conforme se documentaron en los manuales, instructivos y dems documen-
tacin relacionada con dichas actividades, y conforme a los sealamientos
fundamentales de las normas ISO-9000.
Verificar que se cumpla con las 20 secciones establecidas para las normas
ISO-9000, de acuerdo con el criterio de certificacin que se utilice, ya sea
ISO-9001 o ISO-9004.
Analizar que en la empresa se cuente con la infraestructura tcnica, de ser-
vicios y de organizacin que soporten la implementacin de los sistemas de
calidad ISO-9000, a travs del establecimiento de los siguientes aspectos en
el rea de sistemas:
Verificar la existencia de los procedimientos, responsabilidades y recursos
necesarios para que los sistemas computacionales de la empresa cumplan

con estos sistemas de calidad.
Verificar que se conozcan y se apliquen los objetivos y polticas de calidad
ISO-9000 a los sistemas computacionales de la empresa.

Verificar que existan los manuales de calidad ISO-9000, los procedimien-
tos para la aplicacin de la calidad y la capacitacin necesaria para sujetar-

se a la precertificacin de las normas ISO-9000.
Verificar que existan las actividades necesarias, de directivos, ejecutivos y
empleados de la empresa y del rea de sistemas, a fin de cumplir con los

requerimientos para el aseguramiento de la calidad en los sistemas compu-
tacionales.
Verificar la existencia, aplicacin y cumplimiento del plan de calidad para
la certificacin de los sistemas computacionales de la organizacin.

Revisar que se cumpla con las normas, polticas, lineamientos y secuencia
de actividades para la certificacin de la calidad ISO-9000 de los sistemas

computacionales de la empresa.
Verificar la existencia y aprovechamiento de los recursos informticos em-
pleados para contribuir a la certificacin de sistemas ISO-9000, tanto del

personal del rea de sistemas como del personal ajeno a sta, y de los re-
cursos no humanos necesarios para evaluar la calidad.
Auditora de los costos de certificacin ISO-9000.*
* Aqu se recomienda realizar una auditora de carcter contable, a fin de evaluar los gastos hechos para la certifi-
cacin ISO-9000, o una auditora a la gestin informtica, con especial nfasis en dichos gastos.
Evaluacin del seguimiento de la certificacin ISO-9000.

Evaluar si los resultados de la certificacin ISO-9000 son acordes con lo es-
perado, y su repercusin en el cumplimiento de las actividades informticas
de la empresa, as como su aprovechamiento en dichas actividades.
Analizar las acciones seguidas despus de la certificacin ISO-9000, y deter-
minar si se obtuvieron mejoras en el servicio de cmputo para las reas de
la empresa.
Valorar las opiniones de los usuarios de sistemas respecto a la aprobacin o
desaprobacin de la certificacin ISO-9000 para los sistemas computacio-
nales de la empresa, as como sus opiniones sobre la calidad de los sistemas.
Hacer el seguimiento de las actividades, actualizaciones y cambios que se
presentan en el rea de sistemas, a fin de evaluar su apego a los requisitos
de la norma ISO-9000.
Analizar la custodia y almacenamiento de la documentacin utilizada en la
certificacin ISO-9000, y si los usuarios utilizan dicha documentacin des-
pus de obtenida la certificacin.
Auditora para la certificacin de calidad ISO-9000*

en la auditora ISO-9000 a los sistemas computacionales
Esta auditora tiene aspectos muy especficos que la hacen diferente de las dems au-
ditoras de sistemas, debido a que cuenta con caractersticas peculiares de aplicacin,
todas ellas enfocadas a la certificacin ISO-9000. Especialmente porque las personas
que aplican la auditora de certificacin de calidad ya tienen definidas las herramien-
tas, tcnicas y procedimientos especiales, mismos que utilizan sin ninguna variacin,
porque ya estn normados para la certificacin de calidad.
En consideracin a lo anterior, se omiten las herramientas, tcnicas y procedimien-
tos establecidos para la auditora de certificacin de calidad ISO-9000, y nicamente
se ponen a consideracin del lector las herramientas que se pueden utilizar para eva-
luar los dems aspectos sealados para este tipo de auditoras.
Por esa razn se recomienda al auditor que, siguiendo cada uno de los puntos ano-
tados para la evaluacin de todo lo que rodea a la auditora ISO-9000 a los sistemas
computacionales, utilice cualquiera de las herramientas sealadas en los captulos 9,
10 y 11 de este libro.
* Solamente mencionaremos, de manera muy general, las normas, tcnicas, procedimientos y herramientas de la
auditora para la certificacin ISO-9000, debido a que dicha auditora es muy especializada y slo la pueden apli-
car auditores certificados y autorizados para llevar a cabo este tipo de evaluaciones. Para conocer las normas y po-
lticas para el uso de las herramientas de auditora ISO-9000, le sugerimos contactar a los institutos de certificacin
de calidad ISO-9000.
El diseo de entrevistas (seccin 9.1) cuestionarios (seccin 9.2) y encues-

