UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

CAMPUS JUTIAPA

Contaduría Pública Y Auditoria

Auditoría de Sistemas de Información
Lic. Juan Alberto Pérez Mach

METODOLOGÍA DE LA AUDITORÍA EN SISTEMAS DE INFORMACIÓN

Jovelio Antonio Quiñónez Cisneros, 0329-16-15588

Stefanny Abigail Milián Aguirre, 0329-19-12983
Dilan Estuardo Campos Mazariegos, 0329-18-11565
Emily Dayana Recinos Zeceña, 0329-19-20022
Rosalinda Jasmín Castillo Cano, 0329-19-13606
José Donelfer Cruz Ramírez, 0329-19-15447
 Índice

Introducción ............................................................................................................ I

1 METODOLOGÍA DE LA AUDITORÍA EN SISTEMAS DE INFORMACIÓN ......... 1

1.1 PLANEACIÓN DE LA AUDITORÍA EN SISTEMAS DE INFORMACIÓN ... 1

1.1.1 Aspectos Relevantes Que Integran Una Planeación .......................... 1

1.1.2 Referencias Técnicas Que Debe Observar El Auditor Al Momento De

Preparar Su Planeación De Auditoria .............................................................. 2

1.1.3 Ejemplo De Planeación ...................................................................... 5

1.2 EJECUCIÓN ............................................................................................. 6

1.2.1 Aspectos Relevantes Relacionados A La Ejecución De La Auditoría

En Sistemas .................................................................................................... 6

1.2.2 Ejemplo, (Estructura) De La Ejecución En La Auditoría ...................... 9

1.3 INFORME DE AUDITORÍA DE SISTEMAS............................................. 24

1.3.1 Definición .......................................................................................... 24

1.3.2 Partes Del Informe De Auditoría De Sistemas .................................. 24

1.3.3 Estructura Del Informe De Auditoría De Sistemas ............................ 28

1.3.4 Presentación De Informe De Auditoría De Sistemas ......................... 35

Conclusiones ....................................................................................................... 37

Recomendaciones ............................................................................................... 38

Bibliografía ........................................................................................................... 39
 Introducción

Para hacer una adecuada auditoría en sistemas de información, se debe tomar en

cuenta y seguir una serie de pasos previos que permitirán dimensionar el tamaño
y características de área dentro del organismo a auditar, como lo son sus
sistemas, organización y equipo. Para hacer una planeación eficaz, lo primero que
se requiere es obtener información general sobre la organización y sobre la
función de informática a evaluar. Para ello es preciso hacer una investigación
preliminar y algunas entrevistas previas, con base en esto planear el programa de
trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de esta.

Seguidamente llega el momento de la ejecución, donde se pondrá en práctica lo

que anteriormente se planificó, lo cual resulta más sencillo por tener una guía que
seguir.

Y por último el auditor a cargo debe emitir un informe especial que lleve en orden
todas las partes que le corresponden, donde se plasma la captación y tratamiento
de la información obtenida del sistema auditado.

I
 1 METODOLOGÍA DE LA AUDITORÍA EN SISTEMAS DE INFORMACIÓN

1.1 PLANEACIÓN DE LA AUDITORÍA EN SISTEMAS DE INFORMACIÓN

El primer paso para realizar una auditoría en sistemas computacionales es definir
las actividades necesarias para su ejecución, lo cual se logrará mediante una
adecuada planeación.

1.1.1 Aspectos Relevantes Que Integran Una Planeación

1.1.1.1 Identificar el origen de la auditoría:

El primer paso formal para iniciar la planeación de una auditoría en el área de

sistemas es identificar el origen de la auditoría; es decir, lo primero es saber por
qué surge la necesidad o inquietud de realizar una auditoría.

Para el responsable de realizar la planeación de la auditoría de sistemas es de

suma importancia identificar el origen de la auditoría, debido a que además de
proporcionarle los elementos necesarios para hacer una buena planeación de la
revisión, también le ayuda a definir los elementos de juicio que contribuirán a
normar su criterio de evaluación. Además, conociendo el origen de la auditoría, el
auditor también puede definir la manera de enfocar la revisión.

1.1.1.2 Realizar una visita preliminar al área que será evaluada

Es recomendable, puede decirse que casi imprescindible, que el auditor realice

una visita preliminar al área que será auditada, justo después de conocer el origen
dela petición de auditoría, y antes de iniciarla formalmente; el propósito es que
tenga un contacto inicial con el personal de dicha área y que observe cómo se
encuentran distribuidos los sistemas, y en sí, que conozca la problemática a la
cual se enfrentará, de manera muy simple y de carácter tentativo.

Para ello, el auditor debe contemplar los siguientes aspectos en dicha visita:

1
1.1.1.3 Visita preliminar de arranque:

Ésta es una visita preparatoria al área que será auditada, la cual tiene como
finalidad que el auditor obtenga un panorama general del área que va a auditar, a
finde conocer la problemática que se le presentará en la auditoría.

1.1.1.4 Contacto inicial con funcionarios y empleados del área:

Dentro de esta visita preliminar, el auditor también aprovecha para establecer un

contacto inicial con los funcionarios, empleados y usuarios del área de sistemas; el
propósito es que observe sus reacciones ante la realización de la auditoría, y que
identifique las posibles limitaciones y temores que influirán en la cooperación de
dicho personal.

1.1.1.5 Identificación preliminar de la problemática de sistemas:

Además de lo anterior, en esta visita preliminar el auditor puede aprovechar para

saber cuál es la principal problemática a la que se enfrenta el área de sistemas, su
personal y usuarios, su procesamiento de información y la administración de sus
bases de datos, etcétera, aunque ésta sea sólo de carácter preliminar.

1.1.1.6 Calcular los recursos y personas necesarias para la auditoría:

Otro beneficio de esta visita preliminar al área que será auditada es la posibilidad
de calcular tanto el tipo como la cantidad de recursos que serán necesarios para
llevar acabo la evaluación, contemplando los recursos de carácter humano,
informático, material, técnico y económico.

1.1.2 Referencias Técnicas Que Debe Observar El Auditor Al Momento De

Preparar Su Planeación De Auditoria
1.1.2.1 Evaluación de las funciones y actividades del personal del área de
sistemas:

El propósito fundamental de esta evaluación es verificar si existen o no las

funciones y actividades para cada uno de los puestos del área, si se encuentran
por escrito y contempladas en documentos formales o informales, si tienen la
suficiente difusión, si el personal que las debe cumplir las conoce y tiene acceso a

2
los documentos donde se encuentran, y cómo, en qué grado y de qué manera los
ocupantes de esos puestos satisfacen las funciones que tienen encomendadas.

1.1.2.2 Evaluación de las áreas y unidades administrativas del centro de

cómputo:

En este punto se busca evaluar, mediante técnicas y procedimientos de auditoría,

todos aquellos aspectos que pueden influir en el grado de cumplimiento de las
funciones, actividades y operación de las áreas y unidades de trabajo del centro
de cómputo.

Esto se puede realizar a través de la evaluación de carácter individual, es decir un

área a la vez, o de manera integral, contemplando a todas las áreas del centro de
cómputo.

