Fases

Fases de
de Metodología
Metodología de
de Auditoría
Auditoría
Informática
Informática
1. Identificar el Alcance y los Objetivos de la Auditoría
Informática (A.I.)
2. Realizar el Estudio Inicial del entorno a auditar
3. Determinar los Recursos necesarios para realizar la
auditoría
4. Elaborar el Plan de Trabajo
5. Realizar las Actividades de Auditoría
6. Realizar el Informe Final
7. Carta de Presentación y Carta de Manifestaciones

Metodología de la Auditoría Informática 1

 1.
1. Alcance
Alcance yy Objetivos
Objetivos de
de la
la A.I.:
A.I.: Alcance
Alcance
Entorno y límites en que se realizará la A.I.
HASTA DÓNDE SE LLEGA
Acuerdo por escrito (entre auditor y cliente) cuando se
incluyen áreas no informáticas o cuando la empresa tiene
varias sedes, de:
– Funciones (Seguridad, Dirección, etc.)
– Materias (S.O., BD, etc.)
– Departamentos o Áreas Organizativas (Explotación, Sistemas,
Comunicaciones, etc.)
Su no definición pondrá en peligro el éxito de la A.I.
Limitaciones: QUÉ DEJA DE AUDITARSE
– Principalmente en materias que pueden suponerse incluidas

Metodología de la Auditoría Informática 2

 1.
1. Alcance
Alcance yy Objetivos
Objetivos de
de la
la A.I.:
A.I.: Objetivos
Objetivos
Auditor debe comprender con exactitud los deseos y
pretensiones del cliente, para cumplir con los objetivos
Objetivos específicos
– Necesidad de auditar una materia de gran especialización
– Contrastar algún informe interno con el que resulte del externo
– Evaluación del funcionamiento de áreas informáticas en un
determinado departamento
– Aumentos de seguridad y fiabilidad
– Aumento de calidad
– Disminución de costes o plazos
Objetivos generales (comunes a toda A.I.)
– Operatividad de los S.I.
– Controles Generales de la Gestión Informática

Metodología de la Auditoría Informática 3

 1.
1. Alcance
Alcance yy Objetivos
Objetivos de
de la
la A.I.:
A.I.: Objetivos
Objetivos
Operatividad
– Funcionamiento, aunque sea mínimo, de la organización y sus
máquinas (PCs, mainframes)
– Conseguida a escala general y parcial (p.e. cajero y líneas)
– Conseguida a través de:
• Controles Técnicos Generales (p.e. CPD diferentes)
– Sistema operativo y software de base funcionan
simultáneamente con aplicaciones
– Hw y Sw compatibles
• Controles Técnicos Específicos
– Espacio en disco
– Período de utilización de BD comunes

Metodología de la Auditoría Informática 4

 1.
1. Alcance
Alcance yy Objetivos
Objetivos de
de la
la A.I.:
A.I.: Objetivos
Objetivos
Controles Generales de la Gestión Informática
– Verificar normas del Departamento de Informática y observar su
consistencia con las del resto de la empresa
• Normas Generales de la Instalación Informática
• Procedimientos Generales y Específicos del Departamento de
Informática (p.e. una aplicación no pasa a Explotación sin su
correspondiente Documentación)
– Comprobar que no existen contradicciones con normas y
procedimientos generales de la empresa
Interlocutores
– Personas con poder de decisión y validación dentro de la empresa
– Personas a las que va dirigido el informe

Metodología de la Auditoría Informática 5

 2.
2. Estudio
Estudio Inicial
Inicial
Examinar situación general de funciones y actividades
generales de la informática
Conocimiento de:
– Organización: Estructura organizativa del Departamento de
Informática a auditar
– Entorno de Operación: Entorno de trabajo
– Aplicaciones Informáticas: Procesos informáticos realizados en la
empresa auditada
• Bases de Datos
• Ficheros

