Auditoría de Sistemas

AUDITORÍA DE SISTEMAS

UNIDAD 1

1
 Auditoría de Sistemas

Unidad 1. Conceptos básicos de la auditoría de sistemas de información

Estimado alumno, en principio les doy la bienvenida a esta asignatura.

La función de auditoría conlleva un recorrido bastante sustantivo en las cuestiones

de índole laboral, esta profesión por decirlo de algún modo, se consolida en los
últimos tiempos a través de las necesidades de las empresas de contar en sus
respectivas áreas con funciones, operaciones e informes que detallan las distintas
actividades a los efectos de obtener los resultados esperados para la continuidad
del negocio.

A partir de esta asignatura, es buscar en ustedes un cambio de pensamiento

superador para el uso de herramientas o instrumentos básicos, con el fin de
considerar las acciones informáticas en los sistemas diarios de la organización.

Para ello en estas unidades encontrarán los lineamientos necesarios para

fundamentar la aplicación de métodos, procedimiento, técnicas y herramientas que
nos permitan en forma eficaz actuar sobre el particular.

No nos olvidemos que estamos preparados como Analista de Sistemas para cubrir
cualquier puesto inherente a nuestra función, para lo cual entender las funciones,
las actividades, la operación, el desarrollo de nuevas técnicas innovadoras y la
implementación de estos sistemas y de sus responsables, así como la correcta
administración, el aprovechamiento, la seguridad y el control de equipos de
cómputo, hardware, software, bases de datos, información, periféricos y de todos
los componentes relacionados con los sistemas informáticos.

En el devenir del tiempo, la profesión de auditor se ha fortalecido como la disciplina

fundamental para evaluar todas las áreas de las instituciones públicas y privadas,
es por ello que me permito decir que una base prospectiva es la Auditoría de
Sistemas y sus certificaciones correspondientes que, a mi entender ustedes como
futuros profesionales tendrán las herramientas necesarias a través del conocimiento
pleno de poder aplicarlas en toda organización.

2
 Auditoría de Sistemas

Clase 1

1.1. Tecnología de Información

La Tecnología de Información (IT), según lo definido por la asociación de la

tecnología de información de América (ITAA) es “el estudio, diseño, desarrollo,
implementación, soporte o dirección de los sistemas de información
computarizados, en particular de software de aplicación y hardware de
computadoras.”

Se ocupa del uso de las computadoras y su software para convertir, almacenar,

proteger, procesar, transmitir y recuperar la información.

Hoy en día, el término “tecnología de información” se suele mezclar con muchos

aspectos de la computación y la tecnología y el término es más reconocible que
antes. La tecnología de la información puede ser bastante amplia, cubriendo
muchos campos. Los profesionales TI realizan una variedad de tareas que van
desde instalar aplicaciones a diseñar complejas redes de computación y bases de
datos.

Algunas de las tareas de los profesionales TI incluyen, administración de datos,

redes, ingeniería de hardware, diseño de programas y bases de datos, así como la
administración y dirección de los sistemas completos. Cuando las tecnologías de
computación y comunicación se combinan, el resultado es la tecnología de la
información o “infotech”.

La Tecnología de la Información (IT) es un término general que describe cualquier

tecnología que ayuda a producir, manipular, almacenar, comunicar, y/o esparcir
información. Las tecnologías de la información y la comunicación (TIC) son un
conjunto de servicios, redes, software y dispositivos que tienen como fin la mejora
de la calidad de vida de las organizaciones y personas dentro de un entorno, y que
se integran a un sistema de información interconectado y complementario.

Las Tecnologías de la información y la comunicación, son un solo concepto en dos

vertientes diferentes como principal premisa de estudio en las ciencias sociales
donde tales tecnologías afectan la forma de vivir de las sociedades.

1.2. ¿Qué es la información?

La información puede ser definida como los datos que han sido recogidos,
procesados, almacenados y recuperados con el propósito de tomar decisiones
financieras y económicas o para el soporte de una producción y distribución
eficientes de bienes y servicios.

3
 Auditoría de Sistemas

La información tiene que ser considerada como un recurso básico en una

organización, junto a los talentos humanos, el capital, las materias primas y demás
equipos. Es clave para la organización tanto para su supervivencia como para
mejorar su posicionamiento en los negocios.

1.3. Clasificación de la información

1.3.1. Información estratégica

Permite a la alta gerencia definir los objetivos de la organización, la cantidad y clase

de recursos necesarias para alcanzar los objetivos y las políticas que gobiernan su
uso. La alta gerencia tiene que tomar decisiones económicas importantes basadas
en las condiciones de los cambiantes mercados e innovación tecnológica. Parte de
esta información es externa.