tas (seccin 9.3) elaborados con preguntas para valorar el cumplimiento de
los requisitos de calidad ISO-9000, y para valorar la aceptacin, rechazo o in-
diferencia hacia la aplicacin de las normas de calidad ISO-9000, as como
para verificar que las actividades informticas se realicen conforme estn do-
cumentadas.
Estas herramientas se pueden utilizar tambin para conocer la opinin de los
usuarios de sistemas respecto a la aplicabilidad y funcionamiento de esta
certificacin de calidad, as como sobre su aprovechamiento y sus ventajas y
desventajas.
Adems, quiz como una de las primeras acciones de evaluacin de la calidad ISO-
9000, el auditor de sistemas tambin puede utilizar la siguiente herramienta:
El levantamiento de inventarios (seccin 9.5), a fin de hacer un recuento de
los bienes informticos destinados a la certificacin ISO-9000 y de la docu-
mentacin de actividades, sistemas y procedimientos para cumplir con la
funcin informtica de la organizacin.
Inventario de los componentes de las redes de servicio o sistemas indivi-
duales que puedan cumplir con la certificacin de calidad ISO-9000; en es-
te inventario se deben contemplar los servidores, terminales, cableados,
componentes y dems bienes informticos que integran la red, as como a
los fabricantes, marcas, modelos procesadores, tarjetas madre, velocidad,
configuracin, memorias, sistemas de almacenamiento, tarjetas adiciona-
les, nmeros de serie, responsables de su resguardo, etctera.
Inventario de la documentacin de los sistemas operativos, lenguajes, pro-
gramas, paqueteras, utileras y dems software institucional, a fin de va-
lorar el cumplimiento de las normas ISO-9000.
Inventario de la documentacin de normas, polticas, reglamentos, medi-
das preventivas y correctivas del rea de sistemas, a fin de evaluar la sa-
tisfaccin de los requisitos de las normas ISO-9000.
Otros inventarios relacionados con la documentacin de actividades para
la certificacin de los servicios informticos de la empresa.
Debido a que se tiene que cumplir con un plan de certificacin ISO-9000, es in-
dispensable que el responsable de la auditora tome en cuenta lo siguiente al elaborar
su programa de auditora:
La elaboracin de una gua de evaluacin (seccin 11.1), a fin de planear es-
pecficamente cada uno de los aspectos importantes del funcionamiento de
las actividades y secuencia de pasos de la auditora ISO-9000. Para ello es
recomendable que tome en cuenta los procedimientos, herramientas y tcni-
cas para la certificacin de calidad, as como cada uno de los puntos indica-
dos en el inicio de esta seccin, adaptndolos a las necesidades especficas
de la certificacin de calidad a los sistemas computacionales de la empresa,
e incluso modificndolos de acuerdo con sus necesidades de evaluacin.
guientes:
Las tcnicas de observacin (seccin 9.4) a fin de verificar que los servicios de
cmputo se otorguen conforme con lo documentado, as como para verificar
que el desarrollo de las operaciones y actividades de servicios de cmputo s
satisfagan los requisitos demandados por la auditora ISO-9000. Adems, cuan-
do el caso lo requiera, el auditor podr realizar la observacin oculta, participa-
tiva, el monitoreo y los dems tipos de observacin descritos en esa seccin.
Las tcnicas de revisin documental (seccin 10.5) para revisar la docu-
mentacin de los servicios y actividades y los dems documentos relaciona-
dos con la funcin informtica de los sistemas de la empresa, as como para
revisar el cumplimiento de los requisitos, normas, procedimientos relaciona-
dos con la certificacin ISO-9000.
La matriz de evaluacin (seccin 10.7) o la matriz DOFA (seccin 10.8), se-
gn las preferencias y necesidades de revisin del auditor; con estas herra-
mientas puede analizar las fortalezas y debilidades de la certificacin de
calidad ISO-9000, as como las reas de oportunidad para fortalecer la cali-
dad de los sistemas de la empresa. Tambin puede evaluar las debilidades,
fortalezas, amenazas y reas de oportunidad de la actualizacin de esta cer-
tificacin, de las nuevas tecnologas de servicio, as como las necesidades de
las reas de cmputo, los costos de la actividad informtica, el avance de la
tecnologa de redes y la comunicacin para evitar la fragilidad en la actuali-
zacin de la actividad informtica de la institucin.
Un elemento de control para el responsable de esta evaluacin de la calidad es el
siguiente:
El uso de la lista de chequeo (seccin 11.6), ya que con esta herramienta
puede verificar el cumplimiento de todos los criterios de evaluacin contem-
plados para la planeacin de la auditora de las normas ISO-9000.* Adems,
esta herramienta le ayuda a verificar que quien realice la auditora cubra todos
los puntos descritos. Inclusive, de acuerdo con el diseo de esta lista de che-
queo, puede evaluar todos los aspectos que repercuten en el cumplimiento de
las actividades, requisitos y criterios de la calidad ISO-9000.
* La tabla de criterios de las normas ISO-9000 es un claro ejemplo de la aplicacin de la tcnica de lista de che-
queo; lo que tiene que hacer el auditor es verificar el cumplimiento de cada uno de los criterios ah plasmados.
Otra herramienta que puede ser de mucha utilidad en esta evaluacin es la si-
guiente:
Los modelos de simulacin (seccin 11.3), ya que con ellos es posible ha-
cer las pruebas necesarias de la calidad, documentacin y del cumplimiento
en la empresa de los requerimientos de la norma ISO-9000 para los servicios
de sistemas; en estas pruebas simuladas, planeadas previamente, el auditor,
a travs de acciones premeditadas, hace mal uso de las actividades docu-
mentadas, pudiendo hacer las pruebas tantas veces como sean necesarias
con el fin de analizar su comportamiento y cumplimiento para medir, con la
mayor veracidad posible, el grado de cumplimiento y satisfaccin de los re-
quisitos de la certificacin de calidad ISO-9000.
pectos que se pueden evaluar mediante la auditora de calidad ISO-9000 a los siste-
mas computacionales, de acuerdo con sus necesidades especficas de evaluacin, ya
que es su facultad absoluta utilizar las normas ISO-9000, o bien utilizar estas sugeren-
cias. Tambin debe utilizar las tcnicas, mtodos y procedimientos de auditora que le
agraden o que conozca ms.
12.10 Auditora ergonmica de los centros de cmputo

Es la revisin tcnica, especfica y especializada que se realiza para evaluar la
calidad, eficiencia y utilidad del entorno, hombre, mquina y medio ambiente
que rodean el uso de los sistemas computacionales en una empresa. Esta revi-
sin se realiza tambin con el propsito de evaluar la adquisicin y el uso co-
rrectos del mobiliario, equipo y sistemas, a fin de proporcionar el bienestar,
confort y la comodidad que requieren los usuarios de los sistemas computacio-
nales de la empresa, as como para evaluar la deteccin de los posibles proble-
mas y sus repercusiones, y la determinacin de las soluciones relacionadas con
la salud fsica y el bienestar de los usuarios de los sistemas de la empresa.
La ergonoma, palabra compuesta por ergon, trabajo, y nomos, leyes, es la cien-
cia que se encarga de estudiar el bienestar, confort, la comodidad y seguridad de los
trabajadores dentro de su ambiente laboral, considerando en este estudio el entorno
profesional y el impacto que tienen las herramientas y los instrumentos de trabajo en
el desempeo de las actividades. Tambin se analiza el impacto del trabajo en la salud
fsica y emocional de los trabajadores, a fin de proponer medidas preventivas y correc-
tivas que permitan desarrollar el trabajo en las mejores condiciones.
Esta ciencia se define de la siguiente manera:
La ergonoma, la ciencia del trabajo, es un campo de la tecnologa que consi-

