Plantillas de auditorı́a para el desarrollo de sistemas

informáticos.

Liz Irene Báez1 y Yolanda Espı́nola2 .

Facultad Politécnica, Universidad Nacional del Este.
Ciudad del Este, Paraguay.
1 lizbaez71@gmail.com 2 espinolayolanda@gmail.com

Resumen
El objeto del presente trabajo de investigación es implementar plantillas de trabajo de audi-
torı́a en la fase de desarrollo de sistemas informáticos, con relación a controles y aplicaciones
de auditorı́a informática.
Para los efectos de prueba, evaluación y aplicación de las plantillas de trabajo, se eligió una
empresa del área de desarrollo de software. Se creó un plan de auditorı́a a ser aplicado a la
misma, luego se procedió a realizar el trabajo de campo.
Posteriormente se llevó a cabo el análisis comparativo y evaluativo de los datos recabados
en las plantillas. Finalmente se presentaron los resultados y se extrajeron las conclusiones
donde se destacan las fortalezas y debilidades de la empresa en cuanto a su gestión. Se
ha probado la prácticidad y facilidad de aplicación de las plantillas implementadas. Como
cierre se formulan algunas sugerencias y recomendaciones de buenas prácticas de desarrollo
de sistemas informáticos.
Descriptores: plantilla de auditorı́a, cuestionario de checklist, auditoria informática, desa-
rrollo de software.

Abstract
The purpose of this work is to implement audit work templates in the development stage of
computer systems, with relation to controls and auditing computer applications.
For purposes of testing, evaluating and implementing the working templates, a company of
software development area was chosen. An audit plan to be applied to it was created, then
the fieldwork proceeded.
Subsequently, a comparative evaluative analysis of data collected on the forms was carried
out. Finally the results are presented and conclusions which highlights the strengths and
weaknesses of the company management. The audit forms probed to be easy and agile
to use. As closing, some suggestions and recommendations for good practice in systems
development are formulated.
Keywords: audit template, check list questionnaire, computing audit, software develop-
ment.