1.3.2. Información para el control de gestión

Ayuda a los mandos medios especialmente para tomar decisiones en el período

actual, normalmente un año, para que sean consistentes con los objetivos
estratégicos organizativos. Incluye comparaciones entre los resultados actuales y
objetivos, presupuestos y medidas de rendimiento.

1.3.3. Información técnica u operacional

Se produce por rutina, día a día e incluye datos de contabilidad, control de

inventario, programación de la producción, planificación de necesidades de
materiales, normas y gestión del personal, control del flujo de caja, logística,
ingeniería, fabricación, recepción, distribución, ventas y todo el conjunto de
operaciones que son necesarias para mantener la empresa en funcionamiento.

1.3.4. Información contable y financiera

Es la información que se genera con el propósito de control e información

financieros. Este tipo de información se recoge de acuerdo con Principios Contables
Generalmente Aceptados y son aplicados por los profesionales contables.

4
 Auditoría de Sistemas

¿Por qué es valiosa la información para la toma de decisiones?

La calidad de las decisiones tomadas depende directamente de la calidad de la

información que las soporta.

La toma de decisiones requiere:

• Un profundo conocimiento de las circunstancias que rodean un problema.

• Conocimiento de las alternativas disponibles y
• Estrategias competitivas

1.3.5. Atributos de la información que la hacen valiosa para la toma de

decisiones

• Completa: Si la información se pierde u oculta al que toma la decisión, el

resultado de la decisión será pobre.
• Exacta: Errores en la entrada, conversión o procesos puede dar como
resultado conclusiones inválidas que darán lugar a decisiones erróneas.
• Autorizada: La información puede ser semánticamente correcta, pero
representar transacciones invalidas o no autorizadas.
• Auditable: La información debe ser seguible a través de los documentos
fuente o su ejecución seguida mediante sistemas de control monitorizado y
pre verificados.
• Económica: El coste de producir la información debería no exceder su valor
cuando se utiliza Atributos de la información que la hacen valiosa para la
toma de decisiones.
• Adecuada: Información específica debe estar disponible solamente para
aquellos que la necesitan para asegurar una gestión eficiente. Demasiada
información irrelevante a disposición de quién debe tomar la decisión puede
ocultar el proceso.
• Oportuna o Puntual: La información pierde su valor cuando a quién tiene
que tomar la decisión, se le entrega después de que la necesita.
• Segura: La información debe ser protegida de su difusión a personas no
autorizadas, sin ello puede dar lugar a pérdidas económicas en la
organización. Debe estar protegida contra destrucciones accidentales o
voluntarias.

¿Qué hace que la información sea un recurso crítico para la organización?

Los estudios realizados en diversas organizaciones y universidades revelan que en

los sectores financieros, productivos y de servicios, una caída total de las redes y
equipos informáticos de tres o cuatro días puede dar lugar a la pérdida del negocio.

5
 Auditoría de Sistemas

La pérdida de confidencialidad en las bases de datos puede proporcionar a

los competidores una ventaja definitiva.
¿Se reconoce a la información como un recurso crítico?

Con relación a la protección de las instalaciones físicas y el control de acceso a los

sistemas de información, hay pocas estadísticas disponibles sobre el uso del
software de control de acceso en cuanto a sus políticas de utilización y calidad de
su administración.

Una vez que se es consciente de que tal software puede ser instalado y utilizado de
distintas maneras, es más evidente que poseer este software, por sí mismo, no
garantiza la seguridad, sino que la administración es la clave del éxito.

Aun cuando el software de control de acceso esté instalado y bien administrado,

hay numerosas vías por las cuales, los programadores de sistemas desde dentro y
los “hackers” desde fuera de la organización pueden burlar los mecanismos de
seguridad.

¿Cómo mejorar la gestión y el control de las T.I.?

Para ello es necesario que las organizaciones puedan disponer de:

• Una función de auditoría informática independiente.

• Una utilización correcta de la informática en la práctica de los distintos tipos
de auditoría.
• La definición de unos objetivos de control de T.I.

1.4. Necesidad de la Auditoría Informática

Por tanto, la auditoría informática debe analizar:

La función informática, que engloba el análisis de la organización, seguridad,

segregación de funciones y gestión de las actividades de proceso de datos.

Los sistemas informáticos, buscando asegurar la adecuación de los mismos a los

fines para los que fueron diseñados.