Metodología de la Auditoría Informática 6

 2.
2. Estudio
Estudio Inicial:
Inicial: Organización
Organización
Estructura organizativa del Departamento de Informática a
auditar.
Organigrama: estructura informática de la organización a
auditar

D I R E C C I Ó N

C O N T R O R L R G. HE HS .T I Ó N

E X P L O T A C I Ó SN I S T E D M E A S S A RS RE OG LU L R O

P R O DP UL AC NC I I S FÓ OI NC P A C O C O R I Ó MT NE U B NA I SC EA SC ID Ó A N T O S
T É C N I C O

Metodología de la Auditoría Informática 7

 2.
2. Estudio
Estudio Inicial:
Inicial: Organización
Organización
Departamentos: describir sus funciones
Relaciones Jerárquicas y funcionales
– 1 Empleado con dos Jefes
Flujos de Información, tanto horizontales y oblicuas como
extradepartamentales y verticales
– Canales alternativos que denotan lagunas en la estructura y
organigrama, o bien por simpatías
Número de Puestos de Trabajo
– Nombres de los puestos de trabajo corresponden a funciones
distintas: Deficiencias en estructura si varios nombres con 1
función
Número de Personas por Puesto de Trabajo
– Distribución de recursos ineficiente
– Necesidad de reorganización

Metodología de la Auditoría Informática 8

 2.
2. Estudio
Estudio Inicial:
Inicial: Entorno
Entorno
Referencia del entorno deOperativo
Operativo
trabajo en el que el auditor va a
trabajar
Situación Geográfica
– Diferentes CPDs, con responsables y mismos estándares de trabajo
Arquitectura y Configuración Hardware y Software
– Configuración de diferentes CPDs compatible y estén
intercomunicados
Inventario Hardware y Software
– CPUs, procesadores, PCs, periféricos, etc.
– Software básico, software interno y software comprado
Comunicaciones y Redes de Comunicación
– Líneas de Comunicación
– Acceso a red pública e intranet

Metodología de la Auditoría Informática 9

 2.
2. Estudio
Estudio Inicial:
Inicial: Aplicaciones
Aplicaciones
Informáticas
Informáticas
Procedimientos Informáticos realizados en la empresa
Volumen, Antigüedad y Complejidad de las aplicaciones
– Periodicidad de ejecuciones de carga de trabajo
Metodología de desarrollo de aplicaciones
Documentación de aplicaciones
– Mantenimiento es el 70% de recursos
Cantidad y Complejidad de Bases de Datos y Ficheros
– Tamaño y características de BD y Ficheros
– Número de Accesos a BD y Ficheros
– Frecuencia de Actualización

Metodología de la Auditoría Informática 10

 3.
3. Recursos
Recursos de
de la
la A.I.
A.I.
A partir del Estudio Inicial, se determinan los recursos
humanos y materiales
Recursos Materiales
– Proporcionados por cliente en su mayoría
– Software: paquetes de auditoría del equipo auditor, compiladores
– Hardware: PCs, impresoras, líneas de comunicación
– Determinación de incremento de carga del auditado y consenso en
fechas y duración de actividades de auditoría
Recursos Humanos
– Cantidad depende del alcance de la auditoría
– Perfil depende de la materia a auditar

Metodología de la Auditoría Informática 11

 3.
3. Recursos
Recursos de
de la
la A.I.
A.I.
Profesión Actividades y conocimientos deseados
Informático Generalista Con amplia experiencia en diferentes ramas (por
ejemplo, Explotación, Desarrollo, Sistemas)
Experto en Desarrollo de Amplia experiencia como Jefe de Proyectos.
Proyectos Conocedor de las metodologías y técnicas más
importantes de Desarrollo
Técnico de Sistemas Experto en SS.OO. y Software Básico. Amplios
conocimientos de Explotación
Experto en BD y su Amplia experiencia en BD y su mantenimiento, así
administración como en los productos utilizados para ellos.
Conocimientos de Explotación
Experto en Software de Conocimientos profundos de Redes, líneas de
Comunicaciones comunicación, teleproceso, etc.
Experto en Explotación Responsable de algún CPD. Amplia experiencia en
Automatización de Trabajos.
Técnico de Organización Buen coordinador y organizados. Especialista en el
análisis de flujos de información
Técnico de Evaluación de Economista con conocimientos de informática
Costes