1.1.2.3 Evaluación de la seguridad de los sistemas de información:

Uno de los rubros que están incrementando su popularidad dentro del ambiente
informático, es el relacionado con la seguridad en el área de sistemas; con ello se
incrementa cada día más la necesidad de evaluar la seguridad y protección de los
sistemas, ya sea en los accesos al centro de cómputo, en el ingreso y utilización
de los propios sistemas y en la consulta y manipulación de la información
contenida en sus archivos, la seguridad de las instalaciones, del personal y los
usuarios de sistemas, así como de todo lo relacionado con el resguardo de los
sistemas computacionales.

1.1.2.4. Evaluación de la información, documentación y registros de los

sistemas:

Se busca evaluar la protección y custodia de activo más valioso de los sistemas, la

información, e incluso como se hace la captura, procesamiento y emisión de los
resultados. Todo de acuerdo a las características, forma de procesamiento y
sistemas de la empresa.

3
1.1.2.5 Evaluación de los sistemas, equipos, instalaciones y componentes:

En esta evaluación intervienen muchos factores, tanto de la auditoría como de la

propia área de sistemas, ya que se pretende dictaminar como están funcionando
casi todos los componentes del sistema computacional de la empresa.

1.1.2.6 Elaborar planes, programas y presupuestos para realizar la

auditoría:

Después de haber considerado todos los puntos antes señalados, el siguiente

paso es realizar la planeación formal de la auditoría de sistemas, en la cual se
concreten los planes, programas y presupuestos para dicha auditoría.

1.1.2.7 Elaborar el documento formal de los planes de trabajo para la

auditoría:

Es la elaboración específica de los planes formales de trabajo para la auditoría de

sistemas de información. Estos planes se presentan en un documento oficial
llamado plan de auditoría de sistemas, el cual contiene todos los aspectos
relacionados con la realización de dicha auditoría. A continuación, algunos de
estos aspectos:

• Las actividades que se van a realizar, los responsables de realizarlas, los

recursos materiales y los tiempos
• Los eventos que servirán de guía de acción
• La estimación de los recursos humanos, materiales e informáticos que
serán utilizados
• Los tiempos estimados para las actividades y para la propia auditoría
• Los auditores responsables y participantes en dichas actividades
• Las demás especificaciones del programa de trabajo para la auditoría

El auditor responsable de elaborar la planeación de la auditoría determinará, en

base a sus conocimientos, habilidades y experiencia, el contenido formal de este
documento; sin embargo, en este inciso presentamos los aspectos de forma y
contenido que se deben considerar en el documento formal.

4
1.1.3 Ejemplo De Planeación

5
 1.2 EJECUCIÓN
1.2.1 Aspectos Relevantes Relacionados A La Ejecución De La Auditoría En
Sistemas
El siguiente paso después de la planeación de la auditoría es su ejecución, la cual
estará determinada por las características concretas, los puntos y requerimientos
que se estimaron en la etapa de planeación. Debido a que esta etapa es de
realización especial, de acuerdo con la planeación de la auditoría, en este inciso
sólo se indican sus puntos más importantes, en la inteligencia de que se aplicará
verdaderamente de acuerdo con las características específicas de la auditoría que
se trate. Los principales puntos son los siguientes:

Concretamente, tenemos los siguientes conceptos:

• Realizar las acciones programadas para la auditoría

• Aplicar los instrumentos y herramientas para la auditoría
• Identificar y elaborar los documentos de desviaciones
• Elaborar el dictamen preliminar y presentarlo a discusión
• Integrar el legajo de papeles de trabajo de la auditoría

6
Como éstas ya son las actividades concretas, resultado de la práctica de la
auditoría de sistemas, a continuación, haremos un breve análisis de los puntos
señalados en esta parte:

1.2.1.1 Realizar las acciones programadas para la auditoría

De acuerdo con el programa de auditoría, cada auditor tiene que realizar las
actividades que le corresponden conforme fueron diseñadas, en la cronología que
le fue asignada a cada una, y de acuerdo con los tiempos y recursos que le
corresponde utilizar; el propósito es ejecutar los eventos programados y alcanzar
el objetivo de la auditoría.

1.2.1.2 Aplicar los instrumentos y herramientas para la auditoría

Aquí lo importante es que, conforme a la guía de auditoría, se tienen que utilizar,

uno a uno, los instrumentos y herramientas elegidos para llevar a cabo la
evaluación, ya sea mediante la recopilación y análisis de la información, la
observación, las pruebas y simulaciones de los sistemas, o mediante cualquier
otro instrumento de los que se diseñaron previamente para esta revisión.

1.2.1.3 Identificar y elaborar los documentos de desviaciones encontradas

Una vez que se realizaron las actividades diseñadas en el programa de trabajo de

auditoría, que se utilizaron los instrumentos de recopilación de información y/o se
utilizaron los instrumentos determinados para la auditoría, entonces se buscan las
posibles desviaciones y se procede a elaborar los documentos de desviaciones,
en los cuales se anotan las situaciones encontradas, las causas que las originaron
y sus posibles soluciones, así como los responsables de solucionar dichas
desviaciones y las posibles fechas para hacerlo. En el capítulo 8, inciso 8.4,
analizaremos más a fondo este tópico.

El auditor puede elaborar este documento cuando lo considere necesario; es decir,

lo puede elaborar conforme va realizando cada evaluación, conforme va
evaluando áreas completas, conforme va realizando cada evento programado o

7
conforme a cualquier otro criterio. Lo importante es que conforme el auditor
detecte las desviaciones, elabore de inmediato el documento de desviaciones.

1.2.1.4 Elaborar el dictamen preliminar y presentarlo a discusión

Una vez que el auditor determinó las desviaciones encontradas durante la

evaluación, debe elaborar un documento que contenga todas las desviaciones
detectadas, o lo puede elaborar con cada una de las desviaciones por separado,
de acuerdo con las necesidades de la empresa. Una vez hecho esto, es obligación
del auditor comentarlas con las personas que están involucradas directamente en
las desviaciones, a fin de encontrar de manera conjunta las causas que las
originaron y, derivado de este intercambio de opiniones, debe determinar las
posibles soluciones para cada una de estas causas. También puede asignar a los
responsables de solucionarlas y, de ser posible, las fechas para hacerlo.

Es muy conveniente señalar que la importancia de la auditoría no sólo estriba en

reportar las desviaciones encontradas en una operación normal, sino que las
personas que están involucradas directamente en la operación deben conocerlas;
el propósito es que estén conscientes de las desviaciones encontradas en su
trabajo para que puedan emprender las acciones necesarias para corregirlas, si es
que las correcciones están en sus manos. En el capítulo 8 analizaremos más
profundamente este tema.

La auditoría no se lleva a cabo para cortar las cabezas de los auditados; es una
disciplina que ayuda a detectar las desviaciones en las operaciones de los
auditados, así como a conocer las causas de tales desviaciones y sus posibles
soluciones.

1.2.1.5 Integrar el legajo de papeles de trabajo de la auditoría

El auditor tiene la obligación de conservar en el llamado legajo de papeles de la

auditoría cada uno de los instrumentos aplicados en la evaluación, con el
propósito de sustentar, llegado el caso, las observaciones reportadas. En el
siguiente capítulo se hace un profundo análisis de este documento y su
importancia.