dera las limitaciones y capacidades humanas en el diseo de mquinas y ob-
jetos que usan las personas, los procesos de trabajo que deben de seguir y los
ambientes en que operan.6
Aplicada al mbito de las computadoras, la ergonoma es una ciencia moderna que
se encarga de estudiar estudiar todo lo relacionado con la comodidad, bienestar y se-
guridad de los usuarios de los sistemas computacionales. Adems permite analizar la
influencia y repercusiones de dichos sistemas y del ambiente laboral en la salud de los
usuarios, as como en su productividad.
Para iniciar el planteamiento de la auditora ergonmica de los centros de cmpu-
to, conviene tomar como punto de partida una divisin de los aspectos fundamentales
de la ergonoma, esto es, el efecto del uso de computadoras en la salud del individuo,
a fin de que el auditor capte los principales problemas que debe analizar en este ren-
gln. Dicha divisin es la siguiente:
El sistema visual: el estudio de los efectos del trabajo en los ojos y la visin en gene-
ral; asimismo, el estudio de la iluminacin, las luminarias y los deslumbramientos.
El sistema muscular-esqueltico: el estudio de la afectacin del trabajo en el tronco,
trax, cuello, cabeza, columna vertebral, espalda, brazos, manos, dedos, piernas y pies
del individuo, en las posturas que adoptan los usuarios: debido al mobiliario, las he-
rramientas y la computadora.
El ambiente laboral del centro de cmputo; concretamente, el mobiliario, equipo, la
iluminacin, el aire acondicionado y los dems elementos del rea de trabajo.
Se supone que los anteriores son los factores que ms influyen en los problemas
relacionados con la salud de los usuarios de sistemas computacionales. Por ello, el au-
ditor de sistemas debe realizar el anlisis a partir de esta divisin fundamental. En es-
tos aspectos es donde se supone mayor incidencia de este tipo de problemtica, por
lo que es all donde debe enfocar su auditora. Por lo tanto, analizaremos el impacto en
la salud de los usuarios tomando en cuenta los siguientes factores:
Las repercusiones de los sistemas en la salud visual de los usuarios.
Las repercusiones en los msculos y huesos de brazos, manos y dedos.
Las repercusiones en los msculos y huesos de la espalda, tronco, trax, cuello,
cabeza y columna vertebral.
Las repercusiones del ambiente del rea de sistemas en la salud del usuario.
Las consecuencias del diseo e instalacin del rea de sistemas en la salud fsi-
ca y emocional de los usuarios, as como su impacto en la actividad informtica
de la organizacin.
El impacto del diseo ergonmico (o de la falta de ste) en el desempeo del

trabajo y en el bienestar de los usuarios, as como en su comodidad durante su
estancia en el rea de sistemas.
La atencin (o desatencin) que los directivos, empleados y usuarios del rea de
sistemas de la empresa ponen para el estudio de esta problemtica.
La afectacin de los estudios ergonmicos (o carencia de ellos) en el diseo de
los centros de cmputo, en el mobiliario y equipo destinado a los usuarios.
A continuacin presentaremos grficas relacionadas con estos puntos, las cuales
se explican por s mismas.
12.10.1 Auditora de las repercusiones de los sistemas computacionales en la

salud visual del usuario
Partiendo del anlisis de la siguiente grfica,7 podemos observar la afectacin de la vis-
ta del usuario de sistemas ya que, como se desprende del estudio, se registran ciertos
problemas de reflexin o deslumbramiento, los cuales pueden influir en la salud visual
de quienes utilizan computadoras como herramientas de trabajo.
Las luminarias pueden provocar reflejos Las luminarias pueden Riesgo de deslumbramiento
sobre la pantalla o sobre el documento provocar reflejos debido a las luminarias
sobre el teclado
ngulo de
Las fuentes de luz pueden provocar deslumbramiento
reflejos sobre el documento 45
Riesgo de
Las ventanas pueden deslumbramiento
provocar reflejos sobre debido a las
la pantalla ventanas
Un teclado de color
claro puede provocar
reflejos sobre la pantalla
El auditor de sistemas debe tomar en cuenta los riesgos de deslumbramiento oca-

sionados por las luminarias y fuentes de iluminacin que estn sobre la pantalla y los
documentos, as como las fuentes de iluminacin que emanan de la pantalla. Lo si-
guiente puede darnos una idea de las serias consecuencias que pueden tener estos as-
pectos de la iluminacin en los usuarios de los sistemas.
Analizar si se tienen los estudios de Ergonoma en las actividades de sistemas
y cmo se cumple con los elementos fundamentales en este rengln.
Analizar si existen afectaciones en la salud visual de los usuarios de los sistemas

computacionales, y determinar si existen medidas preventivas para evitarlas y
medidas correctivas para solucionarlas.
Analizar las repercusiones recientes y pasadas en la salud visual de estos usua-
rios, a fin de evaluar las acciones preventivas y si las soluciones a esas repercu-
siones son favorables para la salud de los usuarios.
Analizar si se consideraron los siguientes aspectos en el estudio inicial, al adqui-
rir, disear e instalar los sistemas computacionales en la organizacin:
Que se haya cumplido con los estudios relacionados con el efecto de los sis-
temas computacionales en la salud de los usuarios, y que dichos estudios es-
tn documentados.
El anlisis de el uso de la pantallas de las computadoras, de acuerdo con
las caractersticas de las pantallas, sus componentes y dems caractersti-
cas ergonmicas.
El anlisis de la iluminacin del rea de trabajo, el color de las pantallas, pa-
redes, hojas y dems aspectos relacionados con la iluminacin del lugar de
trabajo, a fin de hacerlo ms seguro y cmodo.
El anlisis del campo visual horizontal y vertical de los usuarios y de la distan-
cia del usuario a la pantalla y sus ngulos visuales.
El estudio del impacto visual en los usuarios de los sistemas, antes de insta-
lar el centro de cmputo.
12.10.2 Evaluacin de las repercusiones en la salud de la espalda, columna
vertebral, trax, cuello, nuca, piernas y pies a causa de la posicin
que adoptan los usuarios
Mediante el anlisis de esta grfica podemos observar a los usuarios de sistemas y de
cualquier otro mobiliario y equipo de oficina, cmo les afecta la posicin que adoptan
al sentarse; estas posturas pueden repercutir, en forma parcial o total, temporal o per-
manente, en la columna y la espalda, el trax y tronco, piernas, pies, brazos y, en ge-
neral, en todo el cuerpo del usuario.
En esta grfica podemos observar diez posiciones que adoptan los usuarios al sen-
tarse frente a la computadora y cul es la afectacin directa en la columna vertebral,
de lo cual podemos: analizar e identificar estas posiciones en los usuarios de sistemas,
la frecuencia con que las adoptan y si existen medidas preventivas para evitarlas.
Analizar si la constante incidencia de estas posiciones puede repercutir en la
salud muscular-esqueltica del usuario, ya sea en forma parcial o total, tem-
poral o permanente y leve o grave.
Analizar si se han tomado las medidas preventivas o correctivas para evitar
estos vicios de postura.
Analizar globalmente el problema de las posturas de los usuarios, para com-
probar los siguientes factores:
Con qu frecuencia e intensidad repercute en la salud del usuario la po-
sicin que adopta frente a la computadora?

Si existen estudios mdicos especializados sobre los efectos actuales y fu-
turos en la salud de los usuarios.