1. Introducción. mación han venido utilizando normas y métodos

Actualmente, cuando las compañı́as buscan
cumplir eficiente y eficazmente sus objetivos de
forma transparente, la auditorı́a informática ad-
quiere fundamental importancia para el logro de
sus metas. Este trabajo ofrece un soporte al audi-
tor para controlar y evaluar los pasos que fueron
realizados conforme a las normas y conceptos para
auditar sistemas de información.
Desde tiempos inmemoriales ha existido la fi-
gura del revisor, que hoy se lo conoce con el nom-
bre de Auditor. Los revisores de sistemas de infor-
ajustados al nivel de desarrollo tecnológico de su
momento. Como consecuencia de la continua evo-
lución y revolución del mundo informático (cada
vez se consiguen ordenadores más pequeños, más
rápidos y más baratos), la auditoria debe estar al
dı́a con los avances de las nuevas tecnologı́as.
La auditorı́a de desarrollo se encarga de llevar
a cabo la evaluación de normas, controles, técni-
cas y procedimientos que se tienen establecidos en
una empresa para mejorar la confiabilidad, opor-
tunidad, seguridad y confidencialidad de los datos
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.
que se procesan a través de los sistemas de infor-
mación. La auditorı́a de desarrollo es una rama
especializada que promueve y aplica conceptos de
auditorı́a en el área de sistemas de información [1].
La auditorı́a de sistemas de información se de-
fine como cualquier auditorı́a que abarca la revi-
sión y evaluación de todos los aspectos de los siste-
mas automáticos de procesamiento de la informa-
ción, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspon-
dientes.
Este trabajo aborda los conceptos de auditorı́a
informática y las mejores prácticas sobre el con-
trol de sistemas de información, lo cual posibili-
tarı́a a un auditor y a un gerente la comprensión
y administración de los riesgos relacionados con la
tecnologı́a de la información y ası́ mismo estable-
cer el enlace entre los procesos de administración,
aspectos técnicos, la necesidad de controles y los
riesgos asociados. Finalmente lo que se pretende
es detectar las falencias y evaluar la eficiencia de
una sección o de un organismo para lograr los ob-
jetivos propuestos.
1.1. Formulación del problema.
En la actualidad los temas relativos a la audi-
torı́a informática cobran cada vez más relevancia,
debido a que la información se ha convertido en
el activo más importante de las empresas, repre-
sentando su principal ventaja estratégica, por lo
que estas invierten enormes cantidades de dinero
y tiempo en la creación de un sistema de informa-
ción, con el fin de obtener mayor productividad y
calidad.
La necesidad de que una organización cuente
con procedimiento de control interno es aceptada
ampliamente como garantı́a de una gestión eficaz
orientada a la consecución de los objetivos mar-
cados. La función auditora es precisamente la en-
cargada de comprobar la existencia de estos pro-
cedimientos de control y de verificar su correcta
definición y aplicación determinando las deficien-
cias que existan al respecto y los riesgos asociados
a estas carencias de control.
La auditorı́a del desarrollo informático tra-
tará de verificar la existencia y aplicación de pro-
cedimientos de controles adecuados que posibiliten
garantizar que el desarrollo de sistemas de infor-
mación se ha llevado a cabo según estos principios
de ingenierı́a, o por el contrario determinar las de-
ficiencias existentes en este sentido.
1.2. Objetivos
− Construir plantillas de auditorı́a informáti-
ca para recabar información relevante a la
práctica del desarrollo de sistemas de infor-
mación.
− Elaborar un plan de trabajo de campo para
la aplicación de las plantillas construidas.
− Elaborar una guı́a para la práctica de audi-
toria de desarrollo de sistema informático.
− Probar la usabilidad de las plantillas y de la
guı́a de aplicación elaboradas, mediante un
estudio de caso consistente en su empleo en
la auditorı́a de una empresa de desarrollo de
sistemas informáticos.
− Elaborar un informe de auditorı́a interna
conforme a los resultados obtenidos en la
aplicación de las plantillas.
De acuerdo con [1], la Auditorı́a Informática es
una función que ha sido desarrollada para asegu-
rar la salvaguarda de los activos de los sistemas de
computadoras, mantener la integridad de los datos
y lograr los objetivos de la organización en forma
eficaz y eficiente. Es la verificación de los contro-
les en las tres siguientes áreas de la organización
(informática) [2]:
− aplicaciones (programas de producción),
− desarrollo de sistemas e
− instalación de centro de proceso.
Por tanto, se puede decir que auditorı́a en in-
formática “es la revisión y evaluación de los con-
troles, sistemas y procedimientos de la informáti-
ca; de los equipos de cómputo, su utilización, efi-
ciencia y seguridad; de la organización que parti-
cipa en el procesamiento de la información, a fin
de que por medio del señalamiento de cursos alter-
nativos se logre una utilización más eficiente, con-
fiable y segura de la información que servirá para
una adecuada toma de decisiones” [3].
Se trata de establecer unas bases sólidas que
tienen que ver, principalmente con la auditoria, y
uno de los campos o herramientas de la auditorı́a
informática que “es el proceso de recoger, agrupar
y evaluar evidencias para determinar si un sistema
informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente
los fines de la organización y utiliza eficientemente
los recursos. De este modo la auditorı́a informática
sustenta y confirma la consecución de los objetivos
tradicionales de la auditorı́a” [4].
2. Materiales y métodos
2.1. Creación de las plantillas de trabajo
de auditorı́a
Para la elaboración e implementación de plan-
tillas de trabajos de auditorı́a en la fase de desa-
rrollo de sistemas informáticos se ha llevado a ca-
bo una investigación exhaustiva de varios autores,
investigaciones, experiencias y trabajos anteriores,
56
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.
para ello se han utilizado varias técnicas de reco-
lección de los datos, análisis y sı́ntesis con la utili-
zación de fichas bibliográficas. Este proceso posi-
Figura 1. Metodologı́a para la creación de Plantillas de Trabajo de Auditorı́a.
2.2 Auditoria de Desarrollo de Sistemas
(ADS).
En este apartado se presentan los objetivos de
control aplicables a cualquier proyecto, si bien la
experiencia del auditor debe determinar los objeti-
vos más importantes en función de las caracterı́sti-
cas del proyecto y las fases a auditar. La auditorı́a
de cada proyecto de desarrollo tendrá un plan dis-
tinto dependiendo de los riesgos, complejidad y
recursos disponibles para realizar la auditorı́a.
Una vez conocidas las tareas que se deben rea-
lizar en el área de desarrollo, se aborda la ADS
desglosándola en cuatro fases que son las siguien-
tes:
− Auditorı́a de la fase Análisis del sistema
de información (ASI): pretende obtener
un conjunto de especificaciones detalladas
del sistema de información que satisfaga las
necesidades de información de los usuarios
y sirva de base para el posterior diseño del
sistema y de forma independiente al entorno
técnico, que consiste en una especificación
detallada que posibilite describir con preci-
sión el sistema de información.
bilitó la elaboración de los cuadros (cuestionarios
de checklist) presentados más abajo (Fig. 1).
− Auditorı́a de la fase Diseño del sistema
de información (DSI): su objetivo es de-
finir la arquitectura del sistema y del entorno
tecnológico que lo va a soportar, conjunta-
mente con una especificación detallada de los
componentes, que posibiliten definir una ar-
quitectura fı́sica para el sistema, coherente
con la especificación funcional que se dispon-
ga y con el entorno tecnológico; aparte de
generar todas las especificaciones necesarias
para la construcción del sistema de informa-
ción.
− Auditorı́a de la fase Construcción del sis-
tema de información (CSI): en esta fase
se desarrollan componentes de software que
deben satisfacer las necesidades identificadas
y cumplir con los requisitos especificados en
la fase de diseño. Ası́ mismo se ponen en
marcha todos los procedimientos necesarios
para que los usuarios puedan trabajar con
el nuevo sistema. Al desallar tales compo-
nentes o módulos se deben emplear técnicas
de programación correctas; los proyectos de
desarrollo deben definir los procedimientos y
57
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.

