FASES DE LA AUDITORIA DE SISTEMAS

1) Definir el universo de tecnologías de la información

El primer reto que debemos afrontar para efectuar una planificación de trabajos de auditoría
es la de establecer que se debe auditar. Poder enmarcarlo, acotarlo y definirlo es condición
necesaria para elaborar posteriormente el plan. Seguramente esta es la labor más compleja y
está marcada por dos casuísticas:

 La total integración de los sistemas de información en los procesos operativos de las

organizaciones. Este hecho provoca que determinar dónde termina el proceso
puramente operativo y dónde comienza el proceso informático sea totalmente
imposible.

 La heterogeneidad de las TI (tecnologías de la información) de cada organización

las convierte en únicos es lo que las guías GTAG (guías globales de auditoria de
tecnologías de la información) llaman “el efecto copo de nieve”. Lo cual provoca
que difícilmente dos organizaciones cuenten con universos de TI homólogos.
Como indicamos la misión de la función de la auditoría de SI (sistemas de información) es
evaluar el sistema de control interno de los recursos informáticos de una organización, los
cuales ya habíamos desglosado en:

 Datos.
 Software de aplicaciones.
 Tecnología.
 Instalaciones.
 Personas.

Por tanto, ya tenemos un primer nivel de detalle qué puede ayudar a establecer el universo
de TI en cada organización.
Otra forma de abordar este problema es considerando, no sólo los recursos de información,
sino también los procesos operativos que son necesarios para que dichos recursos proveen
de información a la organización, siguiendo la metodología COBIT (modelo para auditar la
gestión y control de los sistemas de información y tecnología), y tal y como se muestra en
la figura 5.5
En donde además de considerar los recursos de TI, se tiene en cuenta qué es necesario
ejecutar los siguientes procesos para aportar adecuados SI a la organización:

 Planificación y organización.
 Desarrollar implementar y mantener aplicaciones.
 Explotación y soporte.
 Supervisión y control.

Otra forma de abordar el problema es acudir a las guías GTAG que establecen de una forma
muy simple y esquemática los siguientes niveles para un entorno de TI:

 La dirección de TI.
 La infraestructura técnica.
 Las aplicaciones.
 Las conexiones externas.

Que si bien simplifica enormemente el universo de TI si puede servir de punto de partida