8
1.2.2 Ejemplo, (Estructura) De La Ejecución En La Auditoría
1.2.2.1 Contenido del legajo de papeles de trabajo

Los aspectos que analizaremos a continuación son de carácter general; asimismo,

al presentarlos pretendemos dar una idea precisa de la cantidad mínima de
documentos con la que se podrán integrar los papeles de trabajo del auditor de
sistemas; también proyectamos señalar un criterio de orden y conservación para el
llamado legajo de papeles de trabajo de la auditoría de sistemas. Aunque, claro
está, lo aquí señalado es sólo una sugerencia hecha con el único propósito de
ayudar a unificar las formas de utilizar y guardar estos documentos; sin embargo,
nada impide que el auditor utilice su experiencia, conocimientos y criterio personal
para determinar el contenido y orden que deben tener los papeles de trabajo que
utilizará en su evaluación. Lo importante es que dichos papeles existan.

El legajo de papeles de trabajo, por su naturaleza y contenido, es el aspecto

fundamental para elaborar el dictamen de la auditoría, y su uso es confidencial y
exclusivo del auditor de sistemas, debido a que éste va integrando en estos
papeles de trabajo los documentos reservados y de uso exclusivo de la empresa,
mismos que recopila durante su revisión y los complementa con los registros, en
papel o en medios electromagnéticos, que obtiene como evidencias formales de
alguna desviación en el área de Sistemas auditada.

Debemos señalar que el contenido de los papeles de trabajo puede variar de un

auditor a otro y de un tipo de auditoría a otra, ya que en cada trabajo existen
procedimientos, técnicas y métodos de evaluación especiales que forzosamente
harán diferente la recolección de los documentos. Lo mismo ocurre con la forma
de obtener evidencias e incluso con la forma de concentrar los papeles de trabajo.

A continuación, presentaremos una propuesta para integrar estos papeles.

• Hoja de identificación
• Índice de contenido de los papeles de trabajo
• Dictamen preliminar (borrador)
• Resumen de desviaciones detectadas (las más importantes)

9
• Situaciones encontradas (situaciones, causas y soluciones)
• Programa de trabajo de auditoría
• Guía de auditoría
• Inventario de software
• Inventario de hardware
• Inventario de consumibles
• Manual de organización
• Descripción de puestos
• Reportes de pruebas y resultados
• Respaldos (backups) de datos, disquetes y programas de aplicación de
auditoría
• Respaldos (backups) de las bases de datos y de los sistemas
• Guías de claves para el señalamiento de los papeles de trabajo
• Cuadros y estadísticas concentradores de información
• Anexos de recopilación de información
• Diagramas de flujo, de programación y de desarrollo de sistemas
• Testimoniales, actas y documentos legales de comprobación y confirmación
• Análisis y estadísticas de resultados, datos y pruebas de comportamiento del
• sistema
• Otros documentos de apoyo para el auditor
a. Hoja de identificación

Ésta es la parte frontal del legajo de papeles de trabajo de la auditoría de sistemas

computacionales, y es el primer documento formal que se identifica en dicho
legajo; en esta hoja, que puede ser una carátula formal rigurosamente empastada
o una simple portada de cartón o de papel común y corriente, se anotan los datos
elementales que sirven para identificar la documentación contenida en el legajo.

Esto debe contener como mínimo los siguientes datos:

10
 o Nombre de la empresa responsable de llevar a cabo la Auditoría de
sistemas

En esta parte se anotan el logotipo y nombre de la institución, cuando es una

empresa de auditoría externa la responsable de realizar la auditoría de sistemas, o
el nombre de la empresa y la designación del área de auditoría interna, cuando es
el área de auditoría interna la responsable de llevarla a cabo. Es indispensable
anotar los datos de una sola empresa (externa o interna); no es válido anotar los
de ambas.

o Identificación del legajo de papeles de trabajo

Aquí va el nombre genérico que se le da al documento y sirve para identificar que

se trata de la concentración de los documentos que avalan la realización de la
auditoría de sistemas. En algunos casos puede admitirse con otros nombres,
según la preferencia del auditor o empresa. Lo importante es que esta parte sirve
para identificar, claramente, el contenido de los documentos relacionados con la
auditoría de sistemas.

o Nombre de la empresa o área de sistemas auditada

En este lugar se anota el nombre completo de la empresa a la cual se practica la

auditoría de sistemas, junto con el nombre del área de sistemas en donde ésta se
lleva a cabo. En caso de tratarse de una auditoría interna, entonces se anota el
nombre del área de sistemas auditada. Lo esencial es que se puedan identificar, lo

11
más claramente posible, los nombres completos de la empresa y del área de
sistemas donde se realiza la auditoría.

o Periodo en que se realizó la auditoría

En este lugar se anota la fecha de inicio de la auditoría (desde que empezó la

revisión) y su terminación (hasta el último día de revisión); de preferencia se debe
anotar con el formato Día (con números) Mes (con letras) Año (con cuatro dígitos),
o con el formato que el auditor prefiera.

o Puesto y cargo del responsable de realizar la auditoría

Aquí se anota el nombre completo del responsable de llevar a cabo la auditoría; en

caso de ser un grupo, se anota el nombre del responsable de la conducción de la
auditoría. Se puede anotar a todos los participantes si así se desea, pero siempre
se debe destacar al responsable de la auditoría.

o Fecha de emisión del dictamen final

Es la fecha en la que se presenta por escrito el dictamen final de auditoría; es

propiamente la fecha en la que se entrega el resultado de la auditoría del área de
sistemas, y éste es aceptado por la dirección superior del área. Lo fundamental es
presentar con toda oportunidad dicho informe.

Los puntos anteriores son los que se deben contemplar como mínimo para
elaborar la carátula de los papeles de trabajo de la auditoría de sistemas, aunque
nada impide que se puedan reseñar otros datos importantes en ella, de acuerdo
con las

necesidades y características de la empresa auditora; aunque estos datos también

pueden ser dictaminados por la empresa o área auditada.

La importancia de este punto es que esta carátula sirve para saber lo más
claramente posible a quién pertenecen los papeles de trabajo, el período en que
se realizó la auditoría y quién fue el responsable de llevarla a cabo.

12
 b. Índice del contenido de los papeles de trabajo

En esta parte se hace la descripción detallada y se página el contenido total de los

papeles de trabajo, con el propósito de identificar rápidamente la página en donde
se encuentra cada una de las partes que integran este legajo de papeles.

Respecto al índice, no existe ninguna condicionante ni forma especial de

presentarlo, salvo lo estipulado de acuerdo con las necesidades o preferencias de
la empresa de auditoría o del auditor responsable de la misma. La única condición
es que sea una presentación ordenada y que se identifiquen claramente las
páginas y su contenido.

