1.

Introducción
Los Sistemas Informáticos se han constituido en las herramientas más poderosas
para materializar uno de los conceptos más vitales y necesarios para cualquier
organización empresarial, los Sistemas de Información de la empresa.
Los sistemas de información hoy, están incluidos en la gestión integral de la
empresa, en consecuencia, las organizaciones informáticas forman parte de lo que
se ha denominado la gestión de la empresa, ayudando a la toma de decisiones,
por ende, debido a su importancia en el funcionamiento de una empresa, existe la
auditoria de sistemas.
La participación del Auditor en los diseños de sistemas se refiere a asesorar sobre
la implementación de controles para prevenir la ocurrencia de riesgos.
Cuando se diseñan los nuevos sistemas de información es el mejor momento para
establecer los controles de dichos sistemas. El papel del auditor debe ser de
asesor y no de crítico, de colaborador y no de ordenador, además se deben crear
las pistas de auditoria para facilitar el ejercicio o práctica de la misma
posteriormente.
2. Desarrollo de sistemas
Podemos definir el desarrollo de sistemas informáticos como el proceso mediante
el cual el conocimiento humano y el uso de las ideas son llevados a las
computadoras; de manera que pueda realizar las tareas para la cual fue
desarrollada.
3. Auditor de Sistemas
Conociendo la importancia y el valor que se le da a toda la información que de
forma sistematizada se maneja en las compañías actuales y que más aún se ven
obligadas a mantenerse a la vanguardia, nace también la necesidad de controlar el
correcto funcionamiento y utilización no solo de la información sino, además de los
sistemas que procesan dicha información, en todos los aspectos asegurándose de
que estos cumplan todas las normativas que la rigen obteniendo como resultado
un proceso de calidad y acorde a las exigencias, debido a estas necesidades se
dio cabida a lo que ahora conocemos como Auditoria de Sistemas, la cual da como
resultado la formación de profesionales que tengan la capacidad de desarrollarlas.
4. Auditoria de sistemas de Información
La auditoría de sistemas es la revisión y la evaluación de los controles en los
sistemas de información, para determinar su uso adecuado, eficiencia y seguridad
en el procesamiento de la información, a fin de que por medio el señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la información
que servirá para una adecuada toma de decisiones.
 Realizada por personal externo a la empresa, proporciona al negocio una
evaluación independiente y objetiva de los hechos que, en ocasiones es difícil de
obtener cuando se está inmerso en la operación y en presión de la problemática
del día a día.
Determinar si los controles implementados son eficientes y suficientes,
identificar las causas de los problemas existentes en los sistemas de información y
a su vez las áreas de oportunidad que puedan encontrarse, determinando las
acciones preventivas y correctivas necesarias para mantener a los sistemas de
información confiables y disponibles.
La auditoría de sistemas identifica causas y soluciones a problemas específicos de
los sistemas de información, que pueden estar afectando a la operación y a las
estrategias del negocio. Por ejemplo:
 Cumplimiento de licencias de software (identificar software pirata, control de
licencias).
 Incompatibilidad del hardware y software.
 Errores frecuentes de la aplicación (“caída”, resultados inexactos, lentitud).
 Bases de Datos con problemas de integridad.
 Bajo desempeño del hardware y software.
 Proyectos con retrasos o que “nunca terminan”.
 Insatisfacción de los usuarios para con los sistemas de información.
 Corrección frecuente a los programas de las aplicaciones.
 Fallas en el control de versiones.
5. Participación del auditor en el desarrollo de sistemas
La participación del auditor es uno de los mejores controles en el desarrollo de
sistemas. Es el mejor momento para que el auditor pueda influir en el diseño de
controles. Durante este periodo se pueden hacer cambios en la estructura del
control del aplicativo, a un costo mucho más bajo y con esfuerzos menores. Que
después de estar el sistema en su etapa productiva su contribución principal
consiste en asegurar que los nuevos sistemas incluyan controles apropiados
(efectivos y suficientes).
En estas actividades su interés se concentrará primordialmente en el desarrollo
e implantación de controles de aplicación adecuados.
Su principal función es asegurar que los sistemas, recientemente implantados
incluyan características de control sólidas y confiables. En términos generales es
ayudar a prevenir que se implanten sistemas de aplicación que tengan riesgos
importantes. El auditor participa en el proceso de desarrollo de sistemas revisando
 la documentación generada como producto final de ciertas actividades de
desarrollo de sistemas.
El auditor necesita reconocer que su participación durante el desarrollo de los
sistemas ya que puede amenazar su independencia y deberá tomar medidas para
evitar esta pérdida. Estas medidas incluyen:
 Permanecer organizacionalmente independiente del grupo de sistema. Esto
significa que el auditor no es un miembro en propiedad del grupo de desarrollo
de sistema y no le quita la dirección del proyecto al gerente del grupo del
proyecto.
 Redactar los informes independientemente del grupo del proyecto. Las
opiniones del auditor, sus recomendaciones y sus evaluaciones no deberían
incluirse en los informes de status del proyecto puesto que el emisor de los
informes (usualmente el gerente del grupo del proyecto) tiene autoridad
editorial para modificar las declaraciones del auditor.
 Investigar independientemente del grupo del proyecto. El grupo del proyecto
puede estar restringido a ciertos contactos y cierta autoridad, pero el auditor
tiene libre acceso a la información y al personal de la organización.
6. Importancia
La participación del auditor en el desarrollo de sistemas puede darse:
 Como consultor de TI
o Cualquier empresa ya sea grande o PYME, tarde o temprano,
necesitará un informático que le preste unos determinados servicios.
Pero muchas de ellas no tienen la posibilidad de incluirlo en plantilla.
Si eres de esas empresas, al menos sí que es necesario tener
un consultor tecnológico disponible y que pueda solventar
cualquier eventualidad que surja, como la reparación de
ordenadores o instalación de equipos informáticos.
o Un problema informático, por simple que sea, puede paralizar una
empresa en un momento dado. En esos casos es donde se requiere la
ayuda de ese informático externo que ya debes tener localizado de
antemano y que tiene los conocimientos suficientes como para
solucionarte el problema en un instante.
o Una consultoría va enfocada hacia cualquier aspecto informático que la
empresa o PYME precise en ese momento, como pueden ser algunos
de los siguientes puntos:
 Un servidor controlado en todo momento (servicio de hosting).
  La configuración de la red de ordenadores de la empresa.
 Los sistemas de seguridad, archivos de copias y antivirus.
 Las actualizaciones de licencias.
 Las migraciones a otros sistemas operativos como Windows 8 o
GNU/Linux…
De esta forma, la PYME estará centrada en su negocio, pero con la
tranquilidad que da el disponer de un consultor informático que, aunque
externo, siempre está atento y dispuesto a solventar un problema, porque si el
negocio de una empresa se paraliza por un error informático, las
consecuencias para dicha PYME pueden ser irreparables y catastróficas.