la formación necesaria de los usuarios para 2.3. Programa de Auditoria

que éstos puedan utilizar el nuevo sistema
Esta investigación está orientada a la auditoria
adecuadamente.
de desarrollo de sistemas informaticos. Inicia con
la entrevistas y observación para levantamiento de
datos validados por la evidencia.

2.3.1. Plan de Auditorı́a para aplicación

− Auditorı́a de la fase Implantación y acep-
tación del sistema (IAS): En esta fase
se verifica si el sistema cumple con los re-
quisitos establecidos en la fase de análisis.
Una vez aprobado y aceptado se pone en ex-
plotación, considerando los siguientes ejes de
objetivos de control: a) El sistema debe ser
aceptado formalmente por los usuarios antes
de ser puesto en explotación; b) Al poner el
sistema en explotación formalmente, pasa a
mantenimiento sólo cuando haya sido acep-
tado y esté preparado todo el entorno en que
se lo ejecutará.
del trabajo.
La auditorı́a comprende la revisión y el análi-
sis de la estructura y gestión de la gerencia de
la empresa, especı́ficamente al sector de sistema.
No se contempla: auditoria fı́sica de sistemas in-
formáticos, auditorı́a administrativa de la empre-
sa, evaluación del desempeño de funcionarios con
herramientas propias de psicologı́a laboral. La en-
trega a los auditores de los documentos y datos
solicitados son de exclusiva responsabilidad de la
empresa, por lo cual ella deberá propiciar un am-
biente de trabajo de colaboración con los auditores
(Tabla 1).

Tabla 1. Programa de trabajo de auditorı́a.

Obtener la información referente al cumplimiento los papeles de trabajos creados en
Objetivo
la investigación.
Alcance Se aplicará a una empresa de ingenierı́a informática.
Dos Auditores, una computadora tipo Notebook y un cuestionario de evaluación de
Recursos los controles (papeles de trabajos).
1. Solicitar los estándares utilizados, manuales de procedimiento, planes y documen-
taciones de la empresa, además de la estructura orgánica.
2. Evaluar los documentos solicitados en el punto 1) del área, caso sea necesarios
después de realizar un análisis, prepare y actualice los documentos.
3. Realizar entrevistas con todos los gerentes y funcionarios de la empresa.
Pasos a 4. Aplique el cuestionario de control (los papeles de trabajo) por separado a cada
seguir uno de los empleados especificados en el numeral anterior.
5. Anotar las respuestas a cada pregunta en el espacio correspondiente del cuestio-
nario.
6. Evaluar la información recopilada en el punto 5, compilar las respuestas de todos
los empleados y extraer conclusión.
7. Redactar resumen de fortalezas y debilidades de control de la empresa.

2.3.2. Aplicación del plan de trabajo para
la fase de desarrollo.
Para la aplicación de plantilla en la fase de
desarrollo de sistema de información, se presenta
en forma gráfica el plan de trabajo, relacionado a
la ejecución de la auditoria.
Las plantillas de trabajo ya creadas son en-
viadas con una solicitud de aprobación; una vez
aprobadas se procede a realizar las entrevistas per-
tinentes con relación a la auditoria de desarrollo
de sistema. Finalizadas las entrevistas (plantillas
de trabajos) se procede a analizar los resultados,
detallar los resultados obtenidos y en base a esto
obtener el informe final de la auditoria, véase el
diagrama de la Fig. 2.