Sin embargo, sugerimos numerar con siglas cada capítulo o parte importante de la
auditoría, seguidas de un número consecutivo que vuelva a iniciar en cada parte;
por ejemplo: SI-001 (Seguridad Informática – hoja 001). También sugerimos
utilizar los siguientes apartados para los documentos de trabajo:

13
 c. Dictamen preliminar (borrador)

El auditor utiliza esta sección para conservar, como papeles de trabajo, el

resultado del dictamen preliminar que presentó a discusión con los involucrados
en la evaluación, a fin de hacer el análisis y consulta posteriores de todos los
aspectos que presentó en forma de borrador.

d. Resumen de desviaciones detectadas (las más importantes)

Otro de los documentos importantes que debe conservar el auditor en el legajo de
papeles de trabajo es la copia de los documentos originales, y en algunos casos el
borrador manuscrito, de las desviaciones que considera como las más importantes
encontradas durante la revisión, así como sus causas y posibles soluciones, que
presenta en el formato de desviaciones encontradas.

e. Programa de trabajo de auditoría

Es el documento formal (por escrito) de los planes, programas y presupuestos
hechos para el control y desarrollo de la auditoría; este documento se elabora en
un formato especial o en una gráfica en la cual se anotan las etapas y actividades
para la evaluación, así como los tiempos para llevarla a cabo; también se anotan
los recursos disponibles para realizar todas esas actividades. Estos aspectos se
deben señalar en forma cronológica, secuencial y correctamente coordinada.

14
 f. Guía de auditoría
Este documento, llamado guía de auditoría, es fundamental para el buen
desarrollo de una auditoría, ya que es una herramienta auxiliar para el trabajo del
auditor; por esta razón, debe tener una descripción detallada de todos y cada uno

de los puntos importantes que se deben auditar, según las necesidades de

evaluación y características específicas del área de sistemas de la empresa.

g. Inventarios
Una de las principales herramientas que utiliza el auditor de sistemas son los
inventarios, los cuales le sirven para contar los elementos que existen en el área
que va a evaluar, según los equipos, artículos o partes del sistema que se traten;
además, con la información que obtiene puede comparar lo que debería existir y lo
que realmente existe de los elementos que se están inventariando; con ello puede
comprobar que la guarda y custodia de los bienes de la empresa sean adecuadas.

Aunque existen muchos tipos de inventarios, es recomendable utilizar los

inventarios que se hayan acordado en la planeación de la auditoría, de acuerdo
con su origen y objetivos, así como con las especificaciones de revisión que se
hayan establecido. Por esta razón, a continuación, presentaremos los principales
inventarios para el área de sistemas:

o Inventario de software
o Inventario de hardware

15
o Inventario de bases de datos e información de la empresa
o Inventario de proyectos y desarrollos computacionales
o Inventario de puestos de trabajo en el área de sistemas
o Inventario de reportes de pruebas y resultados
o Inventario de mobiliario y equipos
o Inventario de instalaciones de voz, datos y energía
o Inventario de instalaciones de redes
o Inventario de manuales e instructivos
o Inventario de respaldos, disquetes, cintas y sistemas de resguardo de
información
o Inventario de consumibles.
▪ Inventario de software Uno de los documentos fundamentales que el
auditor debe integrar en el legajo de papeles de trabajo, es el inventario de
los programas, lenguajes, paqueterías, sistemas operativos y cualquier otro
software que se utilice en la institución para el procesamiento de la
información y la operación de los sistemas.

El propósito de este documento es que el auditor tenga un registro pormenorizado

del total de software que hay en la empresa, ya sea el de cada computadora
instalada, el que está disponible en la red de sistemas, el adquirido a terceros
(llamado software comercial), el que ha sido desarrollado en la empresa (llamado

16
software desarrollado) e incluso las paqueterías, lenguajes, sistemas operativos,
etcétera. Con esa información en sus papeles de trabajo, el auditor puede analizar
y comprobar la utilidad, aprovechamiento, suficiencia y seguridad del software.
Además, le sirve de soporte en caso de haber desviaciones en la existencia y
actualización de este.

h. Respaldo de datos (BACKUPS), información y programas de

aplicación de auditoría

Los sistemas computacionales tienen características específicas en cuanto a la

forma de captura, almacenamiento y emisión de información; por esta razón,
encontramos que el respaldo de documentos es muy importante en una auditoría
de sistemas computacionales. Estos documentos de trabajo, que contienen
información importante, se pueden archivar en disquetes, cintas, CD-ROMs, DVDs
o en algún otro medio electrónico de captura y lectura de datos.

En este tipo de auditorías, los llamados papeles de trabajo adquieren un matiz

muy

especial debido a la forma en que se archiva la información en ellos; así

encontramosque debemos documentar datos que muchas veces no están
archivados en papel sinoen sistemas computacionales; por lo tanto, debemos
saber cómo capturar, extraer y archivar esa información en algún medio
electromagnético de captura y lectura de información. Sin embargo, no sólo es por
la forma de almacenar la información, sino también por la cantidad, periodicidad y
utilidad de la información que va a ser documentada. Está claro que no se puede
documentar como papeles de trabajo toda la información que se procesa en los
sistemas computacionales, sino únicamente la que haya sido designada de algún
proceso de recopilación específico. Es bueno recordar que un sistema
computacional es un sistema de entrada de datos, procesamiento de información y
emisión de resultados, compuesto por un conjunto de equipos físicos (hardware)
que capturan los datos a través de sus unidades de entrada (teclado, disquetes,
disco duro, CD-ROM), y los procesan (en la CPU) a través de sus lenguajes,

17
programas y paquetes (software) para emitir información (en pantalla, impresora,
disco duro, disquetes) útil para la empresa.

Sin embargo, el auditor sólo utiliza la información que producen los sistemas, si
ésta le es útil para evaluar algún aspecto relacionado con la revisión que está
realizando, y casi nunca toma en cuenta las operaciones y actividades internas

que realiza y sistema para arrojar esa información.

En la figura de arriba se hace un pequeño esbozo de los sistemas

computacionales, sus características, marco conceptual y de algunos otros
aspectos básicos que serán útiles para que el auditor recuerde o conozca los
aspectos más importantes de lo que va a auditar.

Los papeles de trabajo que contienen la información que se maneja en los

sistemas se deben almacenar en dispositivos especiales; por esta razón, a
continuación, indicaremos dos de los principales tipos de datos e información, así
como los medios de almacenamiento que se deben considerar como documentos
de los papeles de trabajo de la auditoría de sistemas computacionales. El

18
propósito de presentar estos dos ejemplos es que el auditor sepa cómo se deben
archivar dichos papeles de trabajo.

Aunque en la práctica, el responsable de la auditoría será quien decida el tipo de

información que se debe archivar y en qué medio se puede hacer, según las
necesidades de su propia evaluación.

o Respaldos de bases de datos e información de la empresa

Es el respaldo periódico de información que se hace a través de disquetes (o

cualquier otro medio), en los cuales se almacenan los datos de algún ejercicio,
operación, o cualquier otra serie de datos que es importante conservar. El auditor
de sistemas debe decidir cómo conservar esta información como parte de su
evaluación.

