Planeacin de la

Auditora en
Informtica
Revisin

Preliminar
Revisin Detallada
Examen y Evaluacin de la Informacin
Pruebas de consentimiento
Pruebas de Controles de los Usuarios
Pruebas Sustantivas
Evaluacin de los Sistemas de Acuerdo al Riesgo
Requerimientos de una auditora
Personal Participante

Ing. Jos Manuel Poveda

REVISIN PRELIMINAR:
Es el primer paso en el desarrollo de la

auditora, despus de la planeacin.

Objetivo:
Obtener informacin necesaria para que el
auditor pueda tomar la decisin de cmo
proceder en la auditora.
Al terminar la RP puede proceder a seguir uno
de los tres caminos:
Diseo de la Auditora

La Revisin Preliminar (RP) significa la recoleccin

de evidencias por medio de entrevistas con el

personal de la instalacin, la observacin de las
actividades en la instalacin y la revisin de la
documentacin preliminar.
La RP realizada por un Auditor Interno difiere de la
realizada por un auditor externo en:

REVISIN DETALLADA:
Objetivo:
Obtener la informacin necesaria para que el
auditor tenga un profundo entendimiento de los
controles usados dentro del rea de
informtica.
Aqu el auditor decide:

Pruebas de
sustantivas?

consentimiento

pruebas

En esta fase es importante para el auditor

identificar las causas de las prdidas

existentes dentro de la instalacin y los
controles para reducir las prdidas y los

Los mtodos de obtencin de informacin son los mismos

usados en la investigacin preliminar y lo nico que difiere es

su profundidad con la que se obtiene y evala.
El auditor debe evaluar si los controles escogidos son ptimos:
Si provocan un sobre control.
Si se logra un satisfactorio nivel de control usando menos
controles o controles menos costosos.
Si el auditor considera que los CI no son satisfactorios, en lugar

de proceder directamente a revisar, a probar controles alternos

o realizar pruebas sustantivas y procedimientos, debe sealar
recomendaciones para mejorar los controles de los sistemas.

EXAMEN Y EVALUACIN DE LA
INFORMACIN:
Los auditores internos debern obtener, analizar,

interpretar y documentar la informacin para apoyar

los resultados de la auditora. El proceso de examen
y evaluacin de la informacin es el siguiente:
1. Se debe tener la informacin de todos los asuntos

relacionados con los objetivos y alcances de la

Auditora.
2. La informacin deber ser suficiente, competente,

relevante y til para que proporcione bases slidas

en relacin con los hallazgos y recomendacin de
la auditora.

3. Los procedimientos de auditora debern ser

elegidos con anterioridad, cuando esto sea

posible,
modificarse
cuando
las
circunstancias lo requieran.
4. El proceso de recabar, analizar, interpretar y

documentar
la
informacin
deber
supervisarse
para
proporcionar
una
seguridad razonable de que la objetividad
del auditor se mantuvo y que las metas de la
auditora se cumplieron.
5. Los documentos de trabajo de la auditora

debern ser preparados por los auditores y

revisados por la gerencia de auditora.

El director de auditora en informtica deber

establecer un programa para seleccionar y

desarrollar los recursos, el cual debe contemplar:
Descripciones de puestos por cada nivel de AI.
Seleccin de individuos calificados y competentes.
Entrenamiento y oportunidad de
capacitacin profesional para todos
y cada uno de los auditores.
Evaluacin del trabajo de cada
uno de los auditores por lo menos
una vez al ao.
Asesora a los auditores en lo referente a su trabajo y a su
desarrollo profesional.

El director de auditora informtica deber

establecer y mantener un programa de

control de la calidad para evaluar las
operaciones de su equipo de trabajo. Este
programa deber incluir:

PRUEBAS DE CONSENTIMIENTO:
Objetivo:
Determinar si los CI operan como fueron diseados
para operar. El auditor debe determinar si los
controles declarados en realidad existen y si en
realidad trabajan confiablemente.

