- ........

·1~•·". , .;, ·~
... ,. ~

~ ' t '

. --- . . '

... ~.,.,
.t -

,,,11 ~
rA 'l

"'

' I
 INTRODUCCION A LA METODOLOGIA
La auditorfa, como todo proceso l6gico, cuenta con una estr
-0, n bien definida y en esta segunda parte exploraremos la rn Uctura.
ci ' d d · h t
de trabajo propuesta basa a en 1c a es rue urac10?·.t · ' et:od oIogra
La metodologfa se compone de cuatro fases : defmtci6n , . .
Juaci6n y condus10n, . , y ca da una de e11 as se mtegra
. a su vez' dana1is1s, eva.
. •,
cual facilita su ap l1cac10n.
e etap
as, lo
En Ia fase de definici6n (capftulo 7) se establecen los ob· .
. , . t d . Jetivos
foque de I~ au dttona, c?nJ_~ntamen e con una, _escnpci6n deJ Y_en.
te informat1co y la descnpcton del marco estrategico de la em arnb1en.
fase de analisis _(cap~tulo 8) se_~ecaba informaci6n y se realizaP~esa. ~~ la
detallado de d1cha mformac10n. En la fase de evaluaci6n n,anahsis
se aplican pruebas de auditorfa y se evalua la efectividad d(cfP1tulo 9)
dimientos de control, llegando a conclusiones sabre el cont eI os Pr0ce.
la ultima fase (capftulo 10), denominada conclusion se ef r~ en TI.En
maci6~ del impacto q~e las des~iaciones encontrada~ pueJctua una esti.
j negoc10, se prepara el mforme fmal de auditorfa y se ge an tene~ en el
cesario para el futuro seguimiento de las recomendac· nera matenaJ ne-
I
I
I
.
A contmuac10n ., .
se presenta un diagrama del proce
10nes.
,.
auditoria: so genenco de

Definici6n L) Analisis I I\
~ Evaluaci6n L) Conclusion

200

_ _ _ _ _ _)7
 '\

Esta primera fase del proceso de auditoria tiene como prop6sito fun-
damental generar la informaci6n basica que permitira definir y orientar
los recursos de trabajo necesarios para realizar un proyecto especffico de
auditorfa.
Esta informaci6n corresponde a la descripci6n de empresa sujeta a
evaluaci6n, y su perfil informatico a su marco estrategico, a los objetivos
de la auditoria y al enfoque de revision que se desea efectuar.
La fase de definici6n se subdivide en cuatro etapas, cada una de las cua-
les se orienta a la obtenci6n de la informaci6n que hemos mencionado:

1. Desarrollo del perfil informatico.

2. Confirmaci6n estrategica.
3. Definici6n del enfoque de la auditoria.
4. Definici6n de objetivos de auditoria.

Veamos c6mo se desarrolla cada una de ellas.

7.1. DESARROLLO DEL PERFIL

INFORMATICO

d~n esra etapa se recaba informaci6n general de la empresa que se va

au 1~ar asf como informaci6n descriptiva del area de sisten1as Y de las
arquue cturas tecnol6gicas existentes en la en1presa para con stituir
· · l0
que Ese denom·ina " per f'l . format1co
1 1n , . d e Ia empresa ,, .
·u ste producto representa un componente descriptivo, el cual, con-
J ntament
enf e con el marco estrategico de la empresa, los o b'Jet1vos
· Y el
oque de la auditorfa que se desarrollaran posteriormente, permiti-

201
 PARTE II. METODOLOG[A
202
. . Jc trabajo de auditorfa que sean mas ade-
111
ra definir los proced•~ _entosl la e~nJJresa y estahlecera las bases sohre
, -aractenst1cas c e '- . f ·/
cua dos a 1,ts (:, ~ , area de tecnologfa de m orrnac1on, no como una
las cuales se anah~~ua e1' . ' bicada dentro del contexto de la empre5a
r
entidad in~e~endtet~t~, SldO empresa se elabora rnediante el de5arro~
El perftl mformatrc? . e a i
llo de las siguientes act1v1dades.
ecabar informaci6n general de la empresa :
7.1.1. R

7.1.1.l.
Recabar informaci6n sobre los pro~es~s de negocio.
7.1.1.2. Recabar informaci6n sobre las ubicac1ones geogra-
ficas. l .d d
7.1.1.3. Recabar informaci6n sobre as um a es organiza-
cionales. .
7.1.1.4. Recabar informaci6n sobre las relac1ones entre lo5
elementos anteriores:
7 .1.1. 4 .1. In di car que procesos se realizan en las ubi-
caciones geograficas.
7 .1.1. 4.2. In dicar que unidades organizacionales son
responsables de los procesos.

7.1.1.5. Recabar informaci6n sobre indicadores financieros.

7.1.1.6. Recabar inforrnaci6n sobre cultura inforrnatica.

7.1.2. Recabar informaci6n general del area de sisternas:

7.1.2.1. Recabar inforrnaci6n sobre procesos informaticos.

7.1.2.2. Recabar inforrnaci6n sobre presupuesto de sistemas.

7.1.3 . Describir polfticas informaticas:

7.1.3.1. Describir polfticas sobre tecnologia.

7. J.3.2. Describir polf ticas sobre datos.
7. 1.3.3. Dcscribir polfticas sohre organizaci6n del ~hea de sis-
tcmas.
7.1.3.4. Describir polfticas sobre sistemas (aplic~Kiones).

7.1.4. Dcscribir las arquitccturas inform~hicas :

7.1.4. 1. Descr~b~r la arquitectura tecnologica.

7.1.4.2. Dcscrtb1r la arquitectura de datos.

?f~ ~I apendice A <lei libro sc prcsenta con mayor <letallc la informacion que se debe recabar
para e tmr el perftl de la emprcsa que sc va au<litar.
 CAP.?. DEFINICl6N

7.1.4.3. D escn.b.tr la arquitectura d .

203
sistemas. e organizaci6n del area d
7.1.4.4. Describir la arquitectura d . e
e s1stemas (apli .
. · caciones) .
Al condmr esta fase se contara con inform •6
ft110 ' cua1perm1tira
°
. - formatico (y contextual) de la empresa lo act que_describa el per-
riormente las me d'd d
1 as e control que deberfa . . . def'101r. pos-
te d . d d l d f. .
riesgos enva os e a guna_ e 1c1encia en las mismas
n ex1st1r ident·f' 1
1 tear ost'
ondusiones y recomendac10nes que el auditor em.t Y undamentar las
c b . I a como producto de
su tra aJO,

7.2. CONFIRMACION ESTRATEGICA

Probablem~nte, esta es una de las etapas mas importantes en todo el

proceso de aud1tona, ya qu~ es aquf donde se establece el marco estrate-
gico de la empresa y se defmen con claridad cuales son los objetivos de
negoci? ,a los que deb~ apoyars~ medi~?te el empleo de tecnologfa de in-
forJ?a~1on. Esto perm1te determmar la 1mportancia" que tendran los pro-
cedinuentos de_control a evaluar (con base en su impacto sobre los obje-
tivos de negoc10).
De la misma forma, el trabajo que se realice en esta etapa propor-
cionara elementos para valorar el riesgo y el impacto potencial de des-
viaciones en el control interno con respecto a los objetivos estrategicos
de la empresa.
Este elemento de analisis proporcionara un "valor estrategico" al in-
forme del auditor y permitira que sus recomendaciones tengan mayor tras-
cendencia en la organizaci6n, al tiempo que se podran asignar priorida-
des a dichas recomendaciones basadas en la estrategia de la empresa.
La principal fuente de informaci6n en esta fase es el plan estrategi~o
de la empresa, en donde se podran identificar los objetivos. d~ negoc10
Yotros elementos propios de la estrategia. En_ caso de ~o ex1stir _f?rmal~
mente dicho plan, deb~ran sostenerse entrev1stas y ses10nes_f~c1htadas
con personal directivo de la empresa para identificar (no defimr) los 0~-
j~tivos de negocio. Es muy importante obtener el consenso de los partt-
cipantes en este tipo de reuniones facilitadas. . ,f
Tambien es importante considerar que el desarrollo t~e rcunwnes k
Cl·1·Ita das puede requerir
. mas t1empo
• de I que sert,t
, ., '. 11ecesano para obtener
:i b ~
la informaci6n directamente de un documento, por lo que eSro '- e era

2 . . , d trahajo en la que un "facilitador"

J' 0,na. "ses16n facilitada" o joint session, es una reumon e d ~ ertos sobre un tema en par-
? 1

t~ ~tecmcas y habilidades especificas para lograr_que un ~ru~o d e es:bre la misma. El facilitador

ar generen informaci6n, la clasifiquen y/o asignen pno~t a e\obre el cual se este trabajando.
e e, en todo momento, permanecer imparcial con respecto a tema
204 PARTE II Mt,-
' ' li..:1GD
cons1'derarse en 1a est1mac1on
. . ' de ttempos,
. tanto del audito Ola("•\llA
sonal directivo que participant. r corno det
La confirmaci6n estrategica consta de las siguientes . . Per,
actrv1d d
a es
7 .2.1. Confirmar los objetivos de negocio de la ernp ·
resa:
7.2.1.1. Adicionar objetivos "tipo".
7 .2.1.2. Personalizar objetivos de acuerdo con 1
ticas de la empresa. as caracterr
7.2.1.3. Identificar metas para cada objetivo p s.
ersona]izado
7.2.2. Confirmar los factores crfticos de exito de Ia em ·
7.2.3. Relacionar objetivos vs. factores crfticos de exitopresa.
7.2.4. Identificar los indicadores crfticos de medici6n. ·
7.2.5. Identificar los objetivos de control de tecnologfa de inf .,
7.2.6. Identificar las metas de control de tecnologfa de infinna~?n.
nnac1on.

7.2.1. CONFIRMAR LOS OBJETIVOS DE NEGOCIO

DE LA EMPRESA

Esta actividad consiste en identificar los objetivos de negocio que 1

empresa tiene establecidos como parte de su estrategia. Para hacer Io an~
terior, se puede partir de los objetivos "tipo" que se comentaron en el
capftulo de control interno y realizar lo siguiente:

7.2.1.1. Adicionar objetivos "tipo"

Adicionar los tipos de objetivo existentes en la empresa, que no es-

ten considerados en la relaci6n inicial que proporciona la metodologia
(tipos de objetivo distintos a rentabilidad, imagen, etc.).

7 .2.1.2. Personalizar objetivos de acuerdo con

las caracteristicas de la empresa
. . " no s1gm
Esta persona 11zac10n . 'f'1ca necesanamen
. te ident1·f·dicardarse
un ob·I
e
jetivo de la empresa para cada objetivo "tipo", ya qu~ ~ue ~ara cada
caso de que la empresa tenga en realidad dos o mas ob~et~vos "tipo'' n~
uno de los objetivos "tipo" o que alguno de dichos obJetivosolo debera
sea aplicable a las caractedsticas de la em pres.a, en. cuyo i~stv~s para lo5
ignorarse. En esta personalizaci6n deberan mcluirse O Jet~rior.
objetivos "tipo" definidos para la empresa en el punto an
 205
Jdentificar metas para cada objetivo
3
7,2.1• · personalizado
actividad consiste en identificar las metas para d
6. .
Esta11·zado es decir, la forma en que cada uno de los obcJ.aet·a o Jetdtv~
rsona ' . • . 1vos po ra
pe dido Veamos e1 s1gmente eJemp1o en el que se "person r ,,
ser me .· a 12an 1os
objetivos npo.