En la práctica de la auditoría de sistemas, el auditor debe evaluar los respaldos, la

periodicidad con la que se llevan a cabo, el período de duración o actualización de
la información respaldada, la confiabilidad del respaldo, la manera de evitar fugas
de información, entre muchos otros aspectos.

o Respaldos de programas (copias de respaldo de programación)

En este caso, el auditor debe verificar que existan respaldos (periódicos o únicos)
de los sistemas operativos, programas, paqueterías o sistemas realizados en la
empresa, con el objeto de evaluar que dichos respaldos sean los adecuados en
caso de ocurrir problemas en el sistema. Además, debe verificar que los respaldos
estén perfectamente custodiados, y que no existan más copias de las permitidas,
para evitar la llamada piratería de programas o la fuga de información de la
empresa.

i. Otros documentos que debe contener el legajo de papeles de

trabajo de la auditoría

Debemos señalar que el responsable de la auditoría de sistemas es quien debe

definir el contenido y la forma de guardar los papeles de trabajo, y debe hacerlo de
acuerdo con las necesidades específicas de evaluación, siguiendo, de preferencia,

19
la forma acostumbrada de captura y almacenamiento de la información recabada
en la empresa o área auditada. Asimismo, es quien debe determinar las
secciones, partes y documentos que se deben guardar en el legajo de papeles de
trabajo. Por esta razón, a continuación, presentamos algunos otros documentos
que debe contener el citado legajo

o Estadísticas y cuadros concentradores de información

o Anexos de recopilación de información
o Testimoniales, actas y documentos legales de comprobación y confirmación
o Análisis estadístico de resultados, datos y pruebas de comportamiento del
sistema
j. Otros documentos que debe contener el legajo de papeles de
trabajo de la auditoría.
o Estadísticas y cuadros concentradores de información
o Anexos de recopilación de información
o Testimoniales, actas y documentos legales de comprobación y confirmación
o Análisis estadístico de resultados, datos y pruebas de comportamiento del
sistema.
k. Otros documentos especializados de una auditoría de sistemas

En el legajo de papeles de trabajo también se debe anexar la información (en

papel o electrónicamente) relacionada con los reportes, análisis y resultados de
pruebas, configuraciones y exámenes especializados del sistema computacional,
de las instalaciones o de cualquier otro aspecto relacionado con el área de
sistemas; también se debe anexar lo relacionado con el procesamiento de
información o con cualquier otra actividad informática.

Asimismo, el auditor debe anexar cualquier otro documento que a su juicio sea de
importancia para la auditoría y que necesite conservar; por ejemplo, comprobantes
de viáticos, oficios de presentación, correspondencia, minutas de reuniones,
nombramientos y cualquier otro tipo de documentos útiles para la auditoría.

20
1.2.2.2. Claves del auditor para marcar papeles de trabajo
Son las marcas de carácter informal que utiliza exclusivamente el auditor o el
grupo de auditores que realizan la auditoría, con el fin de facilitar la uniformidad de
los papeles de trabajo y para identificarlos mejor. El auditor en jefe puede imponer
el uso de estos símbolos o pueden ser utilizados por acuerdo del grupo, aunque
también puede suceder que no sean utilizados en una auditoría.

Su utilidad radica en que tienen un significado preciso que todos los auditores
conocen y utilizan para destacar aspectos importantes de los documentos que van
revisando, y en que sirven como identificadores uniformes de todas las actividades
que se desarrollan durante una evaluación; así, cuando alguien del grupo de
auditores encuentra algún documento con estas marcas, sabe que éste ya ha sido
revisado o que tiene una característica especial en la cual se tiene que advertir
alguna observación, de acuerdo con el significado de los símbolos. Todos los
auditores deben utilizar los mismos símbolos al hacer anotaciones en los
documentos que evalúen.

También ayudan al auditor a realizar un resumen de observaciones para identificar

de manera rápida y sencilla las posibles desviaciones; el simple uso de estas
marcas también le permite estandarizar su trabajo, siempre y cuando sean las
mismas para toda la revisión. Con el uso de estos símbolos también se evita el
abuso en la recopilación de copias inútiles de papeles de evaluación y
documentos oficiales, los cuales sirven para identificar los aspectos revisados,
como apoyo para la evaluación o para cualquier otro aspecto similar poco
importante. Con el uso de estas marcas se hace más sencilla la revisión de
documentos impresos en papel, de disquetes, bases de datos y de todo lo
relacionado con los sistemas evaluados.

21
• Propuesta de símbolos convencionales utilizados en una auditoría de

sistemas computacionales.

1.2.2.3. Cuadros, estadísticas y documentos concentradores de información

En esta parte se presentan todos los documentos del legajo de papeles de trabajo
que servirán de soporte para presentar la información recopilada durante la
auditoría y que es conveniente destacar por su importancia, por su nivel de
información o por cualquier otro aspecto que resulte determinante para la
evaluación y para comprobar las desviaciones plasmadas en las situaciones
detectadas y en las situaciones importantes.

Por lo general estos documentos son complemento de alguna revisión y sirven

para identificar y comprobar desviaciones y situaciones.

Dichos documentos pueden ser estadísticas, gráficas o cuadros en los cuales se

concentran y se comparan datos tales como listados de resultados de un proceso
y listados de seguimiento de las actividades, operaciones y tareas que se realizan
con un sistema computacional, así como los concentrados de información
estadística, las bitácoras de seguimiento y reportes, y en sí cualquier dato que
pueda ser incluido en las estadísticas.

22
A continuación, presentaremos algunos documentos que pueden ser considerados
dentro de este rubro:

o Cuadro de concentración estadística

o Cuadro de comparación de información
o Gráficas de cualquier tipo

1.2.2.4 Diagramas de sistemas

Es la representación gráfica del procedimiento que se sigue para realizar una serie
de operaciones y actividades debidamente coordinadas entre sí. En el ambiente
de sistemas, este diagrama es la representación gráfica de un procedimiento de
sistematización, el cual está representado por líneas de flujo y símbolos que
representan algún tipo de actividad, de documento o de una decisión. Esta
simbología se acuerda previamente, para que quienes la vean la interpreten de la
misma manera.

• Diagrama de flujo En este tipo de diagramas se señalan los procedimientos

por medio de símbolos adoptados para ejemplificar el flujo que siguen los
datos.
• Diccionario de datos Éste es otro de los documentos importantes para el
auditor, ya que le ayuda a identificar el contenido y composición de las bases
de datos, su forma, el tamaño de los archivos, el número de dígitos por cada
registro que ingresa a la computadora y demás características que componen
una base de datos.
• Modelos Estos documentos son muy importantes en la evaluación de los
sistemas computacionales, ya que ayudan al auditor a representar la realidad
de lo que va a evaluar.

23
 1.3 INFORME DE AUDITORÍA DE SISTEMAS

1.3.1 Definición
La elaboración del informe de auditoría sistemas es el punto final del proceso de
captación y tratamiento de la información obtenida del sistema auditado. Esta
información ha de ser suficiente para que el auditor, con su experiencia y
conocimiento, sea capaz de realizar un diagnóstico y realizar unas
recomendaciones.

1.3.2 Partes Del Informe De Auditoría De Sistemas

La estructura a la cual se refiere se establece de la siguiente manera:

• Título.
• Destinatario.
• Opinión del auditor.
• Fundamentos de la opinión.
• Asuntos claves de auditoría (si aplicase)
• Párrafo de énfasis.
• Otra información.
• Responsabilidad de la Administración sobre los estados financieros.