Si, a partir de tales estudios, se han diseado y se cumplen las medidas
preventivas y correctivas para solucionar estos problemas.

Si existen investigaciones en la empresa sobre las causas de estos vicios de
postura de los usuarios de sistemas, y si se definen acciones para crear

conciencia sobre este riesgo.
Si existen muebles de diseo ergonmico para evitar estos vicios de pos-
tura.
Verificar que existan estudios en las reas de sistemas de la empresa sobre
los efectos de los sistemas en la salud de los usuarios.
Analizar si esta afectacin de la salud muscular-esqueltica es producto de las
deficiencias del diseo del mobiliario que se utiliza en el centro de cmputo.
Analizar si en el proyecto de un centro de cmputo existen los estudios an-
tropomtricos del usuario promedio nacional, que permitan identificar las
posibles repercusiones en la salud muscular-esqueltica de los usuarios.
En caso de que no existan estudios de este tipo, investigar si se debe a que
se desconoce la forma de realizarlos, o a que no se tomaron en cuenta esas
necesidades al adquirir el mobiliario.
Investigar con qu efectos y con qu frecuencia se presentan esas repercu-
siones en la salud de la espalda, columna vertebral, trax, cuello, cabeza, nu-
ca, piernas y pies del usuario, ya sea por la posicin que adopta al estar en
contacto con las computadoras o por el diseo del mobiliario del centro de
cmputo. Evaluar ambos casos.
Analizar, como complemento de la evaluacin de la existencia o carencia de
los estudios antropomtricos, la periodicidad de otros estudios mdicos
traumatolgicos de las afectaciones sobre una poblacin seleccionada de in-
dividuos, con mobiliario y equipo diseados en forma ideal, a fin de compa-

rar esa poblacin con otra poblacin de individuos que seguirn trabajando
en la forma actual, sin ninguna mejora en las condiciones de muebles y equi-
pos para el uso de computadoras.
Evaluar si existen los siguientes elementos:
La recopilacin de informacin entre los usuarios que siempre han utilizado la
computadora con deficiencias en el mobiliario y equipo y con vicios de postura.
La comprobacin de las repercusiones que han tenido los sistemas en la sa-
lud de estos usuarios; precisar si se debe al uso del mobiliario y equipo que
se utiliza y a la posicin que se adopta. Con esta base es fcil plantear el si-
guiente punto.
Evaluar en forma global si la posicin que adopta el usuario ante la compu-
tadora se debe a defectos en el diseo del mobiliario, esto es, de la silla y la
mesa, o por deficiencias y vicios del usuario.
12.10.3 Evaluacin de las repercusiones musculares-esquelticas de manos,

muecas, dedos y brazos del usuario
El diseo actual de los sistemas computacionales, en cuanto al uso del teclado y del
ratn, difcilmente puede satisfacer las necesidades de comodidad y bienestar de los
usuarios. Esto se debe a que el teclado no permite tener una distancia igual entre los
dedos y las lneas de teclas, lo cual hace que se adopte una posicin incmoda de las
manos. Adems, los teclados se colocan en lugares con cierta inclinacin, los cuales
no son muy adecuados para la posicin de manos y brazos. Esto, aunado a su constan-
te uso, llega a repercutir en la salud muscular-esqueltica de manos y brazos del usua-
rio. Para comprobar esto, basta con poner las manos abiertas sobre el teclado y darnos
cuenta de la separacin y distancia de nuestros dedos en cada una de las lneas de te-
clas. Lo mismo ocurre con la inclinacin del teclado. Despus de este breve anlisis,
slo basta calcular la prolongada adopcin de esta postura para deducir cul ser el
efecto en manos y dedos, como se ilustra en la figura.
Sin embargo, stos no son todos los aspectos que se pueden tomar en cuenta al ana-
lizar la problemtica del uso del teclado, ya que tambin es posible analizar la postura
del antebrazo y de las manos en la altura a la que se encuentra el teclado; lo mismo ocu-
rre con el ratn. En la grfica se muestra la forma ideal de poner los brazos y manos pa-
ra manejar teclado. Aunque hay que aclarar que esto depende de la altura de la mesa,
la forma y altura del teclado y la distancia de las manos con respecto de la mesa.
En esa grfica se observa la postura correcta de los brazos, manos y muecas en
relacin con el teclado y la mesa. Pero aun as se puede notar una separacin impor-
tante entre la mueca, los dedos y el teclado. Esto es lo que repercute en el puente
carpiano, lo cual afectaba principalmente a las secretarias y mecangrafas, y ahora
tambin a los usuarios de sistemas. Para lo cual podemos evaluar:
Analizar si existen afectaciones en muecas, manos, dedos y brazos de los usua-

rios, debido al uso del ratn y del teclado de la computadora.
Analizar las distintas formas de teclado y ratn, con el fin de identificar el tipo
de lesiones, repercusiones y grado de afectacin que pudieran llegar a tener es-
tas herramientas en los usuarios.
Analizar la repercusin global que puede tener en el usuario el contacto con es-
tos sistemas; en concreto, evaluar la posicin, la distancia y las caractersticas de
sillas, mesas y otro mobiliario y equipo, as como las caractersticas del teclado
y del ratn.
20 Pantalla
Postura de los
codos, sentado 90
90
Como complemento de esta parte de la auditora ergonmica a este rengln, en la