Metodología de la Auditoría Informática 12

 4.
4. Plan
Plan yy Asignación
Asignación de
de Trabajos
Trabajos
Calendario de actividades a realizar aprobado por responsables de área y
de auditoría
Aspectos a tener en cuenta:
– Plan por grandes áreas: Elaboración más compleja y costosa que
implica superior calidad, más tiempo total y mayores recursos
– Plan por áreas específicas: Resultado obtenido más rápidamente y
con menor calidad
– Auditoría de toda la Informática o Parcial: determinación del
número de auditores y especialistas
Planificación de la Auditoría (Guía ISACA)
– Conocimiento de la organización y de sus procesos, para
identificar problemas potenciales, alcance, etc.
– Programa de auditoría: Calendario de trabajo (tareas y recursos) y
su seguimiento
– Evaluación interna del control, mediante pruebas de cumplimiento
de los controles

Metodología de la Auditoría Informática 13

 55 .. Actividades
Actividades de
de la
la A.I.:
A.I.: Técnicas
Técnicas
Revisión
– Análisis de la información obtenida (principalmente a través de
cuestionarios y entrevistas) y de la propia
Entrevistas
– Con método prestablecido y preparación
– Gran elaboración de preguntas, orden
– Desencadena en checklist: cuestionario minucioso, ordenado y
estructurado por materias
Simulación
Muestreos

Metodología de la Auditoría Informática 14

5.
5. Actividades
Actividades de
de la
la A.I.:
A.I.: Técnicas:
Técnicas: Cuestionario
Cuestionario
Objetivo de Control ¿Cuáles son los procedimientos de
control correspondientes a este objetivo?
1. Modificación en las aplicaciones
La Dirección debería establecer
procedimientos adecuados para asegurar
que se controlan las modificaciones que
puedan producirse en las aplicaciones.
Tener en cuenta los siguientes aspectos:
 ¿Revisa o está implicada la dirección
en la implantación y el control de las
modificaciones que se realicen en las
aplicaciones?.
 ¿Recoge la dirección comentarios de
los usuarios sobre la calidad funcional
y operacional de las operaciones?.
 ¿Revisa la dirección los informes
correspondientes o participa en las
pruebas a las que se someten las
modificaciones, incluyendo
información sobre el volumen de
modificaciones realizadas en las
aplicaciones, cambios de emergencia,
solicitudes sin atender, etc.

Metodología de la Auditoría Informática 15

 5.
5. Actividades
Actividades de
de la
la A.I.:
A.I.: Herramientas
Herramientas
Cuestionario general
Cuestionario-Checklist
Simuladores (generadores de datos)
Paquetes de Auditoría (generadores de programas)
– Rastrear los caminos de los datos
– Utilizados principalmente en auditorías no informáticas
– Paquetes de parametrización de librerías

Metodología de la Auditoría Informática 16

 5.
5. Actividades
Actividades de
de la
la A.I.
A.I.
Movilización
– Mantener reunión de planificación inicial para:
• Determinar el proceso más eficaz-rentable de obtención de
información
• Determinar el uso de especialistas / herramientas sectoriales
Entorno de Control
– Registrar y evaluar el entorno de control de la empresa
Información del negocio/sector
– Planificar la utilización de tecnología
– Obtener comprensión del negocio, estructura, riesgos
– Discutir preocupaciones, necesidades, expectativas
Información sobre los sistemas y el entorno informático
– Evaluando los controles de supervisión

