La auditoria de procesos y operaciones en el área informática

iii
ÍNDICE
Pag.
INTRODUCCIÓN ................................................................................................................. 7
CAPÍTULO I
MARCO TEÓRICO............................................................................................................... 9
La auditoría informática......................................................................................................... 9
Definición de auditoría....................................................................................................... 9
Definición de auditoria informática................................................................................. 10
Definición de procesos......................................................................................................... 12
El área informática............................................................................................................... 14
Aspectos relevantes de la auditoría de procesos y operaciones del área de informática ..... 19
Objetivos de la auditoria de procesos y operaciones del área de informática...................... 21
Relación con los usuarios..................................................................................................... 23
Evaluación de los riesgos..................................................................................................... 23
El riesgo inherente ........................................................................................................... 24
El riesgo de control .......................................................................................................... 24
El riesgo de detección ...................................................................................................... 25
El control interno y la auditoría de procesos y operaciones del área de informática........... 26
Metodología para la realización de la auditoría de procesos y operaciones del área de
informática ........................................................................................................................... 30

iv
Aspectos que debe contener una auditoría de procesos y operaciones del área de
informática ............................................................................................................................32
El examen de la estructura del servicio informático.........................................................33
Verificación de la planificación de la actividad informática............................................33
Verificación de la documentación de la actividad informática ........................................34
Examen del seguimiento de los costos ..............................................................................34
Las relaciones con los servicios de usuarios ....................................................................36
La verificación de la separación de funciones..................................................................36
La revisión del control de actividades ..............................................................................37
La evaluación del entorno social ......................................................................................38
CAPÍTULO II
MARCO PRÁCTICO ...........................................................................................................39
Alcance..................................................................................................................................40
Objetivo.................................................................................................................................40
Recursos................................................................................................................................40
Etapas del trabajo..................................................................................................................40
1. Recopilacion de informacion básica..........................................................................40
2. Evaluación del control interno ..................................................................................41
3. Elaboración del plan y programas de trabajo...........................................................41
4. Pruebas a realizar......................................................................................................42
5. Obtencion de los resultados.......................................................................................43
6. Conclusiones y comentarios ..........................................................................................43
7. Redacción del borrador del informe..............................................................................44
8. Presentación del borrador del informe, al responsable de Institución .....................44
9. Redacción del informe resumen y conclusiones. .......................................................44

v
Presentación del cuestionario modelo.................................................................................. 44
CONCLUSIONES ............................................................................................................... 49
BIBLIOGRAFÍA ................................................................................................................. 51

P á g i n a | 7Jesús Rodolfo Andrade León
INTRODUCCIÓN
El área de informática es una dependencia que presta un servicio fundamental para
la productividad de las organizaciones. La misma agiliza los procesos y operaciones
llevadas a cabo en las empresas, optimizan el manejo de la información, permiten la
automatización de las actividades y tareas rutinarias que se ejecutan diariamente. Todo se
traduce en la creación de valor que mejora los resultados que la empresa ofrece, tanto
interna como externamente.
El área informática, cuya función se ha dicho que es fundamental, debe ser objeto
de una revisión y seguimiento frecuente que permita el mejoramiento continuo de la gestión
del área en referencia. Por ello, la realización de la auditoría de los procesos y
procedimientos resulta de suma importancia para la estabilidad organizacional.
La auditoría del área de informática requiere de la evaluación de un conjunto de
elementos fundamentales para la compresión de su desempeño. Justamente esas variables
de análisis son presentadas brevemente en el presente trabajo. Se hace referencia de los
criterios básicos que deben investigarse a lo largo de la auditoria, tales como situación de
los controles internos, técnicas e instrumentos de investigación, áreas que debe revisarse y
otros aspectos relacionados.
En la presente investigación el objetivo que se pretendió alcanzar fue la de describir
la auditoría de procesos y operaciones del área de informática, siendo por tanto el evento de
estudio la “auditoría de procesos y operaciones del área de informática”.

P á g i n a | 8 LA AUDITORÍA DE PROCESOS Y OPERACIONES DEL ÁREA DE INFORMÁTICA
Como puede observarse el presente trabajo es una investigación descriptiva, la cual,
según Hurtado (2010) “tiene como objetivo lograr la precisión y caracterización del evento
de estudio dentro de un contexto particular” (p. 413).

CAPÍTULO I
MARCO TEÓRICO
La auditoría informática
Definición de auditoría
La auditoría es un proceso por medio del cual una persona, o conjunto de ellas,
calificadas y con competencia profesional, examinan, investigan o revisan informaciones,
registros, procedimientos, controles, entre otros, de manera crítica y sistemática, con el
propósito de poder emitir un dictamen u opinión sobre la razonabilidad de los eventos
verificados. Dentro de la realización de una auditoria debe tenerse en cuenta las leyes,
principios y normas que regulan las transacciones contables que permita emitir
consideración con respecto al grado de confiabilidad que la contabilidad ofrece (Gómez,
1993). Para Arens, Elder y Beasley (2007), la auditoria se refiere a la acumulación de
información en forma de evidencias y del análisis de las mismas, con el propósito de
determinar y reportar el grado de correspondencia entre esa información y los criterios de
cumplimientos establecidos. Ello significa que el auditor, en sus funciones de
independencia debe recabar datos suficientes y oportunos para verificar que lo señalado en
los estados financieros y demás soportes contables cumplen razonablemente con lo
expresado en los documentos y transacciones que ocurrieron en la realidad, ajustándose
además a las normas internas y externas que afectan la cotidianidad de la organización.

La auditoría es, entonces, un procedimiento de investigación, que conlleva a un
examen integral de las acciones que realiza una entidad económica, que permite gestionar
riesgo y apoya la productividad y fortalece los mecanismos de control (Sánchez, 2006). La
auditoría, efectivamente, es un medio para la administración de parte de los riesgos que
ocurre de forma posterior. Con el examen o investigación generado por el auditor es posible
verificar desviaciones o debilidades en las operaciones que pueden ser tratadas y corregidas
por la administración activa de la empresa sujeta a la revisión. Por ejemplo, al efectuar una
auditoria es posible detectar fallas del control interno que afecta la efectividad de los pagos,
entonces se puede diseñar e implantar soluciones tendentes a fortalecer esos controles y con
ello minimizar esos riesgos. Debe tenerse en cuenta que los riesgos que existen en una
organización solo puede reducirse a niveles tolerables, pero jamás puede eliminarse. La
auditoría también puede impactar en la productividad de la organización, en virtud que es
un excelente mecanismo para ofrecer soluciones antes las posibles fallas operativas que
existen en el sistema, una vez que las mismas han sido detectadas.
La auditoría requiere del uso de técnicas particulares, aplicada de forma profesional,
que exige de un alto nivel de conocimiento académico por parte de quien la lleva a cabo
(Gómez, 1993). Esto es así, debido a la complejidad creciente que muestran las
organizaciones modernas, sujeta a cambios económicos, sociales, políticos y tecnológicos
que hacen que sus operaciones tomen características que tienen impacto directo en las
transacciones que efectúan. Cada vez instituciones más complejas necesitan de procesos de
auditoría más elaborados.
Definición de auditoria informática
El análisis del concepto de auditoría que se realizó en la sección anterior es una