grfica se presenta un anlisis global ms completo sobre este problema:
Investigar si se analizaron las repercusiones del teclado y del ratn en la salud
muscular-esqueltica de los usuarios al disear el centro de cmputo.
Evaluar en forma global si las posturas que se adoptan al usar el teclado y el ra-
tn se deben a defectos en el diseo del mobiliario, por vicios de los usuarios o
por deficiencias del diseo de los fabricantes de teclados y ratones.
Recopilar la opinin de los usuarios que siempre han utilizado estos teclados y
ratones sobre las deficiencias de fabricacin del mobiliario y equipo y sobre los
vicios de postura.
Evaluar las repercusiones que tiene en la salud de los usuarios el ambiente don-
de se utilizan los sistemas computacionales.
Actualmente, los centros de cmputo de todas las instituciones son lugares donde
se concentra la mayora de los usuarios y, precisamente por estar concentrados los
equipos, debe haber algunas medidas de carcter ergonmico que contribuyan a la co-
modidad y bienestar de los usuarios. Sin embargo, aunque existan dichas medidas, s-
tas no siempre son las ideales ni las ms deseables para desempear el trabajo en
forma ptima. Sobre todo cuando se sospecha la carencia de estudios relacionados
con el impacto ergonmico en los usuarios de estos sistemas.
Tambin existen usuarios que utilizan la computadora en forma personal, en su ca-
sa, oficina o cualquier lugar que, muchas veces, carece de las condiciones mnimas pa-
ra el uso de sistemas, y su ambiente es muy limitado. Estas condiciones tambin se
deben evaluar, ya que pueden llegar a repercutir en la salud del usuario.
Analizar todo lo relacionado con el ambiente que rodea al rea de sistemas, por
ejemplo:
La distribucin, el uso y los efectos del aire acondicionado en los usuarios.
La afectacin del ruido en el desarrollo del trabajo de sistemas.
La presencia de humedad, calor, cambios de temperatura y otros fenmenos
climticos en la arquitectura del lugar, con el fin evaluar el desempeo de las
actividades de sistemas.
El acomodo del mobiliario y de todos los dems factores de higiene y segu-
ridad que influyen de alguna manera en la realizacin de los trabajos del rea
de sistemas.
La iluminacin, el mobiliario y muchos otros aspectos del centro de cmpu-
to que influyen en la realizacin de las actividades del centro de cmputo.
Analizar en forma global si existe alguna repercusin en la salud del usuario a
causa del ruido, el aire acondicionado, la humedad, la arquitectura, la higiene, la
seguridad y otros aspectos del ambiente donde estn instalados los sistemas.
Evaluar si estos anlisis estn apoyados por un estudio inicial de la ergonoma,
aplicada exclusivamente al ambiente de trabajo del usuario de los sistemas, de
los componentes, el mobiliario y equipo.
Determinar si existe algn estudio ergonmico enfocado exclusivamente a la sa-
lud fsica de los usuarios, sin considerar otros aspectos que estudia la ergonoma,
ya que no sera conveniente incluir dichos aspectos debido a lo especializado de
su tratamiento.
Realizar un anlisis global del problema de los efectos de la computadora en la
salud de los usuarios, as como de los efectos de los componentes de cmputo,
el mobiliario y equipo, el ambiente, la iluminacin del local, el ruido, los siste-
mas de aire acondicionado, etctera.
Analizar el efecto que tienen en la vista de los usuarios las pantallas, la ilumina-
cin y dems reflejos.
Analizar las posiciones y posturas que adoptan los usuarios frente a la compu-
tadora y que repercuten en su columna vertebral, trax, cuello, nuca y que les
producen cansancio y afectaciones ortopdicas.
Analizar las dems afectaciones fsicas del ambiente, la iluminacin, los sistemas
de aire acondicionado, las instalaciones, el mobiliario y los dems medios que
rodean el uso de sistemas.
Evaluar el impacto que tienen estos sistemas en el desempeo y la productivi-
dad del personal que est relacionado con ellos.
Evaluar todos los aspectos relacionados con el bienestar, la comodidad y la se-
guridad que proporciona el ambiente del centro de cmputo al usuario, la reper-
cusin que tiene dicho centro en la salud fsica y emocional de los usuarios, las
medidas preventivas y correctivas para disminuir dichas repercusiones, y el di-
seo de espacios de trabajo adecuados.
Evaluar la existencia y aplicacin de los estudios relacionados con el bienestar,
la comodidad y la seguridad de los directivos, empleados y usuarios de los sis-
temas de la organizacin.
Evaluar la existencia, actualizacin y aprovechamiento de los estudios sobre el
impacto de los sistemas en la salud fsica de los directivos, empleados y usua-
rios de la empresa, en especial en sus repercusiones en vista, trax, cuello, nu-
ca, columna vertebral, brazos, manos y dedos, para la productividad de la
empresa.
Evaluar los estudios y propuestas para el diseo del mobiliario, equipos y am-
biente del trabajo de sistemas que permitan a directivos, empleados y usuarios
desarrollar su trabajo con seguridad, comodidad y bienestar.
Evaluar la aplicacin y seguimiento de los estudios ergonmicos realizados en
las reas de sistemas de la empresa, as como de las medidas preventivas y co-
rrectivas derivadas de los mismos, a fin de mantener la seguridad, comodidad y
bienestar de los usuarios de sistemas.

aplicables en la auditora ergonmica de los centros de cmputo
En la prctica, esta auditora casi no se lleva a cabo, ya sea porque an no se consi-
dera importante en los centros de cmputo, o por que tiene aspectos muy especfi-
cos, los cuales la vuelven muy diferente de los dems tipos de auditora. Adems, no
existen estudios especficos en los que se pueda apoyar el responsable de la audito-
ra para llevarla a cabo.
Cada una de las partes que hemos analizado tiene aplicaciones concretas, muy es-
pecficas y an no desarrolladas en su totalidad. Lo mismo ocurre con las metodolo-
gas de anlisis de esta problemtica y con los procedimientos y tcnicas necesarios
para realizar los estudios ergonmicos.
Ante este panorama, el responsable de una auditora de sistemas tambin se en-
cuentra sin fundamentos para realizar la evaluacin. Por estas razones, en el presente
punto no sugerimos ninguna tcnica, herramienta o procedimiento aplicable a este ti-
po de auditora. Sin embargo, recomendamos repasar lo sealado para las auditoras

de la gestin informtica, alrededor de la computadora, sin la computadora y seguri-
dad de los sistemas computacionales. Esto sin restarles importancia a las tcnicas,
procedimientos y herramientas de las otras auditoras analizadas en este captulo.
Adems, para realizar evaluaciones ergonmicas, el auditor de sistemas debe apo-
yarse en los conocimientos de los especialistas en esta rama, a fin de obtener su opi-
nin sobre los puntos concretos que tenga que auditar en un centro de cmputo. De
esta manera, tambin puede obtener o disear los procedimientos, tcnicas y herra-
mientas especficas para evaluar este tipo de problemtica ergonmica.
12.11 Auditora integral a los centros de cmputo

