Metodologa de Trabajo de Auditora Informtica

El mtodo de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditora Informtica.

Estudio inicial del entorno auditable.

Determinacin de los recursos necesarios para realizar la auditora.

Elaboracin del plan y de los Programas de Trabajo.

Actividades propiamente dichas de la auditora.

Confeccin y redaccin del Informe Final.

Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe

final.
1.- Definicin de Alcance y Objetivos
El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo
muy preciso entre auditores y clientes sobre las funciones, las materias y las
organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes
expresar las excepciones de alcance de la auditora, es decir cuales materias,
funciones u organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe
Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud
posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos
y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los
objetivos generales y comunes de a toda auditora Informtica: La operatividad de
los Sistemas y los Controles Generales de Gestin Informtica.
2.- Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades
generales de la informtica.
Para su realizacin el auditor debe conocer lo siguiente:
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin
ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr
de manifiesto tal circunstancia.
2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la
Direccin. El equipo auditor describir brevemente las funciones de cada uno de
ellos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas
previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn
empleado tiene dos jefes.
Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el
contrario, indican relaciones no estrictamente subordinables.
4.

Adems de las corrientes verticales intradepartamentales, la estructura

organizativa

cualquiera

que

sea,

produce

horizontales y oblicuas extradepartamentales.

corrientes

de

informacin

Los flujos de informacin entre los grupos de una organizacin son necesarios
para su eficiente gestin, siempre y cuando tales corrientes no distorsionen el
propio organigrama.
En ocasiones, las organizaciones crean espontneamente canales alternativos
de informacin, sin los cuales las funciones no podran ejercerse con eficacia;
estos canales alternativos se producen porque hay pequeos o grandes fallos
en la estructura y en el organigrama que los representa.
Otras veces, la aparicin de flujos de informacin no previstos obedece a
afinidades personales o simple comodidad. Estos flujos de informacin son
indeseables y producen graves perturbaciones en la organizacin.
5.

Flujos de Informacin:
El equipo auditor comprobar que los nombres de los Puesto de los Puestos de
Trabajo de la organizacin corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo
cual indica la existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructurales; los auditores
darn a conocer tal circunstancia y expresarn el nmero de puestos de trabajo
verdaderamente diferentes.

6.

Nmero de Puestos de trabajo

7.

Nmero de personas por Puesto de Trabajo

Es un parmetro que los auditores informticos deben considerar. La inadecuacin

del personal determina que el nmero de personas que realizan las mismas
funciones rara vez coincida con la estructura oficial de la organizacin.
Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del
entorno en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los
siguientes extremos:

a.

Se determinar la ubicacin geogrfica de los distintos Centros de Proceso

de Datos en la empresa. A continuacin, se verificar la existencia de
responsables en cada unos de ellos, as como el uso de los mismos
estndares de trabajo.
b) Arquitectura y configuracin de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuracin elegida para
cada uno de ellos, ya que los mismos deben constituir un sistema compatible e
intercomunicado. La configuracin de los sistemas esta muy ligada a las
polticas de seguridad lgica de las compaas.
Los auditores, en su estudio inicial, deben tener en su poder la distribucin e
interconexin de los equipos.

b.

Situacin geogrfica de los Sistemas:

El auditor recabar informacin escrita, en donde figuren todos los elementos
fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs,
unidades de control local y remotas, perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del
Sistema, desde el software bsico hasta los programas de utilidad adquiridos o
desarrollados internamente. Suele ser habitual clasificarlos en facturables y no
facturables.
d) Comunicacin y Redes de Comunicacin:
En el estudio inicial los auditores dispondrn del nmero, situacin y
caractersticas principales de las lneas, as como de los accesos a la red
pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una
idea general de los procesos informticos realizados en la empresa auditada.
Para ello debern conocer lo siguiente:

a Inventario de Hardware y Software:

a Volumen, antigedad y complejidad de las Aplicaciones

Se clasificar globalmente la existencia total o parcial de metodologa en el

desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo
se pondr de manifiesto.
b Metodologa del Diseo
La existencia de una adecuada documentacin de las aplicaciones proporciona
beneficios tangibles e inmediatos muy importantes.
La documentacin de programas disminuye gravemente el mantenimiento de
los mismos.
c

Documentacin
El auditor recabar informacin de tamao y caractersticas de las Bases de
Datos, clasificndolas en relacin y jerarquas. Hallar un promedio de nmero
de accesos a ellas por hora o das. Esta operacin se repetir con los ficheros,
as como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visin aceptable de las caractersticas de la
carga informtica.

3.- Determinacin de recursos de la auditora Informtica

Mediante los resultados del estudio inicial realizado se procede a determinar
los recursos humanos y materiales que han de emplearse en la auditora.
Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son
proporcionados por el cliente. Las herramientas software propias del equipo
van a utilizarse igualmente en el sistema auditado, por lo que han de
convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
d Cantidad y complejidad de Bases de Datos y Ficheros.

Programas

propios

de

la

auditoria: Son

muy

potentes

Flexibles.

