AUDITORIA DE LA SEGURIDAD

TECNICAS, METODOS Y HERRAMIENTAS

La Carta de Presentacin del Informe Final de la Auditoria Informtica

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora
realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona
concreta que encargo o contrato la auditoria. As como pueden existir tantas copias del informe
Final como solicite el cliente, la auditora no har copias de la citada carta de Introduccin.

La carta de introduccin poseer los siguientes atributos:

- Tendr como mximo 4 folios.
- Incluir fecha, naturaleza, objetivos y alcance.
- Cuantificar la importancia de las reas analizadas.
- Proporcionar una conclusin general, concretando las reas de gran debilidad.
- Presentar las debilidades en orden de importancia y gravedad.
- En la carta de Introduccin no se escribirn nunca recomendaciones.
- Herramientas para la Auditoria Informtica

Las principales herramientas de las que dispone un auditor informtico son:

- Realizacin de cuestionarios
- Entrevistas a auditados y no auditados
- Lista de Chequeo
- Trazas y / o Huellas
- Software de Interrogacin

Vamos a ver algunos aspectos importantes de ellas:

Cuestionarios
El trabajo del auditor consiste en lograr toda la informacin necesaria para la emisin de
un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin
evidencias.

Es lo habitual comenzar solicitando la aplicacin de cuestionarios preimpresos que se envan

a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas
personas sean las responsables oficiales de las diversas reas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.

Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado.

Lo hace de tres formas:

- Mediante la peticin de documentacin concreta sobre alguna materia de su

responsabilidad.
 - Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo
estricto de sometimiento a un cuestionario.
- Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de
antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms importante del auditor; en ellas,

ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios
puramente tcnicos o por las respuestas escritas a cuestionarios.

Checklist
El auditor conversar y har preguntas "normales", que en realidad servirn para cumplir
sistemticamente con sus Cuestionarios, de sus Checklist.

Estos deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a

cualquier otra forma.

Segn la claridad de las preguntas y el talento del auditor, el auditado responder desde
posiciones muy distintas y con disposicin muy variable.

Tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por

materias, todava lo es el modo y el orden de su formulacin.

El auditor deber aplicar el Checklist de modo que el auditado responda clara y

escuetamente.

Los cuestionarios o Checklist responden fundamentalmente a dos tipos de "filosofa" de

calificacin:

- Checklist de rango: Contiene preguntas que el auditor debe puntuar dentro de un rango
preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor
ms positivo).
- Checklist Binarios: Es constituido por preguntas con respuestas nica y excluyente: Si o
No.

Trazas y/o Huellas

El auditor informtico debe verificar que los programas, tanto de los Sistemas como de
usuario, realizan exactamente las funciones previstas, y no otras.

Estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas.

Las trazas no deben modificar en absoluto el Sistema.

Software de Interrogacin

Se han utilizado productos software llamados genricamente, capaces de generar

programas para auditores escasamente cualificados desde el punto de vista informtico.

Los productos Software especiales para la auditoria informtica se orientan principalmente

hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa
auditada.

Estos productos son utilizados solamente por los auditores externos, por cuanto los internos
disponen del software nativo propio de la instalacin.
PAPELES DE TRABAJO PARA LA AUDITORA DE SISTEMAS

A lo largo de todo el trabajo de auditora, el auditor debe guardar las pruebas evidentes de lo
realizado, no solo como recordatorio fundado de su actuacin con las necesarias matizaciones
para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la
evidencia de los hechos, y poder expresar los procedimientos de auditora utilizados, as como
la interpretacin dada en cada caso a los hechos, con las conclusiones obtenidas.

Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas
por terceros ajenos al auditor o equipo de auditores. No debern destruirse antes de que haya
transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las
necesidades de la prctica profesional. Su destruccin o prdida, as como la difusin no
autorizada, acarreara responsabilidad para el auditor.

Estructura de contenidos.

Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos

preparados por un auditor, que le permite disponer de una informacin y de pruebas efectuadas
durante su actuacin profesional en la empresa, as como las decisiones tomadas para formar
su opinin.

Su misin es ayudar en la planificacin y la ejecucin de la auditora, ayudar en la supervisin y

revisin de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinin
del auditor.