Como ustedes saben los conceptos o definiciones precisas de lo que representa la

Auditoría de Sistemas es variada, podemos definir como “la revisión
independiente de alguna o algunas actividades, funciones específicas,
resultados u operaciones de una entidad administrativa, realizada por un
profesional de la auditoría, con el propósito de evaluar su correcta realización

6
 Auditoría de Sistemas

y, con base en ese análisis, poder emitir una opinión autorizada sobre la
razonabilidad de sus resultados y el cumplimiento de sus operaciones”.

O sea, es un razonamiento estructurado a mi entender, de los procesos a desarrollar

para el cumplimiento de un fin determinado, más adelante veremos este fin con más
precisión.

Otras definiciones o conceptos básicos sobre Auditoría de Sistemas.

La Auditoría en Sistemas es la revisión y la evaluación de los controles,

sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones.

Asimismo, la Auditoría deberá comprender no sólo la evaluación de los equipos de

cómputo, de un sistema o procedimiento específico, sino que además habrá de
evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.

Es de vital importancia para el buen desempeño de los sistemas de información, ya

que proporciona los controles necesarios para que los sistemas sean confiables y
con un buen nivel de seguridad. Además, debe evaluar todo (informática,
organización de centros de información, hardware y software).

De acuerdo a lo establecido, podemos inferir que este es el fin a determinar, el

desempeño de los sistemas de información y el control de los sistemas para confiar
en los niveles de seguridad requeridos como así también establecer los
procedimientos estipulados de acuerdo al manual de procedimientos.

7
 Auditoría de Sistemas

1.5. Clasificación de los tipos de Auditorías

Se presenta a continuación los distintos tipos de auditorías que intervienen en el

mercado organizacional, por supuesto no son todas, pero considero las principales.

Auditorías según el lugar de aplicación

• Auditoría externa
• Auditoría interna

Auditorías por su área de aplicación

• Auditoría financiera
• Auditoría administrativa
• Auditoría operacional
• Auditoría integral
• Auditoría gubernamental
• Auditoría de sistemas

Auditorías especializadas en áreas específicas

• Auditoría al área médica (evaluación médico-sanitaria)

• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)
• Auditoría fiscal
• Auditoría laboral
• Auditoría de proyectos de inversión
• Auditoría a la caja chica o caja mayor (arqueos)
• Auditoría al manejo de mercancías (inventarios)
• Auditoría ambiental
• Auditoría de sistemas

Auditoría de sistemas informáticos

• Auditoría informática
• Auditoría con la computadora
• Auditoría sin la computadora
• Auditoría a la gestión informática
• Auditoría al sistema de cómputo
• Auditoría alrededor de la computadora
• Auditoría de la seguridad de sistemas informáticos
• Auditoría a los sistemas de redes
• Auditoría integral a los centros de cómputo

8
 Auditoría de Sistemas

• Auditoría ISO-9000 a los sistemas informáticos

• Auditoría outsourcing
• Auditoría ergonómica de sistemas informáticos

1.5.1. Clasificación de la auditoría por su lugar de origen

La primera clasificación se refiere a la forma en que se realiza este tipo de trabajos,

y también a cómo se establece la relación laboral en las empresas donde se llevará
a cabo la auditoría; esto nos da un origen externo si el auditor no tiene relación
directa con la empresa, o un origen interno si existe alguna relación de dicho auditor
con la propia empresa. Estamos hablando del lugar de origen.

1.5.2. Auditoría externa

La principal característica de este tipo de auditoría es que la realizan auditores

totalmente ajenos a la empresa, por lo menos en el ámbito profesional y laboral;
esto permite que el auditor externo utilice sus conocimiento, métodos, técnicas y
herramientas de auditoría con las cuales hará la evaluación de las actividades y
operaciones de la empresa que audita y, por lo tanto, la emisión de resultados será
absolutamente independiente.
Podemos decir que es la revisión independiente que realiza un profesional de la
auditoría, con total libertad de criterio y sin ninguna influencia, con el propósito de
evaluar el desempeño de las actividades, operaciones y funciones que se realizan
en la empresa que lo contrata, así como de la razonabilidad en la emisión de sus
resultados. La relación de trabajo del auditor es ajena a la institución donde se
aplicará la auditoría y esto le permite emitir un dictamen libre e independiente.

