ANTECEDENTES DE LA AUDITORIA DE

SISTEMAS
Tendencias

• En los años 90’ un número creciente de inversores comenzaba a identificar las

cuestiones de sustentabilidad como factores clave para el éxito

• La integracion de cuestiones económico-sociales, ambientales de largo plazo se

enfocaban principalmente desde la regulación y los requerimientos de
cumplimiento obligatorio

• Muchas de las companias de mejor desempeño solo tenían algunos pocos

procesos aislados asociados a alcanzar objetivos de sustentabilidad
Tendencias
• Hoy las organizaciones lideres consideran las cuestiones de
sustentabilidad como clave para la competividad.

• Existen ventajas y avances en la integración del criterio de

sustentabilidad en sus productos y servicios principales .

• Se enfatiza desde la dirección que las buenas prácticas

contribuyen a mitigar los riesgos.

• Se perciben oportunidades a largo plazo en las tendencias

económico-social-ambiental
 Antecedentes

““... la causa más importante del deterioro continuo del

medio ambiente global son los patrones insostenibles
de consumo, especialmente en los países
industrializados, lo cual es un tema de gran
preocupación ya que agrave la situación de la
inequidad y la pobreza.”

Agenda 21 (Cap. 4.3), Rio 1992

 Antecedentes

Declaración de Río Principio 8:

‘...los estados deberán reducir y eliminar los

patrones insostenibles de producción y consumo y
promover políticas demográficas apropiadas".
 Antecedentes
Cumbre de la Tierra 2019 - Johannesburgo

Capítulo 3: Modificación de las modalidades insostenibles de producción y

consumo

• Es indispensable introducir cambios fundamentales en la forma de

consumir y producir de las sociedades

• Todos los países deben trabajar para modificar los patrones de PyC

• Es preciso integrar la problemática de producción y consumo en

políticas, programas y estrategias de desarrollo sustentable
 Evolución
Década 70/80

- Solución Tecnológica –
Tratamientos end of pipe
- Regulación y control
- Incremento de costos
- Movimientos ambientalistas
- Crecimiento y consolidación de las ONGs
- Presencia del tema en política (creación de ministerios
y organismos de medio ambiente)
 Evolución
Década 90
-Prevención: atacar el origen
-De la solución tecnológica al managment
-Protagonismo del sector empresario
-Eco-eficiencia - Productividad verde
-Producción y consumo sustentables
-Tecnologías limpias
-Ciclo de vida del producto
-Ecodiseño
-Normas de estandarización
(BS 7750, ISO, EMAS).
Década 2000
-Integración - Sustentabilidad
-Mejora Continua, Sist. Gestión Integrados
-Incorporación del sector económico- financiero
 Identificación del problema

Inequidades en el consumo
 1.300 millones de personas viven con menos de 1 dólar por día.  
 El consumo total del 20% más rico es 16 veces más alto que el
consumo total del 20% más pobre.

 Cerca de 160 millones de niños están desnutridos.

 Más de 880 millones de personas carecen de acceso a servicios de

salud.  

 1.500 millones de personas carecen de acceso a servicios

sanitarios y agua potable.
 Identificación del problema

Consumo y Producción

 Nuestros patrones de producción y consumo tienen una estrecha

relación con el uso de los recursos naturales y los niveles de
contaminación.

 El consumo mundial está creciendo a una tasa acelerada que rebasa la

capacidad de regeneración de la tierra.

Durante los últimos 10-20 años se han logrado mejoras muy

significativas en la eficiencia del sistema de producción (producción
limpia, ecoeficiencia) Sin embargo, la situación total no ha mejorado
significativamente
 Alternativas de solución

Estrategia
más sustentable Mejora continua
del desempeño
ambiental y social

Fortalecimiento del Incrementos y

Sistema de Innovación mejoras en la
Tecnológica competitividad y
el empleo
 Alternativas de solución
Estrategias hacia un desarrollo más sustentable

• Externalidades
Limitaciones del • Bienes públicos
‘Mercado’ • Generaciones futuras
• Diferencias sustanciales en los horizontes
temporales

Instrumentos:

•Regulaciones directas (estándares de calidad, emisión o descarga)

•Complementos de la regulación directa

 Alternativas de solución

Instrumentos normativos
• Combinación con una gama de instrumentos
de mercado y regulatorios, de orden público
y privado.

