Metodología para realizar auditorías de sistemas

computacionales
Consiste en llevar a cabo auditorías que requieren una serie ordenada
de acciones y procedimientos específicos, los cuales deberán ser
diseñados previamente de manera secuencial, cronológica y ordenada,
de acuerdo a las etapas, eventos y actividades que se requieran para su
ejecución, mismos que serán establecidos conforme a las necesidades
especiales de la institución.

Estos procedimientos se deben adaptar al tipo de auditoría de sistemas

que se realizará, y con estricto apego a las necesidades, técnicas y
métodos de evaluación del área de sistematización.

Esta metodología está conformada por tres etapas fundamentales,

PLANEACIÓN, EJECUCIÓN y DICTAMEN.
 Marco conceptual de la metodología para realizar
auditorías de sistemas computacionales
El primer paso para entender la metodología propuesta para desarrollar una
auditoría de sistemas computacionales (ASC), es identificar el marco
teórico sobre el cual se fundamentan los conceptos que serán aplicables,
tales como; Método, Metodología, Planeación, Plan, Programa,
Presupuesto, Evento, Actividad, Políticas, Tareas, Plan de Trabajo
(Gráfica de Gantt).

Con base en el análisis de estas definiciones podemos entender que para la

realización de una auditoría se debe llevar a cabo una serie ordenada de
acciones, tareas y procedimientos, los cuales serán utilizados conforme a
un método minucioso, previamente establecido, a fin de utilizar una serie
de herramientas, métodos e instrumentos necesarios en la evaluación del
área de sistemas.
 Primera Etapa
Planeación de la Auditoría de Sistemas
Computacionales
El primer paso para realizar una auditoría en sistemas computacionales es
definir las actividades necesarias para su ejecución, lo cual se logrará
mediante una adecuada planeación

Identificar claramente las razones por las que se va a realizar la auditoría y la

determinación del objetivo de la misma, así como el diseño de los métodos,
técnicas y procedimientos necesarios para llevarla a cabo y para preparar los
documentos que servirán de apoyo para su ejecución, culminando con la
elaboración documental de los planes, programas y presupuestos para dicha
auditoría.

El responsable de la planeación de esta etapa deberá iniciar con el

planteamiento de los siguientes interrogantes: ¿Por qué se realizará la
auditoría?; ¿Se debe hacer una visita preliminar al área de sistemas?; ¿Cuál
es el objetivo que se pretende alcanzar con esta auditoría?
 Primera Etapa: Planeación de la Auditoría de
Sistemas Computacionales

1. Identificar el origen de la auditoría

2. Realizar una visita preliminar al área que será evaluada
3. Establecer los objetivos de la auditoría
4. Determinar los puntos que serán evaluados en la auditoría
5. Elaborar planes, programas y presupuestos para realizar la auditoría
6. Identificar y seleccionar los métodos, herramientas, instrumentos y
procedimientos necesarios para la auditoría
7. Asignar los recursos y sistemas computacionales para la auditoría
 1. Identificar origen de la Auditoría
El primer paso es identificar el origen de la auditoría; es decir, saber
por qué surge la necesidad o inquietud de realizar una auditoría.
Para esto nos debemos preguntar ¿de dónde?, ¿por qué?, ¿quién? o
¿para qué? se requiere hacer la evaluación de algún aspecto de
sistemas de la empresa.

Para el responsable de realizar la planeación es de suma importancia

identificar el origen de la auditoría, debido a que además de
proporcionarle los elementos necesarios para hacer una buena
planeación de la revisión, también le ayuda a definir los elementos
de juicio que contribuirán a normar su criterio de evaluación;
asimismo, puede definir la manera de enfocar la revisión.
Dentro de este punto de la auditoría de sistemas encontramos estas posibles
causas:

1. Por solicitud expresa de procedencia interna:

Es un origen oficial sobre la necesidad de realizar una auditoría al área de

sistemas de la empresa, debido a que surge de una petición formal de
alguien que pertenece a la empresa. Con esta solicitud se marca el requisito
formal para poder llevar a cabo una evaluación en el área de sistemas.