1.3.2.1 Características del informe de auditoría de sistemas

En la relación del informe ,el auditor señala los resultados de su investigación ,sus
evaluaciones, hallazgos, aportaciones y conclusiones sobre el trabajo realizado;
también ,también señala las técnicas ,herramientas ,métodos y procedimientos
que utilizo en la obtención de datos ,las observaciones e interpretaciones de los
fenómenos y hecho evaluados que le sirvieron de sustento en la elaboración de
documentos de situaciones encontradas o relevantes que informa, así como todas
las demás aportaciones con las cuales da su sello personal al informe presentado
.

24
Evidentemente ,el informe de una auditoria de sistemas computacionales es
producto de la experiencia y conocimientos del auditor que lo presenta ;por esta
razón, además de servir para señalar las observaciones, desviaciones y
resultados encontrados ,este documento también sirve para que el auditor exhiba
los conocimientos ,técnicas y procedimientos que utilizo para evaluar el área de
sistemas ,asimismo, en su redacción muestra su forma de ser y de actuar
profesionalmente, así como su cultura .

De hecho, esto también se juzga en la presentación del informe de auditoría; no

solo el resultado, sino quien, y como lo presenta, por eso es muy importante
conocer las características fundamentales de la elaboración del informe de la
auditoria.

Para contribuir a incrementar la calidad en la presentación del informe de

auditoria, misma que se puede hacer extensiva a cualquier otro tipos de trabajo
profesionales ,e incluso personales o escolares ,a continuación presentamos
algunas de la principales características de la redacción del informe de auditoría
,las cuales ayudaran al auditor de sistemas computacionales a mejorar su
elaboración.

1.3.2.2 Características fundamentales:

Inicialmente, se pueden identificar dos características fundamentales en los

informes de auditoría de sistemas, las cuales siempre se refieren al contenido del
informe y a la forma de presentarlo; dichas características son las siguientes

a. Característica de fondo

Estas características se refieren al cuidado que debe tener el auditor de sistemas

al revisar que el contenido total del informe de auditoría sea acorde con lo que
realmente tiene que señalar acerca de la revisión efectuada, refiriéndose
exclusivamente al contenido del informe; para ello debe tomar en cuenta los
siguientes aspectos:

25
 o Que la información que contiene el documento sea veraz, confiable y
oportuna y sin distorsiones ni tendencias que demeriten el trabajo realizado.
o Que el uso de la terminología sea exacto y objetivo, para que se entiendan
e interpreten las desviaciones reportadas tal y como se quisieron plasmar.
o Que el contenido del informe sea congruente con lo observado, sin inventar,
distorsionar o modificar lo encontrado en la evaluación.
o Que permita mostrar la situación real del área auditada, a fin de identificar y
solucionar lo encontrado en la evaluación.
o Que permita mostrar, con su simple lectura, la situación real del área
auditada, a fin de solucionar la problemática señalada.
o Que su contenido abarque todo lo que se debe informar del área auditada,
sin abundar en explicaciones inútiles, pero sin ser parco en lo que se
presenta.
o Que el lector capte inmediatamente la problemática que reporta el auditor,
así como la opinión que plasma respecto al funcionamiento del área de
sistemas o de sistemas auditados.
b. Característica de forma.

Se refiere a la manera en que el auditor debe presentar el informe, en cuanto al

estilo de redacción, contenido en partes, apartados, apéndices, tipo y tamaño de
las hojas y el tipo de letra, ortografía, sintaxis, gramática y demás componentes
del lenguaje, y en si de todo lo relacionado con la presentación del documento. Al
redactar dicho informe, el auditor debe considerar los siguientes aspectos:

o Que esté redactado en forma concisa, clara, sencilla y amena, sin exceso de
tecnicismo, pero sin omitirlos cuando sean necesarios, a fin de que su
lectura sea comprensible.
o Que al redactarlo se eviten la redundancia, repeticiones y reiteraciones
inútiles que solo abultan y entorpecen la lectura.
o Que la forma de presentar el informe sea profesional, mecanografiado en
forma impecable y con el contenido exacto que debe este tipo de
documentos.

26
 o Que su redacción sea impecable en cuanto ortografía y puntuación
o Que el contenido sea acorde a las necesidades y exigencias de la empresa
auditora
• Características de la presentación del informe
o Claridad
o Confiabilidad
o Propiedad
o Concisión
o Sencillez
o Asertividad
o Ilación
o Tono y fuerza
o Oportunidad
o Exactitud
o Imparcialidad
o Objetividad
o Congruencia
o Familiaridad
o Veracidad
o Efectividad
o Positividad
1.3.2.3 Características importantes para el lector del informe de auditoria
• Que el informe tenga familiaridad
• Que el contenido del informe sea coloquial
• Que el contenido del informe sea variado
• Que se entregue y comente oportunamente
• Que su lectura sea sencilla
• Que su contenido esté fundamentado
• Que su redacción sea clara
• Que la información contenida sea contundente
• Que esté redactado en un estilo impersonal

27
 • Que su contenido esté sintetizado
• Que su contenido sea ameno y entendible
• Que sea enfático en las situaciones reportadas

1.3.3 Estructura Del Informe De Auditoría De Sistemas

Aunque hay muchas formas de presentar el siguiente informe de auditoría de
sistemas, de acuerdo con las preferencias de la empresa o del auditor que realiza
la auditoria.

Este es el documento final, de carácter formal, en el que se presentan por escrito

todos los aspectos importantes que fueron catalogados como deficiencias de las
operaciones auditadas, así como el cumplimiento de las funciones y de los
resultados obtenidos con las actividades evaluadas durante la auditoria. El auditor
plasma su dictamen y opinión en este documento y lo sustenta con documentos
de apoyo y los papeles de trabajo en los que va haciendo las anotaciones de las
técnicas, métodos y procedimientos que utilizo durante el desarrollo del trabajo.

En el informe de auditoría, el cual es un documento en el que se hace la

presentación formal de los resultados obtenidos durante la auditoria, debe
contener como mínimo lo siguiente:

• Oficio de Presentación
• Introducción
• Dictamen de la auditoria
• Situaciones relevantes
• Situaciones detectadas
• Anexos
• Confirmaciones en papeles de trabajo

28
1.3.3.1 Desarrollo de la estructura del informe de auditoría de sistemas.
a. Oficio de presentación

Es la primera parte del informe de auditoría y es un documento de carácter oficial

que sirve de presentación del informe, mediante este documento se pone a
consideración de los directivos de la empresa el resultado de la auditoría
practicada al área de sistemas.

El contenido y presentación de dicho documento varían de una institución a otra,

pero en esencia este documento debe ser elaborado en la papelería oficial de la
empresa y debe contener como mínimo los siguientes aspectos:

o Logotipo y nombre de la empresa

o Fecha de informe
o Funcionario que recibe el informe
o Empresa o área auditada
o Periodo de evaluación
o Contenido o cuerpo del oficio
o Responsable de emitir el informe
o Firma autógrafa del responsable

b. Introducción

Es la parte del informe donde el responsable de la auditoría hace la presentación

formal de su trabajo; en este apartado se manifiesta el objetivo de la auditoría, las
razones que motivaron a llevarla a cabo y, si es el caso, los fundamentos que
apoyen su realización, en algunas ocasiones también se pueden indicar la
metodología y las herramientas utilizadas en la evaluación de los sistemas,
aunque esto último no es forzoso.