• Dadas las restricciones políticas y

presupuestarias, el gobierno puede sumar
recursos desde afuera del sector público para
generar instrumentos innovadores y flexibles
que mejoren el desempeño ambiental y
social sin incrementar los costos públicos.
 Alternativas de solución
INSTRUMENTOS DE POLÍTICA APLICABLES A LA GESTIÓN SUSTENTABLE

Orientados Generalmente los programas de regulación destinados a la transparencia

de la información (reportes, certificaciones, etiquetados, etc.) son
al considerados también instrumentos económicos.

mercado Impuestos o tasas como cargos a las fuentes contaminantes o usuarios

individuales de recursos basadas en la cantidad de contaminación o uso
del recurso y naturaleza del medio que recibe el efluente. El cargo debe
ser lo suficientemente alto para crear incentivos para reducir los
impactos.
Financiamiento para Inversiones en tecnologías y producción más
limpias, reforestación y otras actividades con efectos positivos.

Permisos transables. Las fuentes de contaminación o usuarios de

recursos pueden transar libremente los permisos asignados a precios de
mercado que fluctúan libremente.
Fundamentos de Auditoria de
Sistemas
 ANÁLISIS Y
DISCUSIÓN.

• SIGNIFICADO DEL TÉRMINO “AUDITORíA”

• 🠶 “La Auditoría es un proceso sistemático para obtener y evaluar de

manera objetiva las evidencias relacionadas con informes sobre
actividades económicas y otros acontecimientos relacionados. El fin del
proceso consiste en determinar el grado de correspondencia del
contenido informativo con las evidencias que le dieron origen, así
como determinar si dichos informes se han elaborado observando
principios establecidos para el caso. Obtener y evaluar evidencia

objetiva significa examinar las bases para las declaraciones

(representaciones) y los resultados juiciosamente
evaluar sin
prejuicios o desviaciones a favor o en contra de la persona (o entidad)
que hace las declaraciones.”
 ¿Qué es la
Auditoria?

Se define como un proceso sistemático que

consiste en obtener y evaluar objetivamente
evidencias sobre las afirmaciones relativas los
actos y eventos de carácter económico; con el
fin de determinar el grado de correspondencia
entre esas afirmaciones y los criterios
establecidos, para luego comunicar los
resultados a las personas interesadas.
(Ynfante, 2009).
 ¿Qué es la Auditoria?
La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con vistas
alas eventuales las acciones correctivas, el control interno de las organizaciones para
garantizar la integridad de su patrimonio, la veracidad de su información y el
mantenimiento de la eficacia de sus sistemas de gestión. Otras posibles definiciones
pueden ser:

Es un examen comprensivo de la estructura de una empresa, en cuanto a los planes y

objetivos, métodos y controles, su forma de operación y sus equipos humanos y físicos.

«Una visión formal y sistemática para determinar hasta qué punto una organización está
cumpliendo los objetivos establecidos por la gerencia, así como para identificar los que
requieren mejorarse”. (Proyectos_fin_de_carrera, 2000)
 ¿Criterio de Auditoria?

Criterio de Auditoria: Políticas, practicas, procedimientos o

requerimientos contra los que el auditor compara la
información recopilada sobre la gestión de calidad. Los
requerimientos pueden incluir estándares, normas,
requerimientos organizacionales específicos, y
requerimientos legislativos o regulados. (Pastor, 2004).
 Auditoria en
Sistema
Es la rama que se encarga de llevar a cabo la evaluación de
normas, controles, técnicas y procedimientos que se
tienen establecidos en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad
de la información que se procesa a través de los sistemas
de información. La auditoría de sistemas es una rama
especializada de la auditoría que promueve y aplica
conceptos de auditoría en el área de sistemas de
información.
 Auditoria
Informatica
La auditoria en informática es la revisión y la evaluación
de los controles, sistemas, procedimientos de
informática; de los equipos de cómputo, su utilización,
eficiencia y seguridad, de la organización que participan
en el procesamiento de la información, a fin de que por
medio del señalamiento de cursos alternativos se logre
una utilización más eficiente y segura de la información
que servirá para una adecuada toma de decisiones.
 Auditoria de
Información
La auditoría de la información es una rama
especializada de la auditoría que promueve y aplica
conceptos de auditoría en el área de sistemas de
información. El objetivo final que tiene el auditor es
dar recomendaciones a la alta gerencia para mejorar o
lograr un adecuado control interno en ambientes de
tecnología informática con el fin de lograr mayor
eficiencia operacional y administrativa.
 Auditoría en sistemas de
información
La auditoría de los sistemas de información se define
como cualquier auditoría que abarca la revisión y
evaluación de todos los aspectos (o de cualquier
porción de ellos) de los sistemas automáticos   de  
procesamiento   de   la   información, incluidos   los  
procedimientos   no automáticos relacionados con ellos
y las interfaces correspondientes. (Aguirre, 2007)
 Tipos de auditoría

Existen algunos tipos de auditoría entre las que la Auditoría

de Sistemas integra un mundo paralelo pero diferente y
peculiar resaltando su enfoque a la función informática.