adecuada antesala a su aplicación en el área de la informática. El proceso de auditoría,
como actividad de investigación, de verificación o examen que realiza un auditor, es similar
en sus aspectos básicos, más allá del área específica que resulta ser su objeto de estudio.
Se puede definir la auditoria informática como un proceso de recolección y
evaluación de datos, o evidencia, por medio del cual una persona, o conjunto de ellas,
calificadas y con competencia profesional, examinan, investigan o revisan las normas,
técnica y procedimientos llevados a cabo por una organización para el control interno,
reguardo, confiabilidad, exactitud, mantenimiento y confidencialidad de los recursos
utilizados en los sistemas de información administrados por ella, a través de medios
computarizados, con el propósito de poder emitir una opinión razonada sobre los eventos
verificados. De acuerdo a Derrien (1995), “el objetivo principal de una auditoría
informática es siempre el mismo: comprobar la fiabilidad de la herramienta informática y la
utilización que se hace de la misma” (p. 5). La auditoria informática se desarrolla en
diversas áreas de la empresa, en las cuales la función informática ofrezca soluciones
gerenciales.
El autor Tamayo (2001), basado en la definición de Eurípides Rojas, quien habla de
auditoria de sistema en lugar de auditoria de informática, señala que la misma es parte de la
auditoria cuya finalidad es la evaluación de las normas, los controles, las técnicas y
procedimientos que establece una empresa para verificar si la información que procesan por
medio del computador es confiable, oportuna, segura y mantiene la debida integridad. Se
examina los aspectos técnicos y humanos involucrados en la gestión de datos de la
empresa. Como se observa, la auditoria informática examina la relación información-
computador, y los resultados que este binomio arroja.
Es importante tener claro que la auditoria informática debe evaluar no solo los

sistemas informáticos, compuesto por los equipos, redes y demás componentes del
hardware, sino que debe verificar las entradas y salidas de datos, sus resultados, archivos
generados, procedimientos, controles existentes, entre otros aspectos. Como puede notarse,
resulta en un proceso de alta complejidad que requiere de profesionales muy bien formados.
Más adelante este mismo autor Tamayo (op. cit.), amplía su definición de auditoria
de sistema, señalando que la misma tiene como función
la evaluación de todos aquellos aspectos relacionados con los recursos
informáticos de la organización como son software, hardware, talento
humano, funciones y procedimientos, enfocados todos ellos desde el punto
de vista administrativo, técnico y de seguridad; y propende por prevenir a la
empresa de aquellos riesgos originados por omisiones, errores, violaciones,
actos mal intencionados, desastres naturales, etc., asesorando y
proporcionando recomendaciones y sugerencias a nivel directivo para lograr
un adecuado control interno en la empresa. (p. 9)
Definición de procesos
Antes de hacer referencia a la auditoría de procesos y operaciones del área de
informática, es conveniente definir que significa un proceso desde punto de vista
administrativo. Para Münch y García (1982, c.p. Rodríguez, J., 2003: p. 234) es “el
conjunto de fases o etapas sucesivas a través de las cuales se efectúa la administración
mismas que se interrelacionan y forman un proceso integral”. Por su parte, Martínez (1998)
lo define como un “conjunto de actividades secuenciales cuyo producto crea un valor
intrínseco para su usuario o cliente”. Ambas definiciones apelan a la secuencialidad de las

actividades, lo cual supone que la acción “A” ocurre antes de la “B” y esta ante de la “C”,
así sucesivamente, creando con ello un sentido de prelación. Sin embargo, el carácter que
define a los procesos es la naturaleza propia del concepto, y esto es que un proceso implica
una acción transformadora. La existencia de un proceso se evidencia cuando ese conjunto
de acciones secuenciales arrojan un producto final, distinto a los que entró dentro del
sistema. Esto es por ejemplo, en un sistema educativo existe un proceso cuando ingresa un
individuo con un nivel de conocimiento dado y luego de un conjunto de actividades
formativa el mismo egresa con habilidades, destrezas y actitudes distintas, superiores. Los
procesos organizacionales, siendo productivos, consisten en la combinación de factores y
recursos para con ellos poder satisfacer las necesidades de sus clientes (Melinkoff, 2010;
citando a Maza Zavala). Ello implica que un proceso supone la transformación de un estado
inicial, a otro final, de insumos y recursos utilizando acciones y energías humanas,
elementos financieros y materiales, con el propósito de lograr un producto que atienda a las
necesidades internas y externas que debe cubrir la organización. Esta transformación que se
produce por la combinación de factores requiere de la función administrativa que organiza
y dirige los recursos (op. cit). Estos procesos se conforman por operaciones, actividades y
tareas que deben llevarse a cabo de forma lógica y secuencial, todas ellas interrelacionadas.
Todo proceso empresarial forma parte de un sistema de gestión superior. Por
ejemplo, el sistema que corresponde a la administración y finanzas, puede estar compuesto
por los proceso de tesorería, de presupuesto, de planificación financiera, entre otros. Estos
procesos deben estar relacionados entre sí, por lo cual cuando uno de ellos falla impacta en
los resultados de los otros.
De acuerdo a Martínez (op. cit.) los procesos pueden dividirse en dos grandes
grupos:

a) Procesos operativos de manufactura o para la prestación de servicios que
tradicionalmente han sido objeto de medición y control. Estos procesos
suele tener una repercusión directa en la calidad del producto o
servicio…
b) Proceso empresariales o de gestión que si bien no influyen en la calidad
del producto o servicio, tienen un enorme potencial de mejora de
productividad ya que en el pasado han sido objeto de menor atención
directiva. Dentro de esta categoría, los procesos de información pudieran
tener especial relevancia. (p. 142)
El área informática
La informática es el conjunto de conocimientos que se posee con respecto al
artilugio tecnológico ejecutado por medio del computador (Marco, Marco, Prieto y Segret,
2010). Evidentemente, la informática se encuentra íntimamente asociada al surgimiento del
computador que permitió la aceleración del manejo de la cantidad y calidad de información.
La informática es un término que surgió en el año 1962 en Francia “(infomatique), y
procede de la contracción de dos palabras: INFORmación autoMÁTICA" (De Pablo,
López-Hermoso, Martín-Romo y Medina, 2004, p. 14). Entonces, la informática permite la
gestión automática de la información utilizando las computadoras como medio. Los autores
antes citados la definen como una ciencia que se encarga del estudio el tratamiento
automático, de forma racional de la información utilizando los ordenadores. La denominan
como “la ciencia de los ordenadores” (p. 14). Por tanto, la informática relaciona de manera
directa tanto a la información como a las computadoras, debido a que por medio de esta se
maneja a la primera, todo lo cual permite mayor productividad, precisión, eficiencia y

confiabilidad de los datos que usa la organización dentro de sus procesos vitales.
La informática en la empresa es actualmente una herramienta estratégica, sin la cual
difícilmente podría competir en el mundo moderno. La misma pasó de ser un medio que
facilitaba la automatización de trabajos repetitivos y tediosos, que mejoraba
indudablemente la productividad y la reducción de costos, a un mecanismo que asegura la
calidad, precisión, rapidez y confiabilidad de la información necesaria para la toma de
decisión (De Pablo, et al, 2004). La gestión adecuada de la información es una fortaleza
estratégica que permite tener un conocimiento adecuado del entorno en el cual compiten las
empresas.
Las empresas deben enfrentar a un entorno altamente competitivo, sujeto a elevados
niveles de incertidumbre, que la obliga a tomar decisiones que en muchos casos generan
riesgos fundamentales para su estabilidad en el mercado. El medio más importante para
contrarrestar esta situación es el uso adecuado de información de calidad, oportuna y
precisa. Efectivamente, contar con información en el momento que se requiera,
debidamente procesada, seleccionada aquella que resulta pertinente, es una condición
necesaria para la toma de decisión inteligente. De esto depende la supervivencia de la
empresa, que podrá responder ante las distintas situaciones que le plante la competencia y
los demás actores involucrados. Existe un proceso de transformación revolucionario en esta
era de la información que exige de las organizaciones nuevas capacidades para ser exitosa
(Kaplan y Norton, 2007). Como señalan esto autores, gestionar los activos intangible o
invisible se ha convertido en algo más importante que invertir y manejar activos tangibles y
físicos.
En la era de la información, las empresas deben contar con estrategias y estructuras
acorde a las nuevas exigencias de su entorno y a los cambios radicales que este impone.

