auditoria en sistemas computacionales · vi auditoría en sistemas computacionales 3.1marco...

818
® Carlos Muñoz Razo

Upload: others

Post on 26-Sep-2020

13 views

Category:

Documents


1 download

TRANSCRIPT

  • Primero en auditorías contables, después en financieras, administrativas, gubernamentales eintegrales, y recientemente en auditorías especializadas por áreas de aplicación, la disciplina deauditoría se ha distinguido a través del tiempo como la única profesión capaz de evaluar y dic-taminar funciones, operaciones y resultados de casi todas las áreas de las instituciones públi-cas y privadas. En gran medida, este reconocimiento obedece a la evolución de sus métodos,procedimientos y herramientas de evaluación.

    Con el propósito de mantener ese reconocimiento como el único profesional autorizadopara evaluar y dictaminar los resultados de las empresas, el auditor siempre debe estar a lavanguardia de los métodos, procedimientos y herramientas de evaluación; sin embargo, debi-do a la constante y vertiginosa evolución de los sistemas computacionales, tal parece que eneste terreno la auditoría aún no ha evolucionado a la par que en las demás disciplinas. Por talmotivo, es menester que este profesional incursione más activamente en la evaluación de lossistemas computacionales.

    Precisamente, amigo lector, el libro que tiene en sus manos le presenta los principios, lasaplicaciones y los instrumentos técnicos especializados que le permitirán realizar, de maneraeficaz y eficiente, la auditoría profesional de la administración, el funcionamiento, la utilizacióny el aprovechamiento de los modernos sistemas computacionales de las empresas, así como laevaluación de la gestión, el manejo, la seguridad y el control correctos de los equipos compu-tacionales, hardware, software, bases de datos, información, periféricos y todos los compo-nentes relacionados con los recursos informáticos de las instituciones. Asimismo, con dichosprincipios, aplicaciones e instrumentos podrá auditar el desarrollo, la implementación y la ope-ración de estos sistemas, así como el cumplimiento de las funciones y actividades de sus res-ponsables.

    La finalidad de este libro es mostrarle, de manera sencilla, didáctica y fácil de comprender,los cimientos teóricos, especializados y prácticos que fundamentan el uso de los métodos,procedimientos, técnicas y herramientas que proponemos en esta obra, los cuales planteamosa través de once arquetipos de auditorías especializadas, de aplicación exclusiva para evaluarcasi todos los ambientes de trabajo de los sistemas.

    Respetable lector, el libro que ponemos a su consideración pretende exponerle los nuevosderroteros que se pueden seguir en la profesión de auditor, a fin de que cuente con los fun-damentos para realizar una mejor y más profesional evaluación de los sistemas computacio-nales en las empresas de nuestro tiempo. Aspiramos a poder mostrarle los fundamentosteóricos, prácticos y técnicos que intervienen en la práctica de esta naciente actividad profe-sional de auditoría de la gestión de los sistemas computacionales.

    OTROS LIBROS DE INTERÉS PUBLICADOS POR PEARSON:

    LAUDON: Sistemas de información gerencial, sexta ediciónLEVINE: Computación y programación modernaMcLEOD, Jr.: Sistemas de información administrativa, séptima ediciónRAMÍREZ: Aprenda Visual Basic Practicando

    ® ®®Carlos Muñoz Razo

    Muñoz

    AU

    DITO

    RÍA

    ENSISTEM

    AS

    CO

    MPU

    TACIO

    NA

    LES

    AUDITORÍA EN SISTEMAS COMPUTACIONALES

    www.pearsonedlatino.com

    PORTADA-.B 11/12/07 2:38 PM Page 1

  • Auditoría een ssistemas computacionales

    Carlos Muñoz RazoCatedrático-Investigador de la Universidad

    del Valle de México

    Revisor técnicoJorge Rivera AlbarránUniversidad Iberoamericana

  • Editor: Guillermo Trujano Mendozae-mail: [email protected]

    Supervisor de edición: Antonio Núñez RamosSupervisor de producción: José D. Hernández Garduño

    PRIMERA EDICIÓN, 2002

    D.R. © 2002 por Pearson Educación de México, S. A. de C. V.Calle 4 Nº 25-2º piso, Fracc. Ind. Alce Blanco,Naucalpan de Juárez, Edo. de México,C.P. 53370

    Cámara Nacional de la Industria Editorial Mexicana. Reg. Núm. 1031

    Prentice Hall es una marca registrada de Pearson Educación de México, S. A. de C. V.

    Reservados todos los derechos. Ni la totalidad ni parte de esta publicación pueden reproducirse, registrar-se o transmitirse, por un sistema de recuperación de información, en ninguna forma ni por ningún medio,sea electrónico, mecánico, fotoquímico, magnético o electroóptico, por fotocopia, grabación o cualquierotro, sin permiso previo por escrito del editor.

    El préstamo, alquiler o cualquier otra forma de cesión de uso de este ejemplar requerirá también la autori-zación del editor o de sus representantes.

    ISBN 970-17-0405-3

    Impreso en México/Printed in Mexico

    1 2 3 4 5 6 7 8 9 0 05 04 03 02

  • A mi esposa Mercedes y mis hijas Lizeth Mercedes y Karla Liliana.

    Representan la razón de ser de mi existencia y son mi fuente permanente de inspiración

    y deseo de superación.

    A mis padres: Carlos (QEPD) y Rosa.

    Juntos formaron ilusiones en la vida y las vieron cristalizadas como

    familia. Gracias.

    A mis hermanos y hermanas, cuñados y cuñadas, sobrinos y sobrinas.

    Compartimos el camino de la vida, el presente y el porvenir, con

    alegrías, entusiasmo y cariño.

  • AGRADECIMIENTOS

    A mis amigos maestros y alumnos de la Universidad del Valle de México.

    Además de la amistad, compartimos la honorífica vocación de la docencia. Graciaspor el permanente intercambio de conocimientos.

    (No menciono los nombres de estos amigos, porque podría caer en el pecado deomisión.)

    En especial a las academias de sistemas, investigación y administración del CampusSan Rafael, y al comité de rediseño de administración 2001 de la UVM.

    A los señores Antonio Núñez Ramos y José Hernández Garduño, y a sus equiposde trabajo.

    Gracias por su valiosa aportación de conocimientos, experiencia y voluntad para larevisión técnica y editorial de este libro.

    Al Ing. Salvador Vázquez Amaya.

    Autor del prólogo de este libro, y con quien he compartido muchas experiencias enla docencia, sistemas e investigación.

    A la Universidad del Valle de México.

    Institución de educación superior que a través de la docencia me ha permitido realizar mis anhelos y vocación.

  • CONTENIDO

    Presentación xiPrólogo xvIntroducción xvii

    1 Conceptos generales 1Estructura del capítulo Introducción del capítulo

    Antecedentes de la auditoría Conceptos básicos sobre la auditoría Clasificación de los tipos de auditorías Objetivos generales de la auditoría Marco esquemático de la auditoría de sistemas computacionales

    2 Elementos fundamentales en el estudio de la auditoría 33

    Estructura del capítulo Introducción del capítulo

    Definición general de auditoría Objetivos particulares de cada tipo de auditoría Principales áreas actividades y resultados que se auditan Normas generales de auditoría Métodos técnicas herramientas y procedimientos de auditoría Estructuras de organización de las empresas y áreasdedicadas a la auditoría

    3 Normas ético-morales que regulan la actuación del auditor 51

    Estructura del capítulo Introducción del capítulo

    v

  • vi Auditoría en sistemas computacionales

    Marco conceptual de la ética Principios de axiología y valores éticos Criterios y responsabilidades del auditor Normas profesionales del auditor

    4 Control interno 95Estructura del capítuloIntroducción del capítulo

    Conceptos y definiciones de control Conceptos y definiciones del control interno Elementos del control interno Estándares de control

    5 Control interno informático 133Estructura del capítuloIntroducción del capítulo

    Controles internos para la organización del área de informática Controles internos para el análisis desarrollo e implementación de sistemas Controles internos para la operación del sistema Controles internos para los procedimientos de entrada de datos procesamiento de información y emisión de resultados Controles internos para la seguridad del área de sistemas

    6 Metodología para realizar auditorías de sistemas computacionales 179

    Estructura del capítulo Introducción del capítulo

    Marco conceptual de la metodología para realizar auditorías de sistemas computacionales Metodología para realizar auditorías de sistemas computacionales

  • ª etapa: Planeación de la auditoría de sistemas computacionales

    ª etapa Ejecución de la auditoría de sistemas computacionales ª etapa Dictamen de la auditoría de sistemas

    computacionales

    7 Papeles de trabajo para la auditoría de sistemas computacionales 243

    Estructura del capítulo Introducción del capítulo

    Contenido del legajo de papeles de trabajo Claves del auditor para marcar papeles de trabajo Cuadros estadísticas y documentos concentradores de información Diagramas de sistemas

    8 Informes de auditoría de sistemas computacionales 271Estructura del capítuloIntroducción del capítulo

    Procedimiento para elaborar el informe de auditoría de sistemas computacionales Características del informe de auditoría de sistemas computacionales Estructura del informe de auditoría de sistemas computacionales Formatos para el informe de auditoría de sistemas computacionales

    9 Instrumentos de recopilación de información aplicables en una auditoría de sistemas computacionales 327

    Estructura del capítulo Introducción del capítulo

    Contenido vii

  • Entrevistas Cuestionarios Encuestas Observación Inventarios Muestreo Experimentación

    10 Técnicas de evaluación aplicables en una auditoría de sistemas computacionales 417

    Estructura del capítulo Introducción del capítulo

    El examen La inspección Confirmación Comparación Revisión documental Acta testimonial Matriz de evaluación Matriz DOFA

    11 Técnicas especiales de auditoría de sistemascomputacionales 477

    Estructura del capítulo Introducción del capítulo

    Guías de evaluación Ponderación Modelos de simulación Evaluación Diagrama del círculo de evaluación Lista de verificación (o lista de chequeo) Análisis de la diagramación de sistemas Diagrama de seguimiento de una auditoría de sistemas computacionales Programas para revisión por computadora

    viii Auditoría en sistemas computacionales

  • 12 Propuesta de puntos que se deben evaluar en una auditoría de sistemas computacionales 557