 Como Auditor Externo

 Como Auditor Interno

La auditoría interna es una función de control interno posterior de la

organización, que se realiza a través de una unidad especializada,
cuyos integrantes no participan en las operaciones y actividades
administrativas. Su propósito es contribuir al logro de los objetivos de la
entidad mediante la evaluación periódica del control interno.

Sistema de información y comunicación

Sistema de información
“Consiste de infraestructura (física y componentes de hardware),
software, persona, procedimientos y datos. La infraestructura y el
software estarán ausentes, o tendrán menos importancia, en sistemas
que sean exclusivamente o principalmente manuales. Muchos sistemas
de información hacen uso extenso de tecnología de la información (TI)”.

Sistemas de información nuevos o renovados

Los cambios importantes y rápidos en los sistemas de información
pueden cambiar el riesgo relativo al Control Interno.

Nueva tecnología
Incorporar nuevas tecnologías en los procesos de producción o
sistemas de información puede cambiar el riesgo asociado con el
Control Interno.
 Evaluación del Control Interno

La evaluación del control interno consiste en analizar, estudiar,

comparar y dar un valor estimado a lo que se haya examinado.
Es un servicio gerencial, por lo que sus objetivos deben ser idóneos a
los objetivos de la gerencia: reducción de costos innecesarios,
incremento de la eficiencia de operación, eliminación del mal uso de
activos de la empresa y obtención de mayores utilidades.
La evaluación de un sistema de control se realiza comparando los
hechos realizados con los estándares. Los estándares son los
mecanismos de control que forman parte y regulan un sistema de
control, por ejemplo:
o Manuales de políticas, riesgos, procedimientos, organización y
funciones
o Reglamento de Control Interno, Auditoría Interna, Auditoría Externa,
o organización y funciones
o Planes estratégicos
o Presupuestos
o Programas de inversiones
o Programas de financiamiento
Para que la auditoria interna esté en condiciones de hacer un trabajo efectivo, son
necesarios los aspectos mínimos siguientes:
 Respaldo total de la administración
 Comunicación fluida y permanente con el departamento de TI
 Personal de auditoria interna con suficientes conocimientos en materia de TI
7. Oportunidad
La participación del auditor interno en el desarrollo de sistemas debe darse
precisamente en el desarrollo del mismo, a efecto de que los controles que se
consideran necesarios, sean incorporados en las diferentes fases o etapas del
desarrollo, ya que una vez funcionando el sistema, es mas difícil y costoso efectuar
las modificaciones.
8. Aspectos generales
Normalmente la metodología utilizada para el desarrollo de sistemas consiste en
dividir el esfuerzo en fases o etapas, claramente definidas, pueden clasificarse así:
8.1 Planificación del sistema
a. Investigación preliminar
 b. Estudio de factibilidad
c. Planificación inicial
8.2 Desarrollo de sistemas
a. Desarrollo de modelos de solución
b. Diseño del modelo elegido
c. Programación y prueba
8.3 Implantación del sistema
a. Preparación de la implantación
b. Implantación operativa
c. Revisión post- implantación y seguimiento
8.4 Normativa
9. Principales dificultades del auditor en el desarrollo de sistemas
9.1 Problemas:
 los auditores pierden su independencia mental y objetividad al participar en
el desarrollo de sistemas ?
 Si el auditor participa y dice que los controles son apropiados,
posteriormente se sentirá impedido para decir son inadecuados los
controles ?
 Se justifica producir aplicativos con pobres controle simplemente para que
el auditor pueda mantener independencia ?
 Se justifica asignar auditores para periodos extensos de tiempo a la
actividad de desarrollo de sistemas
9.2 Soluciones:
• Hacer que las aplicaciones en funcionamiento sean revisadas por auditores
diferentes a los que participaron durante el desarrollo del sistema.
• Efectuar revisiones solo en puntos críticos del ciclo de vida del desarrollo de
sistemas
10. Participación del auditor interno en el desarrollo de sistemas
 Solicitud del usuario: Conocer y verificar la necesidad y sus objetivos
 Estudio de Factibilidad: Conocer el dictamen que justifica el proyecto. Planear la
participación de la auditoria
 Análisis del sistema: Determinar los controles de que debe constar el nuevo