Objetivo "tipo" Personalizaci6n

a) Rentabilidad • Proporcionar a los accionistas una

b) Crecimiento institucional
c) Calidad
d) Productividad
e) Imagen
/) Productos o servicios
g) Posicionamiento competitivo
h) Recursos humanos
rentabilidad satisfactoria sobre su \
inversion
• Proporcionar a los inversionistas
(bolsa de valores) una rentabilidad
satisfactoria con respecto a
alternativas de inversion
La empresa debe mantener una
presencia solida en las ciudades
mas importantes del pafs, asf como
en los principales pafses de
Latinoamerica
La empresa debe mantener niveles
internacionales de calidad en todas
sus actividades, servicios y productos
La empresa debe mantenerse dentro
de los fndices internacionales de
productividad en la industria
La empresa debe conservar una
imagen etica entre sus clientes,
proveedores, competencia y publico
en general
La empresa debe producir y
comercializar productos que
respondan en forma satisfactoria a
las necesidades de sus
consumidores y puedan crear un
sentido de "lealtad" de nuest ros
clientes hacia nuestra compaftfa
La empresa debe ser lfder ~1~
terminos reales y ser perc1b1d~ corno
tal en la comunidad empresanal
La empresa debe contar _con ~~rsonal J
altamente motivado e ident1f1cado 1
con la instituci6n
206
(Continuaci6n.)

Objetivo "tipo" Personalizacion

I

i) lmpacto en la comunidad La empresa debe generar b . I

la sociedad, tanto a las faen:~tcios a,
directas de sus empleado Inthas \
la comurn'dad en general s, corn o a '
j) Clientes
La empresa debe buscar la t \
· ~ de sus clientesotal
· facc1on
satts 1
1
establecer una relaci6n de { grar
hacia lo~ productos que les ea tad
proporc10na
11w. .r ..

Tomando como ejemplo el primer objetiv? "pers~°:alizado", podrfa.

mos identificar algunas de sus metas; es decir, 1dent1ficar c6mo la
presa mide el cumplimiento del objetivo (vease fig. 7.1). em.

~ ·t.
"lt.·,...."' t

F~~·~~:J<t~~~
Per,s ., Proporcionar a los accionistas una ~
(1)
~; rentabilidad satisfactoria sobre su inversion
,, q ]
15(1)
t
~
~
I..

? ~
i5
' \ ~\~- __
Nivel de rendimiento sobre el capital
en 1998
ilJ
E
0
E
~. lde~i{~ar '0
metas u
Nivel de ingresos por ventas con
respecto al ano anterior

Figura 7 .1

7.2.2. CONHRMAR LOS FACTORES CRITICOS

DE f:XITO DE LA EMPRESA

. U_n~ vez confirmados los objetivos y las metas de negocio, debera~

tdent1f1carse los factorcs cdticos de exito que deben existir en la empre
sa para que los objetivos se alcancen en forma satisfactoria. Para hacer
esto, debemos utilizar la lista de factores crfticos de exito "tipo" que se
 0EFINIC1 6 N 207
cAPl .
capfruJo de control Interno y seguir un pro d' .
. n en e1 d . . ce 1m1ento ana-
v1ero terior es ecir: persona 1tzar, agregar O eliminar c , .
a1an ' • d • . ,, 1actores cntt
J0 go
P
ara obtener una matnz e asoc1ac10n completa . de acuerdo con las-
cos , t'cas de la empresa.
caracterts I

J _RELACIONAR OBJETIVOS DE NEGOCIO

7.2. . vs. FACTORES CRITICOS DE EXITO

Ad 1.cionalmente
. ,,
a la. identificaci6n
l y personalizaci6n
b. . de FCE, debera,
·d se 1a relac10n ex1stente entre os o Jet1vos de negocio y sus FCE
vatl ar , . . 1 d '
a que las carac.tens_t1cas pa)rtdtcu ares e _un~, empresa pueden provocar
laY existencia (o mex1st~ncia e una asoc1ac10n que no serfa valida para
ernpresa de otro g1ro.
unaEs muy importan
· t e_ 9ue en caso_de agregar ob'Jet1vos
· o factores crfti-
se establezcan tamb1en sus relac10nes para mantener la integridad de1
cos , . ," . d ,,
odelo estrateg1co que se esta persona11zan o .
m Como ejemplo, podemos mencionar las empresas del sector asegu-
rador, en cuyo c_aso contar con inform_a,ci6n ~eraz, confiable y oportuna
puede tener un 1mpacto en la generac_1~n de mgresos ~ utilidades, pues
parte de sus ventas pueden estar condtc10nadas a la cahdad y disponibi-
lidad de la informaci6n sobre sus reservas tecnicas e inversiones. Otro
ejemplo serfan los banc_os, en donde la intew-,idad ~ seguridad de SU in-
formacion puede tener 1mpacto en la obtenc10n de mgresos, ya que mu-
chos de los clientes que depositan sus inversiones podrfan cambiar de
banco en caso de que no se les proporcionara niveles adecuados de se-
guridad y confidencialidad.
La base para esta matriz sera la lista de objetivos personalizados de
la empresa y la lista de factores crfticos de exito que ya vimos en capi-
tulos anteriores.
A manera de ejemplo, podemos considerar que solo nos interesa el
objetivo institucional de calidad, lo cual, utilizando como base nuestra
matriz de asociaci6n (ya personalizada), nos permite conocer cuales son
los factores crfticos de exito que deben existir para lograr el objetivo.
. Recordemos que cada empresa cuenta con distintos objetivos _d~s- r
tmtos factores criticos de exito y que estos, en su conjunto, permittran
e5rable~:r un contexto estrategico en el que podemos fundamentar la
eval~acwn de tecnologfa de informaci6n, propon:ionando a nuest ras con-
dusiones coma auditores un mayor valor para la direccion de la empre-
sa evalua~~ (vease fig. 7.2). . .,
1
f Tamb :~ a manera de ejemplo pensemos en la personahzacwn de los
.a~tores cnt1cos de exito que debe cumplir la empresa para lograr sus ob-
Jetivos de negocio ilustrados en la figura 7.3.
208
()bietivOS

f"JcfOrCS
cn't1(0S de exito

Atnb,,tos
de la ✓
nformao6n

Efioencia ✓

Soporte ✓
tecno16gico

Cuttura ✓

Figura 7.Z

Factor crfdco de exito Factor crftico de exlto persona/izado

Operar con un nivel de mermas equ,parablc J iJS
Efic,encia
mejores practicas internaciona/es
Soporte Utilizar tecnolog{a de vanguard,a para ,1poyd1 IJ.s
tecno16g;co funciones de sopo rte a cl1cnte1;
Atnbutos de Obtener informacion oportuna y c0nfi.1ble \Ob, t:
11 r formac on
-- la s1tu,ici6n cle ped,dt,c. c-ri t, ,11h1lv ,JJ:__1,1,(.1H~\ ~ _J

t'laura 7. 3
 OlY,etrv<>s

Factores
crit cos de e0.to

d€ ta ✓
1r.forTTlac,60

Eficiencia ✓

Soporte
tecnologico
✓

Cultura ✓
'/ ·'-·.... DE MEDICI ON

p ra las metas de negocio y factores criticos de , . . ..

a definirse los indicadores cr{ticos de medici6 n edxttlo identificados,
de ben ,· d d' · , e a empresa L
. dicadores cnttcos e me 1c1on representan una especie de " · os
in trol" en el cual aparecen todos los indicadores que refle• tablero de
con . , de la empresa. Jan una sana \
operac1on . ,
Utilizando la m1sma ·1
analog1a del tablero de control •
d b
.
'tmagmemos un
. 0, 0 en el cua l e l pt oto e e conocer, entre otras cosa . d .
av1 vuelo, ' la . d a d e arn'b o, e l consumo deseados.d e1 estmo
h ora est1ma b
de 1 d , d . f ., l . e com us-
t1.ble ' etc. A emas . • f
e esta 1n ormac1on, e p1loto tambien deb
•, d l e con ocer
0 forma prec1sa 1n ormac1on urante e vuelo sobre: el nivel a tu 1 d
ecombustible? · la v~,loc1'd a d d e1 av101:1-,
· ' 1a a1t1tud
· de la nave, la presi6n c aen lae
cabina, la. d1recc101:1- del vuelo, ?bJe~os ~n el espacio que puedan repre-
sentar pehgro, el n1vel de energ1a electnca de la nave, el funcionamiento
de cada uno de sus motores, etcetera.
El primer grupo de informaci6n podria considerarse como las "metas"
(cuantificaci6n de sus objetivos de vuelo) y el segundo grupo como sus fac-
tores criticos de exito (sus objetivos no incluyen aspectos de control ope-
rativo, pero en caso de que la nave se desviara de su curso, se quedara sin
combustible o llegase a chocar con un OVNI, seguramente no llegara pun-
tualmente a su destino, lo cual si es parte de sus objetivos).
Pensando en un ejemplo mas acorde con nuestro tema de estudio, po-
demos considerar que el porcentaje de participaci6n de mercado es un
indicador critico de una empresa porque representa un objetivo que se
desea cumplir y que la tecnologia de informaci6n no solo debe propor-
cionar sistemas de informaci6n que permitan conocer en forma exacta y
oportuna el porcentaje de participaci6n, sino tambien debe proporcionar
soporte para que el porcentaje corresponda a los objetivos de 1:egocio. .
Estas dos perspectivas proporcionan una forma de evaluac16n del m-
vel de participaci6n de la tecnologia de informaci6n en el logro de los
objetivos de una empresa.
La raz6n de incluir la identificaci6n de indicadores criticos _e_n eSra
secci6~ ~e la metodologfa es que la mayoria ~~ ellos ti~t~en elact~~
1?s 0 h1et1vos de negocio o con los factores cnttcos de exito. E~ es
r ~tn~
.
tido · • · · , b , ·
. , es 1mportante menc1onar que extstiran ,,s1can,e 11 " t1-• cios ttpos
· de m-
dicadores criticos:
. . . l , .· (en realidad, con
a) Los re Iac1onados con los obJettvos t e negoct 0 . , y en
sus metas) que reflejaran el nivel de logro de los nuSmos
cierta fordia el nivel de desen1pei\o global de la etnpretla: , n el
b) Los relacionados con factores criticos de exito, que re _eJd~:pen-
comportamiento de dichos FCE como un componente in
 I 'l'll"ll\11 '- " . . I I "'- II / fl. I
t cs . I . , ft·l'. 1 t'tllfHCS;l re ;K IOll ;H. os con los < hltt ue
. ()S .put l' l t . (\1
.. CJ.t'tn.p ,\t t'S l l • )

los indu.:ado1 cs p,tr \ ·f . nsidcrarsc sus n1ctas). iv,~

• . (•1\1<.' ,,out :lll lO ' . 1· ,
de nego'-10 '1 ., -1-u,u qt1c, I) ,.11..•1 cfcctos de urw auc. 1tona . trad1 cion aI de r
l
Oe, ,em<)S f I
i t ••u,,
l ' 'r"tnos, '.,lcjar) no ncccsanamentc ·sc j(Je
1 nos qt 1c '- 1 nr, i.
((onctpto l c '-_ 1 , •. 1,1 indicador; pero al ser uno de los prop<Se c.1.
. n los valores uc L,H.1, , . I I , .. ,1t05 df'
na 1 l ,. ~I hr un nrnrco contc xtu,1 c. c ncgoc10 a lo<; re,u! d
esra metouo ogt,t c L , . , . f, .f. . . I . . d. . ta '>\
· d' ,
de la au 1ton,1 en , Tl neccstt·,rcn1os
· ' tt cnt1 rear t,1nto os in 1cadore
. , I · ~ pr,>-
. . . .
ptos como sus v,1 ( , , ' I )res desc·1dos (rnct,1s) y sus va ores rea les.