    Estructura del capítulo Introducción del capítulo

    Auditoría con la computadora Auditoría sin la computadora Auditoría a la gestión informática del área de sistemas Auditoría al sistema computacional Auditoría alrededor de la computadora Auditoría de la seguridad de los sistemas computacionales Auditoría a los sistemas de redes Auditoría outsourcing en los sistemas computacionales Auditoría ISO a los sistemas computacionales Auditoría ergonómica de los centros de cómputo Auditoría integral a los centros de cómputo

    Apéndice A 687

    Lista de verificación para una auditoría a la gestión informática

    Apéndice B 693

    Lista de verificación para una auditoría a la seguridad informática

    Apéndice C 701

    Listado de verificación de auditoría de redes

    Apéndice D 723

    Lista de verificación para el hardware de la computadora Lista de verificación para las características del software Lista de verificación para el diseño lógico del sistema Lista de verificación para el diseño físico del sistema Lista de verificación para la administración de accesos Lista de verificación para la administración de los controles

    de seguridad del sistema computacional

    Contenido ix

  • x Auditoría en sistemas computacionales

    Apéndice E 735

    Lista de verificación de auditoría alrededor de la computadora

    Apéndice F 745

    Lista de verificación de auditoría ergonómica

    Apéndice G 753

    Lista de verificación de auditoría ISO

    Apéndice H 757

    Lista de verificación de auditoría outsourcing

    Apéndice I 771

    Lista de chequeo de auditoría integral

    Índice 785

  • PRESENTACIÓN

    Es fundamental la operación de los sistemas, esdeseable la profesionalización en éstos, y es mejorla especialización en su uso; pero es aún superior

    la auditoría en sistemas computacionales

    Estimado lector, la función de auditoría lleva un largo recorrido en la evaluación de lasactividades de las empresas y, en estos tiempos, se ha consolidado como la única pro-fesión reconocida para auditar las funciones, operaciones y resultados de todas lasáreas de las mismas; sin embargo, la auditoría de los sistemas computacionales toda-vía es un campo novedoso, innovador y de aplicación muy reciente, lo cual hace que,en los albores del siglo XXI, esta moderna disciplina sea un territorio parcialmente iné-dito, del que poco se ha estudiado y del cual se exige una mayor incorporación pararevisar las acciones informáticas de las empresas de nuestros días. Precisamente, pa-ra subsanar estos aspectos, el libro que tiene en sus manos le presenta los principalescimientos, aplicaciones e instrumentos que le permitirán auditar de manera profesio-nal los sistemas computacionales.

    Durante la lectura de este texto encontrará los cimientos teórico-prácticos que fun-damentan la aplicación de los métodos, procedimientos, técnicas y herramientas quele habilitarán para realizar, de manera eficaz y eficiente, la evaluación profesional de laadministración, el funcionamiento, la utilización y el aprovechamiento de los modernossistemas computacionales en las empresas; del mismo modo, aplicando las bases deevaluación aquí presentadas, podrá auditar el cumplimiento de las funciones, las acti-vidades, la operación, el desarrollo y la implementación de estos sistemas y de sus res-ponsables, así como la correcta administración, el aprovechamiento, la seguridad y elcontrol de equipos de cómputo, hardware, software, bases de datos, información, pe-riféricos y de todos los componentes relacionados con los recursos informáticos de lasinstituciones que cuenten con sistemas computacionales.

    En el devenir del tiempo, la profesión de auditor se ha fortalecido como la discipli-na fundamental para evaluar todas las áreas de las instituciones públicas y privadas, in-cluyendo los sistemas computacionales. Es por ello que, pensando en la importanciaque ha cobrado la evaluación de estos sistemas, el ánimo de este libro fue concebidocon las siguientes intenciones:

    • La primera es presentar al profesional de auditoría, cualquiera que sea su espe-cialidad en esta materia, los fundamentos teóricos, técnicos y prácticos de la au-ditoría de los sistemas computacionales, con el propósito de que complemente

    xi

  • xii Auditoría en sistemas computacionales

    su embalaje profesional y aproveche, en la evaluación de los sistemas informá-ticos, la experiencia, habilidades y conocimientos de su inicial profesión de au-ditor. Todo ello en aras de una mayor eficiencia y eficacia en la realización deeste tipo de trabajos tan especializados, amén de incrementar su potencial pro-fesional en la materia de auditoría que practique actualmente.

    • Una segunda finalidad es que se beneficie de los conocimientos informáticos delos profesionales dedicados a los sistemas computacionales, no necesariamen-te auditores, a fin de proporcionar a quienes ya son especialistas en estos siste-mas un acervo teórico, técnico y práctico sobre los aspectos fundamentales deesta especialidad de evaluación, lo cual les permitirá conocer y aplicar los prin-cipios y puntos básicos sobre los cuales descansa la práctica de la auditoría, eneste caso de los sistemas computacionales.

    • El siguiente propósito del libro es presentar este material a los maestros, estu-diantes, pasantes y profesionales de las carreras de sistemas, ingeniería, conta-bilidad, administración y áreas similares, a fin de que adquieran losconocimientos necesarios para capacitarlos en la práctica de esta cada vez mássolicitada actividad profesional en el ámbito de los sistemas de cómputo, y conello fomentar su plena incorporación a esta innovadora disciplina profesional.

    La aspiración fundamental del autor es, en todos los casos, mostrar a los lectores, deuna manera sencilla, didáctica y fácil de comprender, los cimientos sobre los cuales seapoya la práctica de la auditoría de sistemas computacionales, a fin de que, con los co-nocimientos aquí vertidos, el profesional universitario que se dedique a esta actividadtenga los elementos necesarios para realizar su mejor práctica de esta especialidad enlas empresas, y para que con su estudio pueda incrementar su acervo profesional en ma-teria de sistemas computacionales.

    Para llevar a cabo la mejor de las auditorías de los sistemas computacionales enlas empresas, en las páginas de este libro encontrará los fundamentos técnicos, teóri-cos y prácticos de esta especialidad, los cuales se proponen en once aplicaciones quecomprende el capítulo 12 de auditorías especializadas en sistemas informáticos, mis-mas que pueden utilizarse para la evaluación de casi todos estos ambientes de traba-jo. Concretamente, se proponen estas especialidades de auditoría:

    • Auditoría con la computadora• Auditoría sin la computadora• Auditoría a la gestión informática del área de sistemas• Auditoría al sistema computacional• Auditoría alrededor de la computadora• Auditoría de la seguridad de los sistemas computacionales• Auditoría a los sistemas de redes• Auditoría outsourcing en los sistemas computacionales• Auditoría ISO 9000 a los sistemas computacionales

  • Presentación xiii

    • Auditoría ergonómica de los centros de cómputo• Auditoría integral a los centros de cómputo

    De conformidad con esta propuesta de división de las principales formas de eva-luación de los sistemas de cómputo, el auditor puede identificar, adoptar, cambiar ocomplementar el tipo de auditoría especializada que sea de su preferencia, para ajus-tarla al tipo de auditoría que requiera practicar a los sistemas. Asimismo, puede elegirentre seguir los puntos e instrumentos de evaluación que se sugieren en cada catego-ría de las auditorías señaladas, o modificarlos de acuerdo con sus necesidades espe-cíficas de evaluación.

    Amable lector, el libro que tiene en sus manos es un documento innovador para lapráctica de esta especialidad de auditoría. En su contenido encontrará los elementosque le ayudarán a reforzar, adquirir o especializar sus conocimientos en materia deauditoría de sistemas computacionales, capacidades que pueden ser empleadas conmucho éxito en disciplinas profesionales como contabilidad, ingeniería, administra-ción y áreas similares de responsabilidad, a fin de que pueda hacer una acertada eva-luación de sistemas computacionales en las empresas de nuestro tiempo.

    El equipo responsable de esta publicación desea que la lectura de este libro sea elvehículo profesional que le permita traspasar las fronteras del éxito en esta novedosaespecialidad que hoy demandan las empresas.

    Cualquier comentario acerca del contenido de este libro, el autor pone a su dis-posición las siguientes direcciones electrónicas:

    cmuñ[email protected], [email protected].

    Carlos Muñoz Razo

  • PRÓLOGO

    La apertura cada vez mayor que México está dando a las empresas nacionales e inter-nacionales, el uso creciente de las tecnologías de información como herramienta paralograr ventaja competitiva, y tratar de controlar, a través de sistemas computacionales,el creciente volumen de transacciones generadas por las actividades comerciales y fi-nancieras de las instituciones mexicanas, han hecho que se requiera una vigilancia yevaluación constantes de estos sistemas.

    Al respecto, el autor nos presenta, en forma sencilla e interesante, los métodos ylas técnicas que todo auditor, o toda persona interesada en la auditoría de sistemascomputacionales, podría necesitar para diagnosticar el desempeño y desarrollo de di-chos trabajos.

    Además, el autor nos narra, en forma clara y amena, los orígenes de la actividad deauditor, profesionista independiente capaz de dictaminar sobre la veracidad y confia-bilidad de los registros de las operaciones comerciales y financieras de las institucio-nes. Asimismo, nos menciona que la primera auditoría nació desde el momento en quesurgió la necesidad de rendir cuentas de algún negocio y revisar que éstas fueran co-rrectas. Dicha función fue evolucionando conforme crecía la actividad de registro deoperaciones mercantiles.

    Es de llamar la atención la forma en que el autor narra los antecedentes de la au-ditoría financiera, administrativa, operacional y de sistemas a través de investigacionesprofesionales hechas en diversas instituciones de educación superior en México.

    Al tratar la auditoría de sistemas computacionales, el autor incluye, de manera acer-tada, la evaluación del hardware, software, de la gestión informática, de la información,del diseño de sistemas, de las bases de datos, de la seguridad, de las redes de cómpu-to y otros conceptos o recursos especializados de los sistemas computacionales.

    Cabe mencionar, en palabras del autor, que “Las principales técnicas, métodos yprocedimientos de auditoría se ubican en tres grandes apartados: instrumentos de re-copilación de datos, técnicas de evaluación y técnicas especiales de auditoría de siste-mas computacionales”.