Novedoso modelos de negocios, nuevos medios de intercambio comercial, mercados cada
vez más virtuales y clientes con más opciones, hacen que las organizaciones presten mayor
importancia a los manejos de los sistemas informáticos, los cuales le pueden permitir
adaptarse y sobrevivir en una economía cada vez más volátil. Es por ello que el área de
informática toma mayor relevancia en la gestión empresarial. Más, cuando la información
se considera el mayor de los activos de las organizaciones, el que agrega mayor valor, y su
debido manejo es fundamental para mantener p ganar ventaja competitiva sostenible.
De acuerdo a Alonso Rivas (1988), el área de informática posee dos objetivos
fundamentales, los cuales son:
 Desarrollo y seguimiento de los nuevos sistemas que producto de los avances
tecnológicos están a la disposición de las empresas.
 El impulso del flujo de la información a todos los niveles de la estructura de la
organización. El manejo de esa información debe ser preciso, oportuno, integro y
que posea significado para sus usuarios.
Esto objetivos se lograr por medio del desarrollo de un conjunto de funciones que el
área de informática debe llevar a cabo. Ella son, de acuerdo a Alonso Rivas (1988), las
siguientes:
 Estudios de las necesidades de la organización. Al tener presente estas
necesidades será posible atenderlas por medio del desarrollo de sistemas acorde a
las mismas.
 Análisis y programación. Seguimiento y control de los sistemas por medio de
los equipos informáticos.
 Toma de datos. “Mediante esta función se capturan los datos necesarios para las

aplicaciones que constituyen los sistemas, allá donde nacen, de un modo eficaz y
con la calidad exigible a esos datos” (Alonso Rivas, 1998: p.5)
 Proceso de datos. “Tratamiento de los datos, mecanizadamente, para la
obtención de la información de los datos…” (ob cit).
 Distribución de la información. Esta función se ampara en la anterior y es la
que permite que de los resultados obtenidos durante el procesamiento de los
datos, lleguen a los usuarios de los mismos.
La influencia del área informática abarca a toda la estructura organizacional, debido
a que cada uno de sus componentes debe contar con información oportuna, eficiente,
pertinente y de calidad, necesaria para la toma de decisión. Por tanto la ubicación de la
misma debe ser de un modo tal que irradie a todo el sistema organizacional. Lo que resulta
importante resalta que cual sea el tamaño de la empresa, debe contar con algún medio para
gestionar su capacidad computacional. Ello es fundamental si desea desarrollarse, debido a
que esto lleva implícito la adecuada administración de la información, que es un factor
clave de éxito competitivo, como ya se ha comentado. Su supervivencia depende de esta
decisión estratégica.
Realmente no existe un criterio universalmente aceptado en cuanto a cómo debe
conformarse el área de informática. Las características de las mismas dependerá de varios
factores tales como: el tamaño de la empresa, necesidades de información, capacidad
financiera, sector en la que se desempeña, cantidad y complejidad de la información que
procesa, entre otros. Sin embargo, Alonso Rivas (1988) propone para empresas pequeñas
una estructura en la que al jefe del área le reporten los analistas/programadores y los
operadores. Estructura organizacional en principio simple, pero suficiente para lograr los

objetivos planteados en cuanto al uso de la información.
Gráfico Nº 1. Ejemplo del área informática de una pequeña empresa.
Fuente: Alonso Rivas, G. (1988), pag. 8.
Para empresas más grandes, este autor presenta una propuesta más compleja, la cual
se muestra en el siguiente gráfico. Por supuesto, estos son modelos genéricos y cada
empresa diseñará las estructuras que mejor responda a sus necesidades. Tendrá tantos
subsistemas como lo exija su realidad de mercado, así como el tipo de información y el
volumen de la misma. Sin embargo, esta será una decisión transcendental para el éxito de la
gestión de la organización, debido a la importancia que tiene el uso eficiente y oportuno de
la información. Ello marcará la diferencia en la supervivencia de la empresa y de la
preservación de la misma, en un entorno en el cual cada día el incremento de los datos y de
la información que ellos atañen sobrepasa la capacidad humana para procesarla. Por tanto,
el diseño del área de informática debe ser parte de una estrategia superior, cuya
responsabilidad debe recaer en los más altos directivos.

Gráfico Nº 2. Ejemplo del área informática de una empresa mediana
Fuente: Alonso Rivas, G. (1988), pag. 8.
Aspectos relevantes de la auditoría de procesos y operaciones del área de informática
La auditoria de procesos y operaciones del área de informática, se enfoca a la
revisión de las funciones y actividades del tipo administrativos y operativas que se realizan
dentro de un centro de cómputo, las cuales abarcan funciones tales como planificación,
organización, dirección y control ejecutada dentro de dicho centro. Esta tipo de auditoría
busca indagar, además, el nivel de cumplimiento de sus responsabilidades de los integrantes
del área informática, así como de los usuarios del mismo. Igualmente, esta tipo de auditoría
se encarga de examinar las operaciones del sistema, el uso y protección de los medios de
procesamiento de información, así como el adecuado proceso de instalación,
mantenimiento y explotación de los sistemas informáticos, incluyendo equipos e
instalaciones.
Al referirse sobre este tema Muñoz (2002) menciona que

Este tipo de auditoría sirve para evaluar la gestión administrativa del sistema
de computacional, el funcionamiento correcto de su hardware, software,
componentes asociados, así como las instalaciones, programas, información,
mobiliario, equipos y demás activos informáticos del área de sistema de la
empresa, también sirve para evaluar el cumplimiento adecuado de las
funciones, operaciones y actividades de carácter administrativo que ayudan a
satisfacer las necesidades de información de las áreas de la empresa que
utilizan sistemas computacionales… (p. 578)
Por otra parte, Muñoz (op. cit), explica que la auditoria de procesos y operaciones
del área de informática debe contemplar los siguientes aspectos:
Debe contemplar la auditoría de la planificación de la empresa, relacionada con el
área de informática. En este sentido debe entenderse la misión, visión y objetivos generales
y específicos de las actividades informáticas. Tiene que tener en cuenta las estrategias para
la realización de las actividades informáticas, así como de las funciones fundamentales
necesaria para proporcionar el servicio informático a las distintas áreas de la empresa. Es
necesario evaluar los procedimientos generales para proporcionar el servicio informático.
Se requiere que se audite la estructura organizacional del área informática, así como
el cumplimiento de las funciones, tareas y operaciones desarrollada por el área informática.
En tal sentido, debe constatarse si esta área posee una estructura formal, tales como
manuales de normas y procedimientos, instructivos, protocolos, organigramas, etc. Esto es
importante debido a que permite verificar que los procesos se llevan a cabo al margen de
opiniones o decisiones personales del jefe de turno, lo cual crea un riesgo operacional
elevado.

La auditoria del papel del talento humano dentro de la dinámica del área informática
es un factor que no debe dejarse de lado. De nada sirve contar con tecnología de punta, con
sistema de información adecuado a las necesidades de la empresa, si se cuenta con un
personal desmotivado, sin identificación con la organización, con baja preparación y con
una actitud de rechazo antes los requerimientos de los usurarios.
Objetivos de la auditoria de procesos y operaciones del área de informática
La auditoria de procesos y operaciones del área de informática, pretende evaluar la
gestión operativa del área objeto de revisión y análisis, aplicando las herramientas y
técnicas utilizadas para la ejecución de la auditoria informática.
Según Alonso Rivas, G. (1988), algunos de los objetivos que se pretenden alcanzar
con este tipo de auditoría pueden ser los siguientes:
- Revisar el organigrama del departamento de informática, con el objeto de
conocer su estructura, divisiones, funciones, responsabilidades operativas y
otros aspectos relevantes.
- Comparar la estructura actual con la definida en los manuales, si estos existen.
- Verificar los estándares de documentación.
- Determinar los procedimientos de dirección para hacer cumplir con los criterios
de documentación en cuanto al procesamiento de datos.
- Revisar las políticas de mantenimiento y atención a los usuarios.
- Revisar la política del personal.
- Confrontar los establecidos en las normas con el estado actual del área
informática.