Rentabilidad:

• In1porte de ventas.
• Utilidades sohre ventas.
• Costos de operaci6n.
• Costos de financiarniento.
• Utilidad en n1anejo de tesorerfa.
• Rendin1iento sobre capital.

Crecimiento institucional:

• Crecimiento con respecto a periodos anteriores.

• Presencia geografica.

CaJidad:

• Comparaci6n con 111ejorcs practicas de la industria.

• CumpJi111i ento con estandares internal:ionalt-s.
• Cerrifjcacioncs.

Jrnagen puhlica:

• Opini 6n J c c.: 011s11111idon s. 1

• ()pini6n J e la com1wr-enda.

Productividad:

• Utilizaci6n de insurnos. .,
• Relacion de recursos hu1nanos vs. nivdes de produccron.
 .. ... ..... .. . . _ .__ v .__._ " 1 "-u111nH~ · · '-4~,v,
\. to( I ~ l \.l \. tl ,1 ....... . . .. t' I 11\Cnto. d~ la.
ohjcti,•t)S) . C')\

. . d·,,emtnresa tiene ,ndicadores

.,a . difcrent.es.
., , Sin emhargc>, \o~ .
(
tes ejemplos pueden servi r de t1ustraet on. y gut a_para Ia identi fic. ~'guieii.
los indicadorcs paruculares de la empres,, relac10nados con I 0ac16n d
de negoc;o (que podrian considerarse sus metas), OS b1etiv'
DebenlOS ac\arar que para efectos• de ) una auditoria
. trad·tc1on
. \ ~
(concepto de\ cua\ nos queremos a \e1ar no necesanamente . . a d, I I
rian los valores de cada indicador, pero al ser uno de los S~td;ntific.,
~
0
esta metodologfa el dar un marco contextual de negocio P stto,; a)
de \a auditoria en Tl, necesitaremos identificar tanto \os ind?s resu\tad,
. l d d (
p10s como sus va ores esea os metas) y sus va\ores rea\es. res pr().
icado ~

Rentabilidad:

• lmporte de ventas.
• Utilidades sobre ventas.
• Costos de operaci6n.
• Costos de financiamiento.
• Utilidad en manejo de tesoreria.
• Rendimiento sobre capital.

Crecimiento institucional:

• Crecimiento con respecto a eriO d .

• Presencia geografica. P os antenores.

Calidad:
• Comp arac1on
· , con mejores , . d .
• Cumplimiento con esta d pra~t1cas e_\a industria.
• Certificaciones. n ares tnternac1onales.

Imagen publica:

• O pini6n de . .
• 0 . ., consunudores
pinion de \·,\ co
, tnpctcncia.
·

Productividad:

• Utilizaci6n d .
• Re\a ,·, e insu1nos.
c1on de rec ursos hUf11 '."l 1'\A• ' - •-
210 PARTE ii. METo
Dalo
· , de ob'Je t·ivo~ de neg~cio
· (cualquie ~r~
sable en la consecuc10n
ci6n podra considerarse como un nesgo de tncurnplirn· r dew
Ient0 d Ia.
objetivos). eI~

Cada empresa tiene indicadores diferentes. Sin ernbarg I .

. d ·1 ., , o, os
tes ejemplos puedet~ serv1r e I ustrac10n y gma_ para la identifi~ si~ien.
los indicadores part1culares de la empresa relac10nados con I ac1on d
de negocto · (que po dnan' const·derarse sus me t as ): os obi· etivas
· e
Debemos aclarar que para efectos de una aud1torfa trad· .
(concepto del cua1nos q~er:mos aIeJar . ) no necesanamente
. id d.~ 11
lCional
se
rfan los valores de cada mdtcador, pero al ser uno de Ios pro _e~t1fiea.
esta metodologfa el dar un marco contextual de negocio a I Positos de
.
de 1a au ditorfa en TI, neces1taremos 1'dentt'f'tear tanto los indios dresuJ tad0ii
pios como sus val ores deseados (metas) y sus val ores reales~a ores Pro.

Rentabilidad:

• Importe de ventas.
• Utilidades sobre ventas.
• Costos de operaci6n.
• Costos de financiamiento.
• Utilidad en manejo de tesoreria.
• Rendimiento sobre capital.

Crecimiento institucional:

• Crecimiento con respecto a periodos anteriores

• Presencia geografica. ·

Calidad:

• Comp~ra~i6n con mejores practicas de la industria.

• Cu~p_ltm1ento con estandares internacionales.
• Cert1f1caciones.

Imagen publica:

• Opinion de consumidores.
• Opinion de la competencia.

Productividad:

• Utilizaci6n de insumos
• Relacion de recursos h~manos vs. niveles de produccion.
cAP. 7·
DEFINICl6N 211
vechamiento de instalaciones.
• Apro d .,
• Volumenes de pro ucc1on.

Productos O servicios:

, Posicionam~ento de marcas o producto~ ..

, Benchmarking contra productos o serv1c10s de la competencia.
, Numero de productos en el mercado.
, Nuevos productos introducidos exitosamente.
, Productos retirados del mercado.

Posicionamiento competitivo: ,'\

, Participaci6n de mercado.
, Posici6n en la competencia.

Recursos humanos:

• Rotaci6n del personal.

• Nivel academico del personal.
• Clima organizacional.
• Comparaci6n del tabulador con la competencia y el mercado en
general.

Impacto (social y/o econ6mico) en la comunidad:

• Opinion de la comunidad en general.

• Numero de familias dependientes de la empresa.
• Numero y frecuencia de demandas contra la empresa.

Clientes:

• Nivel de satisfacci6n de clientes.

• Demandas en la procuradurfa del consumidor o equivalentes.
• Antigiiedad promedio de clientes.
• Nuevos clientes ganados por recomendaci6n de otros clientes.
•
•
Numero de quejas o inconformidades.
Numero de clientes perdidos.

Los anteriores ejemplos de indicadores estan relacionados con objeti-

vosdde negoc10,· por Jo que su segmmtento
· · muy pro babl emente sera' par-
l I

~e d'e las labores normales de la direcci6n de la empresa. Sin embargo, los

1
1
tcadores relacionados con FCE pueden no resultar tan obvios, ya que
a gunos de ellos no se manifiest;n como un indicador concreto, sino
 2I 2 PARTE 11. ~1E1
0Dol .
·nformaci6n que debe ser interpretada y en ocasione . ~ t.
com 0 l . . f s n1 · cAP.
se presenta de manera c~a~tttat1va en ~rma natural. s1qu1ttq
No obstante, su segutmtento resulta 1mportante para la empr
la naturaleza propia de los FCE; esta naturaleza puede entend esa Pfi
· si volvemos a utilizar la analogia del tablero de control Ee_rse rt\:.
JOT .f. · · ,· · Xtst
gu nos instrumentos que roam 1estan s1tuac1ones cnt1cas media en a.\.
. . 1 . l nte «f
rojos" o inclusive seftales de au d!o; ~or e1emp o : s1 a presi6n de\ a¾
de los motores es de~asiado baJa, ~1 la ten:iperatura es_demasiad() Ceitt
si el nivel de combusuble es demas1ado baJo, etc. Los indicado al~
. 1 . ·1 . res re'-
cionados con los FCE uenen una natura eza s1m1 ar, ya que si al i.a-
los FCE falla los objetivos de negocio que soporta no seran l~no dt
' . ~ l 1 ,. . gtad~
En este sentido es import~nt~ se_na a~ q':e e esptntu_ pr?act1vo que ~t ·
libro propane para la aud1tona, 1mphcana que estos md1cadores n , t
se conozcan cuando han llegado a sus niveles criticos, sino que se po so\?
· ertri1-
ta tener un monitoreo de su comportamtento y se promueva O apoye \1.1
cumplimiento. ., .
A continuaci6n se prese_ntan, ta?1b1en a ~an era de e1e?1plo y con ca-
racter ilustrativo, algunos upos de mformac10n que podnan representar
indicadores criticos relacionados con FCE.

Atributos de la informaci6n sobre aspectos financieros y operativos

de la empresa:

• Niveles de satisfacci6n de los usuarios.

• Numero de solicitudes de cambios a los sistemas actuales.
• Numero de solicitudes de cambio o desarrollo en espera de aten-
ci6n.
• Relacion de recursos asignados a mantenimiento vs. desarrollo.
• Oportunidad con que los usuarios reciben informaci6n.

Condiciones de integridad, disponibilidad y confidencialidad de \a

informaci6n de la empresa:

• Numero de fraudes mediante tecnologia de informaci6n.

• Importe de desfalcos o fraudes que utilizan tecnologia de infor-
maci6n.
• Numero de reclamos de clientes derivados de diferencias en los
registros.
• Numero de accesos no autorizados a los sistemas de informaci6n.

Proteger los bienes e inversiones de la empresa para asegurar la sal-

vaguarda del patrimonio institucional:

lj
 DEFINICION 213
cAP. 7·
.,._r, mero de siniestros.
1
• "'u rte de dafios sin cobertura adecuada.
• Jmpo d . . . d
• Tiempo fuera e operac10nes ongma o por siniestros.

. cia en la operaci6n de la empresa:

Efi c1en
• Mermas de materia prim_a en pr_oducci6n._
• Benchmarking contra la mdustna locale mternacional.
• Utilizaci6n de recur~os ~umano~ .
• Utilizaci6n de maqumana y eqmpos.
• "Tiempos muertos" en los_~rocesos de trabajo .
• Tiempo de respuesta a solicitudes o reclamos de clientes.

Contar con politicas acordes con los objetivos de la empresa y ase-

gurar la adherencia a dichas politicas:

• Cobertura de politicas con respecto a los procesos de trabajo.

• Obsolescencia de las politicas.
• Conocimiento de las polfticas por el personal.
• Numero de violaciones a las polfticas.
• Impacto por violaciones a las politicas.

Emplear los recursos de la empresa para los objetivos de negocio:

• Asignaci6n de recursos a procesos sustantivos (capacidades basicas).

• Desviaciones en el empleo de recursos.
• Asignaci6n de recursos a procesos administrativos.

Soporte tecnol6gico competitivo:

• Nivel de cobertura del soporte tecnol6gico a procesos sustantivos

(capacidades basicas).
• Nivel de aprovechamiento de la tecnologfa existente en la empresa.
• Obsolescencia de la tecnologia de la empresa.
• Comparaci6n con mejores practicas de utilizaci6n de tecnologfa
en la industria.

Cultura organizacional adecuada a las expectativas de la cmpresa:

• Nivel de identificaci6n del personal con la empresa.

• E~ad promedio y antigiledad del personal.
: Niveles ~e exito en programas de educacion continua.
P?rc~ntaJe de exito de programas relacionados con cultura orga-
ntzac1onal.

11111
 PARTE II. METODOLoq~
214
Mecanismos de adaptaci6n y equilibrio:

• Cambios en la industria. . .
• Cambios en la conducta de l~s cl1entes y consum1dores.
• Cambios en practicas comerc1ales de proveedores.
• Iniciativas de competidores. . .
• Cambios en legislaci6n local e mternac1onal qu~ afecte a la empresa
• Iniciativas de la empresa en respuesta a ca~b10s externos. ·
• Indicadores de equilibrio entre elementos mternos de la empresa.