    Especial atención merece la manera en que esta obra hace énfasis en las normasético-morales que regulan la actuación del auditor, con el propósito, como mencionael autor, de “que el lector identifique los criterios y obligaciones que debe satisfacer laactuación profesional del auditor en los campos ético, moral y profesional. El autor ha-ce una recopilación muy profesional de las bases fundamentales de los valores, loscuales, en estos tiempos, han sido abandonados o quizás olvidados, por lo que son mo-tivo de reflexión en este libro. El autor logra esta reflexión dentro de su amena lectura,en el capítulo correspondiente.

    xv

  • xvi Auditoría en sistemas computacionales

    En combinación con las normas de comportamiento ético-morales, el autor nosmenciona que hay normas de carácter social y normas de carácter profesional perma-nente, que son las normas mínimas de actuación que todo profesional de esta área de-be observar.

    Para concluir este apartado, deseo agradecer al autor por haberme dado la opor-tunidad de conocer en forma precisa y clara, a través de este libro, las normas, méto-dos, herramientas y procedimientos que deben conocer todos los profesionales que sedediquen a tan loable labor.

    M. en C. Ing. Salvador Vázquez Amaya.Presidente de la Academia de Información y Sistemas. Universidad del Valle de México.Campus San Rafael.

  • INTRODUCCIÓN

    El proyecto de esta obra se realizó a lo largo de doce capítulos, en los cuales usted en-contrará los fundamentos teóricos, prácticos y especializados que deben aplicarse pa-ra realizar con éxito una auditoría de sistemas computacionales. En detalle, este librose configuró como se describe enseguida:

    En el capítulo 1, Conceptos generales, se presentan los antecedentes, conceptos ydefiniciones que se agrupan en torno a la auditoría; el propósito es que usted identifi-que la esencia y razón de ser de esta disciplina, así como su importancia como activi-dad profesional en la evaluación de los sistemas computacionales.

    El capítulo 2 nos muestra los elementos fundamentales para el estudio de esta dis-ciplina; señalándose las diferentes propuestas de clasificación de la auditoría, las pro-puestas de estructuras de organización del área de auditoría de sistemas, así como unapresentación preliminar de las áreas, actividades y elementos que se pueden auditaren los sistemas informáticos.

    En el capítulo 3 encontrará un amplio y generoso tratamiento de las normas ético-morales que regulan la actuación del auditor en las empresas, en su profesión y en suconducta personal. Además, se incluye el marco conceptual de la ética y los principiosaxiológicos de los valores aplicables a la actividad de auditoría. El propósito es desta-car la importancia que tiene la conducta del auditor ante las empresas.

    Una parte sustantiva de esta obra se presenta en el capítulo 4, en donde se expo-nen los principios y fundamentos del control interno para su aplicación en las empre-sas, así como el estudio de sus conceptos, definiciones y componentes, tanto delconcepto control como del control interno.

    Complementando el anterior apartado, en el capítulo 5 se presenta una propues-ta de estudio del control interno informático; en dicha propuesta se analiza la aplica-ción del control interno en los principales aspectos de la actividad de sistemas. Elpropósito es que usted identifique la importancia del contenido del control interno in-formático, con lo cual se entiende y justifica la esencia de la auditoría de los sistemascomputacionales.

    De igual importancia es la presentación de una metodología exclusiva para este ti-po de auditoría, en donde se destaca y detalla cada uno de los pasos y componentesde la planeación, aplicación y presentación de los resultados obtenidos de una evalua-ción de los sistemas informáticos de las empresas. Metodología que ha sido amplia-mente avalada por la práctica profesional en la evaluación de estos sistemas, la cual seanaliza punto por punto en el capítulo 6, junto con los componentes y fundamentos pa-ra su uso correcto.

    xvii

  • xviii Auditoría en sistemas computacionales

    Así como es importante seguir la metodología propuesta para la auditoría de lossistemas computacionales, no menos trascendental es el correcto y confiable soportedocumental de la evaluación practicada, razón por la cual, en el capítulo 7 se muestranlos principales aspectos relacionados con la elaboración y el contenido de los llama-dos papeles de trabajo. En ese capítulo se presenta la manera de elaborar, concentrary conservar los respaldos documentales de pruebas, evaluaciones, documentos y de-más instrumentos que servirán para fundamentar las desviaciones encontradas duran-te la auditoría de los sistemas evaluados.

    El producto final de la auditoría de sistemas computacionales es la exposición pro-fesional de los resultados obtenidos durante la evaluación. Debido a la importancia quetiene esta función del auditor, en el capítulo 8 se puntualizan todos los aspectos que per-miten elaborar, de la mejor manera, el dictamen de la auditoría de los sistemas compu-tacionales. Para elaborar este importante documento, en este apartado encontrará unprofundo análisis de los principales componentes del informe y dictamen que emite elauditor como resultado de su trabajo, en el que se señalan las características del infor-me, sus formas de presentación y las sugerencias para elaborarlo correctamente.

    En los tres capítulos siguientes, relacionados con los procedimientos, métodos, téc-nicas y herramientas de aplicación exclusiva en la auditoría de sistemas computaciona-les, encontrará un soporte para los conocimientos en esta especialidad de sistemas.

    En el capítulo 9 se presentan los instrumentos de recopilación aplicables en la au-ditoría de sistemas; se explican el diseño, la elaboración y la aplicación de herramien-tas como el cuestionario, la entrevista, la observación, los inventarios, el muestreo y laexperimentación.

    En el capítulo 10 se presentan las técnicas de evaluación aplicables en la auditoríade sistemas computacionales. En dicho capítulo se muestran instrumentos de evalua-ción como el examen, la inspección, la confirmación, la revisión documental, el actatestimonial, la matriz de evaluación y la matriz DOFA. Todos ellos instrumentos indis-pensables para la evaluación de los sistemas computacionales.

    En el capítulo 11 se detallan las técnicas especiales de la auditoría de sistemascomputacionales. En dicho capítulo se presentan las herramientas especializadas paraevaluar los sistemas informáticos, como la guía de evaluación, la ponderación, los mo-delos de simulación, la lista de chequeo, la evaluación, el diagrama de círculo de eva-luación, el análisis de la diagramación de sistemas, el diagrama de seguimiento de unaauditoría y los programas de revisión por computadora.

    En estos tres capítulos se hace un estudio profundo y detallado de los instrumen-tos que se presentan, con el propósito de que usted conozca los fundamentos para sudiseño, instrumentación y aplicación a sus necesidades específicas de evaluación desistemas computacionales. Con estas herramientas el auditor puede recopilar, analizary evaluar la información sustantiva de esos sistemas, para fundamentar su informe deresultados de la auditoría practicada.

  • Introducción xix

    En el capítulo 12 encontrará una propuesta de los principales puntos a evaluar delos sistemas computacionales, en donde se definen, por cada tipo de auditoría pro-puesto, los aspectos básicos que deben auditarse. También se sugieren las herramien-tas, métodos y procedimientos que le serán de suma utilidad al practicar su auditoría.

    Además, se presentan apéndices sobre los principales puntos a evaluar para cadauno de los tipos de auditoría propuestos a lo largo de esta obra. En dichos apéndicesencontrará sugerencias sobre los aspectos que pueden serle de utilidad para realizarsu auditoría de sistemas computacionales, respetando su libertad de adoptar, modifi-car o proponer puntos e instrumentos de evaluación que complementen los ahí seña-lados, a fin de adecuar los mismos a sus necesidades concretas de revisión.

    Apreciable lector, el libro que ponemos a su consideración pretende exponerle losnuevos derroteros que se pueden seguir para realizar una evaluación mejor y más pro-fesional de los sistemas computacionales en las empresas de nuestro tiempo. Aspira-mos a poder mostrarle los fundamentos teóricos, prácticos y técnicos que intervienenen la práctica de esta naciente actividad profesional de auditoría de la gestión de lossistemas computacionales. La mejor recompensa para nosotros será saber que su lec-tura le será útil para el aprendizaje, la aplicación y el desarrollo de auditorías en el cam-po de la computación.

    Sinceramente, el autor.

  • Estructura del capítulo:1.1 Antecedentes de la auditoría1.2 Conceptos básicos sobre la auditoría1.3 Clasificación de los tipos de auditorías1.4 Objetivos generales de la auditoría1.5 Marco esquemático de la auditoría de sistemas

    computacionales

    Conceptos generales 1

    1

  • Objetivos del capítulo

    Que el lector conozca los antecedentes y conceptos fundamentales de la materia de auditoría,así como la clasificación y definiciones de los tipos de auditorías. El propósito es mostrarle loselementos que cimentan la existencia de la disciplina de auditoría en general para que entien-da los aspectos básicos de la auditoría de sistemas computacionales que encontrará a lo largode este libro. También se presenta un cuadro concentrado donde se señalan los objetivos ge-nerales de esta materia.

    Introducción del capítulo

    El desarrollo normal de las actividades comerciales y financieras de las empre-sas requiere una constante vigilancia y evaluación; asimismo, las empresas nece-sitan una opinión, preferiblemente independiente, que les ayude a medir laeficiencia y eficacia en el cumplimiento de sus objetivos. Por lo general, la eva-luación consiste en una revisión metódica, periódica e intelectual de los registros,tareas y resultados de la empresa, con lo cual se busca medir y diagnosticar elcomportamiento global en el desarrollo de sus actividades y operaciones. Esoes auditoría.

    Los inicios de la auditoría se remontan a la revisión y el diagnóstico quese practicaban a los registros de las operaciones contables de las empresas;después se pasó al análisis, verificación y evaluación de sus aspectos financie-ros; posteriormente se amplió al examen de algunos rubros de la administra-ción, siguiendo con el análisis de aquellos aspectos que intervenían en todassus actividades y, por último, su alcance se incrementó conforme se avanzó enla llamada revisión integral. Actualmente se ha llegado a las revisiones espe-cializadas de algunas áreas y actividades específicas que se desempeñan enlas instituciones. Entre algunas de estas últimas encontramos: auditoría de sis-temas computacionales, auditoría del desarrollo de proyectos de mercadotec-nia, auditoría de proyectos económicos, y en sí a muchas ramas de la actividadempresarial.

