Capítulo 6

Metodología Para Realizar Auditorías De Sistemas

Computacionales

Metodología Para Realizar Auditorías De Sistemas Computacionales

La auditoría en estos años se ha desarrollado al mismo ritmo que lo ha hecho la sociedad y

la tecnología, llevar a cabo una auditoria en informática requiere una seria ordenada d
acciones y procedimientos específicos de manera que se puedan ejecutar de manera
secuencial, cronológica y ordenada de acuerdo al tipo de auditoria que se realice y con
estricto apego a las necesidades especiales de la institución.

La metodología nos permitirá diseñar correctamente los pasos a seguir en la evaluación de

las áreas de sistemas y actividades elegidas, a fin que el seguimiento, desarrollo y
aplicación de las etapas sean más sencillas.
En este ensayo se expone la metodología que usa la auditoria en sistemas en tres etapas las
que servirán para establecer las técnicas, métodos y procedimientos adaptables a las
características espaciales de la auditoría del área específica de sistemas a evaluar.

Esta metodología se puede resumir en tres etapas fundamentales:

1ª ETAPA: PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

2ª ETAPA: EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

3ª ETAPA: DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

 El primer paso para entender la metodología propuesta para desarrollar una auditoría de sistemas
computacionales , es identificar el marco teórico sobre el cual se fundamentan los conceptos que
serán aplicables en dicha metodología. Éstos serán definidos a continuación:

Método: “Modo de realizar las cosas con orden. Procedimiento para hallar el conocimiento y
enseñarlo. Conjunto de normas, ejercicios, etc., para enseñar o aprender algo.”

Metodología: “Estudio de los métodos que se siguen en una investigación, un conocimiento o una

interpretación.”

Planeación: es el proceso de decidir de antemano qué se hará y de qué manera.

Plan: Un plan es un curso de acción predeterminado.

Programa: “Conjunto estructurado de diversas actividades con un cierto grado de homogeneidad

respecto del producto o resultado final, al cual se le asignan recursos humanos, materiales y
financieros con el fin de que produzca en un tiempo determinado bienes o servicios destinados a
la satisfacción total o parcial de los objetivos señalados a una función dentro del marco de la
planeación.”

Presupuesto: “Estimación programada en forma sistemática de los ingresos y egresos que maneja

un organismo en un periodo determinado; puede considerarse como un plan de acción expresado
en términos monetarios y cuyo ejercicio abarca generalmente un año de actividad.”

Evento: “Es la determinación de acontecimientos que llevan fines específicos de transmisión de

ideas, de imágenes y sonidos, para un fin determinado.”
 Actividad: “Es el conjunto de operaciones ejecutadas o de actos desarrollados por una o varias
personas y que contribuyen al logro de una función.”

Tiempo: “Duración de las cosas sujetas a cambios.”

Políticas: “Son esencialmente un principio o varios relacionados entre sí con sus consiguientes

reglas de acción que condicionan y gobiernan al logro de un objetivo.

Tarea: “Es la subdivisión del trabajo para concretizar una actividad.”

Plan de trabajo (gráfica de Gantt): “Es la representación gráfica en la que se muestran las

actividades que integran un proyecto, el periodo de tiempo necesario para realizar cada una de
ellas y sus responsables así como los de cada actividad.

Metodología para realizar auditorías de sistemas computacionales

Con el propósito de interpretar adecuadamente la aplicación de esta me met todología odología
par para r a realizar audit ealizar auditorías de sis orías de sist temas, emas, la cual puede ser la
cual puede ser aplicable para cualquier tipo de auditoría dentro del campo de sistemas, existen
fases y  pasos que se deben considerar en la planeación de la evaluación. Las cuales son las
siguientes:

1ª etapa: Planeación de la auditoría de sistemas computacionales

1.      Identificar el origen de la auditoría

2.      Realizar una visita preliminar al área que será evaluada

3.      Establecer los objetivos de la auditoría

4.      Determinar los puntos que serán evaluados en la auditoría

5.      Elaborar planes, programas y presupuestos para realizar la auditoría

6.      Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios

para la auditoría

7.      Asignar los recursos y sistemas computacionales para la auditoría

2ª etapa: Ejecución de la auditoría de sistemas computacionales

1.      Realizar las acciones programadas para la auditoría

2.      Aplicar los instrumentos y herramientas para la auditoría

3.      Identificar y elaborar los documentos de desviaciones encontradas

4.      Elaborar el dictamen preliminar y presentarlo a discusión

5.      Integrar el legajo de papeles de trabajo de la auditoría

3ª etapa: Dictamen de la auditoría de sistemas computacionales

1.      Analizar la información y elaborar un informe de situaciones detectadas

2.      Elaborar el dictamen final

3.      Presentar el informe de auditoría

1ª ETAPA: PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS

COMPUTACIONALES
1.      Identificar el origen de la auditoría
El primer paso formal para  iniciar la planeación de una auditoría en el área de sistemas es
identificar el origen de la auditoría; es decir, lo primero es saber por qué surge la necesidad o
inquietud de realizar una auditoría. Para esto nos debemos preguntar ¿de dónde?, ¿por qué?,
¿quién? o para qué se requiere hacer la evaluación de algún aspecto de sistemas de la empresa.
Para el responsable de realizar la planeación de la auditoría de sistemas es de suma importancia
identificar el origen de la auditoría, debido a que además de proporcionarle los elementos
necesarios para hacer una buena planeación de la revisión, también le ayuda a definir los
elementos de juicio que contribuirán a normar su criterio de evaluación. Además, conociendo el
origen de la auditoría, el auditor también puede definir la manera de enfocar la revisión.

También puede saber de antemano cuáles serán los aspectos primordiales en la evaluación; es
decir, puede saber cuáles serán los asuntos más relevantes sobre los que deberá trabajar, a fin de
satisfacer lo que se espera de  la auditoría de sistemas. Dentro de este punto de la auditoría de
sistemas encontramos estas posibles  causas:
      
   

         Por solicitud expresa de procedencia interna

          Por solicitud expresa de procedencia externa
          Como consecuencia de emergencias y condiciones especiales

          Por riesgos y contingencias informáticas

          Como resultado de los planes de contingencia

          Por resultados obtenidos de otras auditorías

          Como parte del programa integral de auditoría

2.      Realizar una visita preliminar al área que será evaluada

Es recomendable, diríamos que casi imprescindible, que el auditor realice una visita preliminar al
área de informática que será auditada, justo después de conocer el origen de la petición de
auditoría, y antes de iniciarla formalmente; el propósito es que tenga un contacto inicial con el
personal de dicha área y que observe cómo se encuentran distribuidos los sistemas, cuántos y
cuáles son los equipos que están instalados en el centro de cómputo, cuáles son sus principales
características, de qué tipo son las instalaciones, cuáles son las medidas de seguridad visibles que
 existen, y en sí, que conozca la problemática a la cual se enfrentará, de manera muy simple y de
carácter tentativo.

3.      Establecer los objetivos de la auditoría

El siguiente paso, después de haber identificado el origen de la auditoría y haber realizado una
visita preliminar al área que será auditada, es establecer lo más claramente posible el (los)
objetivo(s) de la auditoría, ajustándose lo más posible a las necesidades de la evaluación. El
propósito es establecer claramente lo que se busca con este tipo de trabajo.

Objetivo: el objetivo representa las condiciones futuras que pretenden alcanzar los individuos,
grupos u organizaciones, lo cual es sumamente aplicable para el caso de la auditoría de sistemas,
ya que al establecer el objetivo de una auditoría se busca anticipar lo que se desea alcanzar, ya sea
en el área de sistemas o en toda la institución. Más concretamente, desde el punto de vista de los
autores de referencia, en el caso de una auditoría de sistemas el establecimiento del objetivo es el
establecimiento de lo que se pretende satisfacer con dicha auditoría; se incluyen los siguientes
conceptos:
      
              Misión: Deber moral que se impone a la realización de la auditoría de sistemas.

            Visión: La forma como se ve la realización de la auditoría y lo que se espera de ella.

            Propósitos: Objetivo que se pretende alcanzar con la auditoría.

            Metas: Fines específicos de la auditoría.

            Fines: Son los últimos aspectos que se busca satisfacer con la auditoría.

      Plazos: Los términos en unidades de tiempo en que se satisface el fin que se pretende con la
auditoría.

4.      Determinar los puntos que serán evaluados en la auditoría

Después de haber determinado el origen de la auditoría y de establecer los objetivos concretos
que se pretenden alcanzar con ésta, el siguiente paso es determinar los puntos concretos que
serán evaluados. Esta definición de los puntos que tienen que ser evaluados debe ser realizada
considerando aspectos muy específicos de los sistemas computacionales, tales como los
siguientes:

          La
gestión administrativa e informática del centro de cómputo
          El cumplimiento de las funciones del personal informático y usuarios de los sistemas