Es necesario recalcar como análisis de este cuadro que

Auditoría de Sistemas no es lo mismo que Auditoría
Financiera. (Ynfante, 2009).

Entre los principales enfoques de Auditoría tenemos los

siguientes:
 Metodología de la auditoría
de sistemas de información
Existen algunas metodologías de Auditorías de Sistemas
de información y todas dependen de lo que se
pretenda revisar o analizar:
Estudio preliminar
Revisión y evaluación de controles y seguridades
Examen detallado de áreas criticas
Comunicación de resultados
 AUDITORIA DE COMPUTO

AUDITORIA DE UN CENTRO DE COMPUTO

 Auditoría con la
computadora

En este tipo de auditoría se puede distinguir como factor

fundamental que su evaluación se realiza con el apoyo de los
sistemas computacionales, aunque pudiera darse el caso de que la
auditoría no se refiera a la evaluación de estos sistemas, sino a
cualquier otra disciplina ajena a ellos. Lo relevante es que dichos
sistemas se utilizan para ayudar en tal evaluación.
 Auditoría con la
computadora
Es la auditoría que se realiza con el apoyo de los equipos de
cómputo y sus programas para evaluar cualquier tipo de actividades
y operaciones, no necesariamente computarizadas, pero sí
susceptibles de ser automatizadas; dicha auditoría se realiza
también a las actividades del propio centro de sistemas y a sus
componentes. La principal característica de este tipo de auditoría es
que, sea en un caso o en otro, o en ambos, se aprovecha la
computadora y sus programas para la evaluación de las actividades
a revisar, de acuerdo con las necesidades concretas del auditor,
utilizando en cada caso las herramientas especiales del sistema y
las tradicionales de la propia auditoría.
 DEFINICIÓ
N
CONJUNTO DE RECURSOS DE CÓMPUTO CON LOS
CUALES SE ADMINISTRA, ASEGURA, CONTROLA,
DISTRIBUYE LA INFORMACIÓN.
 CARACTERÍSTI
CAS

 EL OBJETIVO INSTITUCIONAL COSTO DE

LOS EQUIPOS DE CÓMPUTO

 EL GRADO DE ESPECIALIZACIÓN DEL

PERSONAL DEL CENTRO DE CÓMPUTO

 PROGRAMACIÓN DE
TRABAJO
LA PLANEACIÓN DEL TRABAJO SE DEBE DE LLEVAR A CABO EN LAS INSTALACIONES DEL
CLIENTE EL TRABAJO DE CAMPO PUEDE SER EN CUALQUIER MOMENTO DURANTE O
DESPUÉS DE TERMINAR EL AÑO FISCAL DEL CLIENTE SE CLASIFICA LA OPORTUNIDAD DEL
TRABAJO DE CAMPO EN DOS CATEGORÍAS:
TRABAJO INTERINO QUE POR LO REGULAR SE EXTIENDE DE SEIS MESES ANTES DE LA DE
BALANCE HASTA LA FECHA DEL BALANCE.
TRABAJO DE FIN DE AÑO QUE NORMALMENTE SE EXTIENDE DESDE LA FECHA DEL
BALANCE HASTA DOS O MÁS MESES DESPUÉS.
 OBJETIVO DE UN CENTRO DE CÓMPUTO.

LA COMPUTADORA COMO HERRAMIENTA DE SOLUCIÓN PARA

PROBLEMAS DE CÁLCULO DE OPERACIONES, INVESTIGACIÓN DE
PROCESOS, ENSEÑANZA, ETC.

