CAPITULO 6

Metodología para
realizar auditorías de
sistemas
computacionales
CARLOS MUÑOZ RAZO
INTEGRANTES:

LOPEZ ZABALETA JEISON HAROLD

CANDIA BARRIGA SERGIO

MENDEZ MARIÑO SERGIO DANIEL

Esta metodología tiene
tres etapas fundamentales
que son:
1ª ETAPA: PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES
2ª ETAPA: EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES
3ª ETAPA: DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

Univalle La Paz Carlos Muñoz Razo

Etapas para realizar una
Auditoria de Sistemas
Computacionales 1
2 1ª etapa: Planeación de la auditoría
2ª etapa: Ejecución de
la auditoría de sistemas
computacionales
Realizar las acciones programadas para la
auditoría.
Aplicar los instrumentos y herramientas
para la auditoría.
Identificar y elaborar los documentos de
desviaciones encontradas.
Elaborar el dictamen preliminar y
presentarlo a discusión.
Integrar el legajo de papeles de trabajo de
la auditoría.
Carlos Muñoz Razo
3
de sistemas computacionales
·Identificar el origen de la auditoría.
3ª etapa: Dictamen
·Realizar una visita preliminar al área que será
evaluada.
de la auditoría de sistemas
·Establecer los objetivos de la auditoría. computacionales
·Determinar los puntos que serán evaluados en
Analizar la información y elaborar un
la auditoría.
informe de situaciones detectadas.
·Elaborar planes, programas y presupuestos
Elaborar el dictamen final.
para realizar la auditoría.
Presentar el informe de auditoría.
·Identificar y seleccionar los métodos,
herramientas, instrumentos y procedimientos
necesarios para la auditoría.
·Asignar los recursos y sistemas
computacionales para la auditoría.
 1ª etapa
Planeación de la
auditoría de sistemas
computacionales.
Esta etapa responderá el planteamiento de las siguientes
interrogantes:
¿Por qué se realizará la auditoría?
¿Se debe hacer una visita preliminar al área de sistemas?
¿Cuál es el objetivo que se pretende alcanzar con esta auditoría?
 1. Identificar el origen de la auditoría.
El primer paso para iniciar la planeación de una auditoría en el área de sistemas es identificar
el origen de la auditoría saber por qué surge la necesidad de realizar una auditoría esto ayuda
definir la manera de enfocar la auditoria.
Como resultado de los
Como consecuencia de planes de contingencia.
Por solicitud expresa de
de manera preventiva como plan
procedencia interna. emergencias y
de contingencia
éste es un origen oficial sobre la
condiciones especiales.
necesidad, debido a que surge de se realiza cuando se presentan
una petición formal de alguien que situaciones de emergencia en el Como parte del Por resultados
pertenece a la empresa. área de sistemas, la auditoría se
realiza casi de inmediato
programa integral de obtenidos de otras
auditoría. auditorías.
Por solicitud expresa de
se debe a los resultados de una surge de los resultados de
procedencia externa. auditoría anterior, no existe auditorias pasadas o realizadas en
Por riesgos y contingencias
éste es otro origen oficial sobre la propiamente una solicitud. otras areas que no sean de sistemas
necesidad, surge de una petición informáticas. La auditoria es una disposición
formal de alguien ajeno a la concreta de la institución
empresa.
personal o usuarios del área de sistemas
solicitan la auditoría cuando ha
ocurrido alguna contingencia que afecte
el procesamiento de información
 2. Realizar una visita preliminar al
área que será evaluada.
Es casi imprescindible, que el auditor realice una visita preliminar al área de informática que será auditada,
justo después de conocer el origen de la petición de auditoría el propósito es que tenga un contacto inicial con el
personal y que observe el área a ser auditada además de que conozca la problemática a la cual se enfrentará.