Debemos señalar que no existen reglas específicas para elaborar esta

introducción; sin embargo, se puede establecer como única regla que su redacción
debe ser impecable y debe tener una excelente presentación, ya que es la primera
parte que se lee del informe de auditoría. La introducción es frecuentemente la

29
invitación a seguir leyendo el resto del informe; sin embargo, cuando esta parte
está mal redactada, crea rechazo casi inmediato para seguir adelante con la
lectura.

Debido a lo anterior, a continuación, presentamos una serie de sugerencias que

ayudarán al auditor y al responsable del informe a mejorar la elaboración de dicha
introducción. Debemos aclarar que los puntos que analizaremos a continuación no
son apartados de la introducción, y sólo se presentan para que el lector los
identifique, pero no se deben anotar en el informe:

o Aspectos generales
o Prólogo
o Objetivo
o Justificación

c. Informe corto de la auditoria (dictamen)

Tal vez ésta sea la parte más importante de una auditoría de sistemas
computacionales y, en muchas ocasiones, lo que más esperan los directivos de la
empresa o del área auditada, debido a que es una opinión profesional respecto al
comportamiento de los sistemas. Evidentemente, el dictamen está apoyado en la
experiencia y conocimientos del auditor en las áreas de auditoría y sistemas, así
como en la confianza del uso de las herramientas e instrumentos apropiados.

Cada empresa de auditoría o auditor que elabora un dictamen debe emitir su

opinión de acuerdo con su costumbre, experiencia o según los requisitos de la
empresa auditada; sin embargo, por la importancia que tiene este informe en el
área de sistemas, o en cualquier otra área, a continuación, presentaremos un
formato de dictamen y algunas recomendaciones para emitirlo de una mejor
manera. Es el documento de carácter formal donde el auditor plasma su opinión
profesional respecto al comportamiento de los sistemas y debe cumplir los
siguientes requisitos:

o Logotipo de identificación

30
 o Nombre de la empresa
o Fecha de emisión del dictamen
o Ejecutivo receptor del dictamen
o Breve introducción al dictamen
o Contenido del informe de auditoría, jerarquizando situaciones por
importancia de mayor a menor o de menor a mayor
o Cronología de ocurrencia de las situaciones que se reportan
o Áreas de trabajo o Áreas Administrativas
o Procedimiento de operación o actividad
o Simple listado sin ningún orden específico
o Dictamen y recomendación del auditor
o Responsable de emitir el dictamen

d. Situaciones relevantes

Son formatos de presentación de los aspectos más relevantes y de mayor peso

encontrados durante la evaluación.

Parte fundamental del informe de auditoría son los formatos de situaciones

relevantes;" éstos son los documentos oficiales donde el responsable de la
auditoría reporta las desviaciones que, según su criterio, son las más importantes
encontradas durante el desarrollo de la auditoría.

Estos formatos se anexan para posibles aclaraciones y consultas de las

desviaciones que se reportan en el dictamen; aunque, cabe recordar, el auditor
debió comentar este documento con los directivos del área de sistemas, como
indicamos al principio.

Formato de situaciones relevantes

Este documento es una réplica simplificada del formato anterior, sólo que en éste
únicamente se anotan las situaciones consideradas como relevantes, resultado del
análisis al documento anterior, es decir, sólo se incluyen aquellas observaciones

31
que a juicio del auditor o del responsable de la auditoría son realmente
importantes para el desarrollo de las actividades del área de sistemas evaluada.

Debemos insistir que en este documento sólo se presentan las situaciones más
significativas detectadas durante la evaluación.

Es recomendable que las situaciones relevantes incluidas en este documento

sean la mismas que las establecidas en el formato de las situaciones detectadas,
incluso con las mismas palabras; pero aquí no deben aparecer a mano sino
impecablemente mecanografiadas. También se sugiere seguir el mismo orden
planteado en el documento anterior. A continuación, presentamos una propuesta
del formato de situaciones relevantes, el cual servirá de base para las siguientes
aplicaciones de auditoría de sistemas que haremos.

Este formato, que también se elabora en forma individual, tiene tres columnas
básicas en las cuales se anotan, exclusivamente en computadora o a máquina, los
siguientes aspectos:

▪ Las situaciones relevantes, que son lo que más se destacó en el

documento anterior y que se determinó como lo más importante de
destacar, según las pruebas, procedimientos y técnicas utilizados para
hacer la evaluación.
▪ Las causas, que son los motivos de las desviaciones.
▪ Las posibles soluciones, que son las posibles soluciones para las
desviaciones.

e. Situaciones detectadas

Presentación de todas las desviaciones encontradas durante la auditoria, con las

causas reales que las provocaron y sus posibles soluciones.

Como parte complementaria del formato anterior, también se puede integrar en el

informe de auditoría de sistemas computacionales el formato de situaciones
encontradas, que es donde se concentran todas las desviaciones encontradas
durante la evaluación. Su inclusión en el dictamen es a criterio del responsable de

32
la auditoría, debido a que sería muy improbable que los receptores del informe
final, generalmente altos funcionarios de la empresa tomen en cuenta el análisis
de este documento. Además, este formato dio origen al de situaciones relevantes
y este último dio pie a la elaboración del dictamen de auditoría. Por ello se
consultaría muy esporádicamente.

Formato de situaciones encontradas

Este documento, que es uno de los documentos nías importantes para oí

desarrollo de cualquier auditoría de sistemas, es un formato especial para la
recopilación de situaciones o desviaciones encontradas, el cual está formado por
una serie de hojas (formatos individuales) en las cuales el auditor anota en
manuscrito o tipografía todas las desviaciones que encuentra durante su
evaluación.

Este formato, en forma individual, tiene seis columnas básicas en las que se
anotan los siguientes asuntos:

▪ La referencia: es un número consecutivo, combinado o marca especial,

mediante el cual se identifica la situación a tratar.
▪ Las situaciones detectadas: específicamente, es la descripción de lo que
se encontró en un determinado punto de la evaluación, según las
pruebas, procedimientos o técnicas de evaluaciones utilizadas para
hacer la revisión; cada una de estas desviaciones es parte importante
del documento.
▪ Las causas: es la presentación de los motivos e imputaciones que
originaron la desviación y puede ser una sola causa o varias las que
ocasionaron esta desviación, todas se anotan, a criterio del auditor.
▪ Las posibles soluciones: son sugerencias del auditado o del auditor para
solucionar las desviaciones reportadas. Casi siempre corresponde una
solución para cada una de las causas reportadas.
▪ Fecha de compromiso: es el período o la fecha tentativa para implantar
la solución acordada. Se anota una fecha para cada solución propuesta.