ESTABLECE LAS BASES PARA DETERMINAR EL OBJETIVO DE UN

CENTRO DE CÓMPUTO, COMO ES EL DE PRESTAR SERVICIOS A
DIFERENTES ÁREAS DE UNA ORGANIZACIÓN YA SEA DENTRO DE LA
MISMA EMPRESA, O BIEN FUERA DE ELLA, TALES COMO:
PRODUCCIÓN, CONTROL DE OPERACIONES, CAPTURA DE DATOS,
PROGRAMACIÓN, DIBUJO, BIBLIOTECA, ETC.
 ORGANIZACIÓN DE UN CENTRO DE CÓMPUTO

• OPERAR SISTEMA DE COMPUTACIÓN CENTRAL Y MANTENER EL SISTEMA

EL
DISPONIBLE PARA LOS USUARIOS.
• EJECUTAR LOS ASIGNADOS CONFORME LOS PROGRAMAS DE
PROCESOS
PRODUCCIÓN Y CALENDARIOS A PREESTABLECIDOS, DEJANDO EL REGISTRO
CORRESPONDIENTE EN LAS SOLICITUDES DE PROCESO.
•REVISAR LOS RESULTADOS DE LOS PROCESOS E
INCORPORAR
CORRECTIVAS ACCIONES
CONFORME A INSTRUCCIONES DE SU SUPERIOR INMEDIATO.
•REALIZAR LAS COPIAS DE RESPALDO (BACK-UP) DE LA INFORMACIÓN Y
PROCESOS DE CÓMPUTO QUE SE REALIZAN EN LA DIRECCIÓN, CONFORME A
PARÁMETROS PREESTABLECIDOS.
 MARCAR Y/O SEÑALIZAR LOS PRODUCTOS DE LOS PROCESOS EJECUTADOS.
 LLEVAR REGISTROS DE FALLAS, PROBLEMAS, SOLUCIONES, ACCIONES DESARROLLADAS,
RESPALDOS, RECUPERACIONES Y TRABAJOS REALIZADOS.
 VELAR PORQUE EL SISTEMA COMPUTARIZADO SE MANTENGA FUNCIONANDO
APROPIADAMENTE Y ESTAR VIGILANTE PARA DETECTAR Y CORREGIR FALLAS EN EL
MISMO.
 REALIZAR LABORES DE MANTENIMIENTO Y LIMPIEZA DE LOS EQUIPOS DEL CENTRO
DE CÓMPUTO.
 APLICAR EN FORMA ESTRICTA LAS NORMAS DE SEGURIDAD Y CONTROL ESTABLECIDAS.
 MANTENER INFORMADO AL JEFE INMEDIATO SOBRE EL FUNCIONAMIENTO DEL CENTRO
DE CÓMPUTO.
 CUMPLIR CON LAS NORMAS, REGLAMENTOS Y PROCEDIMIENTOS ESTABLECIDOS POR
LA DIRECCIÓN PARA EL DESARROLLO DE LAS FUNCIONES ASIGNADAS.
 MISIÓN DE UN CENTRO DE CÓMPUTO

LA COMPUTADORA COMO HERRAMIENTA DE SOLUCIÓN PARA PROBLEMAS DE

CÁLCULO DE OPERACIONES, INVESTIGACIÓN DE PROCESOS, ENSEÑANZA, ETC.
ESTABLECE LAS BASES PARA DETERMINAR EL OBJETIVO DE UN CENTRO DE
CÓMPUTO, COMO ES EL DE PRESTAR SERVICIOS A DIFERENTES ÁREAS DE UNA
ORGANIZACIÓN YA SEA DENTRO DE LA MISMA EMPRESA, O BIEN FUERA DE ELLA,
TALES COMO: PRODUCCIÓN, CONTROL DE OPERACIONES, CAPTURA DE DATOS,
PROGRAMACIÓN, DIBUJO, BIBLIOTECA, ETC. LOS DIVERSOS SERVICIOS QUE PUEDE
PRESTAR UN CENTRO DE CÓMPUTO, PUEDEN DIVIDIRSE EN DEPARTAMENTOS A
ÁREAS ESPECÍFICAS DE TRABAJO.
 ELEMENTOS QUE COMPONEN UN CENTRO
DE CÓMPUTO

PARA TENER UNA VISIÓN ORGANIZADA DE LOS

COMPONENTES BÁSICOS DE UN CENTRO DE CÓMPUTO
COMO SISTEMA DE COMPUTACIÓN INTEGRAL, PODEMOS
DIVIDIR SUS ELEMENTOS EN DOS CATEGORÍAS:
HARDWARE
 SOFTWARE
AUDITORIA ISO 9000 A LOS SISTEMAS
COMPUTACIONALES
 ¿Qué es ISO 9000?

