Plantillas de auditora para el desarrollo de sistemas

informaticos.

Liz Irene Baez1 y Yolanda Espnola2 .

Facultad Politecnica, Universidad Nacional del Este.
Ciudad del Este, Paraguay.
1 lizbaez71@gmail.com 2 espinolayolanda@gmail.com

Resumen
El objeto del presente trabajo de investigacion es implementar plantillas de trabajo de audi-
tora en la fase de desarrollo de sistemas informaticos, con relacion a controles y aplicaciones
de auditora informatica.
Para los efectos de prueba, evaluacion y aplicacion de las plantillas de trabajo, se eligio una
empresa del area de desarrollo de software. Se creo un plan de auditora a ser aplicado a la
misma, luego se procedio a realizar el trabajo de campo.
Posteriormente se llevo a cabo el analisis comparativo y evaluativo de los datos recabados
en las plantillas. Finalmente se presentaron los resultados y se extrajeron las conclusiones
donde se destacan las fortalezas y debilidades de la empresa en cuanto a su gestion. Se
ha probado la practicidad y facilidad de aplicacion de las plantillas implementadas. Como
cierre se formulan algunas sugerencias y recomendaciones de buenas practicas de desarrollo
de sistemas informaticos.
Descriptores: plantilla de auditora, cuestionario de checklist, auditoria informatica, desa-
rrollo de software.

Abstract
The purpose of this work is to implement audit work templates in the development stage of
computer systems, with relation to controls and auditing computer applications.
For purposes of testing, evaluating and implementing the working templates, a company of
software development area was chosen. An audit plan to be applied to it was created, then
the eldwork proceeded.
Subsequently, a comparative evaluative analysis of data collected on the forms was carried
out. Finally the results are presented and conclusions which highlights the strengths and
weaknesses of the company management. The audit forms probed to be easy and agile
to use. As closing, some suggestions and recommendations for good practice in systems
development are formulated.
Keywords: audit template, check list questionnaire, computing audit, software develop-
ment.