Habitualmente se aaden a las ejecuciones de los procesos del cliente para

verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la
actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de los
datos ya existentes.
a Recursos materiales Software
b Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente.
Los procesos de control deben efectuarse necesariamente en las Computadoras
del auditado.
Para lo cul habr de convenir, tiempo de maquina, espacio de disco, impresoras
ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y
perfiles del personal seleccionado dependen de la materia auditable.
Es igualmente reseable que la auditora en general suele ser ejercida por
profesionales universitarios y por otras personas de probada experiencia
multidisciplinaria.
Perfiles Porfesionales de los auditores informticos
Profesin
Informtico Generalista

Experto en Desarrollo de Proyectos

Tcnico de Sistemas

Experto en Bases de Datos y Administracin de las mismas.

Experto en Software de Comunicacin

Experto en Explotacin y Gestin de CPDS

Tcnico de Organizacin
Tcnico de evaluacin de Costes

4.- Elaboracin del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditora y sus

colaboradores establecen un plan de trabajo. Decidido ste, se procede a la
programacin del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisin debe realizarse por reas generales o reas especficas. En el
primer caso, la elaboracin es ms compleja y costosa.
b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina
no solamente el nmero de auditores necesarios, sino las especialidades
necesarias del personal.

En el plan no se consideran calendarios, porque se manejan recursos

genricos y no especficos.

En el Plan se establecen los recursos y esfuerzos globales que van a ser

necesarios.

En el Plan se establecen las prioridades de materias auditables, de acuerdo

siempre con las prioridades del cliente.

El Plan establece disponibilidad futura de los recursos durante la revisin.

El Plan estructura las tareas a realizar por cada integrante del grupo.

En el Plan se expresan todas las ayudas que el auditor ha de recibir del

auditado.
Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha
de ser lo suficientemente como para permitir modificaciones a lo largo del
proyecto.

5.-Actividades de la Auditora Informtica

Auditora por temas generales o por reas especficas:

La auditora Informtica general se realiza por reas generales o por reas
especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y
el empleo de ms tiempo total y mayores recursos.
Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas
las peculiaridades que afectan a la misma, de forma que el resultado se obtiene
ms rpidamente y con menor calidad.
Tcnicas de Trabajo:
- Anlisis de la informacin recabada del auditado.
- Anlisis de la informacin propia.
- Cruzamiento de las informaciones anteriores.
- Entrevistas.
- Simulacin.
- Muestreos.
Herramientas:
- Cuestionario general inicial.
- Cuestionario Checklist.

- Estndares.
- Monitores.
- Simuladores (Generadores de datos).
- Paquetes de auditora (Generadores de Programas).
- Matrices de riesgo.
6.- Informe Final

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la

elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos
al informe final, los que son elementos de contraste entre opinin entre auditor y
auditado y que pueden descubrir fallos de apreciacin en el auditor.
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditora y la fecha de
redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de
todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y
puesto de trabajo que ostente.
Definicin de objetivos y alcance de la auditora.
Enumeracin de temas considerados:
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente
posible todos los temas objeto de la auditora.
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza
no solamente una situacin sino adems su evolucin en el tiempo, se expondr la
situacin prevista y la situacin real
b) Tendencias. Se tratarn de hallar parmetros que permitan establecer
tendencias futuras.
c) Puntos dbiles y amenazas.

d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de

puntos dbiles, el verdadero objetivo de la auditora informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.

7.- Modelo conceptual de la exposicin del informe final:

- El informe debe incluir solamente hechos importantes.
La inclusin de hechos poco relevantes o accesorios desva la atencin del lector.
- El Informe debe consolidar los hechos que se describen en el mismo.
El trmino de "hechos consolidados" adquiere un especial significado de
verificacin objetiva y de estar documentalmente probados y soportados. La
consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:
1.

El hecho debe poder ser sometido a cambios.

2.

Las ventajas del cambio deben superar los inconvenientes derivados de

mantener la situacin.

3.

No deben existir alternativas viables que superen al cambio propuesto.

4.

La recomendacin del auditor sobre el hecho debe mantener o mejorar las

normas y estndares existentes en la instalacin.

La aparicin de un hecho en un informe de auditora implica necesariamente la

existencia de una debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1 Hecho encontrado.
- Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y adems convincente.
- No deben existir hechos repetidos.
2 Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.

3 Repercusin del hecho

- Se redactar las influencias directas que el hecho pueda tener sobre otros
aspectos informticos u otros mbitos de la empresa.
4 Conclusin del hecho
- No deben redactarse conclusiones ms que en los casos en que la exposicin
haya sido muy extensa o compleja.
5 Recomendacin del auditor informtico
- Deber entenderse por s sola, por simple lectura.
- Deber estar suficientemente soportada en el propio texto.
- Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementacin.
- La recomendacin se redactar de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarla.
Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de resumirse
la auditora realizada. Se destina exclusivamente al responsable mximo de la
empresa, o a la persona concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como solicite el cliente, la
auditora no har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios.

Incluir fecha, naturaleza, objetivos y alcance.

Cuantificar la importancia de las reas analizadas.

Proporcionar una conclusin general, concretando las reas de gran

debilidad.

Presentar las debilidades en orden de importancia y gravedad.

En la carta de Introduccin no se escribirn nunca recomendaciones.