58
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.

Figura 2. Aplicación de plantillas de auditorı́a de desarrollo de sistemas informáticos.

3. Presentación de Resultados de ciones detalladas del sistema que deben satisfa-

Auditoria.
Las plantillas de trabajo de auditoria en la fase
de desarrollo de sistemas informáticos fueron apli-
cadas a una empresa desarrolladora de software de
Ciudad del Este.
3.1. Auditorı́a de la fase ASI
En esta fase que se refiere al análisis del sis-
tema informático se han obtenido las especifica-
cer las necesidades de información de los usuarios
y que sirven de base para el diseño del sistema,
independientemente del entorno técnico, teniendo
en cuenta el plan detallado de sesiones de traba-
jos: entrevistas y técnicas que se utilizan para la
recopilación de información más los catálogos de
requisitos. En la tabla 2 se puede observar un des-
pliegue de pantalla de los resultados en cuanto al
cumplimiento de las especificaciones de la fase ASI
por la empresa del estudio de caso de este trabajo.

Tabla 2. Resultado fase ASI.

3.2. Auditorı́a de la fase DSI.
La auditorı́a de esta fase de diseño de siste-
mas informáticos trata sobre la arquitectura fı́sica
para el sistema diseñado, su coherencia con la es-
pecificación funcional y con el entorno tecnológi-
co. Trata también sobre las especificaciones nece-
sarias para la construcción del sistema de infor-
mación, teniendo en cuenta varios puntos entre
ellos la existencia de catálogos de requisitos, la
presentación de diseños y el entorno tecnológico
como servidores, computadores etc. En la tabla 3

59
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.

se puede observar un despliegue de pantalla de los pecificaciones de la fase DSI por la empresa del
resultados en cuanto al cumplimiento de las es- estudio de caso de este trabajo.

Tabla 3. Resultado fase DSI.

3.3. Auditorı́a de la fase CSI. caciones de construcción del sistema obtenida en

la fase de diseño. Además trata el procedimiento
La auditorı́a de esta fase trata sobre la cons-
de seguridad y la disponibilidad de los puestos de
trucción de los componentes o módulos que se
trabajo, entre otros. En la tabla 4 se puede obser-
habrán desarrollado usando técnicas de programa-
var un despliegue de pantalla de los resultados en
ción correctas. También trata sobre los proyectos
cuanto al cumplimiento de las especificaciones de
de desarrollo definidos en procedimientos necesa-
la fase CSI por la empresa del estudio de caso de
rios para la utilización adecuada del nuevo siste-
este trabajo.
ma, teniendo en cuenta que cumplan las especifi-

60
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.

Tabla 4. Resultado de fase CSI.

3.4. Auditorı́a de la fase IAS. lla de los resultados en cuanto al cumplimiento de

las especificaciones de la fase IAS por la empresa
Esta fase es complemento de la fase CSI. En la
del estudio de caso de este trabajo.
tabla 5 se puede observar un despliegue de panta-

Tabla 5. Resultado de fase IAS.

4. Conclusión. de lo que es auditorı́a de desarrollo de sistemas in-

El aporte del presente trabajo constituye un
soporte de actualización en el área de auditorı́a in-
formática que hace referencia a controles y prácti-
cas. Además, posibilita un conocimiento detallado
formáticos dentro de los conceptos generales de la
auditorı́a informática. Los objetivos propuestos al
inicio del trabajo han sido cumplidos satisfactoria-
mente y las pruebas del estudio de caso aplicado a
la empresa que brinda servicio en el área de desa-

61
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.

rrollo de sistemas informáticos se han efectuado [2] C. Williams y R. Donald, Control Y Auditorı́a
arrojando resultados satisfactorios. Del Computador. Instituto Mexicano de Conta-
dores Públicos. México. 1980.

[3] E. Garcı́a y J. Antonio. Auditorı́a en In-

Referencias bibliográficas formática. Mc Graw-Hill. 2a. ed. México. 1995.

[1] R. Weber, Prentice Hall, Pearson Mc Graw [4] M. Piattini, y Del Peso Navarro. Un enfoque
Hill, Grupo Editor. 1984. práctico. RA-MA. 2a ed. España. 2001.

62