Visita preliminar de arranque. Identificación preliminar de la Calcular los recursos y

tiene como finalidad que el auditor advierta problemática de sistemas. personas necesarias para la
de manera preliminar alguna las preguntas
que tenga para el área en esta visita preliminar el auditor puede y debe auditoría.
aprovechar para saber cuál es la principal proble-
con esta visita también se puede obtener
mática a la que se enfrentara el area de sistemas
datos importantes que le ayuden a calcular
las necesidades de recursos aplicables en la
auditoría
Contacto inicial con funcionarios
y empleados del área.
Prever los objetivos iniciales de la auditoría.
establece un contacto inicial con los funcionarios
del área de sistemas e identifique las posibles se puede anticipar cuáles objetivos se pueden satisfacer con la
limitaciones y temores con respecto a la auditoria auditoría, o tratar de entender cuáles son las metas que se quieren
alcanzar con la evaluación.
 3. Establecer los objetivos de la
auditoría.
Establecer lo más claramente posible el objetivo de la auditoría, ajustándose lo más posible a las
necesidades de la evaluación apoyándonos de los siguientes términos.
Misión: Deber moral que se impone a la realización de la auditoría de sistemas.
Visión: La forma como se ve la realización de la auditoría y lo que se espera de ella.
Propósitos: Objetivo que se pretende alcanzar con la auditoría.
Metas: Fines específicos de la auditoría.
Fines: Son los últimos aspectos que se busca satisfacer con la auditoría.
Plazos: Los términos en unidades de tiempo en que se satisface el fin que se pretende con la auditoría.
Objetivo
general.
De la auditoría de sistemas
computacionales.
Es el fin global que se pretende alcanzar con el
desarrollo de la auditoría, en el cual se plantean
todos los aspectos que se pretenden evaluar.
Este objetivo dará el fundamento parala
realización de la auditoría
Objetivos
particulares.
De la auditoría de sistemas
computacionales.
Son los fines individuales que se pretenden
alcanzar con el desarrollo de la auditoría.
Éstos pueden ser múltiples, de acuerdo con las
necesidades concretas de evaluación.
Objetivos
específicos.
De la auditoría de sistemas
computacionales.
Es la determinación, en forma detallada,
señalando concretamente las áreas a evaluar,
los sistemas, componentes o elementos
concretos que deben ser evaluados.
Profesora Teresa Navarro
4. Determinar los puntos Esta definición considera aspectos muy específicos
de los sistemas computacionales como:
que serán evaluados
en la auditoría. La gestión administrativa e informática del centro de cómputo.
El cumplimiento de las funciones del personal informático y usuarios de
los sistemas.
determinar los puntos El análisis, diseño y desarrollo de los sistemas computacionales.
La operación de los sistemas computacionales.
concretos que serán evaluados La capacitación y adiestramiento del personal y usuarios del sistema.

como por ejemplo La protección, custodia y niveles de acceso a las bases de datos.
La protección y respaldo de archivos e información.
La seguridad y protección de los usuarios, de la información, de los
archivos y en general del centro de cómputo.

La importancia de determinar los puntos que serán

evaluados nos permitirá escoger las mejores
herramientas y métodos para realizar la evaluación.
Existen muchos
criterios de
evaluación como:
Evaluación de las funciones y actividades
del personal del área de sistemas.
Refiera a la evaluación de si existen o no funciones para
personal de centro de computo, y si este cumple con las
mismas que se le fueron encomendadas.
Evaluación de las áreas y unidades
administrativas del centro de cómputo.
Refiere a la evaluación de aspectos que influyan en el
grado de cumplimiento de las funciones, evaluando todas
las áreas una a la vez.
Evaluación de la seguridad de los
sistemas de información.
Refiera a la evaluación de los sistemas y la seguridad de los
mismos, la protección en hardware y software e incluye el
control del personal y el acceso a la información.
A CONTINUACION ALGUNOS EJEMPLOS:
Evaluación de la seguridad física de los sistemas.
Evaluación de la seguridad lógica del sistema.
Evaluación de la seguridad del personal del área de
sistemas.
Evaluación de la seguridad de la información y las
bases de datos.
Evaluación de la seguridad en el acceso y uso del
software.
Evaluación de la seguridad en la operación del
hardware.
Evaluación de la seguridad en las telecomunicaciones.
 Evaluación de los sistemas, equipos, instalaciones y

Existen muchos componentes.