2. Por solicitud expresa de procedencia externa:

Es otro origen oficial sobre la necesidad de realizar una auditoría al área de

sistemas en la empresa, debido a que surge de una petición formal de
alguien ajeno a la empresa, a quien, por alguna causa, le interesa que sean
auditados los sistemas computacionales de ésta.
3. Como consecuencia de emergencias y condiciones especiales:

Se realiza al presentarse situaciones de emergencia y condiciones

extraordinarias en el área de sistemas, las cuales están fuera de control y
parámetros normales de operación en el centro de cómputo, en dichas
situaciones, la auditoría se realiza casi de inmediato y, en muchos casos, sin
que medie la autorización de funcionarios

4. Por riesgos y contingencias informáticas:

Es frecuente que funcionarios, personal o usuarios del área de sistemas

soliciten la realización de alguna auditoría cuando ha ocurrido alguna
contingencia que afecte el procesamiento de información en la empresa;
aunque también puede suceder cuando existe algún riesgo que pueda
repercutir en las actividades y funciones del área de sistematización, así
como en el manejo de los recursos que se le han asignado.
5. Como resultado de los planes de contingencia:

Otro de los posibles orígenes de una solicitud de auditoría en el área de

sistemas lo constituyen los planes de contingencia; ya sea que se carezca de
éstos en el área de sistemas y se necesite evaluar su posible efecto, o que ya
estén establecidos y se requiera evaluar su funcionamiento y grado de
utilidad para dichos sistemas.

6. Por resultados obtenidos de otras auditorías:

Es frecuente que como resultado de la práctica de una auditoría en otra área

de la empresa, o aún dentro de la propia área de sistemas, surja algún
aspecto específico que se tiene que evaluar mediante una auditoría más
detallada.
7. Como parte de un programa integral de auditoría:

También es frecuente que existan programas concretos de auditoría integral

o global, los cuales se aplican en la empresa para evaluar la correcta
administración y comportamiento de todas sus áreas; en este caso, la
solicitud de auditoría de sistemas forma parte de dichos proyectos de
evaluación integral. Lo importante a destacar en este caso es que el
origen de esta auditoría se debe a los resultados de una auditoría
anterior.
 2. Realizar una visita preliminar al área que
será evaluada
Es recomendable que el auditor realice una visita preliminar al área de
informática que será auditada, justo después de conocer el origen de la
petición de auditoría, y antes de iniciarla formalmente, a fin que tenga un
contacto inicial con el personal de dicha área y que observe cómo se
encuentran distribuidos los sistemas, cuántos y cuáles son los equipos que
están instalados en el centro de cómputo, cuáles son sus principales
características, de qué tipo son las instalaciones, cuáles son las medidas de
seguridad visibles que existen, y en sí, que conozca la problemática a la cual
se enfrentará, de manera muy simple y de carácter tentativo.

En lo anterior, el auditor debe contemplar los siguientes aspectos: Visita

preliminar de arranque, Contacto inicial con funcionarios y empleados del
área, Identificación preliminar de la problemática de sistemas, Prever los
objetivos iniciales de la auditoría, Calcular los recursos y personas
necesarias para la auditoría
 3. Establecer los objetivos de la auditoría
Después de haber identificado el origen de la auditoría y haber realizado una
visita preliminar al área que será auditada, es procedente establecer lo más
claramente posible el (los) objetivo(s) de la auditoría, ajustándose lo más
posible a las necesidades de la evaluación. El propósito es establecer
claramente lo que se busca con este tipo de trabajo.

Objetivo:

“En términos sencillos, los objetivos representan las condiciones futuras

deseadas que los individuos, grupos u organizaciones luchan por alcanzar. En
ese sentido se incluyen misiones, propósitos, metas, fines, cuotas y plazos.
El objetivo representa las condiciones futuras que pretenden alcanzar los
individuos, grupos u organizaciones, lo cual es sumamente aplicable para el
caso de la auditoría de sistemas, ya que al establecer el objetivo de una
auditoría se busca anticipar lo que se desea alcanzar, ya sea en el área de
sistemas o en toda la institución.

En el caso de una auditoría de sistemas se refiere a establecer lo que

se pretende satisfacer con dicha auditoría; incluyen conceptos como:

• Misión
• Visión
• Propósito
• Metas
• Fines
• Plazos
Dichos objetivos también se pueden complementar de acuerdo con su
ambiente de aplicación, de la siguiente forma:

1. Objetivo general:

Es el fin global que se pretende alcanzar con el desarrollo de la auditoría de

sistemas, en el cual se plantean todos los aspectos que se pretenden
evaluar.

2. Objetivos particulares:

Son los fines individuales que se pretenden alcanzar con el desarrollo de la

auditoría, ya sea de un área específica, de un sistema en especial o de
alguna función en particular. Éstos pueden ser múltiples, de acuerdo con las
necesidades concretas de evaluación.