Mantener una conciencia social en la empresa:

• Impacto econ6mico de la empresa en la c~munidad.

• Impacto social de la empresa en la comumda~.
• Impacto ecol6gico de la empresa en la comumdad.

Preservar la continuidad de la operaci6n de la empresa:

• Interrupciones de la planta productiva.

• Interrupciones de servicio a clientes.
• lnterrupciones en los sistemas de c6mputo.
• Cancelaci6n de pedidos por insuficiencia de inventarios.
• lnterrupciones en distribuci6n a clientes o almacenes.

Generar suficientes recursos econ6micos u obtener resultados ope-

rativos:

• lmporte de ventas.
• Importe de utilidades.
• Volumen de unidades producidas/vendidas.
• Numero de clientes atendidos.
• Relacion de los indicadores anteriores con costos de operaci6n
activos o recursos humanos. '
• Crecimiento en ventas y/o servicios proporcionados vs. crecimien-
to en costos y/o recursos.

Integraci6n de clientes y proveedores:

• Porcentaje de clientes y/o proveedores que utilizan EDI o equiva-

lente.
• Porcentaje de procesos de negocio integrados con clientes y/o pro-
veedores.
• Numero de transacciones de proveedores que accesan archivos de
la empresa.
 oEFINICi6N
cAP. 7· 215
ll..T'mero de transacciones de clientes cuyos a h'
• l"'u . d . 1· re tvos son acce d
• porcentaJe e transacc10nes rea 1zadas conjuntame ~a os.
veedores. nte con cl1entes
y/o prO
rar de acuerdo con la normatividad existente en . d'JO :
0 pe SU me
• Ol') ligaciones
. normativas
. , fiscales
, . y nivel. de cumpJ 1m1ento
· . .
1
• Obligac~ones normat1_vas eco og1ca~ y.nivel de cumplimiento
• Oblig~c1~nes normattvas so 6re practtcas comerciaJes y niv~I de
cumphm1ento. . .
, Obligaciones normatlvas de mformaci6n (publicaci6n d. .
·t· •, ) . .
ci6n, cIas1 1cac10n, et~. y su cump 11m1ento.
, 1ctamina-
, Obligaciones normat1vas de comercio internacional.
\
Contar con una estrategia definida orientada hacia Ios objetivos de
negocio:
• Logro de metas asociadas con los objetivos de negocio .
• Difusi6n de la misi6n y principios institucionales.
• Numero de proyectos asociados con la estrategia institucional.
• Exito de iniciativas derivadas de la estrategia institucional.
• Numero de procesos alineados con las competencias basicas de Ia
empresa.

Finalmente, podrfamos pensar que algunos de los indicadores de me-

dici6n para nuestro ejemplo podrfan ser, para las metas:

Nivel de rendimiento sabre el Obtener un rendimiento de 30 %

capital. sabre capital en 1998.
Nivel de ingresos por ventas con Obtener ingresos por ventas en
respecto al afio anterior. 1998, 20 % superior al afio
anterior.

Para factores criticos de exito:

Operar con un nivel de mermas Opcrar las Ifneas de prod~1cci~n

equiparable a las mejores con un nivel de merma mfenor
practicas internacionales. al 3 °1b.

I
216 TIVOS OE CONTROL

2
5. JoENTJFICAR Lf~s io{~FORMACI6N
7. . . TECNOLOG .
DE rimera ") 1ga
' " en tr e conceptos d
1
lo fa adepinformac1.6 n, y~ que Ios eIementos
Esta activt'd ad re·presenta e negO-
. onceptos de tecno g momento son a mvel empresa y su . que
f10 yo~ identificado hasta. este sf y no aspectos espedficos de tecnoJ°at_u.
1elm refleja la del negoc1~ ~dn d es determinar cuales objetivos de Ogia.
ra eza d ta acuv1 a 1
El objetivo _e ~s la empresa para apo_yar e cump u~•~nto de lo.
r . con
1 deberfan ex1st1r e_n , ltima instanc1a, el de los ob1et1vos de ~
tro , . d ex1to y en u
factores cnttcos e
. ·t· d 1 b'
. ' d los FCE 1dent1 ica os con os o Jetivos d
ne.
gocio. Esto se logra ,asd~1f:fo~maci6n, lo cual se puede realizar en form:
control de tecnologia . de asociaci6n, en la que, con base en 1
practica ut! ~zan , . determinados, se 1'd ent1·t·tcaran
·1· do una matnz , 1os ob'Jetivos de
~
factores cnttcos de ex1to
control que los apoyan: 1 primer paso, utilizando como base un
En la figura 7._4 se 110st r~ elos objetivos de control a los factores en~
secci6n de la matnz qu_e. asocta
ticos de exito ya delnt1f1cad?st.ermedio de la cadena que hemos formado
ii·

· b ·amos e e emento m
SIo . d , •
v1 (los factores cdticos de ex1to) po namos •~te~retar
hasta el momento de la siguiente forma: para lograr el ob1envo ins-
el producto que tenemos . .f . 1 .
. . d I'd
t1tuc1ona1 e ca 1 a , sed requiere cumphr sat1s actonamente con os 51_
guientes objetivos de control:
1. Asegurar que la informaci6n generada ybalmacenada ~ediante el
empleo de tecnologfa, conserva 1os atn utos necesanos para ser
util y confiable a la ~mpr~sa. ., ..
4. Emplear la tecnolog1a de mformac1on como soporte a la efic1en-
cia de la operaci6n de la empresa.
5. Utilizar la totalidad de los recursos de la infraestructura tecno-
l6gica en una forma eficiente, productiva y alineada a los obje-
tivos de negocio.
6. Proporcionar soporte tecnol6gico competitivo a la operaci6n y
a la toma de decisiones de la empresa en forma alineada a las po-
lfticas establecidas por la administraci6n de la empresa.
7. Contar con una cultura informatica competitiva y acorde con las
expectativas derivadas de los objetivos de negocio de la empresa.
8. Ma_ntener u~a cultura organizacional en el personal de tecnologfa
de .1~formac16n, adecuada y alineada con la cultura institucional.
9• Utilizar tecnologia de informaci6n como habilitador de mecanis-
mos efectivos de adecuaci6n al medio y de equilibrio interno en
la empresa.
lO. Mantener l~- continuidad y consistencia del soporte tecnol6gico
a la operac1on de empresa.
 I
-- --
ObjetivOs Emplear la 1 Utilizor la Tl ~
U tilizor Soporte 1 Mont ener Montener \o
de control Prese,var Tl como como Montener
recursos de tecnoI6gico Contor con cultura continu1dad
los soporte a la hobilitodor las
Tl en forma a la cultura organizocional . y
I atributos de eficiencia de conoic.iones
eficiente, operoci6n y inform6tica en el cons1stencio
j la operotiva mecanismos de lo
productiva tomo de competitiva personal de del soporte
Faetores informaci6n de/a de equilibri a 1nfon-noci6n
y afineada decision Tl de Tl
crfticos de exiw empresa y adoptac~6n \
.. ..
- .. . ~~ ', .. ,., . -"- ' ,.,..~;; ' - . - ~ . " - 1 I
,
I
Atributos ,.
de la - ✓ ✓ ✓
informaci6n .. , ... , , >,t, •• ·-,., _ ,,:;,._,, ·,,., ,,, .~ ~- - ,;.;, I
.·

..

Efidendo - ✓ ✓ ✓ ✓ - ✓
-~ .,• "
,. ~ ... ~- ·.. , - -- .. ., . - - -
C - ~* - c....a. • .,,l

Soporte ,....___
tecnol6g1co ✓ ✓ ✓ ✓ ✓
'

l 1 I
...
CLJlturo

. ..
I~
✓ ✓ r I - 1 I
--~
 PARTE II . ME.TOD
218 GlC)~\A
• , con<licioncs de confidencia\idad, integridad .'
1 1. M.H~t~1~er .1as . la informaci6n de la empresa que se praces y dis.
po111h1ltda~I _J c •d dios de tecnologia de informaci6 ea a\.
maccne uttltzan o me n.
, ~, 1 (como ya se habra observado) que \a rn
Valdna la pe1d1a sena arl fueron seleccionados como necesar·1 ayoria
d e 1os o b"JC tivos e contro · el· objetivo d e negoc10
. que usam, Os·' est()
se dcbe en ~ran parte a q~ lio y tiene implicaciones en muchos corn()
ejemplo (cahdad) es m}y ~ud visto de otra forma, significa qu:s d~ la\
areas de las empredsas, o l 'que de no ser cumplidos pueden t existen
1nuch os obJ·eti·vos . e. contra
d calidad de una empresa. ener
Un
impacto en los obJettvos e

72 6 IDENTIFICAR LAS METAS DE CON:ROL

. . . DE TECNOLOGIA DE INFORMACION

. •d d nsiste en identificar las metas de control que pe .

. , Esta abclt1v1 abasceos mas espedficas para la evaluaci6n de los objetiv~d-
t1ran esta ecer . . l e 3

.
controI sel ecc1ona dos y, en ultima 1nstanc1a,
. . contar
d con e •ementos de 1-u1c1G ..
detallados que permitan evaluar. los ob1et1vo~ e negoc10. Para lograr lG
• se pue de uti·11·zar el apend1ce B .de.este dhbro, en ell que
antenor, l se presenta una
relaci6n detallada de las metas y los ob1e~1vos e contro, a os que apoyan.
N uevamente a manera de ejemplo . . 1lustraremos
, solo
"U
las metas de C"'vn-
T
trol que tienen relaci6n con el ob1et1vo nu~e_ro 5 : t1 1zar la totalidad
de los recursos de la infraestructura tecnolog1c~ en una forma eficiente
productiva y alineada a los objetivos de negoc10": '

1. Los recursos de tecnologia de informaci6n deben ser empleados

de acuerdo con las prioridades de la empresa.
2. Debe existir una vision clara del empleo de recursos de tecnolo-
gia a mediano y largo plazas, fundamentada en los objetivos es-
trategicos de la empresa.
3. Los recursos financieros destinados a tecnologia de informaci6n
deben obtenerse, aplicarse y controlarse en forma adecuada a los
intereses y prioridades de la empresa.
4. Las inversiones en tecnologia (hardware, software, metodologia
o servicios) deben representar la mejor alternativa desde la pers-
pectiva de costo-beneficio para la empresa.
5. Los procesos de trabajo, los recursos tecnol6gicos y los recur-
sos humanos deben estar debidamente alineados a la estrategia
de la empresa.
6. El area de tecnologia de informaci6n debe contar con capacid2
de tom a de decisiones en forma objetiva y en beneficio de la er
presa en general.
7• Los recurs as de tecnologia de informaci6n deb en encontrarse en b:
l\8 PARTE II. METo
Dal()
11. Mantener las condiciones de confidencialidad, inte .d (;fA
ponibilidad de la informaci6n de la empresa que se ~ri ad yd'
macene uti\izando medios de tecnologia de inforrn r?~ese O 18-
acton a,1
Valdria la pena senalar (como ya se h~bra observado) que
1
de los objetivos de control fueron selecc10nados como nece a _lnay 0 r
. . d . sari Ia
se debe en gran parte a que e_1obJ~tlvo . e ~eg~c10 que usarno0 s; estf)
ejemplo (calidad) es muy ampho y t1ene 1mphcac1ones en mu h 8 con,
· de otra forma, s1gnifica
areas de las empresas, lo que, v1sto · c as d_e las()
9 existen
muchos objetivos de control que de no ser cumplidos puede~e
impacto en los objetivos de calidad de una empresa. tener un