    Con el propósito de dar a conocer cuál ha sido el desempeño y desarrollode este tipo de trabajos, a continuación veremos los aspectos más destacadosque intervienen en una auditoría, empezando por sus antecedentes, conceptosbásicos y los diferentes tipos o métodos de auditorías, así como sus definicio-nes. Estos aspectos son sólo una introducción, ya que en capítulos posterioresnos enfocaremos exclusivamente a la auditoría de sistemas computacionales.

    2 Auditoría en sistemas computacionales

  • Antecedentes de la auditoríaConforme se expandía el comercio, después de pasar por el trueque primero en pue-blos, ciudades, estados y finalmente en continentes, y motivados por su constante cre-cimiento, tanto en volumen como en el monto de operaciones comerciales, losincipientes comerciantes tuvieron la necesidad de establecer mecanismos rudimenta-rios de registro que les permitieran dominar las actividades mercantiles que realizaban.Después, conforme los comerciantes crecieron y se agruparon en gremios y mercadoslocales, surgió la necesidad de contar con un mejor registro de sus actividades, tantoindividuales como conjuntas. Posteriormente, con el crecimiento de estas agrupacio-nes, que se convirtieron en incipientes empresas, fue necesario establecer un mayorcontrol para conocer de sus actividades financieras.

    Gracias a ese crecimiento se inició el registro de operaciones mercantiles a travésde escribas, quienes al principio asentaban dichas operaciones en forma rudimentaria;posteriormente, con el nacimiento de la partida doble y el registro de operaciones fi-nancieras, surgió la llamada teneduría de libros. Conforme esta técnica evolucionó, sellegó a impulsar la contabilidad y el registro de operaciones en libros y pólizas. En laactualidad, la contabilidad se lleva a cabo en sistemas de cómputo.

    A la par que esto evolucionaba, fue necesario que alguien evaluara que estos regis-tros y resultados fueran correctos y veraces. Entonces se requirió también de alguienque verificara la veracidad y confiabilidad de esas operaciones. En ese momento nacióel acto de auditar.

    Las primeras revisiones fueron rudimentarias y poco meticulosas, enfocadas ex-clusivamente a comprobar la veracidad y confiabilidad de los registros contables y sucorrecta expresión en los resultados que se entregaban; su principal objetivo consis-tía en saber si las transacciones eran registradas de manera correcta y si las cantida-des en ellas asentadas eran exactas. Con ello se buscaba que los encargados de laadministración de los negocios llevaran y reportaran con precisión sus anotaciones,para comprobar que no existieran desfalcos ni sustracciones de los bienes que se lesencomendaban.

    Conforme creció la actividad empresarial y los bancos tuvieron más injerencia enlas empresas, a través de la custodia de sus depósitos y el otorgamiento de présta-mos a las mismas, se requirió la elaboración de estados financieros, en los cuales lasempresas anotaban los resultados obtenidos durante los ejercicios anteriores; estosestados financieros también les servían para demostrar su solvencia cuando solicita-ban algún préstamo.

    En sus inicios, los bancos aceptaban los resultados que emitían las empresas sinobjetar sus estados financieros y sin necesidad de dictamen alguno, siempre y cuandoestos resultados fueran hechos por un profesional de la contabilidad. Sin embargo, co-mo consecuencia del propio crecimiento de las actividades empresariales, se hizo ne-

    Conceptos generales 3

  • cesario que el reporte de los resultados de una empresa también fuera avalado por unprofesional independiente, a quien se le encargaba que comprobara y dictaminara so-bre la veracidad y confiabilidad de los resultados presentados por los financieros de laempresa. Así nació formalmente la actividad del auditor.

    Antecedentes históricos de la auditoría“En tiempos históricos, auditor era aquella persona a quien le leían los ingresos y gas-tos producidos por un establecimiento (de ahí su raíz latina del verbo audire, oír, es-cuchar), práctica muy utilizada por civilizaciones muy antiguas [...]” 1

    Podemos intuir que la primera auditoría nació desde el momento en que fue ne-cesario rendir cuentas de algún negocio y revisar que éstas fueran correctas; es eviden-te que dicha función fue evolucionando a la par que el crecimiento de la actividad deregistros de operaciones mercantiles. Sin embargo, de acuerdo con los primeros ante-cedentes de auditoría, ésta nació antes que la teneduría de libros a finales del siglo XV,pero se profesionalizó con la contabilidad financiera a finales del siglo pasado.

    Los primeros antecedentes formales se encuentran en 1284, al subir al trono San-cho VI “El Bravo”, quien ordenó a algunos de sus hombres de confianza que controla-ran el destino de los caudales públicos. Como resultado de esta medida y comoproducto de su reinado, se originó el tribunal de cuentas en España.2

    Se estima que el verdadero nacimiento de la auditoría fue a finales del siglo XV,cuando nobles, ricos y familias pudientes de España, Inglaterra, Holanda, Francia y losdemás países poderosos de ese entonces, recurrían a los servicios de revisores decuentas, quienes se encargaban de revisar las cuentas manejadas por los administra-dores de sus bienes, y se aseguraban de que no hubiera fraudes en los reportes quese les presentaban.

    El descubrimiento de América (1492) contribuyó también al crecimiento de laactividad de la auditoría, pues la Corona envió visitadores a revisar las cuentas y re-sultados de sus colonias; dichos visitadores supervisaban que el registro y manejo delas cuentas fueran correctos y emitían una opinión sobre la actuación de los encar-gados. En México, los virreyes representaban a la Corona y los visitadores venían arevisar el manejo de los tesoros, las recaudaciones, los gastos y la forma en que susencargados gobernaban en la Nueva España. Igual ocurrió en sus otras colonias deAmérica.“El origen de los auditores (ESPASA-CALPE, 1988) es la Curia Romana, tiene su ori-gen en la Edad Media [...] El auditor Papae, que en un principio daba consejos en ma-teria de teología [...]; luego ejercía el poder civil y eclesiástico y desde 1831 se entendióen ciertos asuntos disciplinarios.”3

    Aquí se presentan otros de los antecedentes que se pueden citar: a mediados delsiglo XIX, la Ley de Empresas del Reino Unido de Inglaterra, que impuso la obligaciónde ejecutar auditorías a los resultados financieros, el balance general, los registros con-

    4 Auditoría en sistemas computacionales

  • tables y las actividades financieras de las empresas públicas. Dicha costumbre, aun-que no fue de carácter impositivo en Estados Unidos, también se adoptó en las empre-sas de ese país, y se hizo extensiva a los contadores norteamericanos, quienes tuvieronque admitir una práctica similar, principalmente por los requisitos y disposiciones emi-tidos por la Comisión de Valores y Bolsa, los cuales solicitaban a los auditores inde-pendientes que dictaminaran sobre los estados de resultados de las empresas quecotizaban en la Bolsa de Valores de ese entonces.

    Otro posible origen lo representaron los auditores eclesiásticos de la Rota Roma-na, a través de tribunales pluripersonales, compuestos por 12 eclesiásticos: ocho ita-lianos, dos españoles, un alemán y un francés.

    También se conocieron los auditores de la Marina y Guerra en 1894, a quienes seles considera como los responsables del cumplimiento de las leyes y principios de es-ta disciplina.

    A manera de concentrado de los antecedentes no contables de la auditoría, sepueden señalar los siguientes:

    • Auditores canónigos• Auditores de la nunciatura• Auditores de la Rota Romana• Auditores de la Marina y Guerra • Auditores de camareta• Oidores de la colonia en la Nueva España

    Algunos antecedentes más recientes aparecen con la Revolución Industrial, a par-tir de la séptima década de 1800; en ese entonces, algunas empresas habían alcanza-do gran auge en las actividades fabriles y mercantiles, lo cual trajo consigo un notablecrecimiento en sus operaciones; obviamente, aumentó también la necesidad de regis-trar las operaciones contables, y con ello se hizo casi indispensable la existencia de laprofesión de contador para satisfacer esa creciente necesidad. A la par creció la de-manda de ejercer una mayor vigilancia del registro de operaciones financieras y la emi-sión de resultados financieros que realizaban esos nuevos profesionales, llegando adarse el caso de que el dictamen emitido por un contador independiente, que ejercie-ra la función de auditor, se consideraba totalmente confiable. Así adquirió popularidadla función de la auditoría y se destacó como una actividad preponderante en la admi-nistración de las empresas de ese entonces.

    En un principio, la auditoría se consideró como una rama complementaria de lacontaduría pública, y sólo se dedicaba a examinar los registros contables y la correctapresentación de los estados financieros de las empresas. Posteriormente, dicha aplica-ción se extendió a otros campos profesionales para ampliar su revisión; primero a losde carácter administrativo, después a los asociados a otras actividades de la empresa,luego se extendió a las ramas de ingeniería, medicina, sistemas y así sucesivamente,hasta que su práctica alcanzó a casi todas las disciplinas del quehacer humano. A pe-

    Conceptos generales 5

  • sar de la amplia gama de áreas en donde se pueden aplicar auditorías, en cualquierade ellas se tienen que considerar los mismos principios y fundamentos teóricos y prác-ticos que le dan vigencia a esta profesión.

    Aunque la revisión de registros y cuentas se pueden considerar como el inicio dela auditoría, su reconocimiento como profesión se inició en los albores del presente si-glo. No obstante, también hay evidencias de que, a mediados del siglo pasado, los bri-tánicos, españoles, estadounidenses, e incluso los mexicanos, iniciaron la actividadformal de la auditoría.

    Debido a la abundancia de literatura sobre la auditoría financiera, y a la profundi-dad con que numerosos autores han realizado el análisis a la auditoría de los estadosfinancieros, en este capítulo sólo nos enfocaremos en conocer los antecedentes gene-rales de la auditoría de carácter administrativo y operacional, ya que de la conjugaciónde esos tipos de auditoría nacieron otros más especializados, entre ellos la auditoría desistemas computacionales.