Una norma de la Organización Internacional de

Normalización
Una norma reconocida internacionalmente
Un “modelo” para ayudar a desarrollar un sistema
de calidad
Un medio de demostrar la gestión de la calidad
 La familia de normas ISO 9000

ISO 9000:2005 - Principios y Vocabulario

ISO 9001 - SGC - Requisitos
ISO 9004 - SGC - Directrices para la mejora
ISO 19011 - Directrices para la auditoría de Sistemas
de Gestión (SGC & SGA)
 Estructura de la norma ISO 9001:2000

Requisito CLAUSULA Requisito CLAUSULA

4. SISTEMA DE GESTIÓN DE LA CALIDAD.
CALIDAD 7. REALIZACIÓN DEL PRODUCTO.
4.1 Requisitos Generales. 7.1. Planificación de la realización del producto.
4.2 Requisitos de la Documentación. 7.2. Procesos relacionados con el Cliente.
5. RESPONSABILIDAD DE LA DIRECCIÓN. 7.3. Diseño y desarrollo.
5.1. Compromiso de la Dirección. 7.4. Compras.
5.2 Enfoque al Cliente. 7.5. Producción y prestación del Servicio.
5.3. Política de la Calidad. 7.6. Control de los dispositivos de seguimiento y...
5.4 Planificación. 8. MEDICIÓN, ANÁLISIS Y MEJORA.
5.5. Responsab., autoridad y comunicación. 8.1. Generalidades.
5.6. Revisión por la Dirección. 8.2. Seguimiento y medición.
6. GESTIÓN DE RECURSOS. 8.3. Control del producto no conforme.
6.1. Provisión de Recursos. 8.4. Análisis de los datos.
6.2. Recursos Humanos. 8.5. Mejora.
6.3 Infraestructura.
6.4 Ambiente de trabajo.
 ISO 9000 en contexto

Trata de la calidad del sistema

No cubre necesariamiente todos los
aspectos del negocio
Requiere esfuerzo para hacerlo
funcionar
¡No es una panacea!
 Implantación de un sistema de calidad

ISO 9000 define los “ingredientes” del sistema de la calidad

La Organización decide cómo usar mejor los ingredientes
El sistema de la calidad deberá establecer la planificación de
actividades aplicables a su proceso
El sistema de la calidad deberá mejorar las operaciones
corrientes
 Enfoque del proyecto

Fase 1 Análisis y planificación

Fase 2 Documentar el sistema

Fase 3 Implantación operativa
Fase 4 Auditoría y evaluación
 Análisis y planificación

Establecer el alcance del proyecto

Identificar nuestros procesos
Comparar las operaciones usuales con ISO 9000
Desarrollar una estrategia de puesta en práctica
Identificar los recursos necesarios
Informar de lo encontrado y conseguir el compromiso de la
organización
 Documentación del sistema

DECLARACIÓN DE POLÍTICA Y OBJETIVOS: documentar

ORGANIZACIÓN: diseñar el organigrama y definir
las responsabilidades
MANUAL DE CALIDAD: hacer un borrador y distribuirlo

PROCEDIMIENTOS: establecer el formato

desarrollar los borradores
distribuir para obtener
comentarios/llegar a un acuerdo
diseñar documentos de soporte
 Implantación operativa

 Obtener la aprobación de la Dirección

 Involucrar al personal
 Poner en práctica los borradores de los
Procedimientos
 Comprobar la documentación en uso
 “Depurar” la documentación
 Auditoria y evaluación

Editar formalmente toda la

documentación
Llevar a cabo auditorías
internas
Poner en práctica acciones
correctivas
Prepararse para una
evaluación externa
 Personal y recursos

Representante de la Dirección
para la Calidad
Coordinador del Proyecto
Grupo de Seguimiento
Grupos de Trabajo
 OBJETIVOS DE LA
AUDITORIA DE SISTEMAS
 OBJETIVOS DE LA AUDITORIA DE SISTEMAS
DE INFORMACION