7.2.6. lDENTIFICAR LAS METAS DE CONTROL

DE TECNOLOGiA DE INFORMACION

Esta actividad consiste en identificar las metas de control que .

tiran establecer bases mas especificas para la evaluaci6n de los obJ·e/ertn1-
. dos y, en u, 1t1ma
control selecc1ona . mstanc1a,
. . contar con eIementos delVos . . d.e
detallados que permitan evaluar los objetivos de negocio. Para lo~uicio
anterior, se puede utilizar el apendice B de este libro, en el que se present ar lo
relaci6n detallada de las metas y los objetivos de control a los que apoy a una
Nuevamente a manera de ejemplo ilustraremos s6/o las metas dean.
trol que tienen relaci6n con el objetivo numero 5: "Utilizar la tota/J~
de los recursos de la infraestructura tecnol6gica en una forma efici: a
· y a1·meada a 1os ob.1et1vos
pro ductlva . de negoc10 . ": nte '

1. Los recursos de tecnologfa de informaci6n deben ser emplead

de acuerdo con las prioridades de la empresa. os
2. Debe existir una vision clara del empleo de recursos de tecnolo-
gia a mediano y largo plazas, fundamentada en los objetivos es-
trategicos de la empresa.
3. Los recursos financieros destinados a tecnologia de informaci6n
deben obtenerse, aplicarse y controlarse en forma adecuada a los
intereses y prioridades de la empresa.
4. Las inversiones en tecnologfa (hardware, software, metodologfa
o servicios) deben representar la mejor alternativa desde la pers-
pectiva de costo-beneficio para la empresa.
5. Los procesos de trabajo, los recursos tecnol6gicos y los recu~-
sos humanos deben estar debidamente alineados a la estrategta
de la empresa. .
6. El area de tecnologia de informaci6n debe contar con capacidad
de toma de decisiones en forma objetiva y en beneficio de la em-
presa en general.
7 • Los recursos de tecnologia de informaci6n deben encontrarse en buen
 QEFINICl6N
cAP.7. 219
estado y ser utilizados
.
en forma1 eficiente y con adecuad . I
ap rovechamtento por persona. I.
, de .inform0 s .nive
de tecnolo g1a ,
es de
t d l
Los componen_es e a m,raestructura de TI d. ac1on.
8· der a las necestdades y caractcrfsticas de la em ehen correspon-
El personal del area de tecnolog{a <le infor .~resa.
11. liar sus actividades ordenada, regular y et·~ac, n dehe desarro-
. . . ., ~ , tctentemente
12. Debe e~•~tdtrdcomunl tc~cton<le ectiva entre el personal <lei <ire d TI
Las acttvt a es re ac1ona as con TI <leben 1.. a e .
25. la normativt . 'dad lega l regu latoria y contractu rea izarse con apego a
I
Debe existir la capacidad de identificar y c: qu_e corresponda.
27 · ciencias en Los procesos informdticos. rregtr posibles defi-
28 Deben existir mecanismos de mejora continua p I
· informdticos. ara os procesos
\
39 _ Los proyectos de tec1 nologia deben ser concluidos en el tiempo est,·
1
mado y sobre ed cua se fundament6 la decision de de sarrollar1os.-
l ,
40 _ Los proyectos e tecno og1a deben ser concluidos en el costo es-
timado, sobre el cual se fundament6
, d b la .decision de desarroll ar los.
41. Los proyectos de tecno log1a e en satisfacer Los objetivos de ne-
gocio, sobre los cuales se fundamento la decision de desarrollarlos
42. Debe existir una comunicaci6n, coordinaci6n y servicio efectivos entr~
el area de tecnologfa de informaci6n y Los usuarios de sus servicios.
Para concluir esta etapa, valdria la pena resumir el proceso que hemos
seguido e indicar que las r~lacio~e~ establecid~s funcionan en dos direc-
ciones y tienen dos prop6~1~os d1stmtos: La p~11:1era "cadena", represen-
tada en la figura 7 .5, se ut1hza en las etapas m1c1ales de la auditorfa y nos
permite identificar cuales _m~tas de contr?l deberfan exi~tir en u,,na em-
presa para soportar sus ob1et1vos de negoc10. La segunda cadena se uti-
liza en las etapas finales de una auditoria y nos permite determinar cuales
objetivos de negocio pueden verse afectados por el cumplimiento de me-
taS de control (provocadas a su vez por deficiencias en los procedimientos
de control) (vease fig. 7 .6).

Objetivos
de negocio
¢ Factore; crfticos
de ex1to
',.J\
1L.{
Objetivos de
contro1
, J\ ~~~;~~
L/ __
. . __ _ __,,
,.. "'•"./ , ~" ', ~'"~ . ...... - - t L - - - _ _ , , ,~-~-~

Figura 7 .5

Metas de Objetivos de
¢ Factores crfticos
de exito
¢ Objetivo~
de negoc10
control control
' - - - ~~ ...... I "

·, ,
 220
DEFINICI6N DEL ENFOQUE DE
73
· LA AUDITORfA
. a de la fase de defin_ici6n, se_d_e~ermina c ,
En esta tercera.~tap guir existiendo cmco pos1b1ltdades b' ~al seq
el enfoque de revi_s1011 a s~e ta' selecci6n de cualesquiera de la:s1~a~. t,
importan~e tn~ncd«:1:: !ismas resultarla en un enfoque factible p:•;c,i Q
una _co°!bm~c1on bar o el trabajo requerido para Ile var a cabo Una a una
auditor~~· S1~ em I m!n'tos de los cinco enfoques representarfa una aud;.
tor~~ utthzan . oe;able el control del proyecto serfa de mayor ries ocorn.
ple11dad cons1d endabl~ realizar proyectos i~dependie~tes cuand! el PQr
tanto eds rec~m b que mas de una alternat1va. A cont1nuaci6n se en.
foque esea do al ar nfoques que hemos mencionado. expo.
ne cada uno e os e

7.3.1. DEFINIR EL ENFOQ~E BASADO EN

PROCESOS INFORMA TICOS

Este enfoque se elige cuando existe interes en realizar una audito ,

'f ,. di
0 evaluaci6n de alguno(s) de los procesos_ 1n ormat1cos e a empresa-
na
para esto es necesario utilizar u~a pe~sp,,ectlva de procesos de negocio (d;
acuerdo con los principios de re1ngen1ena de procesos que se comentaron
brevemente en el capftulo anterior).
Como vimos en el capftulo de control interno en tecnologia de in-
formaci6n, los procesos informaticos se pueden clasificar en dos cate-
gorias: procesos informaticos sustantivos y procesos de administraci6n
informatica.
Los principales procesos informaticos sustantivos son los siguienres:

1. Planeaci6n estrategica de sistemas.

2. Desarrollo de sistemas.
3. Evoluci6n o mantenimiento de sistemas.
4. Integraci6n de paquetes de software.
5. Capacitaci6n.
6. Proce~? de datos ~n ~mbientes de trabajo en batch.
7. Atenc1on a requenm1entos de usuar1·os
8 Ad · · · · ' .
· m~n~strar .~erv1c10s de terceros (incluyendo outsourcing).
9• Admm1strac10n de proyectos.

Los procesos de adm1· · •t ,· ,, · f ,· · d ··

•, d . .ms rac1on m ormat1ca (onentados a la a m1ms·
trac1on e sus recursos) son los siguientes:
10 Ad · · ·, .
. mm1strac1on de la mfraestructura informatica:
 oEFINICl6N
7
cAP. · 22 f
10.1 Direcci6n y control dcl area de tee _ •
. . . , I no 1ogfa de '
10.2 Admm1str.,1c1on t e rccursos materiales . inrorrnacion.
e instalactones). · (equ,po, tccnologfa
10.3 Adm!n!strac!~n de recursos humano.~.
10.4 Adn11mstrac1on de recursos financieros.

J.2. DEANIR EL ENFOQUE BASADO

7' EN PROYECTOS

Este enfoque tiene mucha relaci6n con el enfoque ant • d .

. , d . enor, e5 ec1r
vez de efectuar Ia eva Iuac10n e un proceso rnformatico , 1 _ di '
en f I I ., d en s1, e au _
r uede e ectuar a eva uac10n e un proyecto especi"fi'co
to P . I d que corres-
onda a d1cho proceso eva ua o.
p En otras palabras, el auditor, adicionalmente al evaluar el p
., d d f . roceso
de integrac1on e paquetes e so tware (cons1derando el proceso y
. l ) d
caracterisncas genera es , pue e optar por evaluar tambien la aplicacion
SUS

de dicho proceso para el desarrollo de un proyecto especffico es decir

la integraci6n _de un paquete de recursos humanos o un paque;e de ope~
raci6n bancana.
En este sentido, es importante mencionar que una evaluaci6n de este
tipo puede realizarse en forma independiente, es decir, sin considerar as-
pectos del proceso en general y enfocandose en forma particular al pro-
yecto objeto de la auditoria. Sin embargo, es recomendable efectuar una
evaluaci6n tanto del proceso que rige al trabajo, como del proyecto que
es producto del mismo, ya que es en dicho proyecto en donde se refle-
ja la efectividad y/o eficientia del trabajo realizado.
Finalmente, conviene sefialar que la gran diferencia entre reviSJr un
proyecto y revisar un sistema o proceso, radica en que el primero aun no
se encuentra en producci6n, es decir, es un proyecto que se encuentra
aun en proceso, mientras que el segundo implica que el proyecco ya ha
sido concluido y que la evaluaci6n se enfocara al prodtKto terminado Y
todas las caracteristicas que deba reunir.

7.3 .3. DEFINIR EL ENFOQUE BASAOO EN

ELEMENTOS DE INFRAESTIUJCTURA

Este enfoque se elige cuando se requiere(n) evaluar alguno(~) de los

elementos de infraestructura informatica de la empresa. La m~yona de los
depanamentos de s1stemas
. de las empresas cuen tan con una dmfraestruc-
..
. desarrol Iar sus procesos m
tura que Ies perm1te · fOrma' ticos y ar serv1c10
a sus usuarios. Esta infraestructura esta conformada a su ve_z pdor e1!emen-
·1· ·, se atten en os re-
tos de distinta naturaleza, mediante cuya ut11zact0n
 222 PARTE II. METoDa
! (Jr·rI A
. . J la organizaci6n, por Io quc puc(Ie consider
dc toua
quernmcntos ' • • . · :it~c
-<n y dcsempcno wmcn 11n 1mpacto gene
, . t ,,· O %
t:i 1 er, I,'
.J
su c~r_rccta aumm.,s ra .
scrv1c1os proporc:mnados. i,
• Daros. . · ·s)
• Sistcmas de informaci 6 n (ap 1,c1<.:ionc. ·
• lccnologfa :

- Equipos de c6mputo. . . . .·
- So ftware de l}asc
"' Ysistcrnas Jc aJ1111r11strac16n de hascs dc lat
1
_ Software de productividad. ''l
- Metodologfa.

• lnstalaciones.
• Rccursos humanos.
• Elcmentos de administrnci6n.
• Recursos financieros.
• Proveedorcs.