Metodología de la Auditoría Informática 17

 5.
5. Actividades
Actividades de
de la
la A.I.
A.I.
Estrategia de auditoría
– Reunión de planificación
Preparar los programas de auditoría
– Para las áreas de auditoría, analizando riesgos de error y fraudes
identificados
Preparar un plan de tareas
– Calendario e información a entregar del cliente
– Plan de tareas, con asignación de tiempos
– Roles y responsabilidades de miembros del equipo auditor y
estrategia para comunicación para revisar, asignar tareas y acordar
objetivos
– Establecer medidas para supervisar el progreso, incluyendo
reuniones periódicas

Metodología de la Auditoría Informática 18

 5.
5. Actividades
Actividades de
de la
la A.I.
A.I.
Comunicación del plan
– Informar a los miembros del equipo
– Presentar al cliente el plan de auditoría
Ejecución
– Documentar, evaluar y probar controles de supervisión de las
aplicaciones
– Informar al cliente sobre estado del trabajo y conclusiones
alcanzadas
Otros procedimientos de auditoría
– Informes finales
Revisión
– Completar los pasos y tareas del trabajo

Metodología de la Auditoría Informática 19

 5.
5. Actividades
Actividades de
de la
la A.I.
A.I.
Finalización
– Completar y revisar el tratamiento informático. Responder a
excepciones
– Aspecto críticos importantes han sido resueltos, documentados y
comunicados al cliente y al equipo
– Carta de manifestaciones del cliente
– Firma del auditor
Información al cliente
– Comunicar las debilidades significativas de control interno y las
recomendaciones oportunas
Evaluaciones
– Calidad del servicio en relación con las expectativas del cliente

Metodología de la Auditoría Informática 20

 6.
6. Informe
Informe Final:
Final: Guía
Guía ISACA
ISACA
Relación con los Estándares
– Estándar 070.010: Contenido e Impreso del Informe
– El Informe de Auditoría indica:
• Alcance
• Objetivos
• Período de cobertura
• Naturaleza y extensión del trabajo de auditoría
• Organización
• Destinatarios del informe
• Restricciones
• Hallazgos
• Conclusiones
• Recomendaciones

Metodología de la Auditoría Informática 21

 6.
6. Informe
InformeFinal:
Final: Guía
Guía ISACA
ISACA
Necesidad de la guía
– Describir prácticas recomendadas para preparar un informe de
auditoría
Realización del informe
– Estilo y Contenido: Objetivo, claro, conciso, constructivo y
oportuno
• Apropiado a los destinatarios
• Identificar organización auditada
• Incluye título, firma y fecha
– Objetivos (lo que trata de cumplir la auditoría)
– Alcance: naturaleza, tiempo y extensión del trabajo de auditoría
• Área funcional
• Período de auditoría
• Sistemas de información, aplicaciones o entornos auditados

Metodología de la Auditoría Informática 22

 6.
6. Informe
InformeFinal:
Final: Guía
Guía ISACA
ISACA
Realización del Informe (continuación)
– Restricción sobre su distribución
– Hallazgos significativos de la auditoría (causas y riesgos)
– Conclusión: evaluación del auditor sobre el área auditada
– Recomendaciones, para realizar acciones correctivas
– Presentación: lógica y organizada
– Estar a tiempo para fomentar las acciones correctivas puntualmente
– Consideraciones de eventos subsiguientes
• Fraude descubierto después de la auditoría
• Incendio después de la revisión de controles
Ética y estándares profesionales
Actividades subsiguientes
– Petición de contestación, que incluya las acciones correctivas como
resultado del informe

Metodología de la Auditoría Informática 23

 7.
7. Otra
Otra Documentación
Documentación
Carta de Presentación del Informe Final
– Resumen en 3 ó 4 folios del contenido del informe final
– Incluye fecha, naturaleza, objetivos y alcance de la auditoría
– Cuantifica la importancia de las áreas analizadas
– Proporciona una conclusión general, concretando las áreas de gran
debilidad
– Presentar las debilidades en orden de importancia
Carta de Manifestaciones
– La Dirección de la empresa auditada confirma que se han
mostrado transparente y han proporcionado toda la información
necesaria para la auditoría
– En papel con membrete de la empresa auditada
– Firman los responsables de los áreas relacionados con la auditoría:
Presidente, Consejero Delegado, Director General