Generalmente, estas auditorías externas son realizadas por grandes empresas y

despachos independientes de auditores, los cuales, casi siempre gozan de gran
popularidad y prestigio dentro del ambiente profesional. El mercado en el cual tienen
mayor demanda y aplicación estas auditorías es el ámbito contable, fiscal y
financiero de las instituciones, así como en aquellas actividades específicas que
demandan una auditoría externa a la empresa cuando existen condiciones
especiales que se pretenden evaluar.

Ventajas

Al no tener ninguna dependencia de la empresa, el trabajo de estos auditores es

totalmente independiente y libre de cualquier injerencia por parte de las autoridades
de la empresa auditada.

9
 Auditoría de Sistemas

Estas auditorías pueden estar apoyadas por una mayor experiencia por parte de los
auditores externos, debido a que utilizan técnicas y herramientas que ya fueron
probadas en otras empresas con características similares. Estas auditorías tienen
gran aceptación en las empresas para certificar registros contables, impuestos y
resultados financieros. Además, sus dictámenes pueden ser válidos para las
autoridades impositivas, y con ello pueden satisfacer requisitos de carácter legal,
siempre que sean realizadas por auditores de prestigio que tengan el
reconocimiento público.

Desventajas

La principal desventaja es que, como el auditor conoce poco la empresa, su

evaluación puede estar limitada a la información que pueda recopilar. Dependen en
absoluto de la cooperación que el auditor pueda obtener de parte de los auditados.
Su evaluación, alcances y resultados pueden ser muy limitados.

Muchas auditorías de este tipo se derivan de imposiciones fiscales y legales que

pueden llegar a crear ambientes hostiles para los auditores que las realizan. En
algunos casos son sumamente costosas para la empresa, no sólo en el aspecto
numerario, sino por el tiempo y trabajo adicional que representan.

1.5.3. Auditoría interna

En la realización de estos tipos de evaluación, el auditor que lleva a cabo la auditoría

trabaja en la empresa donde se realiza la misma y, por lo tanto, de alguna manera
está involucrado en su operación normal; debido a esto, el auditor puede tener algún
tipo de dependencia con las autoridades de la institución, lo cual puede llegar a
influir en el juicio que emita sobre la evaluación de las áreas de la empresa.

Es la revisión que realiza un profesional de la auditoría, cuya relación de trabajo es

directa y subordinada a la institución donde se aplicará la misma, con el propósito
de evaluar en forma interna el desempeño y cumplimiento de las actividades,
operaciones y funciones que se desarrollan en la empresa y sus áreas
administrativas, así como evaluar la razonabilidad en la emisión de sus resultados
financieros.

El objetivo final es contar con un dictamen interno sobre las actividades de toda la
empresa, que permita diagnosticar la actuación administrativa, operacional y
funcional de empleados y funcionarios de las áreas que se auditan.

10
 Auditoría de Sistemas

Ventajas

Debido a que el auditor pertenece a la empresa, casi siempre conoce integralmente

sus actividades, operaciones y áreas; por lo tanto, su revisión puede ser más
profunda y con un mayor conocimiento de las actividades, funciones y problemas
de la institución. Por esta razón, el contenido de su informe es mucho más valioso.

El informe que rinde el auditor, independientemente del resultado, es sólo de

carácter interno y por lo tanto no sale de la empresa, ya que únicamente le sirve a
las autoridades de la institución.

Esta auditoría consume sólo recursos internos, por lo tanto no representa ninguna
erogación adicional para la empresa en la cual se realiza. Es de gran utilidad para
la buena marcha de la empresa, ya que permite detectar problemas y desviaciones
a tiempo. Puede llevarse un programa concreto de evaluación en apoyo a las
autoridades de la empresa, lo cual ayudará a sus dirigentes en la evaluación y la
toma de decisiones.

Desventajas

Su veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede

haber cierta injerencia por parte de las autoridades de la institución sobre la forma
de evaluar y emitir el informe. En ocasiones la opinión del auditor tal vez no sea
absoluta, debido a que, al trabajar en la misma empresa donde realiza la auditoría,
se pueden presentar presiones, compromisos y ciertos intereses al realizar la
evaluación. Se pueden presentar vicios de trabajo del auditor con relativa
frecuencia, ya sea en las formas de utilizar las técnicas y herramientas para aplicar
la auditoría, como en la forma de evaluar y emitir su informe sobre la misma.

Pero retomando nuestra campo informático, vamos a desarrollar los temas de

acuerdo a nuestras competencias, para ello nos enfocaremos particularmente sobre
aquellos métodos que se implementan a los efectos de obtener los resultados
esperados.