7.3.4. DEFINIR EL ENFOQU.E BASADO EN SISTEMAS

Este criterio para seleccionar el enfoque de la auditoria sc utiliza cu

. f an.
do se desea efectuar la evaluaci6n de un s1stema en .orma particular. Es
importante considerar que cada empresa cuenta con s1stemas distintos n
s6Jo por su funcionalidad, akance u origen (paquetes o dcsarrollos a 1 °
medida). Sin emhargo, todos en forma general (y simplistamentc hablan~
do) pu:d~n conceptualizarse como ~/1 conjunto de,programa~, archivos y
proced1m1entos gue se encuentran encapsulados en un m1smo Jisetio
conceptual, en un mismo disefio ffsico y, deseaolementc, en una misma
pJataforma tecnol6gica.
EJ trabajo de auditorfa bajo este enfoque seguira el flujo tfpico de los
sistemas, es decir: idcntificaci6n de evcntos, entrada de lbtus, comuni-
caci6n de datos, proceso de datos, salida y di.stribuci6n de informariun y
en cada una de las fascs se cvaluaran Jos controlcs cxistcntt·s y los qut· nu
cxisten, pero debcrfan cxistir.

7.3.5. DIWINIJ< J~L ENH)QUE HASAl>O EN

PKOCf-SOS l>E NEGOCIO

Es !mportaotc comcntar quc en la acwalidad la mayorfa dt· los sistl'·

ma_s ex,stcntcs fucron discfiaJos para cuhrir las ncccsidades t'spcdfa:as de
un,dacfos organiza(ionaJes o Jc fum.:ioncs de una cmprcsa, lo nial puc·
 oEFINICi6N
223
cAP ?.
un punto de re fl exron. ' sr. el au d'1tor deseara efectuar la audi-
de repr esentarroceso de negoc10 · (1 a au d'ttona
' deI soporte m · formatico que
, de un Pecibe). Un proceso, como 1o hemos v1sto,
roria · es un conJunto
· de
un p~ocedso rque se desarrollan secuencialmente en forma horizontal y
· da
acttVI . es ,, las fronteras ex1stentes
· entre departamentos o f.unciones de
''atrav1esan. aci6n. Para 1·1 ustrar lo anterior . po dnamos
, ana1tzar
· un proce-
una,o~gad;
0
ventas, que incluye desde la atenci6n del pedido del cliente,
\

so ttP1t trega de la mercanda. En forma grafica dicho proceso podrfa

ha sta a : 0 se ilustra en la figura 7. 7.
verse co

'
Programaci6n_r\ Manejo de r\ ~ Ml
de venta 1./ mercanda Y Di5tribucion ~•

'--------- - -·- ---·---------~

Cliente

Figura 7.7

Este proceso tfpicamente requerirfa la participaci6n de varias fun-

ciones de la empresa, como se muestra en la figura 7.8.
Si incorporamos a nuestro esquema los sistemas de informaci6n que
tfpicamente se utilizan en este proceso, veremos que el panorama para
el auditor se complica un poco mas (vease fig. 7.9).

I··~ ~ .~-·ftl[tt/onef ·· : ----:,,' ·:- ·- ·t

I ? '. ¥,-"f--.J _. t .,;_ ;y;. I ? S~!i$!C,.- ; - 4'. .. e

Credito y · Adman: de
· ·Ventas-·,,,_ cobr✓anzas , -inventarios • Transporte

,.,_-- - -.J.:....J_,~ Proceso de venta .._r__.~_~_·_· _"_ ...,.

'
l J,,,
Atenci6n de Programaci6n r\ Manejo de r\ Distr·ibucio ,
pedidos de venta 1./ mer·cancfa Y 1
i-----i -- ~
Cliente
Cliente
I 224

creciitq y Adm6n. de
cobranzas . inventarie~ Transporte
Ventas

Manejo de
Atencion de '
mercanda
pedidos

Cliente ~ - - ~---- Sistema de

Figura 7 .9

Como podemos ver, si el auditor decide evaluar un sistem " .

cional" tendra un alcance de revision mucho mas facil de defini: ( yad1-
ce "en;apsulado") que si opta por la evalua~i6n del proceso del a can.
cio ya que esta ultima opci6n puede requenr la evaluaci6n des· nego.
, d . istelll.
en forma parcial (los componentes e1s1stema que tengan relac' , as
. 1b , ion co
el proceso de negoc10), esto representa una a or mas novedosa p n
finir el alcance adecuado de la auditorfa. Sin embargo, las nuevara de.
. . d. d as ten
dencias de eficiencia parecen m 1car que ca a vez en mayor med·d 1
·
auditorfas deberan realizarse bajo el enfoque de procesos. a, la
Simplemente como orientaci6n, los procesos genericos de ma .
. ., ·d b., Yor n1-
vel en una orgamzac10n, conoc1 os tam 1en como megaprocesos s .1
. ' e t us-
tran en la figura 7.10.
La estructura que se presenta en la figura 7.10, corresponde
modelo generico, por lo que cada empresa puede presentar variaci~ un
dependiendo de sus caracterfsticas particulares. Sin embargo pode; es
pensar que Ia mayo~fa de las ~rganizaciones t~ndra_~na estruct~ra de pr~~
cesos que se asemeJe a los senalados. A contmuac10n se describe en for-
ma breve cada uno de los procesos.

a) El megaproceso de direcci6n se integra normalmente por los pro-

cesos de planeaci6n estrategica y de control estrategico:

• La planeaci6n estrategica se refiere a la definici6n de las estrate-

gias y proyectos que permitiran llevar a la empresa de una situa-
 225

r)1r f'(( 10n

(Pl,m<'r'Hi<\n f',tr .n~sw ,, y <0ntrol ~tr~~}

Caot,1 c16n de nuev0'j ne~o< 1,y;

r
(Come1'C .:i i zac on y p--oceso d.n or-den"', di': r 11 .,r,•~ .

-----=~--:------·---
D1seno de productos/serv1c1os
J
(Diseno. desarrollo y mercadeo)

Operac1ones
(Abastec1miento, produccion, d1stnbuo6n)

Soporte a clientes
(Administracion de cuentas y servicio a clientes)

·Administracion de tecnolog(a de informacion

Adm~nistracion _de recursos financieros

Administraci6n de instalaciones
W
-
4(#4 41 Ip

Figura 7.10

ci6n actual a una situaci6n futura deseada. Este prort'so involu(ra

el analisis de informaci6n tanto interna (misil)l1, objecivo~, m,u~,
factores crfticos de exito, problemas, etc) como t' .Xtt'rna ~l b l'm -
presa (supuestos crf ticos, compctcnda, aspe,tos m~\(roe~01H.)miro!\,
lcgislaci6n trihutaria, etc.).
• El control estrategico sc rcficrc al an11isis quc dedtl,\ b c~mprcs~\
para conocer los nivclcs de avancc de los proyertos, los resulta-
dos de las cstratcgias espcdficas, cl rnmplimicnto de b s lllt' t~\S Y
el comportamicnto Jc factorcs cdticos de exito, entre otros Jspe(-
 225
Direcci6n
(PlaneacicSn estrategica
, y control estrate I )
. . gco

CaptacicSn de nuevo 5 .
(Comer·cializacicSn y proceso d ~egocros '\
I
e ordene d .
, . . ,s e clrentes)

..
0
..
0
>
Dise~o de productos/servicios
(Drseno, desarrollo y rnercadeo)
~ ·;:;
V C
o IS. .
I,..
Cl-
..
::, Operaciones
(Abastecirniento, produccicSn, distribucicSn)

Soporte a clientes
(Administ,·acion de cuentas y 5 . . .
- erv1c10 a clrentes)

Administracion de t ecnolog(a de informacion

Figura 7.10

ci6n actual a una situaci6n futura deseada. Este proceso involucra

el analisis de informaci6n tanto interna (misi6n, objetivos, metas,
factores crfticos de exito, problemas, etc.) como externa a la em-
presa (supuestos crfticos, competencia, aspectos macroecon6micos,
legislaci6n tributaria, etc.).
• El control estrategico se refiere al analisis que efectua la empresa
para conocer los niveles de avance de los proyectos, los resulta-
dos de las estrategias espedficas, el cumplimiento de las metas Y
el comportamiento de factores crfticos de exito, entre otros aspel'.-
 ., 4 £.!. ,_ §QJ!g ; , ~

O perac1ones
(Abastec1m1ento. producci6n. dtstnbuci6n)

Soporte a. cltentes
(Adm1nistraci6n de cuentas y serv1cio a cl1 entes)

Admin1stra66n de tecnolog1a de 1nfo rmao6n

-3 GI
[L,~~~!!!l!ll!"A
~d""'m i1~·~-.....d::-e-:""r_ec_u__r_
~1'!'."ru..,.~-r:.c_ so_s~fi-
na_n_
·o_
·e_
ro_s_~.,......,,,.,_,>
I I ) ~ ..
C)
VI .
QI 0.

t
V O ·
~ . ll!Jl!lll!!!!'!P!ll~~
[~"'!!!! A!'!l'
dm '.!':» in~i~!~tr... ~on-~__d_,e_re__
!o..,. ,u_-r_s-o_s_~.,...um
_a_no...s---=-...,.....:.--,=~>

>
19

r'"::::,t
-~!lflll!!IIJ!!l-!!l!!!!'
A"' dliii
rn:/""!n~.,istJfJZ'r~a!"':'cio~~n__
de::-=-:
rn=- ao~·o_r_e_
st_al___ s ______

Figura 7 .10

ci6n actual a una situaci6n futura dc,e~1J.1. Este proceso involucra

el analisis de infonnaci6n tanto 1ntern.1 (rnisit)n, objetivos, metas,
factores crfticos de exito, prohlc1n.1~. ct( .) l:on10 externa a la em-
presa (supuestos crfticos, cornperencia, J!,pectos macroecon6micos,
legislaci6n tributaria, etc.).
• El control estrategico se refiere al analisis que efectua la empresa
para conocer los niveles de avance de los proyectos, los resulta-
dos de las estrategias especfficas, el cumplimiento de las metas y
el comportamiento de factores criticos de exito, entre otros aspec-
 PARTE 11. ME,o
226 DalCJ -
. el cumplimiento de la estrategia (;i,\
determmar d ·, gene
tos; para .d 'ficar medidas e acc1on que sean neces . ta\~
a e 1 eon d d at1a \I.~
la empres . mantener un a ecua o contro1 estrat, . s Pat
r a1ustes Y ., eg1c0 a.
efectua .. d la organizac10n. cit\
desempeno e
so de captaci6n de nuevos negocios se relacio
b) El megaproce resa realiza para generar la venta de suna C()t\
q ue una emp . . •, s ser .
los procesos de comeroa11zac1on y proceso de 6rd Vi,
cios e involucra aspectos enes cl~
clientes:
. . . n se refiere a los proc_esos que una empresa d
• La comercia1izact6 · · l d es
rrolla para llevar sus productos o serv_1dc10s a merca o y ponerl()~
I \ ,. a . . • , de sus clientes o consum1 ores.
a d1spos1c1odn tenct'o'n de 6rdenes de clientes consiste en las a t '
• El proceso e a . < c 1-
vidades que realiza una empresa para dar respuesta y surt1r los Pe-
didos que realizan sus clientes. Este pr?~eso co_m prende ~~sde que
un cliente manifiesta el deseo d~ ~dquinr un b1en o serv1c10, hasta
la entrega de dicho bien o servic10.

c) El megaproceso de diseiio de productos _o servicios se refiere a_los

va a cabo una empresa para tr desde la conceptualtza-
procesos qu e lle ·, I l
ci6n de un nuevo producto o servicio. hasta su generacton . nvo ucra los
procesos de disefio, desarrollo y mercadeo :