Refiere a dictaminar de como esta funcionando casi todos los componentes

criterios de del sistema computacional de la empresa, conviene dividir la evaluación en

aspectos mas concretos para un mayor entendimiento.

evaluación como: EJEMPLOS:

Evaluación de los recursos humanos del área de sistemas
Evaluación del hardware

Evaluación de la información, Evaluación del software

documentación y registros de los sistemas. Evaluación de la información y las bases de datos

Evaluación de otros recursos informáticos
Refiera a la evaluación de la protección del activo mas
Evaluación de equipos, instalaciones y demás componentes
importante "La Información" y todo lo referido a esta
como, las bases de datos, los respaldos, la forma de Determinar los recursos que serán utilizados en la auditoría.
archivarla, la captura y emisión etc.
determinar los recursos que se necesitarán para poder realizar la auditoría de
sistemas, siempre en concordancia con lo planeado anteriormente como:
Elegir los tipos de auditoría que serán
Personal para la auditoría de sistemas
utilizados. Personal del área que será evaluada
Refiere a la habilidad del auditor para escoger el tipo de Apoyo de los sistemas y equipos técnicos e informáticos
auditoria que se dictaminara sobre el área de sistemas Apoyos materiales y administrativos
de la empresa basándose en las necesidades que desea Otros apoyos
satisfacer. Recursos económicos
 5. Elaborar planes,
programas y presupuestos
para realizar la auditoría.
Después de haber considerado todos los puntos
antes señalados, el siguiente paso es realizar la
planeación formal de la auditoría es que se
concreten los planes, programas y presupuestos
para dicha auditoría; es decir, se deben elaborar
los documentos donde se contemple los planes
formales para el desarrollo de la auditoría
documentos en donde se deben asignar los
costos de los recursos que serán utilizados y el
tiempo que serán utilizados.
 5. Elaborar planes, programas y
presupuestos para realizar la auditoría.
Elaborar el documento formal de los planes de Contenido de los planes para realizar la
trabajo para la auditoría. auditoría.
Es la elaboración específica y escrupulosa de los planes formales de
trabajo que se presentan en un documento oficial llamado plan de
auditoría de sistemas, y contiene
aspectos relacionados con la realización de dicha auditoría como:
Los eventos que servirán de guía de acción.
Las actividades que se van a realizar, los responsables de
realizarlas, los recursos materiales y los tiempos.
La estimación de los recursos humanos, materiales e informáticos
que serán utilizados.
Los tiempos estimados para las actividades y para la propia
auditoría.
Los auditores responsables y participantes en dichas actividades.
Las demás especificaciones del programa de trabajo para la
auditoría.
Es la elaboración escrupulosa de
los planes formales que se
deben plasmar en un documento oficial llamado plan de auditoría
de sistemas, y
debe contener muy detalladamente las fases, etapas, actividades,
recursos y tiempos para realizar la auditoría como:
Definir los objetivos finales de la auditoría
Establecer las estrategias para realizar la auditoría
Diseñar las etapas, eventos y tareas en que se dividirá la
auditoría
Calcular la duración de las tareas y eventos para satisfacer los
objetivos de la auditoría
Distribuir los recursos que serán utilizados en las diferentes
etapas, actividades y tareas de la auditoría
Confeccionar los planes concretos para la auditoría
 5. Elaborar planes, programas y
presupuestos para realizar la auditoría.
Elaborar el documento formal
de los programas de auditoría.
En este documento se anotan
todas las etapas, eventos, actividades que se
realizarán durante la auditoría y el período de
duración de cada una de las partes en que se
dividió el trabajo de evaluación. Este
documento debe estar unido al anterior, ya
que es parte integral de él solo que contempla
lo siguiente:
Gráfica del programa de actividades
Definición de las etapas y eventos que se
deben llevar a cabo
Definición de las actividades y tareas
Elaborar los programas de
actividades para realizar la
auditoría.
establecen por escrito y en forma de gráfica todos los
tiempos en que se llevará a cabo cada una de las
etapas de la auditoría considerando el período de
duración de cada se dividió el trabajo de evaluación.
Definir de manera precisa las etapas de la
auditoría
Identificar concretamente los eventos que se
deben llevar a cabo en cada etapa de la auditoría
Delimitar lo más claramente posible las
actividades, tareas y acciones para cada evento
Distribuir los recursos que serán utilizados en las
diferentes etapas, eventos actividades y tareas
Calcular la duración de las etapas, actividades y
tareas planeadas para la auditoría
Determinar fechas de inicio y fin de las etapas,
actividades y tareas.
Elaborar el documento formal
de los programas de auditoría.
En esta etapa se contemplan los recursos que
se utilizarán en el plan y programa de trabajo
y se agregan los costos y recursos que se
usaran durante la evaluación.
Veremos que en la elaboración de
presupuestos se deben contemplar, dentro de
un mismo documento, cada uno de los
siguientes aspectos:
Asignación de los costos de los recursos
Control de los costos de los recursos
Seguimiento y control de los planes,
programas y presupuestos
6. Identificar y seleccionar los métodos,
herramientas, instrumentos y procedimientos
necesarios para la auditoría.