    Antecedentes de la auditoría (siglo XX)Para hacer las referencias a estas auditorías, vamos a tomar como válidos los antece-dentes presentados en la tesis profesional de recientes titulados de la UVM,4 quienesculminaron su carrera de Licenciatura en Sistemas de Computación Administrativa,producto de un profundo estudio e investigación de carácter documental, complemen-tados con otras investigaciones; al respecto encontramos los siguientes datos, enfoca-dos exclusivamente a los antecedentes de la auditoría de carácter administrativo yoperacional, pero que pueden ser válidos como antecedentes para este libro.

    En 1912, en el Instituto de Contadores Públicos de España, surge en forma co-legiada la actividad del auditor, la cual tuvo una duración muy efímera.En 1917, el Colegio de Censores de Bilbao.En 1932, T. G. Rose, consultor inglés en el Instituto de Administración Industrial,expuso la tesis “[...] Independientemente de la utilidad de la auditoría financiera,también es útil la auditoría administrativa...” En 1932, James McKinsey llega a la conclusión de que la empresa tenía que ha-cer periódicamente una autoauditoría, la cual consistiría en una evaluación de laempresa en todos los aspectos. En 1936, el Colegio de Contadores Jurados de Madrid.En 1945, el Instituto de Auditores Internos, en Estados Unidos, proporcionó losprimeros escritos sobre lo que sería la auditoría de operaciones, tratando en unadiscusión de “expertos” lo referente al alcance de la auditoría interna de operacio-nes técnicas.En 1946, el Instituto de Censores Jurados de Cuentas de España.

    6 Auditoría en sistemas computacionales

  • En 1948, Artur H. Kent, funcionario de la empresa Standard Oil of California, hi-zo importantes aportaciones sobre la auditoría de operaciones.En 1950, Jackson Martindell, fundador del American Institute of Management,desarrolló uno de los primeros programas de auditoría administrativa, con un pro-cedimiento de control directo y un sistema de evaluación, el cual se publicó en sulibro Apreciación de la gerencia para ejecutores e inversionistas.En 1955, Larke A. G. planteó la necesidad de llevar a cabo autoauditorías para laspequeñas empresas, con el fin de evaluar su forma de actuar. En 1962, Willian P. Leornard realizó un estudio completo de la auditoría adminis-trativa. En éste trata los métodos para iniciar, organizar, interpretar y presentar unarevisión de carácter administrativo.En 1964, Cadmus y Bradford, quienes eran trabajadores del Instituto de AuditoresInternos (en N. Y.), plantean en su publicación Operational Auditing Handbook, N.Y.,la necesidad de una auditoría denominada auditoría operativa, en la cual se seleccio-na una actividad para un cuidadoso y profundo estudio, apreciación y evaluación.En 1968, Rigg F. J., autor británico, desarrolló en su país un moderno enfoque dela auditoría administrativa, cuya aplicación se extendió a través de su obra The Ma-nagement Audit, the Internal Auditor.En 1968, John C. Burton, en su trabajo The Journal of Accountancy, N. Y., planteóla importancia de estudiar de qué índole sería la auditoría administrativa y el gra-do de calificación del auditor, así como de construir un marco total para la audito-ría administrativa.En 1969, Langenderfer H. Q. y Robertson J. C. exploraron brevemente el proble-ma de la definición y cuestión de una exposición detallada de la auditoría adminis-trativa. Propusieron también una estructura teórica para extender la función de laauditoría a todos los ámbitos de la empresa, buscando con ello abarcar las audito-rías independientes de gerencias.En 1970, Keith D. y Bloomstrom R. exponen que las auditorías administrativas sehan desarrollado a través de los años como una forma de evaluar la eficiencia y laeficacia de varios sistemas de una organización, los cuales van desde la responsabi-lidad administrativa hasta su preocupación social. Esta auditoría se utiliza principal-mente para los propósitos de planeación, entre los cuales están los siguientes:

    Investigar empresas para posibles fusiones o adquisicionesDeterminar la solidez de un proveedor principalAveriguar los puntos débiles y fuertes de una empresa competidora para ex-plorar mejor las ventajas competitivas de la propia empresa

    En 1977, Clark C. Arb presenta una perspectiva sobre el conocimiento de la me-dición de la conducta social de las empresas. En sus conceptos de auditoría social

    Conceptos generales 7

  • destaca la responsabilidad social, mediciones del comportamiento, auditorías so-ciales en decisiones administrativas y la implantación de las auditorías.En 1980, Whitmore G. M. expone que la auditoría administrativa se utiliza paraapoyar a los funcionarios públicos y gerentes de empresas privadas. Los aspectosque señala principalmente sobre el uso de esta técnica en el ámbito gubernamen-tal, son las estrategias y los pasos necesarios para la conducción de una auditoríaadministrativa, haciendo énfasis en sus ventajas.En 1983, Spencer Hayden expuso la necesidad de evaluar los procedimientosadministrativos y de aplicar las correcciones necesarias para lograr una máximaeficiencia en las actividades futuras. También abundó sobre un procedimiento pro-pio de la auditoría, el tratamiento con detalle del tema de la consultoría adminis-trativa, y enfocó a esta auditoría dentro del camino al cambio organizacional.En 1984, Robert J. Thierauf habló sobre la auditoría administrativa como una téc-nica utilizada para evaluar las áreas operacionales de una organización, enfocandosu trabajo desde el punto de vista administrativo.

    Podríamos seguir profundizando en los antecedentes de la auditoría en los EstadosUnidos y otros países, pero no es el objetivo de este libro detallar sobre todos los an-tecedentes de la auditoría administrativa, ni operacional, ni integral ni de cualquier otrotipo, sino que, al presentar estos antecedentes, se busca reconocer que la auditoría desistemas es el resultado de varias evoluciones de otros tipos de auditorías y que seapoya en ellas para su revisión, incluyendo varias de sus técnicas y metodologías deevaluación.

    Antecedentes de la auditoría en México (siglo XX) En México existe también una gran cantidad de información sobre la auditoría finan-ciera, o por lo menos más que en otros tipos de auditorías. Por esta razón considera-remos únicamente los antecedentes de la auditoría operacional, administrativa eintegral. Apoyados en las referencias de la tesis ya citada, a continuación se muestran,en orden cronológico, los escritores mexicanos más relevantes en este campo:5

    En 1960, A. Mejía Fernández destacó la importancia de la auditoría en su tesisrecepcional, Auditoría de las funciones de la gerencia de las empresas, presentadaen la FCA de la UNAM en ese año.En 1962, R. Macías Pineda presentó el trabajo recepcional, La auditoría adminis-trativa para el curso Teoría de la Administración, para el Doctorado de CienciasAdministrativas de la Escuela Superior de Comercio y Administración (ESCA) delInstituto Politécnico Nacional.En 1964, M. D’Azaola S. presentó, en la FCA de la UNAM, la tesis La revisión delproceso administrativo.

    8 Auditoría en sistemas computacionales

  • En 1966, J. A. Fernández Arenas propuso la realización de la auditoría administrati-va, combinando los análisis de objetivos, de recursos y del proceso administrativo.En 1969, Santillán González propuso la realización de la auditoría interna integralmediante una revisión total, tanto de los aspectos financieros como de los aspec-tos administrativos de las empresas.En 1970, R. Jiménez Reyes estudió el alcance, desarrollo y planeación de la audi-toría administrativa.En 1978, el Colegio Nacional de Licenciados en Administración (CONLA) publi-có, como resultado del 7º Congreso Nacional de Administración, el trabajo donde seregulan las bases de las normas, alcances del auditor y del informe de auditoría.En 1978, S. Cervantes Abreu presentó un trabajo en ese mismo foro, en el cualanalizó la dinámica de la auditoría administrativa, destacando los cuatro pasos bá-sicos para su desarrollo: la recolección, la verificación de datos, el estudio de lasfunciones, la revisión y evaluación del control interno y del informe de la auditoría.En 1981, V. M. Rubio y J. Hernández F. presentaron una guía práctica de audito-ría administrativa, como parte de un método para el diagnóstico de la capacidadadministrativa de las instituciones públicas y privadas, con el fin de determinar suspuntos vulnerables y sugerir las medidas correctivas.

    Así como en el punto anterior, podemos seguir profundizando sobre los anteceden-tes de la auditoría administrativa, operacional y de otros tipos, pero el enfoque de estecapítulo no es hablar únicamente sobre esas auditorías, sino sobre la auditoría de siste-mas. Por esa razón, presentamos exclusivamente lo antes anotado.

    Antecedentes de la auditoría de sistemasAl igual que en los puntos anteriores, en la auditoría de sistemas computacionales tam-bién existen antecedentes en el ámbito internacional. Sin embargo, el propósito de es-te libro no es profundizar en los orígenes de este tipo de auditoría, debido a que seríaocioso y sin ningún beneficio práctico al carecer de evidencias comprobables sobre ta-les inicios. Sin embargo, para complementar este libro, citaremos a los principales au-tores sobre este tema en nuestro país:

    En 1988, Echenique publicó su libro Auditoría de sistemas, en el cual establecelas principales bases para el desarrollo de una auditoría de sistemas computacio-nales, dando un enfoque teórico-práctico sobre el tema.En 1992, Lee presentó un libro en el cual enuncia los principales aspectos a eva-luar en una auditoría de sistemas, mediante una especie de guía que le indica alauditor los aspectos que debe evaluar en este campo.En 1993, Rosalva Escobedo Valenzuela presenta en la UVM una tesis de audito-ría a los centros de cómputo, como apoyo a la gerencia, destacando sus aspectosmás importantes.