PRUEBAS DE CONTROLES DEL USUARIO:

En algunos casos el auditor puede decidir el no

confiar en los controles internos dentro de las

instalaciones informticas, porque el usuario
ejerce controles que compensan cualquier
debilidad dentro de los CI de informtica.

PRUEBAS SUSTANTIVAS:
Objetivo:
Obtener evidencia suficiente que permita al
auditor emitir su juicio en las conclusiones
acerca de cuando pueden ocurrir prdidas
materiales durante el procesamiento de la
informacin.

Existen ocho Pruebas Sustantivas:

1. Pruebas

2.
3.
4.
5.
6.
7.
8.

para
identificar
errores
en
el
procesamiento o de falta de seguridad o
confidencialidad.
Pruebas para asegura la calidad de los datos.
Pruebas para identificar la inconsistencia de los
datos.
Pruebas para comparar con los datos o contadores
fsicos.
Confirmacin de datos con fuentes externas.
Pruebas
para
confirmar
la
adecuada
comunicacin.
Pruebas para determinar la falta de seguridad.
Pruebas para determinar problemas de legalidad.

Los pasos que involucran una auditora en

informtica:
Realizar una investigacin preliminar del rea de informtica

Evaluacin de los sistemas de

acuerdo al riesgo
Una de las formas de evaluar la importancia

que puede tener para la organizacin un

determinado sistema es considerar el riesgo
que implica el que no sea adecuadamente
utilizado, la prdida de informacin o bien que
sea usado por personal ajeno a la
organizacin.

Algunos sistemas de
aplicaciones son de ms
alto riesgo que otros
debido a que:
Son

susceptibles a diferentes tipos de prdida

econmica.
Las fallas pueden impactar grandemente a la
organizacin.
Los sistemas le dan a la empresa un nivel competitivo
muy alto dentro de un mercado.
Sistemas de tecnologa de punta.
Sistemas que son muy costosos de desarrollar, los cuales
son frecuentemente sistemas complejos que pueden
presentar muchos problemas de control.

Requerimientos de una
Auditora:
A nivel organizacional:
Objetivos a corto y largo plazo.
Misin, Visin y Valores.
Antecedentes de la empresa
Organigrama
Funcin de cada uno de los

departamentos.
Relaciones entre las diversas reas del
negocio
Polticas Generales.

A nivel del rea de informtica:

Objetivos

a corto y largo plazos.

Manual de Funciones (Fichas
ocupacionales).
Manual de polticas, reglamentos
internos y lineamientos generales.
Nmero de personas y puestos en el
rea.
Procedimientos administrativos del
rea.
Presupuestos y costos del rea.

Recursos Materiales y Tcnicos:

Solicitar documentos sobre los equipos, as como el nmero

de ellos, su localizacin y sus caractersticas (de los

equipos instalados, por instalar y programados).
Estudio de viabilidad.
Fechas de instalacin de los equipos y planes de
instalacin.
Contratos vigentes de compra, renta y servicio de
mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y
mximas.
Configuracin de equipos de comunicacin(redes internas y
externas) y localizacin de los equipos.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas del uso de los equipos.

Sistemas:
Descripcin general de los sistemas

instalados y de los que estn por instalarse.

Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salidas.
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
Bases de datos, propietarios de la informacin
y usuarios de la misma.
Procedimientos y polticas en caso de
desastre.
Sistemas propios y/0 legalidad de los mismos.

Antes de concluir esta etapa no se

olvide de:
Estudiar hechos y no opiniones.
Enfocarse en las causas y no en los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar

constantemente.
Criticar objetivamente a fondo todos los
informes y los datos recabados.

Personal Participante:
El

nmero de ellos depende de

dimensiones de la organizacin, de
sistemas y de los equipos.

las
los

El

personal
debe
estar
debidamente
capacitado (conocimiento y experiencia) en
reas especificas como bases de datos,
hardware, software y comunicaciones, y con
un alto sentido de moralidad.

Se debe contar con personas asignadas por

los usuarios.

Gracias por su Atencin!