11
 Auditoría de Sistemas

Clase 2

1.6. Auditoría de sistemas informáticos

Podemos decir que la auditoría de sistemas es una revisión técnica, especializada

y exhaustiva que se realiza a los sistemas informáticos, software e información
utilizados en una empresa, sean individuales, compartidos y/o de redes, así como
a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás
componentes.

Dicha revisión se realiza de igual manera a la gestión informática, el

aprovechamiento de sus recursos, las medidas de seguridad y los bienes de
consumo necesarios para el funcionamiento del centro de cómputos.

El propósito fundamental es evaluar el uso adecuado de los sistemas para el

correcto ingreso de los datos, el procesamiento adecuado de la información y la
emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el
cumplimiento de las funciones, actividades y operaciones de funcionarios,
empleados y usuarios involucrados con los servicios que proporcionan los sistemas
computacionales a la empresa.

Presentaremos a continuación breves conceptos sobre las distintas acciones

esenciales.

1.6.1. Auditoría con la computadora

En este tipo de auditoría se puede distinguir como factor fundamental que su

evaluación se realiza con el apoyo de los sistemas computacionales, aunque
pudiera darse el caso de que la auditoría no se refiera a la evaluación de estos
sistemas, sino a cualquier otra disciplina ajena a ellos. Lo relevante es que dichos
sistemas se utilizan para ayudar en tal evaluación.

Se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar
cualquier tipo de actividades y operaciones, no necesariamente computarizadas,
pero sí susceptibles de ser automatizadas; dicha auditoría se realiza también a las
actividades del propio centro de sistemas y a sus componentes. La principal
característica de este tipo de auditoría es que, sea en un caso o en otro, o en ambos,
se aprovecha la computadora y sus programas para la evaluación de las actividades
a revisar, de acuerdo con las necesidades concretas del auditor, utilizando en cada
caso las herramientas especiales del sistema y las tradicionales de la propia
auditoría.

12
 Auditoría de Sistemas

Ejemplo

Los TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo

de las auditorías informáticas con el fin de mejorar la eficiencia, el alcance y
confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de
la entidad auditada.

Incluyen métodos y procedimientos empleados por el auditor para efectuar su

trabajo y que pueden ser administrativos, analíticos, informáticos, entre otros; y, los
cuales, son de suma importancia para el auditor informático cuando este realiza una
auditoría.

1.6.2. Auditoría sin la computadora

En este tipo de auditoría se busca evaluar a los sistemas desde una óptica
tradicional, contando con el apoyo de las técnicas y procedimientos de evaluación

13
 Auditoría de Sistemas

acostumbrados y sin el uso de los sistemas computacionales, aunque éstos sean

los que se evalúen.

Por lo general, esta auditoría se enfoca en los aspectos operativos, financieros,

administrativos y del personal de los centros de sistemas computacionales.

Es la auditoría cuyos métodos, técnicas y procedimientos están orientados

únicamente a la evaluación tradicional del comportamiento y validez de las
transacciones económicas, administrativas y operacionales de un área de cómputo,
y en sí de todos los aspectos que afectan a las actividades en las que se utilizan
sistemas informáticos, pero dicha evaluación se realiza sin el uso de los sistemas
computacionales.

Es también la evaluación tanto a la estructura de organización, funciones y

actividades de funcionarios y personal de un centro de cómputo, así como a los
perfiles de sus puestos, como de los reportes, informes y bitácoras de los sistemas,
de la existencia y aplicación de planes, programas y presupuestos en dicho centro,
así como del uso y aprovechamiento de los recursos informáticos para la realización
de actividades, operaciones y tareas.

Asimismo, es la evaluación de los sistemas de seguridad y prevención de

contingencias, de la adquisición y uso del hardware, software y personal informático,
y en sí de todo lo relacionado con el centro de cómputo, pero sin el uso directo de
los sistemas computacionales.

14
 Auditoría de Sistemas

AUDITORÍA SIN COMPUTADORA

Evalúa sistemas para

optimizar la auditoría

Objetivo Desventaja
Realizar un análisis de los Utiliza técnicas y Es una evaluación tradicional sin
sistemas enfocados en aspectos procedimientos de herramientas tecnológicas, lo que
tradicionales y funcionales de evaluación dificulta un análisis exacto y
auditoría confiable

Enfocado al
Ventaja
Exclusividad de la Auditoría en
esta area específica
• Ámbito operativo
• Ámbito financiero
• Ámbito administrativo

Clase 3

1.7. Auditoría a la gestión informática

Esta auditoría es, por lo general, de carácter administrativo y operacional; con su

realización se busca evaluar la actividad administrativa de los centros de cómputo,
con todo lo que conlleva esta gestión.