- Asesorar en materia del diseño de nuevos documentos y directrices que mejoren
el desempeño del área objeto de a auditoria,
- Evaluar la distribución de las funciones y tareas.
- Examinar los métodos de trabajos, en cuanto al análisis de los sistemas,
programación, prueba e implantación.
- Evaluar el grado de participación de los usuarios.
- Revisar la documentación de usuarios.
- Conocer el grado de aceptación o satisfacción general con respecto al servicio
informático.
- Evaluar el grado de conocimiento de los usuarios implicados sobre los sistemas
automatizados.
- Revisar todo los tipos de contratos que afectan al centro de procesamiento de
datos. Estos contratos pueden ser de mantenimientos, servicios, seguros, entre
otros.
Otro objetivo que se espera alcanzar por medio de la realización de la auditoria de
procesos y operaciones del área de informática, es la evaluación de los controles operativos,
que según lo mencionado por Tamayo (2001), son aquellos “diseñados, desarrollados e
implementado para sistemas específicos, buscando garantizar con ellos que todas las
operaciones sean autorizada, registradas y procesadas de una manera completa, exacta y
oportuna” (p. 10). Adicionalmente este autor (op. cit.) explica que esos controles se
encuentran relacionados con la organización de los proyectos de desarrollo, con el control
de los flujos de información, revisión de los diseños del sistema, gestión de la bases de
datos, control de la modificaciones a los programas, bitácoras de cambios, mantenimiento

del sistema y documentación del mismo, control de los programas, emisión de los reportes
y uso de ellos, diseño y control de formatos, entre otros.
Relación con los usuarios
La relación con los usuarios es una actividad fundamental para el área de
informática de cualquier empresa. Son ellos para lo cual los sistemas han sido diseñados y
puesto en funcionamiento, para hacerlos más productivos. Por tanto, es conveniente que en
la estructura de los departamentos de informática existan una o varias personas
responsables de las relaciones con los usuarios. Esta es una función muy importante, debido
a que de su adecuada ejecución dependerá el mantenimiento de la producción del
departamento.
Esta persona velará de la conexión del manejo de los sistemas y las necesidades de
los usuarios. Adicionalmente, estará atento de la documentación aportada por los usuarios,
esto es: control de los documentos base, fecha de recepción, responsable de esta
información, entre otro.
Evaluación de los riesgos
Al desarrollar sus actividades se enfrenta a un conjunto de riesgos, los cuales son las
probabilidades de que la ocurrencia de uno o varios eventos afecten la consecución de los
objetivos y metas organizacionales, poniendo en peligro su estabilidad. Esto es que algo
pueda salir mal que genere un daño.
Para el desarrollo del proceso de auditoría, el profesional se enfrenta a múltiples
riesgos, que deben ser identificados, analizados y evaluación, con el propósito de

administrarlo, lo cual asegura que sea posible alcanzar los objetivos planteados. Según
Blanco (2004), el riesgo en auditoria “significa el riesgo de que el auditor dé una opinión de
auditoría inapropiada cuando los estados financieros están elaborado en forma errónea de
una manera importantes” (p. 65).
Las clases de riesgos y el impacto de los mismos deben ser evaluados por el auditor,
ello le permite determinar el alcance de la confiabilidad sobre el control interno, así como
la naturaleza, oportunidad y amenazas existente en los procesos llevados a cabo por la
organización, siendo posible con ello establecer los planes, programas y pruebas necesarias
para comprender, de forma razonable, la eficiencia, eficacia y transparencia de las
actividades desarrolladas por el área informática.
En el desarrollo que cualquier proceso de auditoría, independientemente del tipo y
área en la cual se aplique, es necesaria la identificación de los riesgos existente en la
organización, así como de los controles que debe implantarse para mitigarlos o controlarlos.
Por tanto, el auditor debe determinar esos riesgos y evaluar el modo en que los mismos son
gestionados por la administración de la empresa.
Los riesgos más comunes que existen en el proceso de auditoría son tres: los
inherentes, los de control y el riesgo de detección.
El riesgo inherente, según Blanco (2004), se refiere a “la susceptibilidad del saldo
de una cuenta o clase transacción a una representación errónea que pudiera ser de
importancia relativa individualmente, o cuando se agrega con manifestaciones errónea en
otras cuentas o clases, asumiendo que no hubo controles internos relacionados” (p. 65).
El riesgo de control. Es la posibilidad que un error o falla no sea detectado por los
controles internos de la empresa.

El riesgo de detección. De a la definición de la NIA 200, en su párrafo 31, “es el
riesgo de que el auditor no detecte una representación errónea que existe en una
aseveración que pudiera ser de importancia relativa, ya sea en lo individual o cuando se
acumula con otras representaciones erróneas”. Este riesgo se encuentra asociado a la
efectividad del diseño que el Auditor efectúe de su labor. Procedimientos adecuadamente
establecidos y ejecutados tienden a minimizar este riesgo. Sin embargo, el Auditor siempre
confrontará diferentes niveles de riesgos de detección debido a que puede utilizar pruebas
erradas o aplicar criterios de acción equivocados, que no permitan lograr los objetivos
planteados en la actuación. Tal vez las actividades de revisión este bien planteada, pero
existe la posibilidad que el Auditor los lleve a cabo inadecuadamente, o peor aún, que a
pesar de estar todo el proceso ejecutado adecuadamente el Auditor llegue conclusiones
erradas.
El riesgo de detección presenta dos componentes: el riesgo genérico y el de
muestreo. El primero, es de tipo general en el que se incluye cualquier factor que no
corresponda específicamente a la muestra seleccionada y que puede conducir al auditor a
llegar a conclusiones inadecuada sobre los saldos de alguna cuenta en especial o sobre la
eficiencia de los controles internos. El riesgo muestral se relaciona con el nivel de la
muestra seleccionada, lo cual significa la posibilidad de determinar y escoger una muestra
que no representa adecuadamente las características de la población, situación que se
traduce en la obtención de información que puede llevar al Auditor a emitir conclusiones
erradas.
Los riesgos inherentes y de control son generados por la propia empresa, mientras
que los de detección son imputables al Auditor.

El control interno y la auditoría de procesos y operaciones del área de informática
El control es una de las actividades más importante del proceso administrativo,
debido a que permite la evaluación continua de las actividades en cuanto a su cumplimiento
y calidad del desempeño. El control como actividad, es un medio en sí mismo, debe
entenderse que no es el fin. Su aplicación sistemática tiene como propósito verificar que las
actividades se ejecutan de la manera prevista en las leyes, las normas externas e internas o
en los planes organizacionales (Delgado, 1997). Al respecto Coopers & Librand (1997),
menciona que las actividades de control se refieren a “las políticas y los procedimientos que
ayudan a asegurar que se llevan a cabo las instrucciones de la dirección. Ayudan a asegurar
que se toman las medidas necesarias para controlar los riesgos relacionados con la
consecución de los objetivos” (p. 5). Cada acción que se lleva a cabo en la institución tiene
aparejado las correspondientes actividades de control. Desde la más simple transacción
hasta la más compleja, son objeto de mecanismos de control interno: una firma, un sello,
una revisión, una conciliación o una autorización, son ejemplo de ello.
Las empresas por el hecho de manejarse en un entorno dinámico y cambiante, se
encuentran sujetas a alto grado de incertidumbre, lo cual las hacen propensa a convivir con
múltiples fuentes de riesgos. Justamente, uno los objetivos de las actividades de control es
administrar esos riesgos, pretendiendo minimizarlos a niveles aceptables. Se dice a “niveles
aceptables”, debido a que por diversos factores nunca pueden eliminarse del todo. De allí la
importancia del control como herramienta de gestión. En función a ello, los controles deben
diseñarse e implantarse de acuerdo a los riesgos detectados en la organización. Cada tipo de
riesgo debe ser atacado con alguna clase de control. Dichos riesgos se conocen como
“riesgos inherentes”, que son aquellos propios o inmerso en la actividad que desarrolla la