Es la revisin exhaustiva, sistemtica y global de todas las actividades y ope-
raciones de un centro de sistematizacin, realizada por un equipo multidisci-
plinario de auditores, a fin de evaluar, en forma integral, el uso adecuado de
sus sistemas computacionales, perifricos y equipos de apoyo para el proce-
samiento de informacin de la empresa, as como el desarrollo correcto de las
funciones de sus reas, personal y usuarios. Es tambin la revisin de la ad-
ministracin del sistema, del manejo y control de los sistemas operativos, len-
guajes, programas y paqueteras de aplicacin, as como de la administracin
y control de proyectos, de la adquisicin del hardware y software instituciona-
les, de la integracin y uso adecuado de sus recursos informticos y de la exis-
tencia y cumplimiento de las normas, polticas, estndares y procedimientos
que regulan el uso del sistema y la actuacin del personal y usuarios del cen-
tro de cmputo.
Este tipo de auditoras es propiamente el uso conjunto de todos los arquetipos de
evaluacin, ya que con esta aplicacin global se busca hacer una revisin total del sis-
tema computacional de la empresa, no slo del equipo procesador y sus equipos pe-
rifricos asociados, del manejo y control de los sistemas, lenguajes, programa y
paqueteras de procesamiento de informacin, de la administracin de los recursos in-
formticas, la informacin, el personal y los usuarios del sistema y de las variadas for-
mas de evaluacin aisladas que ya hemos sealamos a lo largo de este captulo; por el
contrario, lo que se pretende con dicha auditora es conjuntar todos esos mtodos,
aplicaciones y procedimientos en una sola metodologa, de una forma integral que per-
mita hacer una evaluacin de un centro de cmputo ms eficiente y ms completa.
En la realizacin de esta auditora integral le deben exigir, al auditor la existencia
de planteamientos globales, la definicin de objetivos comunes y la aplicacin de
mtodos, tcnicas y procedimientos estndares de evaluacin, los cuales pueden ser
diseados con el apoyo de los sistemas de informacin y con las herramientas tradi-
cionales de la auditora; siempre que entre ambos casos se definan herramientas de

aplicacin uniforme para hacer una evaluacin sistemtica y completa de todas las
actividades y funciones del sistema del centro de cmputo, de sus aplicaciones, su
informacin y de su personal.
Todo esto se puede realizar con el control de todas las actividades del personal
que participar en dicha evaluacin. Adems se tiene que contar con la participacin
de un equipo multidisciplinario de auditores, quienes tienen que manejar en forma
adecuada y conjunta los aspectos relacionados con el mbito de sistemas y al mismo
tiempo las tcnicas de auditora.
Antes de continuar con el tratamiento del tema, debemos establecer que la audi-
tora integral al centro de cmputo es la revisin global de todos los procedimientos,
reas, sistemas, mtodos y los dems aspectos que intervienen en dicho centro; sin
embargo, esa revisin se debe hacer de acuerdo con las caractersticas y requerimien-
tos propios de cada centro de cmputo.
12.11.1 Tipos de auditora integral de sistemas

Aunque no existe ninguna clasificacin formal de este tipo de auditoras, a continua-
cin presentamos dos formas para realizar una auditora integral de sistemas; por un
lado, la auditora externa y por otro lado la auditora interna:
Auditora externa de sistemas.
Auditora interna de sistemas.
Antes de seguir con este anlisis, conviene aclarar que podemos aplicar los mis-
mos criterios sealados en la seccin 2.4 del captulo 2, tanto para la auditora integral
de carcter externo, realizada por personal ajeno a la empresa como para la de tipo in-
terno, realizada por personal de la propia empresa.
Por esa razn, a continuacin presentaremos los aspectos ms relevantes que se
deben tomar en cuenta al realizar esta auditora, con la aclaracin de que los puntos
que estudiaremos a continuacin se presentan nicamente a escala conceptual, ya que
su aplicacin real se deber adaptar a las caractersticas y requerimientos especficos
del centro de cmputo a auditar:
Objetivos de la auditora integral al centro de cmputo.
reas, sistemas, funciones y elementos que sern auditados.
Responsabilidades a cumplir en la auditora integral al centro de cmputo.
Obligaciones profesionales del auditor que realiza la auditora integral al centro
de cmputo.
Mtodos, tcnicas y procedimientos de la auditora integral al centro de cmputo.
Estructura de organizacin de la auditora integral, segn el tamao del rea de
sistemas.
A continuacin analizaremos detalladamente los puntos anteriores.
12.11.1.1 Auditora externa de sistemas computacionales

La auditora externa de sistemas computacionales es aquella que realiza un auditor o
un grupo de auditores que son ajenos a la operacin normal de la organizacin en don-
de se llevar a cabo la revisin del sistema. La principal caracterstica de esta audito-
ra es que los profesionales que participan en estos trabajos tienen absoluta libertad
en la aplicacin de sus mtodos, tcnicas y procedimientos de evaluacin, sin que nin-
gn funcionario o empleado del centro de cmputo de la empresa interfiera en su tra-
bajo. Por lo tanto, su dictamen es de carcter independiente.
Para continuar con el anlisis de estos puntos, a continuacin presentamos los as-
pectos bsicos que se deben tomar en cuenta para el estudio de la auditora externa
de sistemas:
Los objetivos de la auditora externa de sistemas son:
Realizar la auditora con personal ajeno a la empresa, a fin de hacer una eva-
luacin y emitir un dictamen independiente sobre la razonabilidad de las
operaciones del sistema y la gestin administrativa del rea de sistemas.
Evaluar el aspecto financiero, el uso de los recursos del centro de cmputo
y el aprovechamiento del sistema computacional, del mobiliario y de los
equipos perifricos e instalaciones.
Evaluar el aprovechamiento de los sistemas de procesamiento, de los siste-
mas operativos, los lenguajes, programas y paqueteras de aplicacin y desa-
rrollo, as como el desarrollo e instalacin de nuevos sistemas.
Evaluar el cumplimiento de estndares, polticas, normas y lineamientos que
regulan las funciones y actividades de los sistemas de procesamiento de in-
formacin, as como del personal y de los usuarios del centro de cmputo.
reas, factores y elementos que se deben auditar
Objetivos, planes, programas y presupuestos del rea de sistemas.
Estructura organizacional, funciones y puestos del rea de sistemas.
Administracin del sistema de procesamiento, perifricos, instalacin, len-
guajes, programas e informacin del centro de computacin.
Administracin de los recursos asignados al centro de cmputo.
Administracin del personal y usuarios del rea de sistemas, as como las
prestaciones y obligaciones de dicho personal.
Normas, polticas, mtodos y procedimientos de operacin.
Auditora a la gestin administrativa del sistema y del centro de cmputo.
Auditora a la estructura de organizacin, funciones y actividades del rea
de sistemas.
Evaluacin del desarrollo de sistemas.
Evaluacin de la operacin del sistema de procesamiento de informacin.