El siguiente paso es determinar los medios con los

cuales se llevará a cabo la auditoria a los sistemas de la
empresa, lo cual se logrará a través de la selección o
diseño de los métodos, procedimientos, etc.
Para lograr esto, sugerimos considerar los siguientes
puntos:
Establecer la guia
de ponderacion de
los puntos que
seran evaluados
Se debe considerar la técnica de ponderación
que es un método que nos permite evaluar
cada una de las partes importantes del área de
sistemas, con el propósito de buscar un
equilibrio entre las áreas o sistemas con el fin
de comparar áreas que tienen mayor
importancias con las que no lo tienen como:
Definir las áreas y puntos de sistemas que
serán auditados.
Definir el peso de la ponderación por las
áreas y puntos que serán evaluados.
Realizar el documento de ponderación
de la auditoría.
Elaborar la guía
de la auditoría.
Es un documento formal donde se anotan
todos los puntos que deberán ser evaluados,
también se anota la técnica y la forma en que
será evaluado cada punto, asi como su
ponderación o peso especifico .
La guía de evaluación le indicara todo el
procedimiento que debe seguir, los puntos que
debe evaluar y las herramientas en
instrumentos que se utilizaran como:
Determinar las áreas y puntos
concretos a evaluar
Seleccionar los métodos , procedimientos,
herramientas e instrumentos de evaluación
Elaboración del documento
formal de la guía
Elaborar los
documentos
necesarios para la
auditoria
Refiere a elaborar los documentos que servirán
para recopilar información útil al hacer la
valoración de los aspectos que serán auditados. El
propósito es contar con las herramientas,
procedimientos e instrumentos que permitan
obtener información útil como:
Diseñar los instrumentos de recopilación de
información para la auditoría
Diseñar los cuestionarios
Diseñar las guías para realizar entrevistas
Diseñar los formularios para encuestas
Diseñar los modelos y formatos para los
inventarios del área de sistemas
Diseñar los métodos e
Profesora Teresa Navarro
instrumentos de muestreo
Determinar
herramientas, métodos
y procedimientos para
la auditoría de sistemas.
En este paso se determinan las herramientas, métodos y
procedimientos que se utilizaran para llevar acabo la evaluación. Los
instrumentos a utilizar pueden ser de anteriores evaluaciones, algunos
que se necesita rediseñar o algunos nuevos. Todo en función a las
características del sistema que se esta auditando.
Diseñar las herramientas e instrumentos que serán utilizados en la
evaluación
Establecer los métodos y procedimientos que serán utilizados en la
auditoría
Determinar las técnicas y procesos específicos que serán utilizados en
la auditoría
Elaborar los documentos formales para los procedimientos,
métodos, herramientas e instrumentos que serán utilizados
en la auditoría.
Diseñar los sistemas,
programas y métodos
de pruebas para la
auditoría.
Se realiza a través del diseño de programas específicos que aplica
en esos sistemas, exclusivos de estos y constituyen la evaluación
técnica al funcionamiento de los sistemas de la empresa como:
Determinar los puntos de interés, programas, bases de datos,
archivos y sistemas que serán evaluados mediante programas y
pruebas de cómputo
Diseñar las pruebas, programas y sistemas para realizar las
evaluaciones necesarias para el funcionamiento de los sistemas
computacionales, bases de datos y archivos
Aplicar y obtener los resultados de las pruebas, programas y
sistemas para realizar las evaluaciones necesarias
Diseñar, aplicar y evaluar los resultados de los programas,
métodos y pruebas de simulación al sistema
Diseñar otros instrumentos de recopilación
Elaborar otros documentos de revisión
 7. Asignar los recursos y
sistemas computacionales
para la auditoría.
Con la asignación de estos recursos especializados, sean humanos, informáticos,
tecnológicos o cualesquiera que se hayan establecido para la auditoría, es como se
lleva a cabo la misma.
En el punto 4 vemos ya habíamos señalado algunos de estos aspectos pero ahora los
veremos con mayor profundidad
 Asignar los Asignar los
recursos recursos
humanos para informáticos y
la realización de tecnológicos
la auditoría. para la
realización de la
auditoría.