Es la auditoría cuya aplicación se enfoca exclusivamente a la revisión de las

funciones y actividades de tipo administrativo que se realizan dentro de un centro
de cómputo, tales como la planeación, organización, dirección y control de dicho
centro.

Esta auditoría se realiza también con el fin de verificar el cumplimiento de las

funciones y actividades asignadas a los funcionarios, empleados y usuarios de las
áreas de sistematización, así como para revisar y evaluar las operaciones del
sistema, el uso y protección de los sistemas de procesamiento, los programas y la
información.

15
 Auditoría de Sistemas

Se aplica también para verificar el correcto desarrollo, instalación, mantenimiento y

explotación de los sistemas de cómputo, así como sus equipos e instalaciones.

Todo esto se lleva a cabo con el propósito de dictaminar sobre la adecuada gestión
administrativa de los sistemas informáticos de una empresa y del propio centro.

Ejemplo. Áreas del departamento de IT

Mediante el conocimiento e implementación de esta metodología se pretende crear

una cultura organizacional que facilite, por un lado, el manejo de los recursos de la
organización, y por otro la mejora de los diferentes ambientes laborales, con el
propósito de generar un cambio de conductas que repercutan en un aumento de la
productividad y el bienestar general.

16
 Auditoría de Sistemas

A continuación, se resumen los objetivos de la metodología de las 5S.

Denominación

Concepto Objetivo particular

Español Japonés

Separar Eliminar del espacio de trabajo lo que sea

Clasificación 整理,Seiri
innecesarios inútil

整頓 Situar Organizar el espacio de trabajo de forma

Orden
,Seiton necesarios eficaz

清掃 Suprimir
Limpieza Mejorar el nivel de limpieza de los lugares
,Seiso suciedad

Prevenir la aparición de la suciedad y el

清潔 Señalizar
Estandarización desorden (Señalizar y repetir) Establecer
,Seiketsu anomalías
normas y procedimientos.

Mantener la 躾 Seguir
Fomentar los esfuerzos en este sentido
disciplina ,Shitsuke mejorando

1.- Clasificación: Separar innecesarios

Consiste en identificar los elementos que son necesarios en el área de trabajo,

separarlos de los innecesarios y desprenderse de estos últimos, evitando que
vuelvan a aparecer. Asimismo, se comprueba que se dispone de todo lo necesario.

En la práctica para la realización esta primera fase es muy importante involucrar a

las personas que están realizando el trabajo, y determinar en quipo los necesario
de lo innecesario, siendo realistas y práctico, estas definiciones claras será la base

17
 Auditoría de Sistemas

para salir de safari en sus áreas de trabajo para identificar los elementos necesarios
e innecesarios etiquetándolos claramente y analizando la causas de su aparición, y
conservar solo lo que se necesita.

2.- Orden: Situar necesarios

Establecer el modo en que deben ubicarse e identificarse los materiales necesarios,

de manera que sea fácil y rápido encontrarlos, utilizarlos y reponerlos.
Se pueden usar métodos de gestión visual para facilitar el orden, identificando los
elementos y lugares del área. Es habitual en esta tarea el lema “un lugar para cada
cosa, y cada cosa en su lugar”. En esta etapa se pretende organizar el espacio de
trabajo con objeto de evitar tanto las pérdidas de tiempo como de energía.

En la práctica podemos utilizar en nuestras diferentes áreas de trabajo,

documentando todo lo que realizamos para tener una visión clara para su posterior
mantenimiento.

3.- Limpieza: suprimir suciedad

Una vez despejado y ordenado el espacio de trabajo, es mucho más fácil limpiarlo.
Consiste en identificar y eliminar las fuentes de suciedad, y en realizar las acciones
necesarias para que no vuelvan a aparecer, asegurando que todos los medios se
encuentran siempre en perfecto estado operativo. El incumplimiento de la limpieza
puede tener muchas consecuencias, provocando incluso anomalías o el mal
funcionamiento de las herramientas.

En la práctica establecer en un procedimiento individual para cada línea de trabajo

y que personas tiene que hacer el mantenimiento con que periodicidad en cuanto
tiempo, en que caso y con qué elementos (herramientas) tiene que realizarlo

4.- Estandarización: señalizar anomalías

Consiste en detectar situaciones irregulares o anómalas, mediante normas sencillas

y visibles para todos. Aunque las etapas previas de las 5S pueden aplicarse
únicamente de manera puntual, en esta etapa se crean estándares que recuerdan
que el orden y la limpieza deben mantenerse cada día.