          El análisis, diseño y desarrollo de los sistemas computacionales

          La operación de los sistemas computacionales

          La capacitación y adiestramiento del personal y usuarios del sistema La protección,

custodia y niveles de acceso a las bases de datos
          La protección y respaldo de  archivos e información La seguridad y protección de los
usuarios, de la información, de los archivos y  en general del centro de cómputo
5.      Elaborar planes, programas y presupuestos para realizar la auditoría
Después de haber considerado todos los puntos antes señalados, el siguiente paso es realizar la
planeación formal de la auditoría de sistemas, en la cual se concreten los planes, programas y
presupuestos para dicha auditoría; es decir, se deben elaborar los documentos que contemplen
los planes formales para el desarrollo de la auditoría, los programas en donde se delimiten
perfectamente las etapas, eventos, actividades y los tiempos de ejecución para cumplir con el
objetivo, así como los presupuestos de la auditoría, documentos en donde se deben asignar los
costos de los recursos que serán utilizados y el tiempo que serán utilizados para determinada
actividad.

6.      Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos

necesarios para la auditoría
El siguiente paso es determinar los documentos y medios con los cuales se llevará a cabo la
revisión a los sistemas de la empresa, lo cual se logrará a través de la selección o diseño de los
métodos, procedimientos, herramientas e instrumentos necesarios, de acuerdo con lo indicado en
los planes, presupuestos y programas establecidos para la auditoría.

7.      Asignar los recursos y sistemas computacionales para la auditoría

Una vez definidos todos los aspectos señalados en las fases anteriores, el siguiente paso es asignar
los recursos que serán utilizados para realizar la auditoría, de acuerdo con los aspectos ya
establecidos con anterioridad. Con la asignación de estos recursos especializados, sean humanos,
informáticos, tecnológicos o cualesquiera otros que se hayan establecido para la auditoría, es
como se lleva a cabo la misma.

2ª ETAPA: EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

El siguiente paso después de la planeación de la auditoría es su ejecución, la cual estará
determinada por las características concretas, los puntos y requerimientos que se estimaron en la
etapa de planeación.

1.      Realizar las acciones programadas para la auditoría

De acuerdo con el programa de auditoría, cada auditor tiene que realizar las actividades que le
corresponden conforme fueron diseñadas, en la cronología que le fue asignada a cada una, y de
acuerdo con los tiempos y recursos que le corresponde utilizar; el propósito es ejecutar los
eventos programados y alcanzar el objetivo de la auditoría.

2.      Aplicar los instrumentos y herramientas para la auditoría

Aquí lo importante es que, conforme a la guía de auditoría, se tienen que utilizar, uno a uno, los
instrumentos y herramientas elegidos para llevar a cabo la evaluación, ya sea mediante la
recopilación y análisis de la información, la observación, las pruebas y simulaciones de los
sistemas, o mediante cualquier otro instrumento de los que se diseñaron previamente para esta
revisión.
 3.      Identificar y elaborar los documentos de desviaciones encontradas
Una vez que se realizaron las actividades diseñadas en el programa de trabajo de auditoría, que se
utilizaron los instrumentos de recopilación de información y/o se utilizaron los instrumentos
determinados para la auditoría, entonces se buscan las posibles desviaciones y se procede a
elaborar los documentos de desviaciones, en los cuales se anotan las situaciones encontradas, las
causas que las originaron y sus posibles soluciones, así como los responsables de solucionar dichas
desviaciones y las posibles fechas para hacerlo.

El auditor puede elaborar este documento cuando lo considere necesario; es decir, lo puede
elaborar conforme va realizando cada evaluación, conforme va evaluando áreas completas,
conforme va realizando cada evento programado o conforme a cualquier otro criterio. Lo
importante es que conforme el auditor detecte las desviaciones, elabore de inmediato el
documento de desviaciones.
4.      Elaborar el dictamen preliminar y presentarlo a discusión
Una vez que el auditor determinó las desviaciones encontradas durante la evaluación, debe
elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con
cada una de las desviaciones por separado, de acuerdo a las necesidades de la empresa. Una vez
hecho esto, es obligación del auditor comentarlas con las personas que están involucradas
directamente en las desviaciones, a fin de encontrar de manera conjunta las causas que las
originaron y, derivado de este intercambio de opiniones, debe determinar las posibles soluciones
para cada una de estas causas. También puede asignar a los responsables de solucionarlas y, de
ser posible, las fechas para hacerlo.

Es muy conveniente señalar que la importancia de la auditoría no sólo estriba en reportar las
desviaciones encontradas en una operación normal, sino que las personas que están involucradas
directamente en la operación deben conocerlas; el propósito es que estén conscientes de las
desviaciones encontradas en su trabajo para que puedan emprender las acciones necesarias para
corregirlas, si es que las correcciones están en sus manos.