Auditora de los sistemas, lenguajes, programas y paqueteras de aplica-

cin y desarrollo de sistemas.
Auditora de los procesadores, perifricos, equipos e instalaciones del cen-
tro de cmputo.
Auditora de los sistemas de seguridad y de prevencin de contingencias.
Auditora de otros aspectos de sistemas.
Auditora externa integral de sistemas.
Auditora interna integral de sistemas.
Aspectos a evaluar con la auditora integral de sistemas

Auditora de la gestin administrativa del sistema y del rea de informtica.
Auditora de la estructura de organizacin, funciones y actividades del sis-
tema.
Auditora del desarrollo de sistemas.
Auditora de la operacin del sistema de procesamiento de informacin.
Auditora a los sistemas, lenguajes, programas y paqueteras de aplicacin
y desarrollo de sistemas.
Auditora a los procesadores, perifricos, equipos e instalaciones que hay
en el rea de sistemas.
Auditora de los sistemas de seguridad y prevencin de contingencias.
Auditora de otros aspectos de sistemas.
Programas de aplicaciones y explotacin del software.
Metodologas para el anlisis y desarrollo de sistemas.
Mtodos de acceso, seguridad y operacin del sistema.
Configuracin.
Evaluacin del diseo fsico del sistema, en cuanto a:
Configuracin del sistema, equipos e instalaciones fsicas.
Componentes fsicos del sistema, perifricos, mobiliario y equipos.
Caractersticas del sistema e instalaciones del centro de cmputo.
Instalaciones elctricas, de comunicacin y del medio ambiente del sistema.
Mtodos de acceso, seguridad y proteccin fsica del sistema.
Distribucin del mobiliario, equipo y sistemas.
Evaluacin del control de accesos y salidas de datos, en relacin con:
Estndares y mtodos de entradas de datos y salidas de Informacin.
Especificaciones de acceso y uso de los datos e informacin del sistema,
as como de los procesos y operacin del sistema.

Especificaciones sobre las normas, polticas y procedimientos para el ac-
ceso de datos, el procesamiento de los mismos y la salida de informacin
del sistema computacional.
Administracin y control de los niveles de accesos de administradores,
operadores y usuarios del sistema, as como del uso y explotacin de di-
chos niveles de accesos.
Evaluacin del control del procesamiento de datos, en cuanto a:
Estndares para la operacin y manipulacin de datos del sistema.
Identificacin, accesos, almacenamiento y custodia de informacin, archi-
vos y programas.
Formas de procesamiento y procesos de datos en lnea o lote y sus justifica-
ciones.
Administracin de la frecuencia y volumen de la operacin del sistema.
Evaluacin de los controles de almacenamiento, en relacin con:
Diseo de archivos, bases de datos y almacenamiento de informacin.
Administracin de archivos, programas e informacin.
Planes y programas de prevencin contra contingencias y para la custodia
de la informacin.
Administracin del respaldo de informacin y de los programas institucio-
nales, as como del manejo de los archivos del centro de cmputo.
Evaluacin de controles de seguridad.
Sistemas de seguridad y proteccin del sistema, programas, informacin,
instalaciones, empleados y usuarios del sistema computacional.
Sistemas de control de accesos lgicos al sistema y a las bases de datos.
Sistemas de control de accesos fsicos al centro de cmputo.
Procedimientos de acceso al procesador, terminales, programas e informa-
cin.
Evaluacin de controles adicionales para la operacin del sistema, en rela-
cin con:
Manuales e instructivos de operacin, para usuarios y de procedimientos
Metodologas y estndares para el desarrollo de sistemas.
Estndares de programacin y documentacin.
Estandarizacin de lenguajes, programas y paqueteras de uso institu-
cional.
Evaluacin de la administracin del rea de sistemas, en relacin con:
Diseo de la estructura de organizacin del sistema, reas de trabajo,
funciones y lneas de autoridad y responsabilidad.

Administracin centralizada de sistemas, archivos y procesamiento de

informacin.
Administracin desconcentrada de sistemas, archivos y procesamiento
de informacin.
Administracin y control de los recursos informticos.
Estndares para la evaluacin y adquisicin del hardware, software, mo-
biliarios, instalaciones y artculos de consumo para el rea de sistemas.

Estndares para la seleccin, capacitacin y desarrollo del personal y
usuarios del rea de sistemas.

Supervisin, coordinacin y control de funciones y actividades de fun-
cionarios, personal del rea de sistemas y usuarios de los sistemas

computacionales.
Supervisin, coordinacin y control de la operacin del sistema, equi-
pos y perifricos.
Evaluacin de los aspectos tcnicos del sistema.
Administracin y control del sistema operativo del procesador.
Administracin y control de lenguajes de operacin, desarrollo y progra-
macin.
Administracin y control de sistemas de red, multiusuarios y micro-
cmputo.
Administracin y control de sistemas de telecomunicacin y teleprocesa-
miento.
Prevencin y control de la contaminacin informtica.
Actualizacin permanente de a cuerdo con los cambios computacionales.

Diseo e implementacin de estndares de operacin, adquisicin, capacita-
cin, desarrollo de sistemas, accesos al sistema, procesamiento de datos y de
los dems estndares relacionados con la administracin y control del centro
de cmputo.
Auditora a la administracin interna del rea de sistemas

Evaluacin de la funcin del personal informtico.
Inventario del personal informtico y usuarios del sistema.
Anlisis del perfil de puestos.
Sueldos, salarios y prestaciones.
Anlisis de los planes y programas de capacitacin y adiestramiento.
Anlisis de los ndices de rotacin y ausentismo laboral del personal del
rea de sistemas.
Anlisis de la organizacin del trabajo.
Anlisis de las condiciones de trabajo.

Anlisis del estilo de direccin.
Evaluacin de la administracin de los recursos fsicos.
Inventario de sistemas computacionales.
Inventario de mobiliario y equipo de oficina.
Inventario de dispositivos perifricos.
Evaluacin de la administracin de los recursos informticos.

Inventario de sistemas operativos.
Inventario de lenguajes, programas y paquetes de desarrollo.
Inventario de programas y paquetes de aplicacin.
Inventario de utileras, libreras y bibliotecas.
Inventario de software institucional.
Inventario de licencias y permisos de uso del software institucional.
Evaluacin de la administracin de la planeacin de proyectos.

Metodologas para el desarrollo de sistemas.
Estndares para el desarrollo de sistemas.
Seguimiento del desarrollo de nuevos proyectos informticos.
Anlisis de la utilidad, compatibilidad y seguimiento de los nuevos proyec-
tos de sistemas.
Evaluacin de los reportes de actividades de funcionarios, personal y usua-
rios del sistema.
Anlisis de los reportes de incidencias del personal.
Evaluacin del cumplimiento del personal.
Informes.
Evaluacin la administracin y Control de los gastos corrientes del rea de

sistemas.
Evaluacin de la automatizacin interna.
Administracin del rea de sistemas

Desempeo del personal.
Desarrollo de proyectos.
Gastos de rea.
Asignacin de recursos.
Centros de procesamiento de datos.

Hardware.
Software.
Seguridad.
Planes contra contingencias.

