Universidad Dominicana O&M

Asignatura:
Auditoria informática
Sección:
1002.
Docente:
Jose Vazquez Natera
Tema:
Resumen cap 6
Realizado por:
21-EIST-1-028 Mabel E. Gómez Martin.
Fecha de Entrega:
21/02/2024
 CAPITULO 6: Metodología para
realizar auditorías de
sistemas computacionales

6.1 Marco conceptual de la metodología para realizar auditorías de sistemas

computacionales
El primer paso para entender la metodología propuesta para desarrollar una auditoría
de sistemas computacionales (ASC), es identificar el marco teórico sobre el cual se
fundamentan los conceptos que serán aplicables en dicha metodología. Éstos serán
definidos a continuación:

Método: “Del griego: methodos, de meta, con y odos, vía. Modo razonado de obrar y
hablar […] Procedimiento, técnica, teoría, tratamiento, sistema […] Modo de obrar
habitual […] Marcha racional del espíritu para llegar al conocimiento de la verdad […]
Obra que contiene, ordenados, los principales elementos de un arte o ciencia.

Metodología: “Del griego Methodos, método, y Logos, tratado. Ciencia que trata del
método […]” “Estudio de los métodos que se siguen en una investigación, un
conocimiento o una interpretación.

Planeación: “[…] es el proceso de decidir de antemano qué se hará y de qué manera.

Incluye determinar las misiones globales, identificar resultados claves y fijar objetivos
específicos, así como políticas de desarrollo, programas y procedimientos para
alcanzarlos […] La planeación tiene una implicación futura, que se tiene cierta
habilidad para el diseño de planes a fin de lograr los objetivos […]”

Plan: “El plan es un método detallado, formulado de antemano, para hacer algo […]
Un plan es un curso de acción predeterminado. Esencialmente, un plan tiene tres
características. Primero, debe referirse al futuro. Segundo, debe señalar acciones.
Tercero, existe un elemento de identificación o causalidad personal u organizacional
[…] Los planes se derivan de las decisiones y ofrecen información por adelantado
para guiar el comportamiento subsecuente.
Programa: “Conjunto estructurado de diversas actividades con un cierto grado de
homogeneidad respecto del producto o resultado final, al cual se le asignan recursos
humanos, materiales y financieros con el fin de que produzca en un tiempo
determinado bienes o servicios destinados a la satisfacción total o parcial de los
objetivos señalados a una función dentro del marco de la planeación.

Presupuesto: “Estimación programada en forma sistemática de los ingresos y

egresos que maneja un organismo en un periodo determinado; puede considerarse
como un plan de acción expresado en términos monetarios y cuyo ejercicio abarca
generalmente un año de actividad.

Evento: “Es la determinación de acontecimientos que llevan fines específicos de

transmisión de ideas, de imágenes y sonidos, para un fin determinado.

Actividad: “Es el conjunto de operaciones ejecutadas o de actos desarrollados por

una o varias personas y que contribuyen al logro de una función. “Una o más tareas
afines que forman parte de una función, y son ejecutadas por una persona o unidad
administrativa.

Tiempo: “Del latín Tempus, duración de los fenómenos […]” “Duración de las cosas
sujetas a cambios. Sucesión continuada de momentos que constituyen el devenir de
lo existente. El existir de un mundo subordinado a un principio y un fin, en oposición
a la idea de eternidad.

Políticas: “Criterio de acción que es elegido como guía en el proceso de toma de

decisiones al poner en práctica o ejecutar las estrategias, programas y proyectos
específicos a nivel institucional.

Tarea: “Es la subdivisión del trabajo para concretizar una actividad.

Plan de trabajo (gráfica de Gantt): Es la representación gráfica en la que se

muestran las actividades que integran un proyecto, el periodo de tiempo necesario
para realizar cada una de ellas y sus responsables, así como los de cada actividad.
6.2 Metodología para realizar auditorías de sistemas computacionales
Con el propósito de interpretar adecuadamente la aplicación de esta metodología
odología para realizar audit ealizar auditorías de sis orías de sistemas, la cual puede
ser aplicable para cualquier la cual puede ser tipo de auditoría dentro del campo de
sistemas, a continuación presentamos, en forma genérica, todas aquellas fases y
pasos que se deben considerar en la planeación de la evaluación. Inicialmente
señalaremos, en tres grandes apartados, las principales etapas que nos servirán de
guía para la realización de una evaluación dentro del ambiente de sistemas
computacionales.