empresa (Delgado, 1997). Por ejemplo, la existencia de un programa de administración
computarizada tiene el riesgo inherente que cualquier usuario pudiera tener acceso a la base
de datos del mismos, lo cual pudiera afectar su integridad. Entonces, una medida de control
lógica sería limitar los niveles de accesos por medio de la imposición de clave de acceso.
El control es un factor extremadamente crítico en el logro de los objetivos
generales, y su efectividad, depende de la información recibida. Señala Cooper & Librand
(1997), que “el control interno no constituye un acontecimiento o una circunstancia
aislados, sino una serie de acciones que se extienden por todas las actividades de una
entidad. Esta acciones son omnipresentes e inherentes a la gestión del negocio…” (p. 16).
Significa que el control interno debe encontrarse integrado en todo el quehacer
organizacional.
La ejecución de actividades de control asegura que los resultados que se alcancen
sean muchos mejores que si no se controla. Ello es así, debido a que al controlar
oportunamente se pueden detectar fallas o desviaciones de las acciones realizadas que
pueden afectar los objetivos previstos. Esta actividad hace posible tomar las medidas
correctivas necesarias para realinear las actividades y tareas según lo esperado. La falta de
controles o la existencia de los mismos con diseños inadecuados, tiende a perjudicar a las
empresas, que se encuentran sometidas a la exposición de riesgos operacionales que atentan
contra sus resultados finales. Sin la existencia de controles, las organizaciones se
encuentran navegando a la deriva, víctima de posibles fraudes, ineficiencia, errores y
omisiones que ponen en peligro su supervivencia. El diseño e implantación de los distintos
controles es responsabilidad de la administración de la empresa, sin embargo, le
corresponde al auditor verificar la existencia, eficiencia, eficacia y calidad de esos controles
(Delgado, 1997).

Los controles internos pueden clasificarse en diferentes categorías, tales como,
contables y administrativas. Los mismos pueden definirse de la siguiente manera,
1. Los controles contables, comprenden el plan de organización y todos los
métodos y procedimientos cuya misión es la salvaguarda de los bienes
activos y la fiabilidad de los registros contables.
2. Los controles administrativos se relacionan con la normativa y los
procedimientos existentes en una empresa vinculados a la eficiencia
operativa y el acatamiento de las políticas de la Dirección y normalmente
sólo influyen indirectamente en los registros contables. (Mira, 2006: p. 11)
El proceso administrativo posee diferentes facetas, tales como la planificación, la
organización, dirección y organización. En cada una de ella el control interno cumple una
función importante, debido a que permite monitorear constantemente si lo establecidos se
está cumpliendo. Debe entenderse que el control interno debe estar amalgamado a todas las
actividades de la organización. Debe evitarse definirlo como un elemento añadido o una
carga, que entraba o burocratiza los procesos, lo cual es una visión equivocada, que pone en
riesgo la consecución de los objetivos de la institución. En este sentido, Coopers & Librand
(2007), recomienda que los “controles internos son más efectivo cuando se incorporan a la
infraestructura de una entidad y forman parte de su esencia” (p. 17)
El control debe ser oportuno, es decir que se requiere que ocurra en el momento que
se precisa. Debe además, seguir una estructura orgánica, siendo parte del proceso
estratégico. Asimismo, el control debe ser económico, lo que significa que su costo de
aplicación sea menor que los beneficios que ofrece. Por último, se espera que el control

haga resaltar las excepciones, es decir que tenga la capacidad de hacer evidente las
desviaciones cuando estas ocurran.
En las organizaciones como sistemas abiertos suceden los procesos de control en
diferentes niveles, externos e interno. Este último es de interés para el presente trabajo y el
mismo puede ser definido
en forma amplia como un proceso efectuado por el Consejo Administrativo,
la Dirección y el resto del personal de una entidad, diseñados para
proporcionar una razonable seguridad con miras a la realización de
objetivos en la siguiente categorías:
- Efectividad y eficiencia de las operaciones
- Confiabilidad de la información financiera
- Acatamiento de las leyes y regulaciones aplicada (Estupiñan, 2006: p.
1)
Samuel Montilla (2009: p.3), citando al sistema COSO (Committee of Sponsoring
Organizations- dependiente de la comisión parlamentaria Treadway de EE.UU), define al
“control interno como un proceso, ejecutado por la junta de directores, la administración
principal y otros personal de la entidad, diseñado para proveer seguridad razonable en
relación con el logro de los objetivos de la organización”. Este autor, establece, al igual que
Estupiñan (2006), que el control interno parte de los niveles más elevados de la institución
(ambiente de control) y se irradia hacia su base, quienes deberían ejecutarlo rutinariamente.
Es por tanto una decisión estratégica. Adicionalmente, plantea que el control interno provee
una seguridad razonable, no absoluta, de que los objetivos y metas planteados pueden ser

alcanzados por la organización. Es por tanto una probabilidad de ocurrencia, es decir, que
la aplicación de controles no asegura el éxito, sin embargo la carencia del mismo
seguramente si se traduzca en fracaso.
Metodología para la realización de la auditoría de procesos y operaciones del área de
informática
Para el desarrollo de la auditoria de procesos y operaciones deben cumplirse una
serie de fases, que serán el marco de referencia de la metodología que debe utilizarse.
La Primera fase, es el establecimiento del alcance y los objetivos de la auditoria.
De acuerdo con la profesora Alicia Rahbe, en “el alcance se define, con precisión, el
entorno y los límites en que va a desarrollar la auditoria y se complementa con los objetivos
de ésta”.
La segunda fase debe realizarse un estudio inicial del entorno auditables, esto es el
examen de las funciones y actividades generales desarrolladas en el área informática. Se
debe verificar los aspectos formales de la organización, por lo que debe contarse con el
organigrama correspondiente, el cual permitirá analizar las líneas de mando, los niveles de
autoridad, la jerarquía, las dependencias que conforman el área, flujo de información.,
número de puestos de trabajos, así como de trabajadores y otros aspectos de la estructura
informática.
En la tercera fase, se establecer que recursos se necesitan para desarrollar la
auditoria. Debe estimarse, qué personal se requiere, qué tiempo se utilizará, cuáles serán los
costos, entre otros aspectos.
Luego debe, en la cuarta fase, elaborarse el plan y los programas de trabajo. La
planificación, junto con el programa correspondiente dará paso a la quinta fase de

ejecución, o de actividades propiamente dichas, cual requerirá del trabajo de campo con el
propósito de recabar información. Las principales actividades de esta fase serán la
aplicación de técnicas de recolección de información; la evaluación del control interno; la
selección de la muestra a ser evaluada y la validación de los resultados obtenidos. Se deben
definir los hallazgos, de ser el caso y se organizarán los papeles de trabajo.
Las técnicas de auditoría, según Cepeda (1997), “son los métodos prácticos de
investigación y prueba que se utilizan para la obtención y análisis de información, y para
comprobación necesaria con el fin de emitir una opinión personal” (p. 95). Existen diversas
técnicas de recolección de información, algunas de ellas son: las verbales, la documentales,
las escritas, las físicas y las oculares.
Las técnicas verbales permiten obtener información oral dentro o fuera del área de
auditoría. Los instrumentos mas importantes dentro de esta técnica son las indagaciones y
las encuestas los y cuestionarios.
Por su parte, la técnicas oculares buscan la verificación en forma directa y paralela
la manera como los responsables desarrollan y documentan los procesos o procedimiento.
De esta técnica las conocidas son las siguientes: observación, revisión selectiva rastreo,
entre otros.
Las técnicas documentales tienen el objetivo de obtener información escrita para
soportar las afirmaciones, análisis o estudios realizados por los auditores. Dentro de ellas se
encuentran la comprobación, la computación, la revisión analítica y los estudios generales.
Las técnicas físicas permite el reconocimiento real sobre hechos o situaciones dadas
en tiempo y espacio determinado. Las inspecciones son un ejemplo de estas técnicas.