Planes de modernizacin.
Desarrollo de sistemas.
Metodologa.
Planeacin y control de proyectos.
Bases de datos.
Control de calidad.
Sistemas de produccin.
Anlisis de produccin.
Respaldos.
Seguridad en sistemas de produccin.
Mantenimiento.
Software de trabajo.
Adquisicin.
Bitcora.
Instalacin.
Aplicacin.
Control y seguridad.

en la auditora integral a los centros de cmputo
Esta auditora viene a ser la concentracin de todos los tipos anteriores, slo que aqu
se enfoca en una revisin global del lugar donde se supone se concentran todas las ac-
tividades informticas de una empresa. Se pretende que esta auditora abarque todos
los aspectos de sistemas, en una forma profunda, completa y amplia, a fin de evaluar
en forma integral todos los aspectos que intervienen en el mbito de sistemas. Claro
est, la auditora integral siempre se realizar de acuerdo con el alcance e intencin
que se le quiera dar a la evaluacin, as como con la disponibilidad de recursos y tiem-
po para realizarla.
La auditora integral a los centros de cmputo tiene aspectos muy especficos, los
cuales hacen que cada una sea muy diferente de otra. Se encuentran notables diferen-
cias entre una auditora practicada a una empresa con un pequeo centro de cmpu-
to, y a otra cuyo centro sea de mayor envergadura. Aunque ambas auditoras sean
integrales y muy similares en algunos alcances, intenciones e incluso en los puntos que
abarquen, las herramientas, los procedimientos, las tcnicas y los mtodos de evalua-
cin son totalmente diferentes. Lo mismo ocurre con centros de cmputo de diferente
plataforma, as como entre reas de sistemas que administran redes LAN o WAN y las
que manejan PCs individuales o sistemas de equipos mayores. En todos los casos las
necesidades de evaluacin son distintas.
Tampoco es lo mismo auditar integralmente un centro de cmputo donde se utili-
za COBOL como lenguaje de desarrollo, en el que todas las bases de datos y activida-
des estn orientadas a ese lenguaje, que un centro de cmputo, de similares
caractersticas, pero que maneje su informacin en DB2, cuyas aplicaciones y bases de
datos tienen diferentes sentidos y caractersticas. Cada cual tiene aplicaciones, meto-
dologas, procedimientos y tcnicas diferentes entre s.
Por todas estas razones, en este punto no presentamos sugerencias de tcnicas,
herramientas y procedimientos aplicables a este tipo de auditora. Sin embargo, s re-
comendamos que el responsable de la auditora repase todo lo sealado para los tipos
de auditoras anteriores y de ah obtenga lo que a su parecer sea lo mejor y que se
adapte ms a sus necesidades de evaluacin. As, conjuntando todos estos elementos
podr determinar los que requiera para su auditora integral. Claro, sin menoscabo de
los propios procedimientos, tcnicas y herramientas especficos que su experiencia le
dicte para llevar a cabo de una mejor forma este tipo de auditora de sistemas.

Puntos clave para auditoría de sistemas

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Puntos clave para auditoría de sistemas

Cargado por

Copyright:

Formatos disponibles

Propuesta de

Estructura del captulo

Objetivos del captulo

Considerando los tipos de auditora de sistemas computacionales expuestos en este li-

Introduccin del captulo

Auditora de la seguridad de los sistemas computacionales

12.1 Auditora con la computadora

12.1.1 Uso de la computadora y aplicaciones exclusivamente en auditoras

12.1.1.1 Auditora del rendimiento y aprovechamiento

12.1.1.2 Auditora a los mtodos y sistemas de seguridad

12.1.1.3 Auditora al rendimiento y aprovechamiento

Programas de evaluacin del sistema que l mismo haya diseado.

12.1.1.4 Auditora a la productividad del procesamiento de informacin

Los programas desarrollados por fabricantes, desarrolladores y distribuidores

12.1.2 Auditora con la computadora a las reas tradicionales

rramientas, tcnicas y procedimientos de la auditora tradicional, que le permitan al au-

12.1.2.1 Auditora con el apoyo de paquetera de aplicacin

12.1.2.2 Auditora con el apoyo de paquetera de aplicacin

12.1.2.3 Auditora con el apoyo de hojas electrnicas de trabajo

* ADMIPLUS es una marca registrada por Grupo SP de Mxico, S.A. de C.V.

12.1.2.4 Auditora con el apoyo de programas de bases de datos

12.1.2.5 Auditora con el apoyo de paquetes contables

12.1.2.6 Auditora con el apoyo de diversas paqueteras

12.1.3 Auditora con la computadora y aplicaciones combinadas en los sistemas

12.2 Auditora sin la computadora

de organizacin, funciones y actividades de funcionarios y personal de un centro

Auditora a las tcnicas y sistemas de procesamiento.

12.2.1 Auditora a la actividad administrativa del centro de cmputo

12.2.2 Auditora a la gestin financiera del centro de cmputo

12.2.3 Auditora a la operacin de los sistemas

12.2.4 Auditora al desarrollo de los proyectos de sistemas computacionales

Evaluacin de la existencia, difusin y cumplimiento de los estndares de anli-

12.2.5 Auditora a las tcnicas y sistemas de procesamiento

En s, aqu se revisan todas las actividades que repercuten de alguna manera en la

12.2.6 Auditora a los sistemas de seguridad y prevencin de contingencias

12.2.7 Auditora de los consumibles para el funcionamiento de los sistemas

miento de informacin, as como de todo lo relacionado con la salvaguarda, custodia y

12.2.8 Auditora del uso y acceso a los sistemas y programas computacionales

12.3 Auditora a la gestin informtica del rea de sistemas

Estrategias para el funcionamiento de la actividad informtica.

Coordinacin de los recursos informticos utilizados para la actividad infor-

Administracin de las telecomunicaciones del sistema computacional del

12.3.1 Sugerencias de herramientas, tcnicas y procedimientos

Un buen elemento de control para el responsable de esta evaluacin es el siguiente:

12.4 Auditora al sistema computacional

12.4.1 Auditora al sistema computacional segn

Mantenimiento bsico para los sistemas.

12.4.2 Auditora al sistema computacional segn

Versin, actualizacin y utilidad para el sistema.

Auditora a los programas y paquetera de aplicacin y explotacin.

12.4.3 Auditora al diseo lgico del sistema

12.4.4 Auditora al diseo fsico del sistema

Auditora a la arquitectura interna y configuracin fsica del sistema computacio-

12.4.5 Auditora a la administracion y control de accesos y salidas de datos

12.4.6 Auditora a la administracin y control del procesamiento de datos

Auditora a la estandarizacin del uso de sistemas operativos, lenguajes, progra-

12.4.7 Auditora a los controles de almacenamiento

Auditora a las normas, polticas y procedimientos para el almacenamiento, cus-

12.4.8 Auditora a los controles de seguridad del sistema computacional

Auditora a los mtodos, procedimientos y sistemas de administracin y control

12.4.9 Auditora a los controles adicionales para la operacin del sistema

12.4.10 Auditora a la administracin del rea de sistemas computacionales