Metodología de la Auditoría Informática 24

 8.
8. Estructura
Estructura del
del Informe
Informe Final
Final
Título o Identificación del Informe
– Distinguirlo de otros informes
Fecha de Comienzo
Miembros del Equipo Auditor
Entidad auditada
Identificación de destinatarios
Finaliza con
– Nombre, Dirección y Datos Registrales del Auditor
– Firma del Auditor
– Fecha de emisión del informe

Metodología de la Auditoría Informática 25

 8.
8. Estructura
Estructura del
del Informe
Informe Final
Final
Objetivos y Alcance de la Auditoría
– Estándares, especificaciones, prácticas y procedimientos utilizados
– Excepciones aplicadas
Materias consideradas en la auditoría
– Situación actual
• Hechos importantes
• Hechos consolidados
– Tendencias, de situación futura
– Puntos débiles y amenazas (hecho = debilidad)
• Hecho encontrado
• Consecuencias del hecho
• Repercusión del hecho (influencias sobre otros aspectos)
• Conclusión del hecho
– Recomendaciones
– Redacción de la Carta de Presentación

Metodología de la Auditoría Informática 26

 8.
8. Estructura
Estructura del
del Informe
Informe Final:
Final: Tipos
Tipos de
de Informes
Informes
Función de opinión del auditor respecto a los objetivos de la
auditoría
Favorable o sin salvedades: trabajo realizado
– Sin limitaciones de alcance y sin incertidumbre
– De acuerdo con la normativa legal y profesional
Con salvedades
Desfavorable
– Identificación de irregularidades
– Incumplimiento de la normativa legal y profesional que afecte a
significativamente a los objetivos estipulados
Denegada
– Limitaciones al alcance
– Incertidumbres significativas
– Irregularidades
– Incumplimiento de normativa lega y profesional

Metodología de la Auditoría Informática 27

8.
8. Estructura
Estructura del
del Informe
Informe Final:
Final: Tipos
Tipos de
de Informes:
Informes:
Con
Con salvedades
salvedades
– Limitaciones al alcance
• El auditor no puede aplicar los procedimientos de auditoría requeridos por
la normativa legal y profesional o según su juicio profesional
• Provenientes de la propia entidad auditada
• Considerar la naturaleza y magnitudes del efecto potencial de los
procedimientos omitidos y su importancia relativa
– Incertidumbres
• Desenlace que no se puede estimar por depender de que suceda, o no,
algún otro hecho: litigios, juicios, etc.
– Errores e incumplimiento de normativa legal y profesional
• Utilización de principios distintos a los generalmente aceptados
• Ausencia de información
– Cambios durante el ejercicio respecto a los del ejercicio
anterior

Metodología de la Auditoría Informática 28

8.
8. Estructura
Estructura del
del Informe
Informe Final:
Final: Pautas
Pautas del
del Lenguaje
Lenguaje yy
Redacción
Redacción del
del Informe
Informe
Títulos: expresivos y breves
Párrafos
– Un solo asunto por párrafo
– 8 ó 10 líneas por párrafo
Frases
– Una sola idea por frase
– No más de 3 líneas
Otros consejos
– Lenguaje sobrio y normal
– Voz activa, nunca pasiva
– Omitir palabras innecesarias (con referencia a, consecuentemente con,
etc.)
– Evitar redundancias
– No utilizar adverbios y adjetivos simultáneamente

Metodología de la Auditoría Informática 29

ADVERBIOS

Los adverbios son palabras que modifican a un verbo, un adjetivo o a

otro adverbio. En la oración funcionan como circunstanciales o
formando parte de modificadores. Son invariables, ya que no tienen
género ni número.

Metodología de la Auditoría Informática 30