1ª etapa: Planeación de la auditoría de sistemas computacionales

P.1 Identificar el origen de la auditoría

P.2 Realizar una visita preliminar al área que será evaluada

P.3 Establecer los objetivos de la auditoría

P.4 Determinar los puntos que serán evaluados en la auditoría

P.5 Elaborar planes, programas y presupuestos para realizar la auditoría

P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y

procedimientos necesarios para la auditoría

P.7 Asignar los recursos y sistemas computacionales para la auditoría

2ª etapa: Ejecución de la auditoría de sistemas computacionales

E.1 Realizar las acciones programadas para la auditoría

E.2 Aplicar los instrumentos y herramientas para la auditoría

E.3 Identificar y elaborar los documentos de desviaciones encontradas

E.4 Elaborar el dictamen preliminar y presentarlo a discusión

E.5 Integrar el legajo de papeles de trabajo de la auditoría

3ª etapa: Dictamen de la auditoría de sistemas computacionales

D.1 Analizar la información y elaborar un informe de situaciones detectadas

D.2 Elaborar el dictamen final

D.3 Presentar el informe de auditor

6.3 1ª etapa: Planeación de la auditoría de sistemas computacionales

El primer paso para realizar una auditoría en sistemas computacionales es definir las
actividades necesarias para su ejecución, lo cual se logrará mediante una adecuada
planeación de éstas; es decir, se deben identificar claramente las razones por las que
se va a realizar la auditoría y la determinación del objetivo de la misma, así como el
diseño de los métodos, técnicas y procedimientos necesarios para llevarla a cabo y
para preparar los documentos que servirán de apoyo para su ejecución, culminando
con la elaboración documental de los planes, programas y presupuestos para dicha
auditoría. Concretamente, el responsable de la planeación de esta primera etapa de
la metodología para realizar una auditoría de sistemas computacionales deberá iniciar
con el planteamiento de los siguientes interrogantes: ¿Por qué se realizará la
auditoría? ¿Se debe hacer una visita preliminar al área de sistemas? ¿Cuál es el
objetivo que se pretende alcanzar con esta auditoría?

Cuadro de 1ª etapa: Planeación de la auditoría de sistemas computacionales Debido

a la importancia de identificar cada uno de los puntos que integran esta primera etapa
de la metodología para la auditoría de sistemas computacionales, a continuación
presentamos un cuadro completo de los principales puntos propuestos para la
planeación de dicha auditoría:
6.4 2ª etapa: Ejecución de la auditoría de sistemas computacionales

Concretamente, tenemos los siguientes conceptos:

Realizar las acciones programadas para la auditoría
Aplicar los instrumentos y herramientas para la auditoría
Identificar y elaborar los documentos de desviaciones
Elaborar el dictamen preliminar y presentarlo a discusión
Integrar el legajo de papeles de trabajo de la auditoría Como éstas ya son las
actividades concretas, resultado de la práctica de la auditoría de sistemas, a
continuación haremos un breve análisis de los puntos señalados en esta parte:
1 Realizar las acciones programadas para la auditoría De acuerdo con el programa
de auditoría, cada auditor tiene que realizar las actividades que le corresponden
conforme fueron diseñadas, en la cronología que le fue asignada a cada una, y de
acuerdo con los tiempos y recursos que le corresponde utilizar; el propósito es
ejecutar los eventos programados y alcanzar el objetivo de la auditoría.

2 Aplicar los instrumentos y herramientas para la auditoría Aquí lo importante es que,

conforme a la guía de auditoría, se tienen que utilizar, uno a uno, los instrumentos y
herramientas elegidos para llevar a cabo la evaluación, ya sea mediante la
recopilación y análisis de la información, la observación, las pruebas y simulaciones
de los sistemas, o mediante cualquier otro instrumento de los que se diseñaron
previamente para esta revisión.