    Conceptos generales 9

  • En 1994, G. Haffes, F. Holguín y A. Galán, en su libro sobre auditoría de los esta-dos financieros, presentan una parte relacionada con la auditoría de sistemas, queprofundiza en los aspectos básicos de control de sistemas y se complementa con unaserie de preguntas que permiten evaluar aspectos relacionados con este campo.En 1995, Ma. Guadalupe Buendía Aguilar y Edith Antonieta Campos de la O.presentan un tratado de auditoría informática (apoyándose en lo señalado por elmaestro Echenique), en el cual presentan metodologías y cuestionarios útiles pararealizar esta especialidad.En 1995, Yann Darrien presenta un enfoque particular sobre la auditoría de sis-temas. En 1996, Alvin A. Arens y James K. Loebbecke, en su libro Auditoría. Un enfo-que integral, de Prentice Hall Hispanoamericana, S. A., nos presentan una parte deesta obra como Auditoría de Sistemas Complejos de PED. En 1996, Hernández Hernández propone la auditoría en informática, en la cualda ciertos aspectos relacionados con esta disciplina.En 1997, Francisco Ávila obtiene mención honorífica en su examen profesional,en la UVM, Campus San Rafael, con una tesis en la cual propone un caso prácticode auditoría de sistemas realizado en una empresa paraestatal.En 1998, Yann Darrien presenta Técnicas de auditoría, donde hace una propues-ta de diversas herramientas de esta disciplina.En 1998, Mario G. Piattini y Emilio del Peso presentan Auditoría informática,un enfoque práctico, donde mencionan diversos enfoques y aplicaciones de es-ta disciplina.

    Conceptos básicos sobre la auditoríaComo ya hemos mencionado, los campos de aplicación de la auditoría han evoluciona-do mucho, desde su uso en los aspectos netamente contables, hasta su uso en áreas ydisciplinas de carácter especial, como la ingeniería, la medicina y los sistemas compu-tacionales. Evidentemente, junto con ese progreso, también se ha registrado el desarro-llo de las técnicas, métodos, procedimientos y herramientas de cada uno de estos tiposde auditorías, así como un enfoque cada vez más característico y especializado hacia eluso de técnicas más apegadas al área que se va a evaluar.

    Debido a esos constantes cambios, a continuación citaremos el concepto más am-plio de la auditoría, para de ahí analizarlo de acuerdo con lo aportado por la Real Aca-demia Española y después, con esa conceptualización, trasladarlo a una propuesta declasificación de los tipos de auditoría.

    En forma general, la definición que se propone para la auditoría es la siguiente:

    10 Auditoría en sistemas computacionales

  • Es la revisión independiente de alguna o algunas actividades, funciones específi-cas, resultados u operaciones de una entidad administrativa, realizada por un profesio-nal de la auditoría, con el propósito de evaluar su correcta realización y, con base enese análisis, poder emitir una opinión autorizada sobre la razonabilidad de sus resulta-dos y el cumplimiento de sus operaciones.

    Como antecedentes académicos, se encontraron las siguientes expresiones:

    Auditor“Del latín. Auditor, oris s. m 1. Persona capacitada para realizar auditorías en empre-sas u otras instituciones. Pertenece a un colegio oficial [...] 3. Auditor de guerra. Fun-cionario miembro del cuerpo jurídico del ejército que informa en los tribunalesmilitares sobre la interpretación o aplicación de las leyes. 4. [...] auditor de la Rota. Ca-da uno de los doce miembros del tribunal romano de la Rota.”6

    “F. Auditeur; It. uditore; In., C. P. uditor; A.; Zahöurer[….] Del latín uditor; el que oye,del verbo audire. Oír. Anteriormente, oyente.”7

    Auditoría: “[...] Supervisión de las cuentas de una empresa, hecha por decisión de un tribunal oa instancias de particular.”8

    “[...] Revisión a la economía de una empresa [...]”9

    “[...] Revisión de cuentas [...]”10

    “1. Profesión de auditor. 2. Despacho o tribunal del auditor. 3. Revisión de cuentas, exa-men y evaluación de la situación financiera y administrativa de una institución o em-presa, realizados por especialistas ajenos a la misma.”11

    “[...] Empleo, cargo de auditor. Tribunal o despacho de auditor.”12

    Audit:“[...] Revisión o intervención de cuentas [...] Verificar o revisar la contabilidad.”13

    “Es un examen profesional y revisión de los registros, los procedimientos y las transac-ciones financieras de una organización hechas por especialistas [...] involucrados en lapreparación de esos informes. Con base en este examen, en su informe los auditoresdan una opinión independiente de la organización de su posición financiera, si los pro-cedimientos y los controles apropiados se han seguido, y si los otros criterios han es-tado satisfechos en el desembolso de fondos. [...] Una revisión interna, conducida porempleados de la compañía, donde se prueba la suficiencia de los procedimientos y sis-temas de contabilidad. [...] para determinar si la corporación encuentra sus responsa-bilidades a empleados y sociedad.”14

    “Constituye adaptación popular del verbo inglés to Audit, el cual significa examinar, re-visar cuentas.”15

    Conceptos generales 11

  • Clasificación de los tipos de auditoríasPara iniciar nuestro estudio, aquí proponemos que el análisis de los conceptos anterio-res se realice al amparo de la siguiente clasificación de los tipos de auditorías, con elfin de identificar los criterios, características y especificaciones de esta disciplina pro-fesional. Posteriormente nos concentraremos exclusivamente en los conceptos y defi-niciones de la auditoría de sistemas computacionales.

    La clasificación que se propone está integrada por el siguiente cuadro:

    Auditorías por su lugar de aplicación• Auditoría externa• Auditoría interna

    Auditorías por su área de aplicación• Auditoría financiera • Auditoría administrativa• Auditoría operacional• Auditoría integral• Auditoría gubernamental• Auditoría de sistemas

    Auditorías especializadas en áreas específicas• Auditoría al área médica (evaluación médico-sanitaria)• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)• Auditoría fiscal• Auditoría laboral• Auditoría de proyectos de inversión• Auditoría a la caja chica o caja mayor (arqueos)• Auditoría al manejo de mercancías (inventarios)• Auditoría ambiental• Auditoría de sistemas

    Auditoría de sistemas computacionales• Auditoría informática• Auditoría con la computadora• Auditoría sin la computadora• Auditoría a la gestión informática• Auditoría al sistema de cómputo• Auditoría alrededor de la computadora• Auditoría de la seguridad de sistemas computacionales• Auditoría a los sistemas de redes• Auditoría integral a los centros de cómputo

    12 Auditoría en sistemas computacionales

  • • Auditoría ISO-9000 a los sistemas computacionales• Auditoría outsourcing • Auditoría ergonómica de sistemas computacionales

    Clasificación de la auditoría por su lugar de origenLa primera clasificación se refiere a la forma en que se realiza este tipo de trabajos, y tam-bién a cómo se establece la relación laboral en las empresas donde se llevará a cabo la au-ditoría; esto nos da un origen externo si el auditor no tiene relación directa con la empresa,o un origen interno si existe alguna relación de dicho auditor con la propia empresa.

    Auditoría externa La principal característica de este tipo de auditoría es que la realizan auditores total-mente ajenos a la empresa, por lo menos en el ámbito profesional y laboral; esto per-mite que el auditor externo utilice su libre albedrío en la aplicación de los métodos,técnicas y herramientas de auditoría con las cuales hará la evaluación de las activida-des y operaciones de la empresa que audita y, por lo tanto, la emisión de resultadosserá absolutamente independiente. Su definición es la siguiente:

    Es la revisión independiente* que realiza un profesional de la auditoría, con to-tal libertad de criterio y sin ninguna influencia, con el propósito de evaluar eldesempeño de las actividades, operaciones y funciones que se realizan en laempresa que lo contrata, así como de la razonabilidad en la emisión de sus re-sultados financieros. La relación de trabajo del auditor es ajena a la institucióndonde se aplicará la auditoría y esto le permite emitir un dictamen libre e in-dependiente.

    Generalmente, estas auditorías externas son realizadas por grandes empresas ydespachos independientes de auditores, los cuales, casi siempre gozan de gran popula-ridad y prestigio dentro del ambiente profesional. El mercado en el cual tienen mayordemanda y aplicación estas auditorías es el ámbito contable, fiscal y financiero de lasinstituciones, así como en aquellas actividades específicas que demandan una auditoríaexterna a la empresa cuando existen condiciones especiales que se pretenden evaluar.

    VentajasAl no tener ninguna dependencia de la empresa, el trabajo de estos auditores es total-mente independiente y libre de cualquier injerencia por parte de las autoridades de laempresa auditada.

    Conceptos generales 13

    * Para el mejor entendimiento y distinción entre cada uno de los tipos de auditoría que se proponen, en cada defi-nición se ponen en cursivas sus aspectos más sobresalientes; el propósito es que usted, amigo lector, pueda distin-guir la esencia de cada descripción.

  • En su realización, estas auditorías pueden estar apoyadas por una mayor experien-cia por parte de los auditores externos, debido a que utilizan técnicas y herramientasque ya fueron probadas en otras empresas con características similares.

    Estas auditorías tienen gran aceptación en las empresas para certificar registroscontables, impuestos y resultados financieros. Además, sus dictámenes pueden ser vá-lidos para las autoridades impositivas, y con ello pueden satisfacer requisitos de carác-ter legal, siempre que sean realizadas por auditores de prestigio que tengan elreconocimiento público.

    DesventajasLa principal desventaja es que, como el auditor conoce poco la empresa, su evaluaciónpuede estar limitada a la información que pueda recopilar.

    Dependen en absoluto de la cooperación que el auditor pueda obtener de parte delos auditados.

    Su evaluación, alcances y resultados pueden ser muy limitados.Muchas auditorías de este tipo se derivan de imposiciones fiscales y legales que

    pueden llegar a crear ambientes hostiles para los auditores que las realizan.En algunos casos son sumamente costosas para la empresa, no sólo en el aspecto

    numerario, sino por el tiempo y trabajo adicional que representan.

    Auditoría internaEn la realización de estos tipos de evaluación, el auditor que lleva a cabo la auditoríalabora en la empresa donde se realiza la misma y, por lo tanto, de alguna manera estáinvolucrado en su operación normal; debido a esto, el auditor puede tener algún tipode dependencia con las autoridades de la institución, lo cual puede llegar a influir enel juicio que emita sobre la evaluación de las áreas de la empresa. La definición que sesugiere es:

    Es la revisión que realiza un profesional de la auditoría, cuya relación de traba-jo es directa y subordinada a la institución donde se aplicará la misma, con elpropósito de evaluar en forma interna el desempeño y cumplimiento de las ac-tividades, operaciones y funciones que se desarrollan en la empresa y sus áreasadministrativas, así como evaluar la razonabilidad en la emisión de sus resulta-dos financieros. El objetivo final es contar con un dictamen interno sobre lasactividades de toda la empresa, que permita diagnosticar la actuación adminis-trativa, operacional y funcional de empleados y funcionarios de las áreas quese auditan.