Las técnicas escritas, consisten en reflejar información importante para el trabajo
del auditor. Dentro de ellas están los análisis escritos, las conciliaciones, las
confirmaciones, los cálculos y las tabulaciones.
En la ejecución del trabajo de auditoría busca determinar la calidad del entorno
informático de las organizaciones públicas o privadas. A este respecto, Derrien (1995)
pregunta “¿qué controles hay que poner en práctica para obtener buenos supuestos
concernientes a la fiabilidad, o por el contrario, a la falta de fiabilidad de las aplicaciones
desarrolladas?” (p. 27). Ese mismo autor (ob. cit.) responde a esta interrogante afirmando
que “el auditor se dedicará a comprobar que se hayan respectado los principios básicos de
una organización que satisface la actividad informática” (p. 27).
La siguiente fase, la sesta, en la cual se confección y redacta el Informe final, en el
que se realiza la presentación de los resultados de la auditoría. Este informe debe
contener las conclusiones y las recomendaciones del caso. El informe se entrega en dos
etapas, una en forma de borrador y posteriormente de manera definitiva.
Este informe se presenta, con lo cual se cumple la séptima fase, por medio de la
carta de introducción o carta de presentación del informe final, que es aquella en la que “se
resume el trabajo realizado y luego se presenta con el informe para que se revise y discuta”
(Alicia Rahbe).
Aspectos que debe contener una auditoría de procesos y operaciones del área de
informática
Siguiendo a Derrien (1995), el mismo plantea los siguientes aspectos que debería
contener cualquier proceso de auditoría a los procesos y operaciones del área informática,
los mismos son:

El examen de la estructura del servicio informático
Debe indagarse sobre la existencia de un organigrama escrito del área de
informática. Derrier (11995), menciona que “aunque el organigrama escrito pueda parecer
superfluo e incluso acongojante en las estructuras pequeñas, se impone desde el momento
que el personal supera decena de personas” (p. 29). Este documento, de existir, debe ser
revisado para determinar si está actualizado y si refleja la verdadera estructura del área o si
el diseño estructural es el necesario para la buena marcha de la dependencia informática.
Verificación de la planificación de la actividad informática
Es necesario indagar sobre la existencia de un órgano encargado de la toma de
decisión estratégica en materia informática. Derrier (1995) menciona que “con frecuencia,
la Dirección general de la empresa delega a la Dirección de informática la definición de la
política a llevar a cabo” (p. 35). Dice ese autor que ello es una situación riesgosa en la
medida de que los encargados del área de informática tiene la tentación de favorecer a sus
propios criterios en la elaboración de sus propias orientaciones estratégicas, por encima de
los intereses de la organización. Por ejemplo, las decisiones en materia de adquisición de
tecnología pueden estar supeditadas a intereses técnicos, que necesariamente no representa
la inversión óptima para la organización. Ante la situación planteada, es conveniente que
las decisiones estratégicas sean llevadas a cabo por la Dirección general y que exista un
comité de informática que coadyuve a la toma de decisiones técnicas en materia
tecnológica.

Es importante constatar la existencia de un plan informático. “El plan informático
tiene como objetivo anticipar las principales evolución de la actividad informática, tales
como; equipos, programas básicos, programas de aplicaciones, recursos humanos” (Derrier,
1995: p. 35).
Verificación de la documentación de la actividad informática
El área informática, dentro de su sistema formal de gestión debe contar con los
documentos que respalden los procesos y las operaciones que realiza. Ello le permite el
mantenimiento de la memoria institucional, el resguardo del conocimiento adquirido y el
apoyo a la toma de decisión rutinaria. Dentro de los documentos que debería existir el área
de informática se encuentran los siguientes:
- Manuales de usuario.
- Manuales técnico del sistema.
- Manuales de capacitación.
- Manuales de operación.
- Documentación de pruebas y simulación de sistema.
- Actualización de manuales.
Examen del seguimiento de los costos
Debe indagarse la existencia de un presupuesto informático, en el cual se
establezcan las erogaciones previstas para el área. El auditor debe evaluar la factibilidad de
dicho instrumento y como el mismo guarda relación con el plan informático, en particular y
con el presupuesto general. Es necesario que revise el nivel de ejecución del presupuesto y

de las desviaciones que pudiera presentarse en el mismo.
Debe evaluarse sistemáticamente la variación de los costos. Un incremento de las
erogaciones del área informática debe ser cuidadosamente analizado en función a los
beneficios y la creación de valor que ofrece a la organización. La variación de los costos
puede explicarse por múltiples razones, tal vez la adquisición de nuevas tecnología, la
introducción de aplicaciones importantes, entre otras. En todo caso, el uso del presupuesto
de informática debe estar suficientemente justificado, siendo su ejecución parte importante
del accionar estratégico.
Dentro de los costos que deben ser auditados se encuentra el asociado al personal de
informática y de las actividades que estos realizan. Debe comprobarse los controles que se
utilizan para efectuar el seguimiento de la actuación cotidiana desarrollado en el área de
auditoría. Es necesario tener en cuenta que el personal de auditoría atiende diferentes
proyectos de desarrollo, ejecuta múltiples actividades de mantenimiento de los sistemas de
información y otros tantos servicios claves para la organización, por lo que las horas
hombre de este personal calificado tiende a ser costoso y su uso racional resulta, entonces,
muy importante para el control de costo. De allí la necesidad de su seguimiento eficiente.
Es importante, de acuerdo a Derrien (1995) responder a la pregunta de si los costos
de la informática son facturados a los usuario que disfrutan del servicios recibido. Este
autor establece que
La falta de facturación de costes encuentra a veces su justificación en la
voluntad de “promover” la informática. Esta “promoción”, no obstante, a
priori será limitada en el tiempo.
Cuando hay refacturación, ésta incluirá habitualmente una separación entre:

- Los costes de desarrollo.
- Los costes de mantenimiento
- Los costes de explotación (p. 37)
Resulta relevante en el desarrollo de la auditoria poner especial énfasis en el control
de los costos del área informática, debido a que en algunos casos se piensa que el
incremento de las erogaciones que efectúa la misma significa una mejora de las tecnología
de la información, lo cual se traduce en mayor automatización y mas beneficio para los
usuarios. Sin embargo, esto no es necesariamente cierto, más si se tiene en cuenta que más
dinero no significa mejores resultados, sobre todo cuando esos recursos se utilizan sin
criterio estratégico. Todo ello justifica el constante control de los procesos y operaciones
llevados a cabo por el área informática.
Las relaciones con los servicios de usuarios
Dentro del proceso de auditoría debe examinarse los métodos de seguimientos que
utiliza el área de informática para determinar la calidad del servicio que presta a los
usuarios. Para ello debe evaluar los instrumentos de medición que posee informática para
conocer el nivel de satisfacción de los usuarios. Por ejemplo, debe revisarse si poseen
registros de la frecuencia de los incidentes de aplicación; tiempo de respuesta medio de las
transacciones; disponibilidad del teleproceso, entre otros múltiples aspectos.
La verificación de la separación de funciones