3. Objetivos específicos de la auditoría de sistemas computacionales:

Es la determinación, en forma detallada, de los fines que se pretenden

alcanzar con la auditoría de sistemas, señalando concretamente las áreas a
evaluar y, específicamente, los sistemas, componentes o elementos
concretos que deben ser evaluados.
 4. Determinar los puntos que serán
evaluados en la auditoría

Este punto debe ser realizado considerando aspectos muy específicos de los
sistemas computacionales, tales como los siguientes:

• La gestión administrativa e informática del centro de cómputo

• El cumplimiento de las funciones del personal informático y usuarios de los
sistemas
• El análisis, diseño y desarrollo de los sistemas computacionales
• La operación de los sistemas computacionales
• La capacitación y adiestramiento del personal y usuarios del sistema
• La protección, custodia y niveles de acceso a las bases de datos
• La protección y respaldo de archivos e información
• La seguridad y protección de los usuarios, de la información, de los archivos
y en general del centro de cómputo
Es importante destacar que, la definición y establecimiento de los puntos que
se deben evaluar es el elemento fundamental de apoyo del auditor, debido a
que esto es producto de un análisis previo, tanto del origen de la auditoría y
de la visita previa como de los objetivos que se pretenden satisfacer con la
realización de esta auditoría. Sin este análisis previo difícilmente se pueden
establecer los puntos que se deben evaluar. En este paso se deben establecer
aquellos aspectos de sistemas que vamos a evaluar, para después establecer
las herramientas y la manera en que realizaremos las siguientes
evaluaciones:.

• Evaluación de las funciones y actividades del personal del área de sistemas

• Evaluación de las áreas y unidades administrativas del centro de cómputo
• Evaluación de la seguridad de los sistemas de información
• Evaluación de la información, documentación y registros de los sistemas
• Evaluación de los sistemas, equipos, instalaciones y componentes
 5. Elaborar planes, programas y presupuestos
para realizar la auditoría
Después de haber considerado todos los puntos antes señalados, el siguiente
paso es realizar la planeación formal de la auditoría de sistemas, en la cual se
concreten los planes, programas y presupuestos para dicha auditoría; es decir,
se deben elaborar los documentos que contemplen los planes formales para el
desarrollo de la auditoría, los programas en donde se delimiten perfectamente
las etapas, eventos, actividades y los tiempos de ejecución para cumplir con el
objetivo, así como los presupuestos de la auditoría, documentos en donde se
deben asignar los costos de los recursos que serán utilizados y el tiempo que
serán utilizados para determinada actividad.
 5. Elaborar planes, programas y presupuestos
para realizar la auditoría
• Elaborar el documento formal de los planes de trabajo para la
Auditoría
• Contenido de los planes para realizar la auditoría
• Elaborar el documento formal de los programas de auditoría
• Elaborar los programas de actividades para realizar la auditoría
• Elaborar los presupuestos para la auditoría
 6. Identificar y seleccionar los métodos, herramientas,
instrumentos
y procedimientos necesarios para la auditoría
El siguiente paso es determinar los documentos y medios con los cuales se
llevará a cabo la revisión a los sistemas de la empresa, lo cual se logrará a
través de la selección o diseño de los métodos, procedimientos, herramientas e
instrumentos necesarios, de acuerdo con lo indicado en los planes, presupuestos
y programas establecidos para la auditoría. Para lograr esto, sugerimos
considerar los siguientes puntos:

• Establecer la guía de ponderación de los puntos que serán evaluados

• Elaborar la guía de la auditoría
• Elaborar los documentos necesarios para la auditoría
• Determinar herramientas, métodos y procedimientos para la auditoría de
sistemas
• Diseñar los sistemas, programas y métodos de pruebas para la auditoría
 7. Asignar los recursos y sistemas
computacionales para la auditoría

Una vez definidos todos los aspectos señalados en las fases anteriores, el
siguiente paso es asignar los recursos que serán utilizados para realizar la
auditoría, de acuerdo con los aspectos ya establecidos con anterioridad.

Con la asignación de recursos especializados, sean humanos, informáticos,

tecnológicos o cualesquiera otros que se hayan establecido para la auditoría,
es como se lleva a cabo la misma.
A continuación se señalan los principales puntos que el responsable debe
establecer para la realización de la auditoría:

• Asignar los recursos humanos para la realización de la auditoría

• Asignar los recursos informáticos y tecnológicos para la realización de la
auditoría
• Asignar los recursos materiales y de consumo para la realización de la
auditoría
• Asignar los demás recursos para la realización de la auditoría
GRACIAS POR SU ATENCIÓN