    VentajasDebido a que el auditor pertenece a la empresa, casi siempre conoce integralmentesus actividades, operaciones y áreas; por lo tanto, su revisión puede ser más profunda

    14 Auditoría en sistemas computacionales

  • y con un mayor conocimiento de las actividades, funciones y problemas de la institu-ción. Por esta razón, el contenido de su informe es mucho más valioso.

    El informe que rinde el auditor, independientemente del resultado, es sólo de ca-rácter interno y por lo tanto no sale de la empresa, ya que únicamente le sirve a las au-toridades de la institución.

    Esta auditoría consume sólo recursos internos, por lo tanto no representa ningunaerogación adicional para la empresa en la cual se realiza.

    Es de gran utilidad para la buena marcha de la empresa, ya que permite detectarproblemas y desviaciones a tiempo.

    Puede llevarse un programa concreto de evaluación en apoyo a las autoridades dela empresa, lo cual ayudará a sus dirigentes en la evaluación y la toma de decisiones.

    DesventajasSu veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede habercierta injerencia por parte de las autoridades de la institución sobre la forma de eva-luar y emitir el informe.

    En ocasiones la opinión del auditor tal vez no sea absoluta, debido a que, al labo-rar en la misma empresa donde realiza la auditoría, se pueden presentar presiones,compromisos y ciertos intereses al realizar la evaluación.

    Se pueden presentar vicios de trabajo del auditor con relativa frecuencia, ya sea enlas formas de utilizar las técnicas y herramientas para aplicar la auditoría, como en laforma de evaluar y emitir su informe sobre la misma.

    Clasificación de auditorías por su área de aplicaciónLa clasificación aquí propuesta se refiere al ámbito específico donde se llevan a cabo lasactividades y operaciones que serán auditadas, ubicando a cada tipo de auditoría deacuerdo con el área de trabajo e influencia de la rama o especialidad que será evaluada.

    En atención a dicho criterio, y debido a que podemos encontrar un sinnúmero declasificaciones de estos tipos de auditorías, todas válidas, para nuestro análisis de losconceptos generales sólo nos concentraremos en presentar su clasificación y una bre-ve definición de cada uno de los tipos, tomando en cuenta solamente su área de apli-cación sin ir más allá, es decir, no se analizarán sus ventajas ni desventajas.

    Auditoría financiera (contable)Inicialmente llamada auditoría contable, en realidad fue el primer tipo de auditoría queexistió en el ámbito comercial; en este tipo de auditoría la principal actividad del audi-tor consiste en revisar la correcta y oportuna aplicación de los registros contables yoperaciones financieras de las empresas, con el propósito de comprobar que la emi-sión de los resultados financieros de un ejercicio fiscal cumpla con los principios con-tables que regulan las actividades del contador público y así poder emitir un dictamensobre sus resultados financieros. La definición que analizaremos es la siguiente:

    Conceptos generales 15

  • Es la revisión sistemática, explorativa y crítica que realiza un profesional dela contabilidad a los libros y documentos contables, a los controles y registrosde las operaciones financieras y a la emisión de los estados financieros de unaempresa, con el fin de evaluar y opinar sobre la razonabilidad, veracidad, con-fiabilidad y oportunidad en la emisión de los resultados financieros obtenidosdurante un periodo específico o un ejercicio fiscal. El propósito final es emitirun dictamen contable sobre la correcta presentación de los resultados finan-cieros a los accionistas, clientes, autoridades fiscales y terceros interesados, enrelación con las utilidades, pago de impuestos y situación financiera y econó-mica de la institución.

    Actualmente este tipo de auditoría se complementa con un análisis financiero delos resultados obtenidos durante dicho ejercicio, para lo cual se utilizan diversas técni-cas de la ingeniería financiera y del análisis contable.

    Auditoría administrativaDespués de lo anterior, el siguiente paso de la auditoría, muy importante por cierto, fueampliar su ámbito de evaluación a las actividades administrativas de las empresas. Losauditores ya no se contentaban solamente con auditar los resultados financieros de lasempresas, sino que les hacía falta completar su trabajo; por eso procedieron a evaluarel adecuado cumplimiento de las funciones, actividades y operaciones de la empresa,principalmente en el aspecto administrativo. Por esta razón se le llamó auditoría admi-nistrativa. Su definición es la siguiente:

    Es la revisión sistemática y exhaustiva que se realiza a la actividad administra-tiva de una empresa, en cuanto a su organización, las relaciones entre sus in-tegrantes y el cumplimiento de las funciones y actividades que regulan susoperaciones. Su propósito es evaluar tanto el desempeño administrativo de lasáreas de la empresa, como la planeación y control de los procedimientos deoperación, y los métodos y técnicas de trabajo establecidos en la institución,incluyendo la observancia de las normas, políticas y reglamentos que regulanel uso de todos sus recursos.

    Inicialmente esta auditoría fue aplicada por contadores, pero debido a su propiocampo de acción, así como a la importancia de esta materia, se extendió con rapidez ala profesión de licenciado en administración y carreras similares, siendo éste uno de losprincipales espacios de acción de estos profesionales. Entre los primeros representantesdel tema se encuentran Leonard, de Estados Unidos, y Fernández Arena, de México.

    Auditoría operacionalEn un principio formó parte de la evaluación a las operaciones contables y administra-tivas de las empresas, pero su peso e importancia fueron tales que fue necesario ha-

    16 Auditoría en sistemas computacionales

  • cer auditorías a las operaciones de toda la institución, dándose así una nueva especia-lidad, no sólo en el campo de los administradores, sino en otras áreas especializadascomo la ingeniería, relaciones laborales y otras ramas que la utilizaban para evaluar lasoperaciones de cualquier área de una institución.

    Incluso en algunos casos fue de gran utilidad para el campo de organización, mé-todos y procedimientos, las actividades fabriles y en sí de la ingeniería aplicada. La de-finición propuesta es la siguiente:

    Es la revisión exhaustiva, sistemática y específica que se realiza a las activida-des de una empresa, con el fin de evaluar su existencia, suficiencia, eficacia,eficiencia y el correcto desarrollo de sus operaciones, cualesquiera que éstassean, tanto en el establecimiento y cumplimiento de los métodos, técnicas yprocedimientos de trabajo necesarios para el desarrollo de sus operaciones, encoordinación con los recursos disponibles, como en las normas, políticas, li-neamientos y capacitación que regulan el buen funcionamiento de la empresa.

    Auditoría integralDebido al constante crecimiento de las ramas en las que se podía utilizar la auditoría,y a que cada vez existía una mayor interrelación entre todas las operaciones y activida-des de una empresa, casi siempre vinculadas entre sí pero distintas con relación a sucontribución a la actividad fundamental de la empresa, surgió la necesidad de avanzaren la rama de auditoría, con el fin de buscar una forma de evaluación global de todaslas áreas que participan en la vida productiva de las corporaciones. Por tal razón hubola exigencia de encontrar mecanismos especiales con los cuales se pudieran evaluarconjuntamente todas esas actividades.

    Tras varias experimentaciones se logró lo anterior mediante la participación de ungrupo interdisciplinario de profesionales de diversas especialidades, quienes se agru-paron en torno a la disciplina de la auditoría con el fin de poder evaluar conjuntamen-te todas las áreas, actividades, funciones y operaciones de las instituciones. Ladefinición de esta auditoría es la siguiente:

    Es la revisión exhaustiva, sistemática y global que realiza un equipo multidisci-plinario de profesionales a todas las actividades y operaciones de una empre-sa, con el propósito de evaluar, de manera integral, el correcto desarrollo de lasfunciones en todas sus áreas administrativas, cualesquiera que éstas sean, asícomo de evaluar sus resultados conjuntos y relaciones de trabajo, comunica-ciones y procedimientos interrelacionados que regulan la realización de las ac-tividades compartidas para alcanzar el objetivo institucional; dicha revisión selleva a cabo también a las normas, políticas y lineamientos sobre el uso de to-dos los recursos de la empresa.

    Conceptos generales 17

  • El propósito fundamental de este nuevo tipo de auditoría tan especializado, es po-der auditar de manera conjunta todas las actividades, funciones y operaciones de to-das las áreas de una empresa, con la posibilidad de evaluar al total de las ramas queconforman una empresa. En esta auditoría se conjuga la participación colegiada demuchos profesionales de distintas especialidades, quienes aparentemente no tienenrelación entre sí por lo diferente de sus áreas de actuación, pero que al conjuntar sustrabajos contribuyen en gran medida a elevar los alcances, la profundidad y eficacia dela evaluación de todas las áreas de una misma empresa.

    Auditoría gubernamentalEsta auditoría se realiza debido a que los gobiernos federal, estatal y/o municipal son losresponsables de captar los ingresos aportados por los contribuyentes, y son tambiénlos encargados de manejar los egresos de carácter público para proporcionar el bienes-tar de la sociedad. Se realiza también debido a lo especializado que resulta el manejoapropiado de las actividades y operaciones gubernamentales requeridas para satisfacerlas necesidades de la población, y debido al cúmulo de funciones especializadas de go-bierno, las cuales regulan la actuación de una entidad gubernamental a otra, aparente-mente distintas entre sí.

    Todo esto en conjunto hace que su evaluación sea también muy especializada ycon características muy particulares, ya que existe la necesidad de una vigilancia másdetallada de las funciones gubernamentales. Esta vigilancia debe ser muy estrecha encuanto al adecuado manejo y cumplimiento de los programas, ingresos, egresos, ac-ciones y funciones por parte de quienes tienen esta responsabilidad ante la sociedad,y además se debe vigilar que todas esas acciones gubernamentales se cumplan con-forme a lo regulado en las leyes federales, estatales y/o municipales.