La separación de funciones es un principio básico de control interno, por lo que es
importante que las funciones de los usuarios, del personal de estudios (desarrollo y prueba
de nuevos programas) y del encargado de la explotación se encuentren desagregadas en
cuanto a los trabajos que desarrollan.
Los usuarios deben tener acceso a las transacciones para los cuales han sido
habilitados, no teniendo ninguna posibilidad de modificar los ficheros de explotación.
El personal de estudios debe tener límites en cuanto a sus facultades y no deben
traslapar las fronteras de las funciones de explotación. Esto es importante para evitar
riesgos operativos importantes. Por ejemplo, si un empleado se encarga de las funciones de
estudio y al mismo tiempo se involucra en la función de explotación, es posible que él
conozca la clave de acceso establecida en los programas que el mismo ha desarrollado.
La revisión del control de actividades
El control de las actividades de auditoría, de acuerdo a Derrien (1995), puede cubrir
diferentes aspectos, tales como: “control de seguridad o control de las actuaciones; control
del entorno informático o control de una aplicación particular” (p. 41). Este control puede
ser llevado en diferentes instancias de la organización. Esto es, puede ser llevado por la
misma área de informática, si posee una dependencia de seguridad interna, o por entes
externos, pero pertenecientes a la propia empresa, como por ejemplo, el área de auditoría
interna. Excepcionalmente pudiera encargarse de esa responsabilidad a entes externos, por
medio de contratos de servicios.
Es importante que en de la ejecución de la auditoria de proceso y de los
procedimientos del área de informática resulta fundamental la revisión y análisis de los

controles internos existen en la misma, así como del desarrollo de los sistemas. Asimismo,
debe hacerse seguimiento a los procedimientos de entrada de datos, procesamiento de la
información y emisión de los resultados. También, es fundamental la verificación de los
controles internos sobre la seguridad física y lógica existente en área de informática.
La evaluación del entorno social
Siguiendo a Derrien (1995), este autor desarrolla una serie de preguntas que deben
ser respondidas durante el desarrollo de la auditoria, las mismas están asociadas con la
evaluación del entorno social. Dichas indagatorias pudieran ser las siguientes:
¿Es coherente la tasa de rotación del personal informático?
¿Es satisfactoria la política de contrataciones de personal?
¿La política de remuneración está de acuerdo con las normas del mercado?
¿Es coherente la cualificación del personal con la función que ejerce?
¿Está controlado el recurso de colaboradores externos?
¿Ha habido en el pasado hechos significativos en materia de gestión de personal?
¿El interés técnico de la actividad informática permite una motivación satisfactoria
del personal?
¿Es suficiente la formación del personal?

CAPÍTULO II
MARCO PRÁCTICO
La Contraloría del municipio Ambrosio Plaza, es una institución pública encargada
del control, vigilancia y la fiscalización de las operaciones que llevan a cabo los entes
municipales que reciben fondos públicos. Las actuaciones que ejecutan el mencionado
órgano contralor se realizan por medio de la realización de auditorías, inspecciones y
cualquier tipo de revisión fiscal en los organismos y entidades sujeto de su control.
La Contraloría, en el ejercicio de sus funciones, verifica la legalidad, exactitud,
economía, eficiencia, calidad e impacto de las operaciones y de los resultados de la gestión
de los organismos objeto de control.
La Contraloría cuenta con una unidad de informática, creada en el año 2010.
Actualmente, esta dependencia se encuentra conformada por dos (2) personas. Un jefe de
Unidad y un (1) analista. Este último se encuentra estudiando informática en un instituto
técnico, sin embargo posee bastante experiencia en el área de computación.
Esta dependencia, en la actualidad se encuentra instalando una red inalámbrica para
el acceso a internet. La actividad más importante que efectúa tiene que ver con la atención a
los usuarios en cuanto a sus requerimientos de soporte técnica.
En esta área se tiene planteado llevar a cabo una auditoria de procesos y
operaciones.

Alcance
La auditoria se realizará sobre los procesos y operaciones llevadas a cabo en el área
informática de la Contraloría del municipio Plaza.
En tal sentido se evaluará a la Unidad de Informática en lo que corresponde a:
- Organización.
- Estructura.
- Recursos Humanos.
- Normas y politicas.
- Capacitación.
- Planes de trabajo.
- Controles.
- Estandares.
Objetivo
Evaluar los procesos y operaciones desarrollados en el área informática de la
Contraloría del Municipio Plaza.
Recursos
El numero de personas que integraran el equipo de auditoria será de una, con un
tiempo maximo de ejecucion de tres (3) semanas.
Etapas del trabajo
1. Recopilacion de informacion básica
Se le enviará al Jefe del área de informática y a su analista un cuestinario en el cual
se desarrollarán los siguientes aspectos:

- El examen de la estructura del servicio informático.
- Verificación de la planificación de la actividad informática.
- Verificación de la documentación de la actividad informática.
- Examen del seguimiento de los costos.
- Las relaciones con los servicios de usuarios.
- La verificación de la separación de funciones.
- La revisión del control de actividades.
- La evaluación del entorno social.
2. Evaluación del control interno
Se evaluará en sistema de control interno llevado a cabos por la unidad de
informática, lo cual se realizará a través de la aplicación de cuestionarios, observación de
los procesos y análisis de los documentos de la mencionada dependencia.
Se solicitará los manuales administrativos, estándares utilizados y programas de
trabajo.
3. Elaboración del plan y programas de trabajo.
La elaboración del plan es imprescindible para el éxito, pero el mismo debe ser
traducido en términos operativos, para que las acciones preestablecidas sean cumplidas
cabalmente. Por tanto, el detalle, la secuencias y el orden incrementa la posibilidad de que
la auditoria alcance los objetivos planteado. Es aquí en el que la elaboración de los
programas de auditoría y el uso de los papeles de trabajo juegan un papel preponderante.

El programa de trabajo se cubrir las siguientes actividades:
- Aplique los cuestionarios diseñado a los fines del desarrollo de la auditoria.
- Revise, de existir, el organigrama del departamento y el de la institución, con el
proposito de conocer a la unidad, sus dependencias, funciones y operaciones.
- Analice la ejecución presupuestaria del área de informática y comparelo con lo
programado.
- Compare la estructura actual con la definida.
- Verifique los estandares de documentación.
- Determine los procedimientos de dirección para hacer cumplir los criterios de
documentación en proceso de datos.
- Confronte las directrices sobre documentos con la realidad.
- Revise la politica personal: grado de cumplimiento de los procedimientos
generales y nivel de sometimiento a la politica de personal.
- Evalue la distribución de funciones.
- Examine las politicas retributivas y los planes de formación.
- Verifique los métodos de analisis e imputación de costos.
- Confronte presupuesto contra la realidad.
- Examine los métodos de trabajo: analisis, programación, pruebas, entre otro.
- Evalue el grado de participación de los usuarios.
- Revise la documentación de usuario.
- Examine los procedimientos usados para actualizar la documentación.
4. Pruebas a realizar

Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de
los objetivos establecidos. Entre ellas se pueden mencionar las siguientes técnicas:
- Elaboración de un o varios cuestionarios que permitan la evaluación integral de
la unidad de informática.
- Entrevista con los miembros del área auditada, asentando los resultados de las
misma en documento escrito.
- Observación y registros de los procesos y las operaciones fundamentales
desarrolladas en la Unidad de Informática.
- Análisis y evaluación de la información recabada.
5. Obtencion de los resultados
En esta etapa se obtendrán los resultados que surjan de la aplicación de los
procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o
no con los objetivos de control antes definidos. Los datos obtenidos se registrarán en
planillas realizadas a medida para cada procedimiento a fin de tener catalogado
perfectamente los resultados con el objetivo de facilitar la interpretacion de los mismos y
evitar interpretaciones erroneas.
6. Conclusiones y comentarios
En esta fase se detallará el resumen de toda la información obtenida, así como lo
que se deriva de esa información, reseñando aquellos aspectos que resulten en deficiencia
dentro de los procesos y operaciones realizadas por la unidad de informática de la