sistema
 Diseño del Sistema: Precisar que el proyecto sea acorde con las necesidades
del usuario y que cuente con los controles suficientes
 Programación: Definir que el programa contemple todos los controles
analizados anteriormente.
  Implantación: Probar el sistema con sus propios datos y con las pruebas en
paralelo que se realicen para garantizar la efectividad del sistema
 Documentación del Sistema: Constatar que la documentación se encuentre
completa y debidamente formalizada, revisando las medidas de seguridad
adoptadas.
11. Auditoria al proyecto de desarrollo de sistemas
Incluye las actividades conducentes a evaluar e informar al comité directivo del
sistema “que tan bien se lleva a cabo las fases de desarrollo del sistema”. La
intervención de la autoridad esta orientada a:
 monitorear y evaluar el cumplimiento de las políticas y estándares de
desarrollo de sistema.
 Evaluar el cumplimiento de los estándares de programación y
documentación.
 Evaluar la objetividad de las revisiones y aprobaciones administrativas
de cada fase.
 Evaluar el cumplimiento del cronograma/presupuesto del proyecto.
 Evaluar la responsabilidad y grado de participación de los usuarios,
proveedores, técnicos, contratistas etc.
 Evaluar la planeación y ejecución de la fase de implantación.
12. Auditoria a la administración de proyectos de desarrollo de sistema
Los puntos de intervención de la auditoria se establecerán en cada una de las
etapas del ciclo de desarrollo del sistema en que se divida la metodología de
desarrollo que se utilice, la que debe incluir de una u otra manera las siguientes
actividades:
 Definición de necesidades de información.
 Definición del modelo de datos.
 Diseño del sistema de información.
 Construcción y pruebas del sistema.
 Implantación del sistema.
 Operación y ajuste al sistema.
13. Revisión de las fases de estudio previo
Los objetivos básicos de la participación del auditor en el proceso de desarrollo de
sistemas son:
• verificar que son razonables los procesos que llevan a la solución de los
problemas.
 • Determinar que las necesidades del usuario están definidas y
documentadas.
• Verificar que se han elaborado estudios sobre la relación coste/beneficio y
que esta es razonable.
• Determinar que el problema empresarial se ha solucionado.
• Verificar que se han especificado los requisitos de control.
El auditor puede revisarla fase de diseño, deberá tener en cuenta que tiene que
conseguir varios objetivos en su participación en esta fase, como son:
• Identificación de los riesgos de la aplicación determinación de los controles
de la aplicación para reducir el riesgo a niveles aceptables.
• Cumplimiento en la aplicación de estándares, políticas, regulaciones y
procedimientos.
• La documentación de la aplicación ha de completarse.
• La aplicación ha de ser capaz de resolver los problemas planteados.
Los documentos producidos en la fase de diseño por el grupo de proyecto
normalmente incluyen:
• Especificaciones de entrada.
• Especificaciones de proyecto.
• Especificaciones de salida.
• Flujogramas de sistemas.
• Necesidades de hardware y software.
• Especificaciones de procedimiento del manual de operaciones.
• Política de retención de datos.
14. Revisión de la fase de programación
Los documentos producidos en la fase y que el auditor podrá revisar son,
principalmente;
• Especificaciones de programación.
• Estudio general de la aplicación: diseño físico de los datos y estructura de la
aplicación (transacciones y cadenas).
• Documentación de programas .
• Instrucciones de operación.
• Documentación de los juegos de ensayo: diseño y resultados de las pruebas.
La información que se obtiene de la fase de pruebas incluye:
• Pruebas del plan.
• Pruebas de los datos.
• Resultados de las pruebas informe del usuario con la aceptación o rechazo de
la aplicación.
La información que el auditor podrá tener a su disposición para la revisión de esta
fase incluye:
• Plan de conversión.
• Flujograma de la conversión.
• Listados de los programas y documentación de la conversión.
• Documentación necesaria para la sustitución de los programas antiguos por los
nuevos en las librerías de explotación y traspaso de programas desde otras
librerías.
• Nuevo manual del operador.
• Nuevo manual del usuario.
• Procedimientos de la verificación de que la fase conversión de ha ejecutado
con éxito.