1. Introduccion. macion han venido utilizando normas y metodos

Actualmente, cuando las companas buscan
cumplir eciente y ecazmente sus objetivos de
forma transparente, la auditora informatica ad-
quiere fundamental importancia para el logro de
sus metas. Este trabajo ofrece un soporte al audi-
tor para controlar y evaluar los pasos que fueron
realizados conforme a las normas y conceptos para
auditar sistemas de informacion.
Desde tiempos inmemoriales ha existido la -
gura del revisor, que hoy se lo conoce con el nom-
bre de Auditor. Los revisores de sistemas de infor-
ajustados al nivel de desarrollo tecnologico de su
momento. Como consecuencia de la continua evo-
lucion y revolucion del mundo informatico (cada
vez se consiguen ordenadores mas pequenos, mas
rapidos y mas baratos), la auditoria debe estar al
da con los avances de las nuevas tecnologas.
La auditora de desarrollo se encarga de llevar
a cabo la evaluacion de normas, controles, tecni-
cas y procedimientos que se tienen establecidos en
una empresa para mejorar la conabilidad, opor-
tunidad, seguridad y condencialidad de los datos
Plantillas de auditora para el desarrollo de sistemas informaticos.
que se procesan a traves de los sistemas de infor-
macion. La auditora de desarrollo es una rama
especializada que promueve y aplica conceptos de
auditora en el area de sistemas de informacion [1].
La auditora de sistemas de informacion se de-
ne como cualquier auditora que abarca la revi-
sion y evaluacion de todos los aspectos de los siste-
mas automaticos de procesamiento de la informa-
cion, incluidos los procedimientos no automaticos
relacionados con ellos y las interfaces correspon-
dientes.
Este trabajo aborda los conceptos de auditora
informatica y las mejores practicas sobre el con-
trol de sistemas de informacion, lo cual posibili-
tara a un auditor y a un gerente la comprension
y administracion de los riesgos relacionados con la
tecnologa de la informacion y as mismo estable-
cer el enlace entre los procesos de administracion,
aspectos tecnicos, la necesidad de controles y los
riesgos asociados. Finalmente lo que se pretende
es detectar las falencias y evaluar la eciencia de
una seccion o de un organismo para lograr los ob-
jetivos propuestos.
1.1. Formulacion del problema.
En la actualidad los temas relativos a la audi-
tora informatica cobran cada vez mas relevancia,
debido a que la informacion se ha convertido en
el activo mas importante de las empresas, repre-
sentando su principal ventaja estrategica, por lo
que estas invierten enormes cantidades de dinero
y tiempo en la creacion de un sistema de informa-
cion, con el n de obtener mayor productividad y
calidad.
La necesidad de que una organizacion cuente
con procedimiento de control interno es aceptada
ampliamente como garanta de una gestion ecaz
orientada a la consecucion de los objetivos mar-
cados. La funcion auditora es precisamente la en-
cargada de comprobar la existencia de estos pro-
cedimientos de control y de vericar su correcta
denicion y aplicacion determinando las decien-
cias que existan al respecto y los riesgos asociados
a estas carencias de control.
La auditora del desarrollo informatico tra-
tara de vericar la existencia y aplicacion de pro-
cedimientos de controles adecuados que posibiliten
garantizar que el desarrollo de sistemas de infor-
macion se ha llevado a cabo segun estos principios
de ingeniera, o por el contrario determinar las de-
ciencias existentes en este sentido.
1.2. Objetivos
Construir plantillas de auditora informati-
ca para recabar informacion relevante a la
practica del desarrollo de sistemas de infor-
macion.
Elaborar un plan de trabajo de campo para
la aplicacion de las plantillas construidas.
Elaborar una gua para la practica de audi-
toria de desarrollo de sistema informatico.
Probar la usabilidad de las plantillas y de la
gua de aplicacion elaboradas, mediante un
estudio de caso consistente en su empleo en
la auditora de una empresa de desarrollo de
sistemas informaticos.
Elaborar un informe de auditora interna
conforme a los resultados obtenidos en la
aplicacion de las plantillas.
De acuerdo con [1], la Auditora Informatica es
una funcion que ha sido desarrollada para asegu-
rar la salvaguarda de los activos de los sistemas de
computadoras, mantener la integridad de los datos
y lograr los objetivos de la organizacion en forma
ecaz y eciente. Es la vericacion de los contro-
les en las tres siguientes areas de la organizacion
(informatica) [2]:
aplicaciones (programas de produccion),
desarrollo de sistemas e
instalacion de centro de proceso.
Por tanto, se puede decir que auditora en in-
formatica es la revision y evaluacion de los con-
troles, sistemas y procedimientos de la informati-
ca; de los equipos de computo, su utilizacion, e-
ciencia y seguridad; de la organizacion que parti-
cipa en el procesamiento de la informacion, a n
de que por medio del senalamiento de cursos alter-
nativos se logre una utilizacion mas eciente, con-
able y segura de la informacion que servira para
una adecuada toma de decisiones [3].
Se trata de establecer unas bases solidas que
tienen que ver, principalmente con la auditoria, y
uno de los campos o herramientas de la auditora
informatica que es el proceso de recoger, agrupar
y evaluar evidencias para determinar si un sistema
informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo ecazmente
los nes de la organizacion y utiliza ecientemente
los recursos. De este modo la auditora informatica
sustenta y conrma la consecucion de los objetivos
tradicionales de la auditora [4].
2. Materiales y metodos
2.1. Creacion de las plantillas de trabajo
de auditora
Para la elaboracion e implementacion de plan-
tillas de trabajos de auditora en la fase de desa-
rrollo de sistemas informaticos se ha llevado a ca-
bo una investigacion exhaustiva de varios autores,
investigaciones, experiencias y trabajos anteriores,
56
Plantillas de auditora para el desarrollo de sistemas informaticos.
para ello se han utilizado varias tecnicas de reco-
leccion de los datos, analisis y sntesis con la utili-
zacion de chas bibliogracas. Este proceso posi-
Figura 1. Metodologa para la creacion de Plantillas de Trabajo de Auditora.
2.2 Auditoria de Desarrollo de Sistemas
(ADS).
En este apartado se presentan los objetivos de
control aplicables a cualquier proyecto, si bien la
experiencia del auditor debe determinar los objeti-
vos mas importantes en funcion de las caractersti-
cas del proyecto y las fases a auditar. La auditora
de cada proyecto de desarrollo tendra un plan dis-
tinto dependiendo de los riesgos, complejidad y
recursos disponibles para realizar la auditora.
Una vez conocidas las tareas que se deben rea-
lizar en el area de desarrollo, se aborda la ADS
desglosandola en cuatro fases que son las siguien-
tes:
Auditora de la fase Analisis del sistema
de informacion (ASI): pretende obtener
un conjunto de especicaciones detalladas
del sistema de informacion que satisfaga las
necesidades de informacion de los usuarios
y sirva de base para el posterior diseno del
sistema y de forma independiente al entorno
tecnico, que consiste en una especicacion
detallada que posibilite describir con preci-
sion el sistema de informacion.
bilito la elaboracion de los cuadros (cuestionarios
de checklist) presentados mas abajo (Fig. 1).
Auditora de la fase Diseno del sistema
de informacion (DSI): su objetivo es de-
nir la arquitectura del sistema y del entorno
tecnologico que lo va a soportar, conjunta-
mente con una especicacion detallada de los
componentes, que posibiliten denir una ar-
quitectura fsica para el sistema, coherente
con la especicacion funcional que se dispon-
ga y con el entorno tecnologico; aparte de
generar todas las especicaciones necesarias
para la construccion del sistema de informa-
cion.
Auditora de la fase Construccion del sis-
tema de informacion (CSI): en esta fase
se desarrollan componentes de software que
deben satisfacer las necesidades identicadas
y cumplir con los requisitos especicados en
la fase de diseno. As mismo se ponen en
marcha todos los procedimientos necesarios
para que los usuarios puedan trabajar con
el nuevo sistema. Al desallar tales compo-
nentes o modulos se deben emplear tecnicas
de programacion correctas; los proyectos de
desarrollo deben denir los procedimientos y
57
Plantillas de auditora para el desarrollo de sistemas informaticos.