La auditoria de los sistemas de información se

define como cualquier auditoria que abarca la
revisión y evaluación de todos los aspectos (o de
cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información,
incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces
correspondientes.
 OBJETIVOS DE LA AUDITORIA DE SISTEMAS
DE INFORMACION
El objetivo final que tiene el auditor de sistemas es
dar recomendaciones a la alta gerencia para
mejorar o lograr un adecuado control interno en
ambientes de tecnología informática con el fin de
lograr mayor eficiencia operacional y
administrativa.
Naturaleza de la Auditoria de Sistemas:
La naturaleza de la función de Auditoria de
Sistemas, requiere de estándares y guías
específicos que permita a los auditores de sistemas
uniformizar criterios de evaluación.
 A. Objetivos Generales:
 Buscar una mejor relación costo-beneficio de los sistemas automáticos o
computarizados diseñados e implantados.
 Incrementar la satisfacción de los usuarios de los sistemas
computarizados.
 Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendación de seguridades y controles.
 Conocer la situación actual del área informática y las actividades y
esfuerzos necesarios para lograr los objetivos propuestos.
 Seguridad de personal, datos, hardware, software e instalaciones.
 Apoyo de función informática a las metas y objetivos de la organización.
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
 Minimizar existencias de riesgos en el uso de Tecnología de información.
 Decisiones de inversión y gastos innecesarios.
 Capacitación y educación sobre controles en los Sistemas de Información.
B. Objetivos Específicos:

1. Participación en el desarrollo de nuevos sistemas:

• Evaluación de controles
• Cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
• Respaldos, proveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
• Resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
• Fraudes
• Control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.

7. Revisión de la utilización del sistema operativo y los programas

• Utilitarios.
• Control sobre la utilización de los sistemas operativos.
• Programas utilitarios.
8. Auditoria de la base de datos.
• Estructura sobre la cual se desarrollan las aplicaciones.

9. Auditoria de la red de teleprocesos.

10. Desarrollo de software de auditoría.

Es el objetivo final de una auditoria de sistemas bien implementada,
desarrollar software capaz de estar ejerciendo un control continuo
de las operaciones del área de procesamiento de datos.
 Objetivo
Proponer una metodología específica que

puede aplicable a la realización de

cualquier
ser tipo de auditoría en el campo de
sistemas computacionales, con el propósito de
mostrar una forma concreta de llevar a cabo la
planeación, selección de herramientas,
desarrollo y presentación de los resultados de
estas auditorías.
 Objetivos generales de la
Auditoria
1. Realizar una revisión
independiente de las actividades.
2. Hacer una revisión
especializada de las actividades.

3. Evaluar el cumplimiento de las

actividades. de manera profesional
4. Dictaminar e
independiente sobre los resultados
obtenidos en esas actividades.
 Objetivos generales de la
ASC
1. Realizar una evaluación con personal
multidisciplinario y capacitado en el área de
sistemas.
2. Hacer una evaluación sobre el uso de los
recurso financieros.
3. Evaluar el uso y aprovechamiento de los
equipos de cómputo.
4. Evaluar el aprovechamiento de los sistemas
de procesamiento.
 Objetivos generales de la
ASC
5. Evaluar el cumplimiento de las actividades.
6. Realizar la evaluación de las áreas con el apoyo
de los sistemas computacionales.

Objetivos Objetivos
generales Se relacionan unos con otros
de la generales
Auditoría de la
ASC
METODOS Y TECNICCAS DE
AUDITORIA DE SISTEMAS
Métodos, técnicas, herramientas y procedimientos de ASC
1. Instrumentos de recopilación de datos aplicables en la
auditoría de sistemas.
• Entrevistas, cuestionarios, encuestas, observación,
inventarios, muestreo, experimentación.
2. Técnicas de evaluación aplicables en la auditoría de
sistemas.
• Examen, inspección, confirmación, comparación, revisión
documental.
3. Técnicas especiales para la auditoría de sistemas
computacionales.
• Guías de evaluación, ponderación, simulación, evaluación,
diagrama del círculo de sistemas, diagramas de sistemas,
matriz de evaluación, programas de verificación,
seguimiento de programación.
Normas ético – morales profesionales del auditor

Estas son las normas ético-morales que regulan la

actuación del auditor.
–Normas para la capacitación del auditor.
–Normas para la conducta observable del auditor.
–Normas para el desarrollo del trabajo del
auditor.
–Normas para la emisión del informe de
auditoría.
 Consideraciones
metodológicas
• Una metodología es necesaria para que un
equipo de profesionales alcancen un
resultado homogéneo en equipos de trabajo
heterogéneos.
• Las metodologías usadas por un profesiona
dicen mucho de su forma de entender su
trabajo.