En la práctica debemos señalizar desviación del funcionamiento correcto a simple

vista, estableciendo un sistema para la recuperación ante las anomalías.

18
 Auditoría de Sistemas

5.- Mantenimiento de la disciplina: seguir mejorando

Con esta etapa se pretende trabajar permanentemente de acuerdo con las normas
establecidas, comprobando el seguimiento del sistema 5S y elaborando acciones
de mejora continua, cerrando el ciclo PDCA (Planificar, hacer, verificar y actuar).

Si esta etapa se aplica sin el rigor necesario, el sistema 5S pierde su eficacia.

Establece un control riguroso de la aplicación del sistema. Tras realizar ese control,
comparando los resultados obtenidos con los estándares y los objetivos
establecidos, se documentan las conclusiones y, si es necesario, se modifican los
procesos y los estándares para alcanzar los objetivos.

Mediante esta etapa se pretende obtener una comprobación continua y fiable de la

aplicación del método de las 5S y el apoyo del personal implicado, sin olvidar que
el método es un medio, no un fin en sí mismo.

En la práctica establecer una Auditoría de la implementación de la metodología,

como apoyo utilizaremos listas de chequeos y analizaremos la evolución de los
indicadores establecidos que nos permitirán priorizar las mejoras. Las desviaciones
que se detecten en estas auditorías servirán para que el equipo tras analizar sus
causas proponga y ejecute las acciones correctoras y preventivas necesarias.

1.7.1. Auditoría al sistema de cómputo

Esta auditoría es más especializada y concreta, y está enfocada hacia la actividad

y operación de sistemas informáticos, con mucho más de evaluación técnica y
especializada de éstos y de todo lo relacionado con esta especialidad.

Es la auditoría técnica y especializada que se enfoca únicamente a la evaluación

del funcionamiento y uso correctos del equipo de cómputo, su hardware, software y
periféricos asociados. Esta auditoría también se realiza a la composición y
arquitectura de las partes físicas y demás componentes del hardware, incluyendo
equipos asociados, instalaciones y comunicaciones internas.

19
 Auditoría de Sistemas

1.7.2. Auditoría alrededor de la computadora

En este tipo de auditoría se trata de evaluar todo lo que involucra la actividad de los
sistemas computacionales, procurando, de ser posible, dejar a un lado todos los
aspectos especializados, técnicos y específicos de los sistemas, a fin de evaluar
únicamente las actividades vinculadas que se llevan a cabo alrededor de éstos.

Es la revisión específica que se realiza a todo lo que está alrededor de un equipo

de cómputo, como son sus sistemas, actividades y funcionamiento, haciendo una
evaluación de sus métodos y procedimientos de acceso y procesamiento de datos,
la emisión y almacenamiento de resultados, las actividades de planeación y
presupuesto del propio centro de cómputo, los aspectos operacionales y
financieros, la gestión administrativa de accesos al sistema, la atención a los
usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas
y, en sí, a todos aquellos aspectos que contribuyen al buen funcionamiento de un
área de sistematización.

1.7.3. Auditoría en la seguridad de los sistemas informáticos

Hablar de seguridad es un aspecto muy importante en los sistemas informáticos, lo

cual en algunos casos puede estar relacionado con otras auditorías aquí
presentadas.

20
 Auditoría de Sistemas

Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo

relacionado con la seguridad de un sistema de cómputo, sus áreas y personal, así
como a las actividades, funciones y acciones preventivas y correctivas que
contribuyan a salvaguardar la seguridad de los equipos informáticos, las bases de
datos, redes, instalaciones y usuarios del sistema.

Es también la revisión de los planes de contingencia y medidas de protección para

la información, los usuarios y los propios sistemas computacionales, y en sí para
todos aquellos aspectos que contribuyen a la protección y salvaguarda en el buen
funcionamiento del área de sistematización, sistemas de redes o computadoras
personales, incluyendo la prevención y erradicación de los virus informáticos.

1.7.4. Auditoría a los sistemas de redes

Es reciente el crecimiento e importancia que han cobrado las redes informáticas,

razón por la cual es necesario enfocar la auditoría hacia este campo específico; no
obstante, en ciertos casos, esta evaluación parecería estar contemplada en algunos
tipos de auditoría aquí señalados.

Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas

de redes de una empresa, considerando en la evaluación los tipos de redes,
arquitectura, topología, sus protocolos de comunicación, las conexiones, accesos,
privilegios, administración y demás aspectos que repercuten en su instalación,
administración, funcionamiento y aprovechamiento. Es también la revisión del
software institucional, de los recursos informáticos e información de las operaciones,
actividades y funciones que permiten compartir las bases de datos, instalaciones,
software y hardware de un sistema de red.

1.7.5. Auditoría integral a los centros de cómputo

Esta definición trata de agrupar a todos los tipos de auditoría que se analizan en
estas conceptualizaciones, buscando concentrar todas las evaluaciones bajo una
misma auditoría con un enfoque global del área de sistemas, según su tipo y
tamaño.

Es la revisión exhaustiva, sistemática y global que se realiza por medio de un equipo

multidisciplinario de auditores, de todas las actividades y operaciones de un centro
de sistematización, a fin de evaluar, en forma integral, el uso adecuado de sus

21
 Auditoría de Sistemas

sistemas de cómputo, equipos periféricos y de apoyo para el procesamiento de

información de la empresa, así como de la red de servicios de una empresa y el
desarrollo correcto de las funciones de sus áreas, personal y usuarios.

Es también la revisión de la administración del sistema, del manejo y control de los

sistemas operativos, lenguajes, programas y paqueterías de aplicación, así como
de la administración y control de proyectos, la adquisición del hardware y software
institucionales, de la adecuada integración y uso de sus recursos informáticos y de
la existencia y cumplimiento de las normas, políticas, estándares y procedimientos
que regulan la actuación del sistema, del personal y usuarios del centro de cómputo.
Todo esto hecho de manera global por medio de un equipo multidisciplinario de
auditores.

1.7.6. Auditoría ISO-9000 a los sistemas informáticos

Las empresas en el mundo han adoptado la calidad ISO-9000 como parte

fundamental de sus actividades. Por esta razón, los sistemas están relacionados
también con este tipo de auditorías de certificación de calidad, las cuales son muy
especializadas y específicas en cuanto a los requerimientos establecidos en ellas.

Es la revisión exhaustiva, sistemática y especializada que realizan únicamente los

auditores especializados y certificados en las normas y procedimientos ISO-9000,
aplicando exclusivamente los lineamientos, procedimientos e instrumentos
establecidos por esta asociación.

El propósito fundamental de esta revisión es evaluar, dictaminar y certificar que la

calidad de los sistemas informáticos de una empresa se apegue a los
requerimientos del ISO-9000.

1.7.7. Auditoría outsourcing

Otra de las especialidades que se ha adoptado en los sistemas computacionales,

es la relacionada con la prestación de servicios de cómputo a las empresas, los
cuales abarcan desde la asesoría y soporte a sus propios sistemas; por esta razón,
se requiere de una especialización en la evaluación de estos servicios.
Es la revisión exhaustiva, sistemática y especializada que se realiza para evaluar la
calidad en el servicio de asesoría o procesamiento externo de información que
proporciona una empresa a otra.

22
 Auditoría de Sistemas

Esto se lleva a cabo con el fin de revisar la confiabilidad, oportunidad, suficiencia y

asesoría por parte de los prestadores de servicios de procesamiento de datos, así
como el cumplimiento de las funciones y actividades que tienen encomendados los
prestadores de servicios, usuarios y el personal en general. Dicha revisión se realiza
también en los equipos y sistemas.

1.7.8. Auditoría ergonómica de sistemas informáticos

Uno de los aspectos menos analizados en el área de sistemas es la afectación que

causan el mobiliario y los propios sistemas computacionales en los usuarios de
computadoras; estos aspectos pueden llegar a influir en el bienestar, salud y
rendimiento de los usuarios, razón por la cual se deben considerar mediante una
auditoría especializada.

Es la revisión técnica, específica y especializada que se realiza para evaluar la

calidad, eficiencia y utilidad del entorno hombre-máquina-medio ambiente que
rodea el uso de sistemas computacionales en una empresa. Esta revisión se realiza
también con el propósito de evaluar la correcta adquisición y uso del mobiliario,
equipo y sistemas, a fin de proporcionar el bienestar, confort y comodidad que
requieren los usuarios de los sistemas de cómputo de la empresa, así como evaluar
la detección de los posibles problemas y sus repercusiones, y la determinación de
las soluciones relacionadas con la salud física y bienestar de los usuarios de los
sistemas de la empresa.

23