METODOLOGÍA PARA REALIZAR AUDITORÍAS DE SISTEMAS

COMPUTACIONALES

El primer paso es desarrollar una auditoría de sistemas computaciones, es identificar el marco

teórico, el cual consta de:

 Método: Es la manera de efectuar una operación o secuencia de estos.

 Metodología: Descripción secuencial de la manera de efectuar una operación o serie.

 Planeación: Es el procesos de decidir qué se hará y de qué manera.

 Plan: Curso de acción basado en el análisis de un problema.

 Programa: Curso de acción detallado que señala los pasos específicos que habrán que
realizarse.

 Presupuesto: Estimación programada de los ingresos y egresos que maneja un organismo.

 Evento: Es la determinación de acontecimientos que llevan fines específicos de transmisión

de ideas, de imágenes y sonidos, para un fin determinado.

 Actividad: Conjunto de operaciones ejecutadas o de actos desarrollados por una o varias

personas.
  Tiempo: Duración de las cosas sujetas a cambios.

 Políticas: Criterio de acción, elegido como guía en el proceso de toma de decisiones.

 Tarea: Es la subdivisión del trabajo para concretizar una actividad.

Fases a considerarse en la planeación de la evaluación de una auditoría de sistemas

computacionales.

Planeación de la auditoría de sistemas computacionales: El primer paso para realizar una

auditoría en sistemas computacionales es definir las actividades necesarias para su ejecución, lo
cual se logrará mediante una adecuada planeación de éstas; es decir, se deben identificar claramente
las razones por las que se va a realizar la auditoría y la determinación del objetivo de la misma

1) Identificar el origen de la auditoría: Para el responsable de realizar la planeación de la

auditoría de sistemas es de suma importancia identificar el origen de la auditoría, debido a
que además de proporcionarle los elementos necesarios para hacer una buena planeación de
la revisión, también le ayuda a definir los elementos de juicio que contribuirán a normar su
criterio de evaluación.
2) Realizar una visita preliminar al área que será evaluada: Es recomendable, diríamos que
casi imprescindible, que el auditor realice una visita preliminar al área de informática que
será auditada, justo después de conocer el origen de la petición de auditoría, y antes de
iniciarla formalmente; el propósito es que tenga un contacto inicial con el personal de dicha
área y que observe cómo se encuentran distribuidos los sistemas, cuántos y cuáles son los
equipos que están instalados en el centro de cómputo, cuáles son sus principales
características, de qué tipo son las instalaciones, cuáles son las medidas de seguridad
visibles que existen, y en sí, que conozca la problemática a la cual se enfrentará, de manera
muy simple y de carácter tentativo.
3) Establecer los objetivo de la auditoría: Más concretamente, desde el punto de vista de los
autores de referencia, en el caso de una auditoría de sistemas el establecimiento del objetivo
es el establecimiento de lo que se pretende satisfacer con dicha auditoría; se incluyen los
siguientes conceptos:
 Misión: Deber moral que se impone a la realización de la auditoría de sistemas.
 Visión: La forma como se ve la realización de la auditoría y lo que se espera de ella.
Propósitos: Objetivo que se pretende alcanzar con la auditoría.
 Metas: Fines específicos de la auditoría. Fines: Son los últimos aspectos que se
busca satisfacer con la auditoría.
 Plazos: Los términos en unidades de tiempo en que se satisface el fin que se
pretende con la auditoría.
4) Determinar los puntos que serán evaluados en la auditoría: Esta definición de los puntos
que tienen que ser evaluados debe ser realizada considerando aspectos muy específicos de
los sistemas computacionales, tales como los siguientes:
 La gestión administrativa e informática del centro de cómputo
 El cumplimiento de las funciones del personal informático y usuarios de los sistemas
 El análisis, diseño y desarrollo de los sistemas computacionales
 La operación de los sistemas computacionales
 La capacitación y adiestramiento del personal y usuarios del sistema
 La protección, custodia y niveles de acceso a las bases de datos
 La protección y respaldo de archivos e información La seguridad y protección de los
usuarios, de la información, de los archivos y en general del centro de cómputo
 Muchos otros aspectos que se deben considerar
5) Elaborar planes, programas y presupuestos para realizar la auditoría: El siguiente paso
es realizar la planeación formal de la auditoría de sistemas, en la cual se concreten los
planes, programas y presupuestos para dicha auditoría; es decir, se deben elaborar los
documentos que contemplen los planes formales para el desarrollo de la auditoría, los
programas en donde se delimiten perfectamente las etapas, eventos, actividades y los
tiempos de ejecución para cumplir con el objetivo, así como los presupuestos de la auditoría,
documentos en donde se deben asignar los costos de los recursos que serán utilizados y el
tiempo que serán utilizados para determinada actividad.
6) Identificar y seleccionar los métodos, procedimientos, instrumentos y herramientas
necesarios para la auditoría: El siguiente paso es determinar los documentos y medios con
los cuales se llevará a cabo la revisión a los sistemas de la empresa, lo cual se logrará a
través de la selección o diseño de los métodos, procedimientos, herramientas e instrumentos
necesarios.
7) Asignar los recursos y sistemas computacionales para la auditoría: Una vez definidos
todos los aspectos señalados en las fases anteriores, el siguiente paso es asignar los recursos
que serán utilizados para realizar la auditoría, de acuerdo con los aspectos ya establecidos
con anterioridad. Con la asignación de estos recursos especializados, sean humanos,
informáticos, tecnológicos o cualesquiera otros que se hayan establecido para la auditoría, es
como se lleva a cabo la misma.