5.      Integrar el legajo de papeles de trabajo de la auditoría

El auditor tiene la obligación de conservar en el llamado legajo de papeles de la auditoría cada uno
de los instrumentos aplicados en la evaluación, con el propósito de sustentar, llegado el caso, las
observaciones reportadas.

3ª ETAPA: DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

1.      Dictamen de la auditoría de sistemas computacionales
Al emitir el dictamen, el cual es el resultado final de la auditoría de sistemas computacionales. Se
debe presentar los siguientes puntos:

         La información y elaborar un informe de situaciones detectadas

         Elaborar el dictamen final
         Presentar el informe de auditoría
 2.      Elaborar un informe de situaciones detectadas
El análisis de los papeles de trabajo y la elaboración en borrador de las llamadas situaciones
detectadas como:

         Que el auditor elabore su borrador y comente las desviaciones con los auditados.
         Que el auditor elabore las modificaciones pertinentes, así como el informe definitivo de las
situaciones encontradas.
         Advertir que el fin de una auditoría de sistemas computacionales no es encontrar culpables, sino
ayudar a corregir las desviaciones encontradas en la operación normal de dichos sistemas; esto se
logra comentando las desviaciones con los responsables directos, con el fin de que las conozcan y
tomen las acciones necesarias para su corrección.

3.      Elaborar los papeles de trabajo

El propósito del estudio de los papeles de trabajo es detectar las posibles desviaciones en la
operación normal del área o sistema computacional que está auditando. Luego debe colocar las
desviaciones que encontró en el formato como por ejemplo de situaciones, causas y soluciones,
mismo que debe elaborar primero en borrador para comentar estos aspectos con los involucrados,
y por ultimo elaborar el definitivo.

4.      Desviaciones Detectadas
         El auditor debe indicar en forma específica y lo más claro posible las desviaciones encontradas en
la operación del sistema o en el área que está evaluando y,
          Debe señalar las causas que las generaron, basándose en los papeles de trabajo, su experiencia
en el ramo y las situaciones detectadas,
         Elaborar el borrador de lo detectado que se  encontró durante la evaluación de los sistemas,
procurando detallar, hasta donde le sea posible, en qué consisten, como puede afectar y los
demás que crea pertinentes, y por ultimo
         Señalar concretamente lo observado correspondiente al informe de auditoría analizando más a
fondo el formato de desviaciones detectadas.
5.      Indicar las situaciones encontradas al personal de las áreas afectadas
Una vez que ha detectado las desviaciones, es obligación del auditor comentarlas en forma directa
y abierta con los responsables de la operación, a fin de que las conozcan, acepten, aclaren,
complementen y/o las modifiquen con detalles y pruebas.

El auditor no debe, presentar las desviaciones encontradas sin antes haberlas comentado con el
auditado. Sin embargo, si el auditor no tiene la suficiente experiencia, los comentarios con los
auditados se pueden desviar e incluso provocar conflictos que puede perjudicar.

 Es un requisito que el auditor comente las desviaciones encontradas, debido a que además de
servirle para refirmar sus observaciones, le ayudará a comprobarlas, complementarlas y en su caso
ampliarlas; esto también le ayudará a establecer las causas que ocasionaron las desviaciones, así
como sus posibles soluciones.
 6.      Modificaciones necesarias
Una vez el auditor haya comentado ampliamente las desviaciones con los involucrados, deberá
ratificar las observaciones y, de ser necesario, elaborar las correcciones que sean pertinentes,
modificando el borrador, las causas o las posibles soluciones. También podría elaborar
nuevamente el borrador del informe, e incluso lo podría comentar nuevamente si fuera necesario.

7.      Situaciones relevantes
Una vez que el auditor ha comentado y corregido el borrador inicial, conforme a lo señalado en los
puntos anteriores, debe proceder a elaborar un documento que contenga las situaciones
relevantes que encontró durante la auditoría y, según el plan de trabajo, puede continuar con la
elaboración del dictamen de auditoría.