    Debido al alto grado de especialidad que se requiere para auditar estas activida-des y resultados gubernamentales, la auditoría tradicional fue incapaz de evaluar estanecesidad. Por esta razón nació la llamada auditoría gubernamental, la cual se puededefinir de la siguiente manera:

    Es la revisión exhaustiva, sistemática y concreta que se realiza a todas las acti-vidades y operaciones de una entidad gubernamental, cualquiera que sea lanaturaleza de las dependencias y entidades de la Administración Pública Fe-deral. Esta revisión se ejecuta con el fin de evaluar el correcto desarrollo de lasfunciones de todas las áreas y unidades administrativas de dichas entidades,así como los métodos y procedimientos que regulan las actividades necesariaspara cumplir con los objetivos gubernamentales, estatales o municipales; tam-bién se lleva a cabo en la aplicación y cumplimiento de presupuestos públicos,programas, normas, políticas y lineamientos que regulan la participación de losrecursos de la entidad en la prestación de servicios a la sociedad.

    18 Auditoría en sistemas computacionales

  • Esta definición nos indica claramente cómo se satisfizo la necesidad de evolucio-nar hacia una auditoría más especializada con la cual se pudiera evaluar la correctaaplicación de los presupuestos y gastos del gobierno, y con la que se tuviera la sufi-ciente capacidad para dictaminar acerca del adecuado cumplimiento de las activida-des que son encomendadas a las diferentes dependencias gubernamentales einstituciones paraestatales de la federación, los estados y municipios, mediante las téc-nicas y procedimientos de la auditoría.

    Auditoría informática Motivada por lo especializado de las actividades de cómputo, así como por el espec-tacular avance que han tenido estos sistemas en los últimos años, ha surgido una nue-va necesidad de evaluación para los auditores, quienes requieren una especializacióncada vez más profunda en sistemas computacionales para dedicarse a este tipo de au-ditorías. Por ello nació la necesidad de evaluar no sólo los sistemas, sino también la in-formación, sus componentes y todo lo que está relacionado con dichos sistemas. Ladefinición propuesta es la siguiente:

    Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemascomputacionales, software e información utilizados en una empresa, sean in-dividuales, compartidos y/o de redes, así como a sus instalaciones, telecomu-nicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisiónse realiza de igual manera a la gestión informática, el aprovechamiento de sus re-cursos, las medidas de seguridad y los bienes de consumo necesarios para elfuncionamiento del centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el proce-samiento adecuado de la información y la emisión oportuna de sus resultados enla institución, incluyendo la evaluación en el cumplimiento de las funciones, acti-vidades y operaciones de funcionarios, empleados y usuarios involucrados conlos servicios que proporcionan los sistemas computacionales a la empresa.

    Las definiciones anteriores son las más comunes y conocidas en el ambiente de laauditoría; sin embargo, existen otros tipos de auditorías más especializados, por lo quees de suma importancia conocer las definiciones de esos modelos, mismas que se pre-sentan a continuación. Con esto se pretende establecer los diferentes criterios y áreasespecializadas de evaluación que existen en esta materia para que el lector conozca di-chos tipos de auditorías y pueda llegar a dominar su aplicación.

    Definiciones de auditorías especializadas en áreas específicasEl avance de la auditoría no se detiene y requiere una mayor especialización en la eva-luación de las áreas y ramas del desarrollo tecnológico de nuestros días; por esta ra-

    Conceptos generales 19

  • zón, las auditorías son cada vez más singulares y tienen aplicaciones muy peculiares,las cuales están enfocadas a satisfacer las necesidades concretas de revisión y dicta-men, según la especialidad de que se trate.

    Es evidente que estos tipos de auditorías requieren algo más que el uso de méto-dos, técnicas, herramientas y procedimientos tradicionales de la auditoría, ya que debenevolucionar y adaptarse a las necesidades específicas de cada una de las áreas en don-de se llevará a cabo la evaluación. Por ello cada día se tecnifican más las auditorías.

    Existen muchos tipos de auditorías especializadas, pero de entre todas ellas cita-remos sólo las siguientes:

    • Auditoría al área médica (evaluación médico-sanitaria)• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)• Auditoría fiscal• Auditoría laboral• Auditoría de proyectos de inversión• Auditoría a la caja chica o caja mayor (arqueos)• Auditoría al manejo de mercancías (inventarios)• Auditoría ambiental

    A continuación se proponen las definiciones formales para cada uno de los tiposde auditoría aquí expuestos, con el propósito de dar a conocer sus antecedentes y con-ceptos generales. En estas definiciones no se presenta ningún comentario adicional.

    Auditoría al área médica (evaluación médico sanitaria)Es la evaluación sistemática, exhaustiva y especializada que se realiza a lasciencias médicas y de la salud, aplicada sólo por especialistas de disciplinasmédicas o similares, con el fin de emitir un dictamen especializado sobre el co-rrecto desempeño de las funciones y actividades del personal médico, paramé-dico, técnicos en salud y similares, así como sobre la atención que lasdependencias y el personal de esta especialidad prestan a pacientes, familia-res y proveedores.

    Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)

    Es la revisión técnica especializada que se realiza a la edificación de construc-ciones, cimientos, obra negra, acabados y servicios urbanísticos complemen-tarios de casas, edificios, puentes, caminos, presas y cualquier otro tipo deconstrucción, ya sea de tipo civil y/o arquitectónico; dicha revisión se realizatambién a los planos, presupuestos, adquisiciones, cálculos y programas deobra, así como al cumplimiento y desarrollo de las mismas. Su propósito es

    20 Auditoría en sistemas computacionales

  • emitir un dictamen especializado sobre la correcta aplicación de las técnicas,cálculos, métodos y procedimientos de la ingeniería civil y la arquitectura.

    Auditoría fiscalEs la revisión exhaustiva, pormenorizada y completa que se realiza a los regis-tros y operaciones contables de una empresa, así como la evaluación de la co-rrecta elaboración de los resultados financieros de un ejercicio fiscal, con elpropósito de dictaminar sobre el correcto ejercicio financiero y la razonabilidaden la presentación de los estados de resultados y, como consecuencia de ello,comprobar el correcto pago de los impuestos y demás contribuciones tributa-rias, tanto de la empresa como de sus empleados, acreedores y compradores.

    Auditoría laboralEs la revisión y evaluación especializadas que se realizan a las actividades, fun-ciones y operaciones relacionadas con el factor humano de una empresa; supropósito es dictaminar sobre el adecuado cumplimiento en la selección, ca-pacitación y desarrollo del personal, la correcta aplicación de las prestacionessociales y económicas, el establecimiento de las medidas de seguridad e higie-ne en la empresa, la elaboración de los contratos colectivos e individuales detrabajo, los reglamentos internos de trabajo, normas de conducta y demás ac-tividades que intervienen en la gestión de personal de una empresa.

    Auditoría de proyectos de inversiónEs la revisión y evaluación que se realizan a los planes, programas y ejecuciónde las inversiones de los recursos económicos de una institución pública o pri-vada, con el propósito de dictaminar sobre el uso y control correctos de esosrecursos, evaluando que su aplicación sea exclusivamente para cumplir el ob-jetivo del proyecto. Dicha revisión se realiza también a la ejecución y controlde los presupuestos, a la adquisición y uso de recursos conforme a las normasy al cumplimiento correcto de las demás actividades especializadas del ejerci-cio presupuestal.

    Auditoría a la caja chica o caja mayor (arqueos)Es la revisión periódica del manejo del efectivo que se asigna a una persona oárea de una empresa, y de los comprobantes de ingresos y egresos generadospor sus operaciones cotidianas; dicha revisión se lleva a cabo con el fin de ve-rificar el adecuado manejo, control y custodia del efectivo disponible para gas-tos menores, así como de evaluar el uso, custodia y manejo correctos de los

    Conceptos generales 21

  • fondos de la empresa. Por lo general, estas revisiones se realizan en forma pe-riódica y de manera exhaustiva, dependiendo del monto asignado.

    Auditoría al manejo de mercancías (inventarios)Es la revisión física que se realiza a través del conteo (inventarios) de los bie-nes, productos y materias primas, intermedias o de consumo final de una em-presa, los cuales se encuentran almacenados para su consumo final o para sudistribución a clientes y terceros; su propósito es verificar que las existenciasfísicas concuerden con los registros contables, con los justificantes de las sali-das y entradas y con las incidencias de éstas, así como verificar el correcto ma-nejo y control de las entradas, salidas, registros y ajustes necesarios que sehacen conforme a las características y políticas de la institución.

    Auditoría ambientalEs la evaluación que se hace de la calidad del aire, la atmósfera, el ambiente,las aguas, ríos, lagos y océanos, así como de la conservación de la flora y la fau-na silvestres, con el fin de dictaminar sobre las medidas preventivas y, en sucaso, correctivas que disminuyan y eviten la contaminación provocada por losindividuos, las empresas, los automotores y las maquinarias, y así preservar lanaturaleza y mejorar la calidad de vida de la sociedad.

    Es indudable que existen más definiciones y tipos de auditorías especializadas; sinembargo, no citaremos más conceptos, esto obedece a que la intención de este librono es presentar ni hacer un tratamiento de las diferentes formas de auditar, sino pre-sentar algunas definiciones de auditoría con el único propósito de que a usted, amigolector, le sirvan de referencia para entender los antecedentes e importancia de la au-ditoría de sistemas computacionales, la cual trataremos más adelante.

    Auditoría de sistemas computacionales (Auditoría informática)Motivados por la importancia de continuar con la exposición de las definiciones de cadauno de los tipos de auditorías, y debido a que la esencia de este libro es enfatizar la tras-cendencia, utilidad y especialidad de la auditoría de sistemas computacionales (ASC), acontinuación presentamos cada una de las definiciones de auditorías especializadas delos sistemas computacionales, las cuales se aplican para las diferentes áreas y disciplinasde este ambiente informático. Estas definiciones contendrán únicamente la exposición delos principales conceptos de esta auditoría y, si es el caso, un breve comentario, ya queen los siguientes capítulos profundizaremos en su estudio y aplicaciones.

    Las definiciones propuestas para la auditoría de sistemas computacionales son lassiguientes:

    22 Auditoría en sistemas computacionales

  • • Auditoría informática• Auditoría con la computadora• Auditoría sin la computadora• Auditoría a la gestión informática