la formacion necesaria de los usuarios para 2.3. Programa de Auditoria

que estos puedan utilizar el nuevo sistema
Esta investigacion esta orientada a la auditoria
adecuadamente.
de desarrollo de sistemas informaticos. Inicia con
la entrevistas y observacion para levantamiento de
datos validados por la evidencia.

2.3.1. Plan de Auditora para aplicacion

Auditora de la fase Implantacion y acep-
tacion del sistema (IAS): En esta fase
se verica si el sistema cumple con los re-
quisitos establecidos en la fase de analisis.
Una vez aprobado y aceptado se pone en ex-
plotacion, considerando los siguientes ejes de
objetivos de control: a) El sistema debe ser
aceptado formalmente por los usuarios antes
de ser puesto en explotacion; b) Al poner el
sistema en explotacion formalmente, pasa a
mantenimiento solo cuando haya sido acep-
tado y este preparado todo el entorno en que
se lo ejecutara.
del trabajo.
La auditora comprende la revision y el anali-
sis de la estructura y gestion de la gerencia de
la empresa, especcamente al sector de sistema.
No se contempla: auditoria fsica de sistemas in-
formaticos, auditora administrativa de la empre-
sa, evaluacion del desempeno de funcionarios con
herramientas propias de psicologa laboral. La en-
trega a los auditores de los documentos y datos
solicitados son de exclusiva responsabilidad de la
empresa, por lo cual ella debera propiciar un am-
biente de trabajo de colaboracion con los auditores
(Tabla 1).

Tabla 1. Programa de trabajo de auditora.

Obtener la informacion referente al cumplimiento los papeles de trabajos creados en
Objetivo
la investigacion.
Alcance Se aplicara a una empresa de ingeniera informatica.
Dos Auditores, una computadora tipo Notebook y un cuestionario de evaluacion de
Recursos los controles (papeles de trabajos).
1. Solicitar los estandares utilizados, manuales de procedimiento, planes y documen-
taciones de la empresa, ademas de la estructura organica.
2. Evaluar los documentos solicitados en el punto 1) del area, caso sea necesarios
despues de realizar un analisis, prepare y actualice los documentos.
3. Realizar entrevistas con todos los gerentes y funcionarios de la empresa.
Pasos a 4. Aplique el cuestionario de control (los papeles de trabajo) por separado a cada
seguir uno de los empleados especicados en el numeral anterior.
5. Anotar las respuestas a cada pregunta en el espacio correspondiente del cuestio-
nario.
6. Evaluar la informacion recopilada en el punto 5, compilar las respuestas de todos
los empleados y extraer conclusion.
7. Redactar resumen de fortalezas y debilidades de control de la empresa.

2.3.2. Aplicacion del plan de trabajo para
la fase de desarrollo.
Para la aplicacion de plantilla en la fase de
desarrollo de sistema de informacion, se presenta
en forma graca el plan de trabajo, relacionado a
la ejecucion de la auditoria.
Las plantillas de trabajo ya creadas son en-
viadas con una solicitud de aprobacion; una vez
aprobadas se procede a realizar las entrevistas per-
tinentes con relacion a la auditoria de desarrollo
de sistema. Finalizadas las entrevistas (plantillas
de trabajos) se procede a analizar los resultados,
detallar los resultados obtenidos y en base a esto
obtener el informe nal de la auditoria, vease el
diagrama de la Fig. 2.