8.      Elaborar el informe y el dictamen formales

Después de analizar los informes anteriores (el borrador inicial comentado), el auditor debe
elaborar, de manera formal, lo siguiente:

         El informe de las desviaciones encontradas, especificándolas por área, por servicio o por cualquier
otro formato de presentación, de manera clara y precisa.
         También deberá presentar las desviaciones conforme a la costumbre de la empresa; ya sea por
importancia, por orden cronológico, por secuencia de operaciones o por cualquier otro criterio.
         Elaborará dictamen y tomar en cuenta todas las desviaciones, analizarlas y emitir su opinión
acerca de la situación de las áreas y sistemas auditados, especificando, lo más clara y
sinceramente posible, su opinión respecto a dichas desviaciones y, de ser posible, debe presentar
una sugerencia profesional para corregirlas.
         Comentar el informe y el dictamen con los directivos del área.
         Presentar el informe de auditoría
         Elaboración del dictamen formal

Auditoria de sistemas se puede decir que es la revisión y la evaluación de los controles,

sistemas, procedimientos de informática; de los equipos de cómputo, su utilización,
eficiencia y seguridad, de la organización que participan en el procesamiento de la
información, a fin de que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información que servirá para una adecuada toma de
decisiones.

Cabe resaltar que en este tipo de auditorías además de evaluar un sistema o un

procedimiento en particular, también se deben evaluar los sistemas de información en
general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información. Entre los objetivos de la auditoria de sistemas encontramos los siguientes:
Incrementar la satisfacción de los usuarios de los sistemas computarizados Asegurar una
mayor integridad, confidencialidad y confiabilidad de la información mediante la
recomendación de seguridades y controles. Conocer la situación actual del área informática
y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de función

informática a las metas y objetivos de la organización. Seguridad, utilidad, confianza,
privacidad y disponibilidad en el ambiente informático. Minimizar existencias de riesgos en
el uso de Tecnología de información. La importancia de realizar una auditoría de sistemas
en una organización radica en poder realizar un diagnóstico general del área o
departamento a auditar para saber si los procedimientos que en él se realizan se están
llevando a cabo de manera correcta, verificar y analizar si la información requerida por los
auditores es veraz y oportuna, entre otros.

La auditoría traerá como resultado la detección de posibles fallas para que posteriormente
la empresa se encargue de su respectiva solución y se pueda garantizar el correcto uso de
los sistemas de información en ella. Existen varios tipos de diapositivas de acuerdo a su
lugar de aplicación: auditoria externa e interna, por su área de aplicación, especializadas en
áreas específicas, de sistemas computacionales.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la
empresa pone en juego para disponer de un eficiente y eficaz sistema de Información. El
auditor informático ha de velar por la correcta utilización de los amplios recursos que la
empresa pone en juego para disponer de una eficiente y eficaz herramienta de colaboración
en el sistema de información. El alcance de una auditoria, ha de definir con precisión el
entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con
los objetivos de ésta.
El alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino, lo que se
espera lograr como resultado de esta auditoría. Para realizar una adecuada auditoria de
sistemas se debe llevar a cabo una buena planeación, para lo cual es indispensable contar
con personal capacitado que tenga conocimientos en el área informática y brinde confianza
en la obtención de resultados concretos y eficaces con la realización de la misma.

Por otro lado, las ventajas que trae realizar una auditoría de sistemas son varias, entre las
cuales se destacan: proporcionar los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad; utilizar de una manera más eficiente y segura
la información para garantizar una adecuada toma de decisiones en la empresa.

Llevar a cabo una auditoría de sistemas computacionales requiere una serie ordenada de
acciones y procedimientos específicos, los cuales deberán ser diseñados previamente de
manera secuencial, cronológica y ordenada, de acuerdo a las etapas, eventos y actividades
que se requieran para su ejecución, mismos que serán establecidos conforme a las
necesidades especiales de la institución.
Además, estos procedimientos se deben adaptar de acuerdo al tipo de auditoría de sistemas
que se vaya a realizar, y con estricto apego a las necesidades, técnicas y métodos de
evaluación del área de sistematización. Dichos métodos deberán seguirse también para la
determinación de las herramientas e instrumentos de revisión que serán utilizados en la
evaluación.

1.Origen de la auditoría
2. Visita preliminar
3. Establecer objetivos
4. Determinar los puntos que deben ser evaluados
5. Elaborar planes, presupuestos y programas
6. Seleccionar las herramientas, técnicas, métodos y procedimientos que serán utilizados en
la auditoría.
7. Asignar los recursos y sistemas para la auditoría
8. Aplicar la auditoría
9. Identificar desviaciones y elaborar borrador de informe
10. Presentar desviaciones a discusión
11. Elaborar borrador final de desviaciones
12. Presentar el informe de auditoría

Con base en lo anterior podemos entender la necesidad de establecer una metodología

específica de revisión, la cual nos permitirá diseñar correctamente los pasos a seguir en la
evaluación de las áreas de sistemas y actividades elegidas, a fin de que el seguimiento,
desarrollo y aplicación de las etapas y eventos propuestos para esa auditoría sean más
sencillos.