33
 ▪ Responsables de las soluciones: son los funcionarios, empleados o
cualquier persona responsable de implantar las soluciones. También se
acostumbra a anotar un responsable por cada solución, aunque a veces
parezca repetirse el mismo responsable.

f. Anexos

Cuadros, estadísticas, acta o cualquier otro documento que sirva de soporte para
reafirmar las desviaciones presentadas. El auditor puede obtener otro tipo de
información que puede llegar a ser útil para realizar la evaluación:

o Resultados del procesamiento de datos.

o Descripción de puestos, funciones y actividades.
o Resultados de pruebas y cálculos de procesamientos que se efectúan en el
sistema.
o Copias de formatos y licencias de programas y paqueterías.
o Copias de resguardos de equipos y mobiliario
o Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas
de información.
o Mapas de rutas de evacuación y seguridad del área de sistemas.
o Bitácoras de reportes y reportes de servicios de mantenimiento preventivo y
correctivo.
o Resultados de inventarios y pruebas de la arquitectura de los sistemas.
o Resultados de diseños, análisis, codificación, pruebas y liberación de
sistemas.
o Copias de programas fuente, objeto, y codificación de los sistemas
desarrollados en la empresa.
o Resultados de cotizaciones y estudios de mercado para adquisiciones de
hardware, software, mobiliario y consumibles de sistemas.
o Diagramas de sistemas de programación y desarrollo de sistemas.

34
 g. Confirmaciones en papeles de trabajo
Son pruebas documentadas que sirve de soporte para sustentar las desviaciones,
causas u otros aspectos relevantes encontrados.

La evidencia y los papeles de trabajo constituyen el soporte fundamental de los

hallazgos detectados por el auditor, de ahí la importancia que reviste la suficiencia,
relevancia y competencia de la evidencia, así como la calidad y claridad de los
Papeles de Trabajo, atendiendo a que la información de aquí se recoge está
escrita siempre a terceros que son los clientes de nuestro servicio.

1.3.4 Presentación De Informe De Auditoría De Sistemas

Al presentar de manera formal el dictamen de la auditoría a los altos directivos de
la empresa para informar resultados de la auditoría. La elaboración del informe y
dictamen se hacen con la formalidad correspondiente, esta presentación se hace
en una reunión directiva.

El informe contendrá los siguientes puntos:

▪ Carta de presentación.
▪ Introducción.
▪ Dictamen de auditoría.
▪ Situaciones relevantes.
▪ Situaciones detectadas.
▪ Anexos y cuadros adicionales.
▪ Confirmaciones en papeles de trabajo.

En la presentación del informe está la elaboración del dictamen formal que se

basa en el informe presentado ante los directivos y papeles de trabajo de la
auditoría, aquí se integran el informe de auditoría con los documentos
anteriormente mencionados.

Al presentar el informe en una reunión con los auditados ya no habrá comentarios

o aclaraciones sobre el mismo; únicamente la lectura y/o la entrega física del
informe final de la auditoría.

35
El informe presentado tendrá características de fondo y de forma; las de fondo son
las que el auditor debe tener cuidado en que el dictamen contenga la información
correcta y que señale lo que debe acerca de la revisión realizada refiriéndose
únicamente al contenido del informe. Las de forma se refieren a la manera en que
se debe presentar el informe: estilo de redacción, contenido, apartados,
apéndices, tamaño de hojas, tipo de letra, ortografía, sintaxis, gramática, etc.

Otras características que debe tener el informe son:

▪ Claridad: es que las ideas sean fáciles de leer y comprender, aquí se

relaciona con la sencillez que se exprese con palabras simples las ideas a
transmitir.
▪ Confiabilidad: que la información brindada sea de calidad.
▪ Propiedad es que las palabras se utilicen de forma adecuada, acorde al
contexto que se utiliza.
▪ Concisión y precisión: Que las ideas y conceptos se expresen con el
menor número de palabras sin que el informe pierda claridad o precisión
(conceptos completos)
▪ Tono y fuerza: La manera en que se redacta, la intensidad de lo adscrito y
la profundidad con que se expresan los términos en el informe de auditoría.
▪ Exactitud: El informe tenga sentido, el texto sea entendible, enfocarlo al
contexto que corresponde.
▪ Congruencia: El texto presentado en el informe corresponda a lo que
sucede en la realidad.
▪ Veracidad: El informe de auditoría sea claro en lo que reporta, así como en
las observaciones y demás procedimientos de la revisión realizada.
▪ Sintaxis: Las frases de las oraciones se construyan de una forma
adecuada.

36
 Conclusiones
• Toda auditoría de sistemas se realiza con el fin de medir los procesos que
realiza cada área para validar si están siendo realizados correctamente
para ello es necesario hacer una planeación y conocimiento del área que se
va a evaluar, en que orden se va hacer, que herramientas se van a utilizar,
es necesario que el auditor utilice todas herramientas planteadas, si con los
instrumentos utilizados se evidencia algún tipo de error o fallo se debe
documentar para así al final poder hacer un consolidado de todos los
documentos y de la misma forma poder hacer la entrega de auditoria final a
los altos directivos de la empresa.

• En el informe de auditoría, se reportan las situaciones encontradas durante

la evaluación, pero también se deben de incluir las causas que originan
esas situaciones y las posibles sugerencias para solucionar problemas
encontrados.

• La presentación oficial del dictamen se puede hacer de dos maneras, ya

sea en forma directa, mediante una reunión ejecutiva con los directivos de
la empresa, o por envío formal del dictamen final de la auditoría al directivo
mayor de la firma.

• En la redacción del informe, el auditor señala los resultados de su

investigación, sus evaluaciones, hallazgos, aportaciones y conclusiones
sobre el trabajo realizado.

37
 Recomendaciones

• Para medir los procesos que realiza cada área en toda auditoria de
sistemas es necesario documentar y diferenciar en forma precisa los
métodos, políticas administrativas y procedimientos de la administración de
riesgos, la seguridad de la información, la propiedad de datos y del sistema.
Esto es, separar completamente en diferentes responsables los procesos
de captura de lecturas, correcciones masivas sobre las tablas de la base de
datos, administración de la base de datos.

• Aplicar la base técnica para una mejor emisión de los informes

especializados de auditoría, esta se encuentra en el grupo de las NIAS 800-
899, áreas especializadas para un mejor desenvolvimiento de un encargo
de auditoría.

• Al hacer la presentación del informe final de auditoria no se debe emitir

ningún comentario adicional que pudiera modificar lo ahí presentado; de
hacerlo, sería tanto como crear expectativas de duda sobre la veracidad y
confiabilidad de su contenido.

• Al redactar el informe es importante señalar técnicas, herramientas,

métodos y procedimientos que utilizó en la obtención de datos, las
observaciones, interpretaciones de los hechos evaluados que le sirvieron
de sustento en la elaboración de la opinión.

38
 Bibliografía
Razo, C. M. (2002). Auditoría en sistemas computacionales. México: Pearson
Educación.

Laura Medina. (7 de marzo de 2011). Auditoría en Sistemas-Medina. Recuperado

el 20 de abril de 2023, de Auditoría en Sistemas-
Medina:http://auditoriadesistemasmedina.blogspot.com/

https://www.academia.edu/11088946/INFORME_DE_AUDITORIA_DE_SISTEMA
S

https://www.auditorscensors.com/uploads/20181207/Informe_Auditoria.pdf

39