• El diseiio del producto o serYicio es_el.proceso que i~entifica una

necesidad del mercado o un requenm1ento de la soc1edad y con-
ceptualiza un servicio o producto que pueda atacar una oportu-
nidad de mercado o atender una necesidad social. Este proceso
genera especificaciones detalladas que pueden ser materializadas
posteriormente por un equipo de desarrollo.
• El desarrollo del producto o servicio es, como su nombre lo indi-
ca, el proceso mediante el cual una empresa lleva las especifica-
ciones de un disefto a un producto terminado que ha sido debida-
mente probado antes de su producci6n masiva. Este proceso puede
ejemplificarse en el desarrollo de nuevos modelos de autom6viles
en la industria automotriz; en el desarrollo de nuevos productos
fan_naceuticos; en el desarrollo de nuevos productos financieros
de 1~versi6n o en el desarrollo de nuevos productos discograficos.
El tiempo que lleva este ciclo puede ser de importancia competiti-
va para las empresas, pues representa potencialmente tomar la ma-
yor parte de un mercado antes que sus competidores.
• El mercac!,eo del producto o servicio se refiere a las actividades de mcr-
c~dotecrua que permitiran promover el producto o servicio y posi-
cionarlo en el mercado Yen la preferencia de los consumidores, deter-
7

cAP. 7. DEFINICION 22 7
m1.nar su precio. de dventa, identificardiel segmento de mercado aI que
debera estar onenta o, conocer y me r a la competencia, etcetera.

d) El mega~roceso de ~Pe:aciones represe~~a el ciclo basico de Ia

sa es dec1r, el abastec1m1ento, la producc1on y la distribucio E
emP_dre d 'aun las empresas comerciales que no cuentan con un proc n. dn
rea1t a ' d ll . .d d d b eso e
trans fo rmaci6n, esarro an act1v1 a es e a astecimiento y distribuci·,,on..
• El proceso de aba~tecimiento es el_encargado de proveer a la em-
presa de tod~s los msumos _n~cesanos para su operaci6n sustantiva.
Este proceso mcluye l~s act1~1dades necesarias para asegurar el abas-
tecimiento de matenas pnmas, artfculos terminados o artfculos
semiterminados que la empresa requiere para ser utilizados como
"entrada" para su proceso productivo, de acondicionamiento 0
simplemente de comercializaci6n. Este proceso incluye tambien a
las actividades relacionadas con la administraci6n de proveedores.
• El proceso de producci6n tiene a su cargo la transformaci6n de la
materia prima o productos semiterminados en productos termina-
dos y listos para su distribuci6n. Este proceso puede no existir (en
empresas comerciales) o estar representado por procesos deacon-
dicionamiento para la venta .
• El proceso de distribuci6n es el encargado de transportar los pro-
ductos de una empresa, desde sus propias bodegas o sus almace-
nes de fabrica, a los puntos de venta (distribuidores) o destinos fi-
nales en las instalaciones de sus clientes. Aunque no lo parezca a
primera vista, este proceso puede resultar un elemento competi-
tivo para las empresas, tal es el caso de las compafifas embote-
lladoras (Coca Cola, Pepsi, etc.) o un caso particular del mercado
mexicano, en donde Bimbo ha hecho de su flora de distribuci6n un
arma estrategica para alcanzar con extraordinaria efectividad pun-
tos de venta al consumidor de sus productos perecederos.

e) El megaproceso de soporte a clientes se refiere a los procesos de

soporte y atenci6n que una empresa establece en favor de sus clientes.

• El proceso de administraci6n de cuentas engloba las actividades ne-

cesarias para mantener completos y actualizados los datos c?rres-
pondientes a su cartera de clientes, lo cual incluye altas y ba1as de
clientes y modificaciones a sus datos generales.
• El proceso de servicio a c/ientes engloba las actividades desarr~-
lladas por la empresa para dar atenci6n a sus clientes_ y cons~1?1-
dores; proporcionar soporte posventa; obtener retroahmentac1on;
determ.inar niveles de satisfacci6n, etcetera. Este proceso es de gran
importancia ya que representa un vinculo de acercamiento con los
\ 7.4. mir1N1r:1rm oc nn11-:nvns1,c AIJIJn ORL~
,~ flnaJ (fontr1J ,fo fo fa~ 0!; dt-4"h,;&11
l¼t:a, ctana )·n..., .fif.,,-r1:-;:.•iw'
, ..,,,-.~ v,,~; ,, . . ,..,,. r,,
/~,,1,, ,_
y -r,y
di--1Jmt:nt.c l01>oh"jttJWJ'> qu1; pt rtst-Ufri fa a,vltt<,-r~, pi! !£Jr. ,t Ci ' h .,
tad,: ,fo t~r.t tr~haj,, umdra un imp~w ; ~i,J!ififa:t·lo (:r, ,½
~;/4,,~ ;--~
a1u:l1t1,rfa fi rt:al1zar1 ad "'11m , l~l fr,,>prr,y;.r..;fJ,m1t--1rill'> d~ tr~~ ✓; ( ,.. ~....A~
';tr 11tili,,a,d1;{;, ? ; ,..., ,,.,.. ~.

, , I 1µ>r,hjctiwY-> dt Jproy"ro dr; a111Hvma tt:, tXftr":¼rf,r, tr, i&m:'::!A ,.~

L,-, metaAde control que dtJhen ter evalw,;Ja5, 1ndtp1:nd~num..mu tk at1!
tea la (r,rma en qut dicha1 meta§trm }~/rxcµ/ftada:
I ,a<; ~1"ti11ida:Jcr, qu<: induyt ttta ,1a1,a ~/m fo~ iigu~--rr'~~

7.4.1. CONl'IUMAU AIJ,ANCf,, IJfJ., PfUJYfLTO

., , (,:Jt~r, hcmn1, 111~t1J, la a.uditfJrfa <:n ~traJ rie-m atr11<J ,rop/MtJJ ~
t. 1,iltuc,t,n dtl nlfl••I
"' d··"' ~umpJi
-. ' m1cnw
· ,J = f,JI'> ,.,..,.,ctw,~
uc- c~ , .-tn um. ,-r-npr~~
ue
 . 7 oEFINICION
CAP. . . 229
•ti· caci6n de nesgos que puedan tener .
·deno d d • 1mpacto d. h
13 1 la emisi6n e recomen ac1ones que permitan i en . ic os objeti-
vos y plinuento. ncrementar SU nivel
de curn d d. , d
En el contexto 1e au itona e tecnologia de in . f
orma . ,
ebera evalua_r ~ apoyo q~~ esta tecnologia ro . c1on, el audi-
ro~ d de Jos obJet1vos, 1dennficar riesgos rela ~ pdorciona al cumpli-
1ento , .. 1 c1ona os c I
JI1 I tecnolog1a y em1nr as recomendaciones pem· on e empleo
de a de Ios pro bl emas que ha enfrentado la nentes di , ·
VnO l h au tona co ..
d profesiona , es que muc as veces el cliente no v . f mo act1v1 -
da tivas cuando el auditor entrega sus producto f1e st1s echas sus ex-
pectasi·tu
· aci6n, el auditor debe definir claramentes ~al es. Para prevenir
esta · • f · cua es son I b. ·
de su rrabaJO y en ocar sus recursos al Jogro de 1 . os o Jet1-
vos . l d I . os m1smos
E) conf1rmar e1 a. cance e a audttorfa es el pri·m ·
inici6n d e Ios o bJet1vos e a audttorfa. Una vez sel . d en 1a
. d I . er gran paso
def . . '6 d b , d t· . ecc1ona o el en-
foque de. rev1s1En, se ed era e 1mr en forma ,
precisa el al
cance que ten-
drala misma.
·
sto pue e expresarse en termino de fechas 6. .
'd d · · I , u 1cac1ones
ge ograficas, um a es . orgamzac10na
, es, numero de transacc· 10nes a1can-
ce de prueba~ a ap I1car~ etcetera. '
Si el auditor selecc10na el enfoque de auditorfa y define el 1
.. , f I d t· .. , d a cance
de la rev1s10n a e ectuar,_ .a, e 1mc10n e objetivos puede realizarse con
un mayor grado de prec1s1on y esto, a su vez, incrementara en gran _
dida ]a probabilidad de exito del prorecto. me

7.4.2. DEFINIR OBJETIVOS DE AUDITORiA

La selecci6n de objetivos de auditoria puede ofrecer al auditor un

espectr~ muy amplio de posibilidades, puede visualizarse los siguientes
escenanos:

a) El auditor puede tomar como base los objetivos de negocio y se-

Ieccionar uno o mas de ellos para evaluar el apoyo que reciben de TI.
Con este punto de partida y siguiendo las asociaciones 16gicas que hemos
estudiado, veremos que, seleccionar uno o varios objetivos de negocio
llevara al auditor a evaluar el apoyo que reciben los factor es crfti cos de
exito, esto a su vez lo llevara a evaluar el cumplimiento de los objetivos
de control que apoyan dichos factores mediante el analisis de los pro-
cedimientos de control establecidos por la empresa.
. La siguiente ilustraci6n (vease fig. 7.11) nos permite ver ~sta rela-
ci6n "circular" en donde partiendo de los objetivos de negoc_10 pode-
~os llegar a los procedimientos de control y atributo_s de cahdad que
: 1enen impacto en dichos objetivos y, de dichos atnbutos, P0 ?e~os
regresar" utilizando las mismas relaciones hasta llegar a los obJetivos
de negocio de los cuales partimos.
 Q I '!\Ii I I II I II I I ,i
11
·I I" i11ll'I ,111 ,lh ••' (ii ,H ,., ,1h,1ln) 111 1 111 " ,,, 11
3
2 t,\·11
, Irn I ,111 f tlll (, ~ dr l1111lrt' I , Ic•I11•11111•1 , •v ,11 11 111 l (I'l 1 1' , ,1, "
1,
1
'
1
' I"'" (' i '"''' 11111 I (I ·ii ) lll'd1 1· .ii,,1,,,,
I.,,, l ' " ('
. "II IIll I)1' ' 1 ' ·I ~(' )l''"' i II 1,H ,,, .,,I , ld I ti• .. , p,•11 I" It i '''"
i ,., I~ I
1,,,11'" 1'I 1 ' , 1,, • 10" , , , l c11111" 11111 n•i 11l1li •t Iv ' '''1 • ,,,,
1' •1l 1"'' II ' I 1111 11 I Ill I
1,·l1t ,..,,.I "'' '
• •1 I I
' I I) ' I ' " ' ' .,, 0I ,,
I I . I" " I'""" (l•i\ . . ,.... I '"
it"•"'''' · ' ,1
[ ' """'I''"• ,In ""li"ol" [
I
(
_.. ( \I q; 1IV', ,,
1
,lr • l\
1

' ) \'
11
'' '
,. '