La informática ha sido tradicionalmente

una materia compleja en todos sus
aspectos.
 Conceptos
…
• Método, es el modo de decir o hacer una
cosa.
• Metodología, conjunto de métodos que
se siguen en una investigación
científica o en una exposición doctrinal.
– Esto significa que cualquier proceso científico debe
estar sujeto a una disciplina de proceso definida
con anterioridad.
– Son necesarias para desarrollar cualquier proyecto
que nos propongamos de manera ordenada y eficaz
 Conceptos…
• Planeación, es el proceso de decidir de
antemano qué se hará y de qué manera,
la cual tiene una implicación futura.
• Plan, es un método detallado formulado
de antemano, para hacer algo.
• Programa, son cursos de acción
detallados que señalan los pasos
específicos que habrán de realizarse para
lograr los objetivos, indicando la secuencia
cronológica y los tiempos de duración de dichos
pasos.
 Conceptos…
• Actividad, es el conjunto de operaciones
ejecutadas ó de actos, desarrollados por una o
varias personas y que contribuyen al logro de una
función.
• Tarea, es subdivisióndel
concretizar
la una actividad.
trabajo para
•Plan de trabajo, es la representación
gráfica en la que se muestran las actividades
que integran un proyecto, el periodo de tiempo
necesario para realizar cada una de ellas y sus
responsables así como los de cada actividad.
 Etapas de la metodología de ASC

1. Planeación de la Auditoria de
Computacionales. Sistemas

2. Ejecución de
la Auditoria de
Computacionales.Sistemas

3. Dictamen de la Auditoria de
Computacionales. Sistemas
1. Planeación de la Auditoria de Sistemas Computacionales

• El primer paso para realizar una auditoría en sistemas

computacionales es definir las actividades necesarias
para su ejecución, lo cual se logrará mediante una
adecuada planeación de éstas.
• Esta fase de planeación culmina con la
elaboración formal de planes, programas y
presupuestos en documentos que sirven para
consulta y control de las actividades de
revisión.
• Sedebe iniciar con el planteamiento
de las siguientes interrogantes:
– ¿Porqué se realizará la auditoría?
– ¿Se debe hacer una visita preliminar al área de
sistemas?
– ¿Cuál es el objetivo que se pretende
alcanzar con esta auditoría?
1. Identificar el origen de la auditoría.
2. Realizar una visita preliminar al área que será evaluada.
3. Establecer los objetivos de la auditoría.
4. Determinar los puntos que serán evaluados en la
auditoría.
5. Elaborar planes, programas y presupuestos para realizar
la auditoría.
6. Identificar y seleccionar los métodos, procedimientos,
instrumentos y herramientas necesarias para la auditoría.
7. Asignar los recursos y sistemas computacionales para la
auditoría.
2. Ejecución de la Auditoria de Sistemas Computacionales

• Esta determinada por las características

concretas, los puntos y requerimientos
que se estimaron en la etapa de
planeación.
• Se debe aplicar de acuerdo con la
planeación de la auditoría y de acuerdo a
las características específicas de la
auditoría que se trate.
1. Realizar las acciones programadas para la
auditoría.
2. Aplicar los instrumentos y herramientas para
la auditoría.
3. Identificar y elaborar los documentos de
desviaciones encontradas.
4. Elaborar el dictamen preliminar y presentarlo
a discusión.
5. Integrar el legado de papeles de trabajo de la
auditoría.
3. Dictamen de la Auditoria de Sistemas Computacionales

D.1 Analizar la información y elaborar un informe de

situaciones detectadas.
- El propósito es que el auditor elabore su borrador y comente
las desviaciones con los auditados. .
- Después, debe elaborar las modificaciones pertinentes.
D.2 Elaborar el dictamen final.
- Se presenta a los directivos del área auditada.
D.3 Presentar el informe de auditoría.
- Se presenta al más alto directivo de la empresa.
- En medio de una reunión directiva.
HERRAMIENTAS Y PROCEDIMENTOS DE AUDITORIA DE
SISTEMAS
 Herramientas de auditoría

Las auditorías internas ayudan a impulsar la mejora continua

y pueden facilitar la cultura empresarial en todos los niveles
de una organización. Para lograrlo es importante
implementar ciertas herramientas de auditoría para satisfacer
las necesidades de las partes interesadas, brindar garantías y
anticiparse a los futuros riesgos.
Las herramientas que explicaremos a continuación, son
consejos y recomendaciones que toda empresa deberá tener
en cuenta para que la auditoría interna no sea un tema ajeno
y para que impacte positivamente a todos aquellos que
hacen parte de la organización.
 Herramientas de auditoría

Para cualquier tipo de auditoría suelen usarse cuestionarios,

entrevistas, checklist y softwares.