Los responsables de realizar la auditoría son los
recursos humanos especializados en informática y
auditoría ya que ellos serán los auditados y conocen
todas las operaciones internas que se manejan
dentro del área de sistemas, sin embargo cada
empresa tiene aspectos muy especializados ya sea
por los procesos que maneja, el tipo de negoción, el
tipo de sistema o la plataforma que utilicen.
También se tienen que asignar los recursos
informáticos y tecnológicos que requiere el auditor
para realizar su auditoría, los cuales vienen a ser sus
herramientas de trabajo. Estos recursos informáticos
pueden ser los sistemas computacionales que
utilizará durante su evaluación, todo de acuerdo con
la determinación de los recursos establecida en las
etapas anteriores.
 Asignar los
Asignar los
recursos
demás recursos
materiales y de
para la
consumo para
realización de la
la realización de
la auditoría. auditoría.

Al igual que los anteriores, de igual manera tenemos
que asignar los recursos , los materiales y
consumibles que serán utilizados durante la
auditoría, con el objetivo de que el auditor realice la
evaluación que se le fue encomendada sin
contratiempos y con un buen desempeño.
Ya para terminar en este ultimo punto se le
asignaran los demás recursos que no se tomaron en
cuenta en los anteriores incisos pero que ya estarán
determinados en el séptima fase en el cuarto punto.
solo por mencionar algunos tenemos :apoyos
materiales y financieros, los viáticos, pasajes y otros
gastos.
 2ª etapa
Ejecución de la
auditoría de sistemas
computacionales.
Esta etapa es de realización especial, de acuerdo con la planeación
de la auditoria.

1. Realizar las
acciones
programadas para
la auditoría.
cada auditor tiene que realizar las
actividades que le corresponden
conforme fueron diseñadas, en la
cronología que le fue asignada a cada
una, y de acuerdo con los tiempos y
recursos que le corresponde utilizar
2. Aplicar los
instrumentos y
herramientas para la
auditoría
se tienen que utilizar, uno a uno, los
instrumentos y herramientas elegidos
para llevar a cabo la evaluación, ya sea
mediante la recopilación y análisis de
la información, la observación, las
pruebas y simulaciones de los
sistemas
3. Identificar y
elaborar los
documentos de
desviaciones
encontradas.
se buscan las posibles desviaciones y se
procede a elaborar los documentos de
desviaciones, en los cuales se anotan las
situaciones encontradas, las causas que
las originaron y sus posibles soluciones,
así como los responsables de
solucionar dichas desviaciones y las
posibles fechas para hacerlo.
El auditor puede elaborar
este documento cuando lo considere
Profesora Teresa Navarronecesario
4. Elaborar el dictamen
preliminar y
presentarlo a discusión.
elaborar un documento que contenga todas las
desviaciones detectadas, o lo puede elaborar con cada
una de las desviaciones por separado, de acuerdo a las
necesidades de la empresa. Una vez hecho esto, es
obligación del auditor comentarlas con las personas que
están involucradas directamente en las desviaciones, a fin
de encontrar de manera conjunta las causas que las
originaron
5. Integrar el legajo de
papeles de trabajo de
la auditoría.
El auditor tiene la obligación de conservar en el
llamado legajo de papeles de la auditoría cada uno
de los instrumentos aplicados en la evaluación, con
el propósito de sustentar, llegado el caso, las
observaciones reportadas.
 3ª etapa
Dictamen de la
auditoría de sistemas
computacionales.
El resultado final de la auditoría de sistemas computacionales.
Resultado final
de la auditoría
1

2 Analizar la información y 3
elaborar un informe de
situaciones detectadas.
Elaborar el dictamen final. Presentar el informe de
Analizar los papeles de trabajo auditoría.
Analizar la información y elaborar Señalar las situaciones encontradas
un documento de desviaciones Comentar las situaciones encontradas La carta de presentación

detectadas con el personal de las áreas afectadas El dictamen de la auditoría

Elaborar el informe y el dictamen Realizar las modificaciones necesarias El informe de situaciones relevantes

formales Elaborar un documento de situaciones Anexos y cuadros adicionales

Comentar el informe y el dictamen relevantes Elaboración del dictamen formal

con los directivos del área Integración del informe de auditoría

Realizar las modificaciones Presentación del informe de auditoría

necesarias Integración de los papeles de trabajo

GRACIAS

POR SU

ATENCION