' "' 1, 11 11• ,

' t lll t I I,·
f 1\t 1\)lt l~ I' , I

., , crl\i<:/l~ elf•
'"11(1

I '1 , i<(•t ltr r 11 <•1 ii r i ·,

tit • I 111il1<1i
proeO:l1111lcn1oti
de cont1\)I /\I !'il)LJ[I )', rh:
, ,llid,11I

rigura _1 . conccpto:, de tecnologl;1de 1nrormac 1bn

7 1
.· ,, ,,ue ricne cl auJitor scrf:t p,irtir Jc un nivcl de _m·,y
, tr:1 opl•r1t roinar
11 .., I para su eva Iuaci(,n ·uor,
coino pun to de pa rtl. «1
/) 0
ct:l e' cs , cCl ' . , , . I , . I I . ., . . . . . . I· .. r,o
o dos11 factoresI crft1cos de ex1l0; o c_u,1 ,.11 tJ t econ er ,1 n11smn cadcn,
dquc acabamos de i\ustrar, pero parncndo dcl scgundo csbh6n, _prcci,a.
mente de \os factores crftkos Je 6x1to hasta llcgar a \os procc<l1micntoi
de control
c) Una que debcrfa
terccra analiz.ar.
upc_i6n .
serfa_ scleccionar .
d1rectament~ objetivos di
control como los prup1os ob1et1vos dcl proyccto de auJ1tona, lo ma\
sucle suceder en cvaluaciones cspedficas en quc el prop6sito de\ traba·
jo de auditorfa sc cncuentra limitado. Esta selecci6n con b,1sc en obic·
rivos de control se pueJe cfectuar romando como base tanto los obicti-
vos como las metas de control, lo cual pcrt11itirfa re,1lizar una auditorb
aUn mas espcdfica y uricntada a aspectos parricubres ,k la c111pma. El
cjcmplo siguiente mucstra un cjcmplo en quc cl auditor poJria elcgir
c( )lm) objetivo Jc SU trahajo, la cvaluaci6n de llll objetivo de control quc

unplica cl ascg11ra111icnto de wdas las can1Cterfstk,1s ncccsari.is en la infor·

macit,n o cval11aci611 s61o de al11un,1s metas de control rcbcionaJas con
d1ch:1s c.: aractcrfsti~.,s:
 . (.s) de control
objettVO
, la
urar .que 1.1 La informaci6n ingres~
------
Meta(s) de control
, - - - -~
231

1· Aseg
. {ormac1on
in rada mediante
proporci?nada por siste;~: :J1eacenada y
gene rnformac16n basados en teen ,
1empleo de ser veraz (refleja fielment 1 ologJ~a debe
e ologfa conserva 1.2 La m · formaci6n ingresad e aI rea 1dad)
recn • a, a macenada
Jos atributos proporc10nada por sistemas d y
esarios para ser mformaci6n basados en teen ofogia debe
ut1 y confiable a la
~~cl ser comp/eta (no presenta
d d. .
..
om1s1ones que
empresa Pu~ an 1st?,rs1?nar su significado)
1.3 La mfor~ac10n mgresada, almacenada
proporc10nada por sistemas de y
mformaci6n basados en tecnologfa debe
ser exacta ·
\
1. n Etcetera

d) Una ulti~a opci6n, aunque en realidad serfa solo una redasifica-

cion de las an ten ores, la representan los objetivos "tfpi cos" de auditorfa.
Estos objeti:os s_on los que con ~as frecue~ci~ orientan los trabajos de
una aud1rona. Sm_ embargo, ~o s1empre comc1den en su totalidad con
las opciones ante_r!ores, es, dec1r, pue~e ~er que un objetivo "tfpico" im-
plique la evaluac1?? de m~s de un obJet1vo de control o que solo se re-
quiera la evaluac1?n parc1al de uno de ellos. Este ultimo ejemplo no
representa en reahdad problema~ y~ 9ue quedarfa solventado al selec-
cionar metas de control en forma md1v1dual. No obstante, utilizar los ob-
jetivos "tfpicos" de auditorfa puede representar un "atajo" y evitar el tra-
bajo de identificar individualmente cada una de las metas de control que
se desean evaluar.
Los objetivos "tfpicos" de una auditorfa de tecnologfa de informa-
ci6n son los siguientes:

1. Evaluar el impacto de la tecnologfa de informaci6n en los atribu-

tos genera/es de la informaci6n financiera. Normalmente estas
caracteristicas tienen una relaci6n directa con la "razonabilidad"
de la informaci6n financiera que buscan evaluar las auditorfas
con fines de dictaminaci6n de estados financieros.
2. Evaluar el apoyo de la tecnologfa de informaci6n a_l~s control~s
contables en la operaci6n de la empresa. En este obJettvo, el au?t-
tor evalua el impacto que representa el uso de tecnolog~a de m-
formaci6n para los controles contables que tiene establec1dos una
empresa. Estos controles contables tienen tambien una relaci6n
directa con los trabajos de auditorfa financiera, especfficamente

4
 PARTE 11. METaD
232 01,c::i~(
. .· , \c \os activos de la cmpresa (efectivo A..
con \a proteLct0n .( 1 lcs \a propia informaci6n etc), Va\(.)t~
. . cs prop1eunt: - , C I \
• , .. '1
mvers1on , , .. ;dad y consistcncta c. e a operaci<m d .
3. Eva\ua.r la co. ntmu.. \ogfa de informaci6n . e la ~1'1
presa -,a · . .d d y salvaguar a e os recursos infor , -
\: sada en tet:no ' d d l
4. Evaluar \a segurt a »latic0s
de una empr~s~. . aprovechamiento de recursos inf 0
5. Eva\nar \a e(rc~encta \ende evaluar la eficiencia con qu Tnati.
cos. Es~e ob1et,1~0 pr:on utilizados por personal de siste~ os re.
1
cursos mformaucos . .d d as Par
UO de sus act1v1 a es. a
el d esarro s edfica las condiciones de la inforrnac· ,
6. Ev~luar e1~ form~daedp disponibilidad y confidencialidad. ion re.
lat1vas a· integrt ' , d · I. ·"
. l porte de tee no logia e in, ormacion a a opera .,
l
7 Eval uar e so
. .
l E b. ·
dm1·nistrativa de a empresa. ste o Jet1vo busc d
cion
sustannva Ya . 1· a e.
. . todas las activ1dades que rea iza una empresa cu
termmar s1 l ,, d · f en.
tan con el soporte adecuado ,,dedte~n2 og1a . , e m lor~a~i6n.
8. Evaluar el apoyo de tecnologta e in, ormacio~ _a a e, iciencia en
la operaci6n de la empresa. En f?rma espec~fi_ca, ~ste objetivo
pretende determinar si la Tl contnbuye . l , a la. ef1c1enc1a en las ope-
raciones de la empresa, es decir, en e opt1mo aprovechamiento
de sus recursos. ,, . . ,,
9. Evaluar el soporte de_ la_ tecnolo~i:2 de informacion en la torna
de decisiones. Este ob1et1vo tamb1e~ evalua el soporte de TI a la
empresa, pero ~nfoca~dose exclus1vamente al pro~:so de toma
de decisiones, sm cons1derar el soporte a la operac1on en forma
espedfica. , . . ,,
10. Evaluar el impacto de la tecnologia de mformac1on en la gene-
raci6n de valor agregado a clientes. La evaluaci6n de este obje-
tivo debe estar muy ligada con el nivel de aprovechamiento que
los usuarios hacen de la tecnologia de informaci6n, ya que el em-
pleo de Tl en la generaci6n de valor agregado a los clientes de-
pended en gran medida de decisiones de negocio efectuadas por
las areas operativas (usuarios).
11 . Evaluar el impacto de la tecnologia de informaci6n en el posi-
cionamiento estrategico de la empresa.
12. Evaluar el nivel de satisfacci6n real de los usuarios en el servi-
cio recibido yen los sistemas de informaci6n.
13. Evaluar la inversion realizada en la infraestructura tecnol6gica
de la empresa.
14. ~valuar el nivel de cultura informatica de la empresa. Este obt
tivo pretende evaluar el nivel de conocimiento de los usuarios
en materia de tecnologia de informaci6n.
lS. Evaluar el aprovec~a'!'iento de la tecnologia de informaci6n en
la empresa. Este ob1et1vo pretende determinar el nivel en que los
 DEFINICi6N 233
CA P7·
recursos inform.tt!cos y sistcmas de informaci6n ~on aprovec ha -
dos por los usuanos, en apoyo a sus ohjetivos de negocio.
Evaluar el desarrollo de un fJroyecto especf(ico.
16.
. ra ilustrar esta idea podemos pensar que cl auditor desea eval
Pa dd l · f ·' f · uar
la razonabilida . d~ _ad mlorlmac1onl . .J~anc,edra, el n cuyo caso debera eva-
I~ar en forma in 1v1 ua e ~u~p 1m1~nto I e as metas de control qu e
impacto, veamos e1 s1gmente eJemp o:
renga n

Qbjetivo de auditorfa Metas de control 7

Evaluar la 1.1 La informaci6n ingresada, almacenada y
razonabilidad de la proporcionada por sistemas de
informaci6n informaci6n basados en tecnologfa debe
financiera ser veraz (refleja fielmente la realidad)
1.2 La informaci6n ingresada, almacenada y
proporcionada por sistemas de
informaci6n basados en tecnologfa debe
ser comp/eta (no presenta omisiones que
puedan distorsionar su significado)
1.3 La informaci6n ingresada, almacenada y
proporcionada por sistemas de
informaci6n basados en tecnologfa debe
ser exacta
1.4 La informaci6n almacenada en o a traves
de medios de tecnologfa de informaci6n
no es redundante (solo se registra una
vez)
1.5 La informaci6n en sistemas contables
soportados por tecnologfa de informaci6n
es registrada en el periodo que le
corresponde
l.n Etcetera

Para concluir el estudio de esta etapa, debemos recordar que inde-

pendientemente de cual sea el criterio que el auditor siga para definir sus
objetivos de auditorfa, se debera llegar a definir las metas de (ontrol ~1
cuyo cumplimiento estara enfocado el trabajo de ev,1luaci6n de audito-
ria. Estas metas de control permitiran identificar cuales procedimientos
de control debera examinar el auditor.
En la figura 7.12 se presenta una matriz de asociaci6n, que pennite
relacionar los objetivos de control y los objetivos tfpicos de auditorfa,
representando la idea de que cada objetivo de auditorfa busca evaluar el
cumplimiento de los objetivos de control senalados.
 I I

~
Proteger Prom over Emple o de Apoyo Culruro Cu lr.u ro Hobd,ta r Pre se r vo r
Preservor Proteger Con s,s tenc,o
oa,,oa po tnmon,o
,n(ro -
e f, cienc,o recursos compe t,t,vo de Tl ,ns t,r.uciono/ ne-< rb drdod condrc rones
otnbutos estructuro
'O I I
de oudrtono

~ ~
I

Rozortf"'dod. de lo
,n rmooon
moncrero
Apoyo a controle s
cont.ob/es • •
Cononu,dod y
conSJsteno~ •
Seguridad y
sa,'vag-JOrdo de
~= •
E.fioenwc y
o p ~m de
== •
~
Int~
conf,dena ·
,r.foriaoo,-
oe ,a
•
•
Sapor-.e oe G IC:
operoao.- oe la

~
enoresc
Sa~ de Tl G lo
ef,r...enoo de lo
• ~
I
ooerooo-

Soport~ 0€ T1 G Jc
coma oe de--..15'0neS tt• • • l

I
Generoaor. (If;
agregoac a,de ue
"'1'0f

• 1
I

• I

~
• • • •
lmpocu, de er eJ
POSIOOT'lOmJfflt!l
t erJlOl02e.:c.

I
N r.-el de saus(ocoor,
de IO~ !JSU'.Jr .as

/nvers,on real!zodo e r
• I
I
I

1T ~
1n[roeslructJJra de T1 l
N 1.;e de CJ.'"u..>rO
,n(Off'l!l!JC.Q er, ,c
c:m trf::-¼ • - - ---- I I I

Figura 7 . 12 . ObJe t 1v o d e a ll cl 1to 110 ev ..7/L k lf <.'bJe t ,1.. c.' ,..h.: '- '· '