Lo primero que hace un auditor es comprender el entorno de

la empresa y lo hace por medio de los cuestionarios que son
los que le permiten entender qué hace la empresa, cuáles
son sus procesos y le ayudan a identificar el ambiente de
control existente. Además, le permite apoyar su gestión en el
control interno y le da la información para determinar el
diagnóstico de la compañía.
 Cuestionarios

Un aspecto clave de los cuestionarios es que ayudan a conocer el grado de control

que tiene la empresa y la participación de los trabajadores de la organización con
el mantenimiento del ambiente de control.

Estos cuestionarios suelen ser respondidos por los gerentes o administradores de

la compañía, pues son ellos los que conocen a profundidad los procesos internos,
son los que tienen claridad de cómo se realizan las actividades diarias. Además de
responder al cuestionario deben proporcionar información cualitativa y cuantitativa
de lo que se va a auditar.

Cabe mencionar que estos cuestionarios cuando se usan para una auditoría deben
regirse conforme a la Norma Internacional para el Ejercicio de la Auditoría Interna
2200, la cual establece que debe hacerse una planificación del trabajo. Así
entonces el cuestionario permitirá documentar la planeación.
 Checklist

Utilizar listas de chequeo o checklist permite analizar cada

detalle de la planificación de la auditoría.

Este checklist contiene preguntas que permiten conocer los

procesos de documentación de la empresa como también
revisar los requisitos de la normativa aplicable al proceso.
Los checklists no deben tener un formato general, por el
contrario deben adaptarse a los procesos de cada
compañía.
 Entrevistas
Para que un auditor pueda hacer su trabajo necesita
recopilar información y la entrevista es una de las
herramientas más comunes.

La o las entrevistas por lo general se hacen de forma

directa, es decir el auditor se sienta con la persona
encargada del proceso a auditar, lo interroga,
investiga aspectos claves del proceso y confirma otra
información previa con el entrevistado.
 Softwares

Cada vez es más común entre los auditores el uso de

programas o plataformas para realizar sus auditorías. Esto
se debe a que estos son herramientas que facilitan todo el
proceso logrando hacer un estudio en menos tiempo, sin
tanto papeleo y disminuyendo los errores humanos.

Los softwares reúne todo lo que hemos mencionado durante

este post y es por esta razón que es cada vez más utilizado
por los auditores. Dependiendo de cada necesidad, es
posible encontrar softwares sencillos o plataformas más
sofisticadas que permiten:
 Softwares

 Crear, editar y colaborar trabajando documentos de Word, Excel

o Power Point en línea y 100% compatible con formatos de
Microsoft Office.

 Controlar tiempos

 Conocer la ocupación y el uso del tiempo por parte del equipo de

trabajo.

 Generar reportes estadísticos de tiempos para hacer seguimiento

a las horas acumuladas y cargadas por encargo o por cada
miembro del equipo de trabajo
 Herramientas alternativas

Todo lo anterior no logrará hacerse si no se establece un

programa de auditoría que tendrá que ser cumplido para
obtener resultados positivos.

Algunas cosas que debe establecer este programa son:

asignación de un equipo auditor con sus respectivas
responsabilidades y llevar a cabo reuniones de apertura y
cierre con el personal.
Gestionar auditorías internas como un programa propio

Tener procedimientos operativos estándar que describan las

responsabilidades y los procedimientos.

Hace que el facilitador esté capacitado como auditor líder y

que todos los miembros del equipo reciban la capacitación
adecuada. Incluya tantas personas como sea posible en el
equipo de auditoría de todos los departamentos de la
empresa.
 Uso de un programa de gestión de acciones correctivas
para todos los hallazgos de auditoría interna

Procuremos mantener un registro interno de todos los

hallazgos de auditoría.

También es bueno realizar un análisis de la causa raíz para

comprender por qué ocurren las no conformidades e incluir los
hallazgos de la auditoría interna, los hallazgos de la auditoría
regulatoria, los productos no conformes y las quejas de los
clientes en el plan de gestión de acciones correctivas.
 Actualización de informes

Otra herramienta de auditoría que debemos considerar es tratar de

mantener actualizados los informes, pues gran parte del trabajo de
auditoría interna pasa desapercibido debido a los enfoques
obsoletos de los informes. Las mejoras correctas en los informes
harán que se note ese trabajo y darán a las partes interesadas
evidencia viva del cambio en la auditoría interna.

Crear un calendario de auditoría

Un enfoque estructurado y sistemático del proceso de auditoría

puede ayudar a garantizar que la función se complete. Como
cualquier otro objetivo comercial, las auditorías deben integrarse en
los objetivos corporativos. La programación de auditorías en el
calendario nos puede garantizar que se realice de forma coherente.