para su definición en organizaciones pequeñas y poco complejas.
La forma por tanto de acometer este primer paso será muy específica en cada organización.
2. ANALISIS DE RIESGOS
La segunda etapa de la auditoria de sistemas es el análisis de riesgos. Luego de haber
definido y catalogado el universo de las técnicas de información se debe establecer una
medida importante en relación a los riesgos de cada uno de los ítems del universo T.I.
para realizar este análisis es de vital importancia de la información relacionada con su
propio análisis de riesgos. Es muy bueno cuando la misma organización la tiene
establecido su mapa de riesgos ya que este será la información mas importante para la
realización de este proceso.
Es frecuente encontrar que la mayoría de empresas no tienen establecido su mapa de
riesgos es por ello que es la auditoria quien llega a realizar esta tarea. A la hora de
caracterizar los riesgos de los elementos del universo T.I es importante tener en cuenta:
1. Riesgo de negocio: son aquellos que afectan al normal desarrollo de la actividad
evaluada.
2. Riesgo de Auditoria: son los relacionados con el control interno del ítem
relacionado.
Al final de esta tarea se debe tener catalogado con un valor especifico por cada ítem del
universo de auditoria con el fin de poder plasmarlo en un mapa de riesgos. Donde se
muestra un mapa con dos ejes y los puntos de los ítems mas cercanos al vértice superior
derecho son los que representan mayor riesgo.
3. Planificación a largo plazo
 Determinar cuál es el riesgo
 Definir el plan para evaluar si los sistemas de control establecidos en la
organización son adecuados y suficientes para mitigar los riesgos identificados.
 Realizar y establecer para cada ítem del universo de tecnología de la información
cuales son los trabajos de auditoria necesarios para evaluar si el riesgo establecido
para dicho ítem se mantiene dentro de los umbrales definidos por la organización.
 Definiendo para cada uno de los trabajos o auditoria cuáles son sus objetivos
principales y sobre que riesgos de los identificados para ese elemento del universo
de TI.
 COBIT es una metodología, y es un instrumento que nos permitirá ir estableciendo
nuestra relación de trabajos de auditoria con los objetivos a evaluar en cada una de
ellas.
 La planificación de trabajos de Auditoria de sistemas a largo Plazo orden por
importancia y definido su alcance y necesidad de recursos. También se puede
eliminar del plan aquellos trabajos necesarios para abordar los riesgos identificados.
 Tiempo de ejecución del plan está compuesto por diferentes variables las cuales
son:
 Nivel de control interno de los sistemas
 Dependencia de la organización de los sistemas
 Tolerancia al riesgo de la dirección
4. PLANIFICACION A CORTO PLAZO
 Es un visón temporal de un ciclo que puede variar entre dos a cinco años, un plan a
corto plazo puede acotarse a un ciclo entre un año a un trimestre, si bien la mayoría
de las empresas suelen realizar sus planes de forma anual.
 Define los trabajos a realizar en un periodo dado de tiempo y se descompone en
diferentes auditorias las cuales tienen sus objetivos establecidos su alcance y
recursos asignados.
 AUDITORIA INFORMATICA
 FASE DE PREINSTALACION: Se efectúan los estudios de viabilidad al objeto
de definir la conveniencia y rentabilidad del nuevo a implantar. Se examinan las
necesidades tanto materiales como mano de obra así como los costes en que se
incurrirá, e igualmente dos aspectos importantes como son la definición de
especificaciones y la posible repercusión de la implantación del nuevo sistema en la
estructura de la organización.

 FASE DE ANALISIS: El auditor prestara especial atención a dos detalles básicos.

De una parte se vigilara la forma en que se lleva a cabo al análisis: ¿se cumplen los
plazos?, ¿se ajusta a la metodología aceptada por la dirección informática?
Y por otro lado se comprobara que, efectivamente, el sistema responde, en su
concepción, a lo que se esperaba de él sin descuidar los aspectos de calidad.

 FASE DE CONSTRUCCION DE PROGRAMA

 REVISION DE PROGRAMAS: Es una labor ingrata y casi siempre
tediosa y nada fácil, por cuanto todo programa tiene algo de “obra de arte”,
en el sentido de su realización manual y de su carácter.
 JUEGOS DE ENSAYOS: La elaboración de un juego de ensayo eficiente y
significativo para probar un enrevesado programa no es una tarea fácil.
 PROGRAMAS DE AUDITORIA: Desarrollados por las principales firmas
auditoras.
 PARALELOS: verificar el correcto funcionamiento de los programas a
revisar.

 FASES DE EXPLOTACION

 MUESTREOS: Es una herramienta de investigación que tiene como

objetivo o función determinada seleccionar una muestra que sea
representativa de la población que está siendo parte del estudio y que a partir
de la información recolectada se puedan sacar conclusiones sobre estas.
 SIMULADORES: Se simula una auditoria, el objetivo es cumplimiento y
efectividad que se aplica en el área de recursos humanos y algunas áreas de
producción. Un auditor se enfocara a la coordinación de recursos humanos y
otro con el jefe de personal.
 CUESTIONARIO: sirve para conocer qué grado de control maneja la
entidad y la participación de los colaboradores de la organización con el
mantenimiento de un ambiente de control ya que por sí solo el cuestionario
de auditoría no es más que un documento inerte.
 Referencias
Mario Piattini Velthuis, E. d. (2008). Auditoría de tecnologías y sistemas de información.
Mexico: Alfaomega Ra-Ma.
Rivas, G. A. (1988). Auditoria informatica. Madrid: Diaz de Santos S.A.