58
Plantillas de auditora para el desarrollo de sistemas informaticos.

Figura 2. Aplicacion de plantillas de auditora de desarrollo de sistemas informaticos.

3. Presentacion de Resultados de ciones detalladas del sistema que deben satisfa-

Auditoria.
Las plantillas de trabajo de auditoria en la fase
de desarrollo de sistemas informaticos fueron apli-
cadas a una empresa desarrolladora de software de
Ciudad del Este.
3.1. Auditora de la fase ASI
En esta fase que se reere al analisis del sis-
tema informatico se han obtenido las especica-
cer las necesidades de informacion de los usuarios
y que sirven de base para el diseno del sistema,
independientemente del entorno tecnico, teniendo
en cuenta el plan detallado de sesiones de traba-
jos: entrevistas y tecnicas que se utilizan para la
recopilacion de informacion mas los catalogos de
requisitos. En la tabla 2 se puede observar un des-
pliegue de pantalla de los resultados en cuanto al
cumplimiento de las especicaciones de la fase ASI
por la empresa del estudio de caso de este trabajo.

Tabla 2. Resultado fase ASI.

3.2. Auditora de la fase DSI.
La auditora de esta fase de diseno de siste-
mas informaticos trata sobre la arquitectura fsica
para el sistema disenado, su coherencia con la es-
pecicacion funcional y con el entorno tecnologi-
co. Trata tambien sobre las especicaciones nece-
sarias para la construccion del sistema de infor-
macion, teniendo en cuenta varios puntos entre
ellos la existencia de catalogos de requisitos, la
presentacion de disenos y el entorno tecnologico
como servidores, computadores etc. En la tabla 3

59
Plantillas de auditora para el desarrollo de sistemas informaticos.

se puede observar un despliegue de pantalla de los pecicaciones de la fase DSI por la empresa del
resultados en cuanto al cumplimiento de las es- estudio de caso de este trabajo.

Tabla 3. Resultado fase DSI.

3.3. Auditora de la fase CSI. caciones de construccion del sistema obtenida en

la fase de diseno. Ademas trata el procedimiento
La auditora de esta fase trata sobre la cons-
de seguridad y la disponibilidad de los puestos de
truccion de los componentes o modulos que se
trabajo, entre otros. En la tabla 4 se puede obser-
habran desarrollado usando tecnicas de programa-
var un despliegue de pantalla de los resultados en
cion correctas. Tambien trata sobre los proyectos
cuanto al cumplimiento de las especicaciones de
de desarrollo denidos en procedimientos necesa-
la fase CSI por la empresa del estudio de caso de
rios para la utilizacion adecuada del nuevo siste-
este trabajo.
ma, teniendo en cuenta que cumplan las especi-

60
Plantillas de auditora para el desarrollo de sistemas informaticos.

Tabla 4. Resultado de fase CSI.

3.4. Auditora de la fase IAS. lla de los resultados en cuanto al cumplimiento de

las especicaciones de la fase IAS por la empresa
Esta fase es complemento de la fase CSI. En la
del estudio de caso de este trabajo.
tabla 5 se puede observar un despliegue de panta-

Tabla 5. Resultado de fase IAS.

4. Conclusion. de lo que es auditora de desarrollo de sistemas in-

El aporte del presente trabajo constituye un
soporte de actualizacion en el area de auditora in-
formatica que hace referencia a controles y practi-
cas. Ademas, posibilita un conocimiento detallado
formaticos dentro de los conceptos generales de la
auditora informatica. Los objetivos propuestos al
inicio del trabajo han sido cumplidos satisfactoria-
mente y las pruebas del estudio de caso aplicado a
la empresa que brinda servicio en el area de desa-

61
Plantillas de auditora para el desarrollo de sistemas informaticos.

rrollo de sistemas informaticos se han efectuado [2] C. Williams y R. Donald, Control Y Auditora
arrojando resultados satisfactorios. Del Computador. Instituto Mexicano de Conta-
dores Publicos. Mexico. 1980.

[3] E. Garca y J. Antonio. Auditora en In-

Referencias bibliogracas formatica. Mc Graw-Hill. 2a. ed. Mexico. 1995.

[1] R. Weber, Prentice Hall, Pearson Mc Graw [4] M. Piattini, y Del Peso Navarro. Un enfoque
Hill, Grupo Editor. 1984. practico. RA-MA. 2a ed. Espana. 2001.

62