Han de ser detallados y completos los papales de trabajo y deben estar diseados para presentar
la informacin requerida de forma clara y plena de significado. Estos deben elaborarse en el
momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las
medidas oportunas para garantizar su custodia sin peligro y su confidencialidad.

En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes:
- Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo.
- Presentar informes a las partes interesadas.
- Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo
ejecutado en las oficinas del cliente.
- Facilitar la continuidad del trabajo en el caso de que un rea deba ser terminada por
persona distinta de la que la inici.
- Facilitar la labor de revisiones posteriores y servir para la informacin y evaluacin
personal.
Tipos de papeles de trabajo.

En funcin de la fuente de la que procedan los papeles de trabajo, stos se podrn clasificar en
tres grupos:

a) Preparados por la entidad auditada. Se trata de toda aquella documentacin que la empresa
pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros,
memoria, escritura, contratos, acuerdos

b) Confirmaciones de terceros. Una parte del trabajo de auditora consiste en la verificacin de

los saldos que aparecen en el balance de situacin a auditar.

c) Preparados por el auditor. Este ltimo grupo estar formado por toda la documentacin
elaborada por el propio auditor a lo largo del trabajo a desarrollar:

Cuestionarios y programas, descripciones, detalles de los diferentes captulos de los estados

financieros, cuentas, transacciones.

Sistemas de archivo.

Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En l

deben figurar recopilados todos los documentos utilizados en la actuacin profesional, as como
cuantas informaciones se consideren de inters, tanto para el presente como para el futuro.

Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente.

El contenido de este archivo se refiere a documentos y papeles de trabajo cuya vigencia se limita
al perodo de realizacin de la auditora.

- Modelo Conceptual de la Exposicin del Informe Final

- El informe debe incluir solamente hechos importantes.
- La inclusin de hechos poco relevantes o accesorios desva la atencin del lector.
- El Informe debe consolidar los hechos que se describen en el mismo.
- El trmino de "hechos consolidados" adquiere un especial significado de verificacin
objetiva y de estar documentalmente probados y soportados. La consolidacin de los
hechos debe satisfacer, al menos los siguientes criterios:
1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener
la situacin.
 3. No deben existir alternativas viables que superen al cambio propuesto.
4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas
y estndares existentes en la instalacin.

La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de

una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1 Hecho encontrado.

- Ha de ser relevante para el auditor y pera el cliente.

- Ha de ser exacto, y adems convincente.
- No deben existir hechos repetidos.

2 Consecuencias del hecho

- Las consecuencias deben redactarse de modo que sean directamente deducibles del
hecho.

3 Repercusin del hecho

- Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos
informticos u otros mbitos de la empresa.

4 Conclusin del hecho

- No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido
muy extensa o compleja.

5 Recomendacin del auditor informtico

- Deber entenderse por s sola, por simple lectura.

- Deber estar suficientemente soportada en el propio texto.
- Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementacin.
- La recomendacin se redactar de forma que vaya dirigida expresamente a la persona
o personas que puedan implementarla.

Carta de introduccin o presentacin del informe final

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora

realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona
concreta que encargo o contrato la auditora.

As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no
har copias de la citada carta de Introduccin.

La carta de introduccin poseer los siguientes atributos:

- Tendr como mximo 4 folios.

- Incluir fecha, naturaleza, objetivos y alcance.
- Cuantificar la importancia de las reas analizadas.
- Proporcionar una conclusin general, concretando las reas de gran debilidad.
- Presentar las debilidades en orden de importancia y gravedad.
- En la carta de Introduccin no se escribirn nunca recomendaciones.

- Etapas Involucradas en el Mtodo de Trabajo de un Auditor

El mtodo de trabajo del auditor pasa por las siguientes etapas:
1. Alcance y Objetivos de la Auditora Informtica.
2. Estudio inicial del entorno auditable.
3. Determinacin de los recursos necesarios para realizar la auditora.
4. Elaboracin del plan y de los Programas de Trabajo.
5. Actividades propiamente dichas de la auditora.
6. Confeccin y redaccin del Informe Final.