Contraloría del municipio Plaza.
7. Redacción del borrador del informe
Los hallazgos más relevantes, determinado por medio de la auditoría realizada se
emitirá un informe, que hagan del conocimiento de la autoridades de la Contraloría del
Municipio Plaza sobre los aspectos que deben mejorar en la Unidad de Informática.
8. Presentación del borrador del informe, al responsable de Institución
Se le presentara el informe borrador a un responsable del área informática, como se
aclaro en el punto anterior, con el máximo de detalle posible de todos los problemas y
soluciones posibles recomendadas, este informe se pasara por escrito en original y copia
firmando un documento de conformidad del mismo para adquirir un compromiso fuerte en
la solución de los mismos, de esta forma evitaremos posibles confusiones futuras.
9. Redacción del informe resumen y conclusiones.
Es en este paso es donde se muestran los verdarderos resultados a los responsables
de la Contraloría del Municipio Plaza, el informe presentado dará a conocer todos los
puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles
soluciones.
Presentación del cuestionario modelo
A continuación se presenta un cuestionario que puede servir como modelo para el
desarrollo de la auditoria de procesos y operaciones del área de informática. Este
instrumento se procesará por medio del uso de la técnica de Checklist de rango, cuyo rango

de evaluación es el siguiente:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.
Cuestionario
1) ¿Existe un organigrama escrito de la Unidad de Informática?
2) ¿La estructura actual permite ofrecer un servicio de calidad?
3) ¿Existe suficiente personal en el área informática?
4) ¿Posee el área de informática claro cuáles son sus objetivos formales? (¿Cuáles
son?)
5) ¿Existe un comité informático, responsable de las principales decisiones
estratégicas?
6) ¿Posee la Unidad de Informática un plan operativo anual?
7) ¿Existen manuales del sistema a disposición de los usuarios?
8) ¿Cuentan con manuales técnico del sistema?
9) ¿Cuentan con manuales de operación del sistema?
10) ¿revisan y actualización frecuentemente los distintos manuales?
11) ¿En la Unidad de informática poseen un presupuesto suficiente?
12) ¿Posee independencia para la ejecución del presupuesto?
13) ¿Se justifican sistemáticamente los incrementos de costos?

14) ¿Existe un seguimiento de las actividades del personal de informática?
15) ¿Posee su dependencia mecanismo para el control de los gastos y costos?
16) ¿Hay un seguimiento de la calidad del servicio prestado por la Unidad de
Informática?
17) ¿Existen una adecuada comunicación entre los miembros del área de informática y
sus usuarios?
18) ¿Elaboran informe sobre los resultados de los servicios prestados a los usuarios?
19) ¿Se evalúa si el sistema informático cubren las necesidades reales de los usuarios?
20) ¿Miden en el área de informática el grado de satisfacción de los usuarios por el
servicio prestado por la misma?
21) ¿Existe en la Unidad de Informática una adecuada separación entre las funciones de
desarrollo y el de explotación?
22) ¿En la Unidad de Informática posee suficiente personal para que cada uno desarrolle
una función distinta?
23) ¿Los usuarios tienen posibilidad de actualizar o modificar algún fichero o
programa?
24) ¿Existe un control del acceso de los usuarios al área de informática?
25) ¿Existe un control de la asignación de equipos a las áreas de la organización?
26) ¿Poseen políticas de seguridad con respecto al manejo de la información?
27) ¿Se efectúa regularmente auditoría a las actividades informática?
28) ¿Evalúan los riesgos existentes en el área de informática?
29) ¿Verifican que el procesamiento de los datos arrojen los resultados esperados?
30) ¿Evalúan frecuentemente los programas y equipos informáticos manejado por los
usuarios?

31) ¿Poseen manual descriptivo de cargo o de funciones?
32) ¿Existe mucha rotación del personal?
33) ¿Es satisfactoria la política de contrataciones?
34) ¿La política remuneración está de acuerdo con las normas del mercado?
35) ¿Todo el personal del área es profesional en materia informática?
36) ¿Posee asesores externos que atienden el área?
37) ¿Es suficiente la formación del personal?
38) ¿Reciben adiestramiento frecuentemente?

CONCLUSIONES
En la era de la información, las empresas deben contar con estrategias y estructuras
acorde a las nuevas exigencias de su entorno y a los cambios radicales que este impone.
Novedoso modelos de negocios, nuevos medios de intercambio comercial, mercados cada
vez más virtuales y clientes con más opciones, hacen que las organizaciones presten mayor
importancia a los manejos de los sistemas informáticos, los cuales le pueden permitir
adaptarse y sobrevivir en una economía cada vez más volátil. Es por ello que el área de
informática toma mayor relevancia en la gestión empresarial.
Es importante que las organizaciones cuenten con área especializadas en materia
informática, debido a que ello le permitirá administrar el valioso recurso de la información
de forma eficiente.
En virtud de la importancia que el área informática tiene para la empresa, resulta
fundamental que esa dependencia reciba una frecuente revisión y examen de sus procesos,
ya que ello redundará en beneficios para la organización.

BIBLIOGRAFÍA
Alonso Rivas, G. (1988). Auditoria informática. Madrid: Ediciones Díaz de Santos, S.A.
Arens, A., Elder, R y Beasley, M. (2007). Auditoría. Un enfoque integral. 11 ed. México:
Pearson Educación.
Blanco, Y (2004). Normas y Procedimientos de la Auditoria Integral. Santafé de Bogotá:
Ecoe Ediciones.
Cepeda, G. (1997). Auditoría y control interno. Santafé de Bogotá: McGraw-Hill
Interamericana, S.A.
Coopers & Librand (1997). Los nuevos conceptos de control interno. (Informe Coso).
Madrid: Ediciones Díaz de Santos, S.A.
Delgado, X. (1997). Auditoría informática. 1era Ed. San José de Costa Rica: Editorial
Universidad de Estadio a Distancia.
De Pablo, C., López-Hermoso, J., Martín-Romero, S. y Medina, S. (2004). Informática y
comunicación en la empresa. Madrid: Esic Editorial.
Derrien, Y. (1995). Técnicas de la auditoría informática. México: Alfaomega Grupo
Editor, S.A. de C.V.
Gómez, F. (1993). Auditoría I (Edición ampliada). Caracas: Ediciones Fragor.

Estupiñan, R. (2006). Administración de Riesgo ERM y la Auditoría Interna. Bogotá: Eco
Ediciones.
Hurtado de Barrera, J. (2010). Metodología de la investigación. Guía para la comprensión
holística de la ciencia. 4ta ed. Bogotá-Caracas: Quirón ediciones.
Marco, M., Marco, J., Preti, J. y Segret, R. (2010). Escaneando la informática. 1era Ed.
Barcelona-España: Editorial UOC.
Martínez, V. (1998). Diagnóstico administrativo: procedimientos, procesos y reingeniería.
2da ed.. México: Editorial Trillas, S.A. de C.V.
Melinkoff, R. (2010). La estructura de la organización. Los organigramas. Caracas:
Editorial Panapo.
Mira Navarro, J. (2006). Apuntes de Auditorias. Creative Common. Texto completo bajado
de Internet.
Rodríguez, J. (2003). Sinopsis de auditoría administrativa. (8va ed.). México: Editorial
Trillas, S.A. de C.V.
Tamayo, A. (2001). Auditoria de sistema. Una visión práctica. Manizales: Universidad de
Colombia, sede Manizales.
Kaplan, R. y Norton, D. (2007). Cuadro de Mando Integral. (The balance scorecard). 2da
ed. Santafé de Bogotá: Editorial Planeta Colombiana, S.A.

La auditoria de procesos y operaciones en el área informática

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a La auditoria de procesos y operaciones en el área informática

Similar a La auditoria de procesos y operaciones en el área informática (20)

Más de Jesús Rodolfo Andrade León

Más de Jesús Rodolfo Andrade León (20)

Último

Último (20)

La auditoria de procesos y operaciones en el área informática