3 Identificar y elaborar los documentos de desviaciones encontradas Una vez que se

realizaron las actividades diseñadas en el programa de trabajo de auditoría, que se
utilizaron los instrumentos de recopilación de información y/o se utilizaron los
instrumentos determinados para la auditoría, entonces se buscan las posibles
desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales
se anotan las situaciones encontradas, las causas que las originaron y sus posibles
soluciones, así como los responsables de solucionar dichas desviaciones y las
posibles fechas para hacerlo. En el capítulo 8, inciso 8.4, analizaremos más a fondo
este tópico. El auditor puede elaborar este documento cuando lo considere necesario;
es decir, lo puede elaborar conforme va realizando cada evaluación, conforme va
evaluando áreas completas, conforme va realizando cada evento programado o
conforme a cualquier otro criterio. Lo importante es que conforme el auditor detecte
las desviaciones, elabore de inmediato el documento de desviaciones. 236 Auditoría
en sistemas computacionales
4 Elaborar el dictamen preliminar y presentarlo a discusión Una vez que el auditor
determinó las desviaciones encontradas durante la evaluación, debe elaborar un
documento que contenga todas las desviaciones detectadas, o lo puede elaborar con
cada una de las desviaciones por separado, de acuerdo a las necesidades de la
empresa. Una vez hecho esto, es obligación del auditor comentarlas con las personas
que están involucradas directamente en las desviaciones, a fin de encontrar de
manera conjunta las causas que las originaron y, derivado de este intercambio de
opiniones, debe determinar las posibles soluciones para cada una de estas causas.
También puede asignar a los responsables de solucionarlas y, de ser posible, las
fechas para hacerlo. Es muy conveniente señalar que la importancia de la auditoría
no sólo estriba en reportar las desviaciones encontradas en una operación normal,
sino que las personas que están involucradas directamente en la operación deben
conocerlas; el propósito es que estén conscientes de las desviaciones encontradas
en su trabajo para que puedan emprender las acciones necesarias para corregirlas,
si es que las correcciones están en sus manos. En el capítulo 8 analizaremos más
profundamente este tema. La auditoría no se lleva a cabo para cortar las cabezas de
los auditados; es una disciplina que ayuda a detectar las desviaciones en las
operaciones de los auditados, así como a conocer las causas de tales desviaciones
y sus posibles soluciones.

5 Integrar el legajo de papeles de trabajo de la auditoría El auditor tiene la obligación

de conservar en el llamado legajo de papeles de la auditoría cada uno de los
instrumentos aplicados en la evaluación, con el propósito de sustentar, llegado el
caso, las observaciones reportadas. En el siguiente capítulo se hace un profundo
análisis de este documento y su importancia.

6.5 3ª etapa: Dictamen de la auditoría de sistemas computacionales

El último paso de la metodología que hemos estudiado es emitir el dictamen, el cual

es el resultado final de la auditoría de sistemas computacionales. Para ello
presentamos los siguientes puntos:

la información y elaborar un informe de situaciones detectadas

Elaborar el dictamen final
Presentar el informe de auditoría
1 Analizar la información y elaborar un informe de situaciones detectadas La actividad
previa, o más bien paralela, a la detección de las desviaciones, es el aná- lisis de los
papeles de trabajo y la elaboración en borrador de las llamadas situaciones
detectadas; el propósito es que el auditor elabore su borrador y comente las
desviaciones con los auditados. Después de comentarlas, debe elaborar las
modificaciones pertinentes, así como el informe definitivo de las situaciones
encontradas.

2 Elaborar el dictamen final El auditor debe terminar de elaborar el informe de

auditoría de sistemas y complementarlo con el dictamen final (opinión del auditor), y
después presentarlo a los directivos del área de sistemas auditada para que conozcan
la situación actual de dicha área, antes de presentarlo al responsable de la empresa.

3 Presentar el informe de auditoría El último paso de esta metodología que hemos

estudiado, es presentarle formalmente el dictamen de la auditoría al más alto directivo
de la empresa, con el propósito de informarle los resultados de dicha auditoría. Esta
presentación se debe hacer con toda la formalidad del caso, con la elaboración
correcta y profesional del dictamen de la auditoría, y en medio de una reunión
directiva.

4 Integración de los papeles de trabajo El paso siguiente después de presentar el

informe de auditoría (dictamen e informe final), es que la empresa auditora debe
integrar perfectamente los papeles de trabajo, ya que servirán en caso de
aclaraciones posteriores y para dar seguimiento a las soluciones de las desviaciones
encontradas. Esto será ampliado en el capítulo correspondiente a los papeles de
trabajo.