AUDITORÍA DE SISTEMAS

Programa de Contaduría Pública

Proceso de Auditoría
de Sistemas de Información

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

Contenido

1. Gestión de la función de auditoría

2. Organización de la auditoría

3. Clasificación de las auditorías

4. Planeación de la auditoría

5. Realización de una auditoría de SI

5.1 Generalidades
5.2 Fases de una auditoría
5.3 Auditoría basada en riesgos
5.4 Objetivos de la auditoria
5.5 Pruebas de cumplimiento vs. Pruebas sustantivas
5.6 Evidencia de auditoría
5.7 Evaluación de fortalezas y debilidades
5.8 Comunicación de los resultados de auditoría
5.9 Documentación de la auditoría

6. Bibliografía

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

1. Gestión de la función de auditoría de SI

- La función de la auditoría debe ser gestionada y conducida en una forma que asegure
que las diversas tareas realizadas y logradas por el equipo de auditoría cumplirán los
objetivos de la función de auditoría, mientras se preserva la independencia y
competencia de la auditoría.

- Gestionar la función de auditoría debería asegurar a la alta dirección las contribuciones al

valor agregado respecto a la eficiente gestión de TI y al logro de los objetivos del negocio.

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

 1. Organización de la Función de Auditoría de SI

- Los servicios de auditoría de SI pueden ser provistos externamente o internamente, puede ser
parte de la auditoría interna, funcionar como un grupo independiente o estar integrada dentro
de una auditoría financiera y operacional para proveer garantía de control relacionado con TI a
los auditores financieros o de la Gerencia.

- El rol de la función de auditoría debería establecerse en un estatuto de auditoría aprobado por

la alta dirección o el comité de auditoría, si existe.

El estatuto debería establecer claramente la autoridad, el alcance y las responsabilidades

generales de la función de auditoría de SI.

Un estatuto de auditoría es un documento de alcance general que cubre toda la gama de

actividades de auditoría en una entidad, mientras que una carta de compromiso está más
centrada en un ejercicio particular de auditoría que se busca sea iniciado con un objetivo
específico.

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

 2. Organización de la Función de Auditoría de SI

- Si los servicios son provistos por una Firma externa, el alcance y los objetivos del servicio
deben estar documentados en un contrato formal.

- La función de auditoría debe ser independiente y reportar al comité de auditoría o al nivel más
alto de la gerencia.

- Existe la necesidad de contratar externos expertos para llevar a cabo auditorías altamente
especializadas, a pesar de que una parte del trabajo se delegue a un proveedor externo de
servicios, la responsabilidad profesional relacionada no es necesariamente delegada.

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

3. Clasificación de las auditorías
Auditorías financieras Su propósito es determinar la exactitud de los estados financieros, implica pruebas sustantivas
detalladas. Este tipo de auditoría se relaciona con la integridad y confiabilidad de la información
financiera.

Auditorías operativas Diseñada para evaluar la estructura de control interno en un proceso o área determinada (ej:
auditoría de SI sobre controles de aplicaciones o de sistemas de seguridad lógica)

Auditorías integradas Combina pasos de auditoría financiera y operativa, incluye pruebas de cumplimiento a los controles
internos y pruebas sustantivas

Auditoría Orientada a evaluar aspectos relacionados con la eficiencia de la productividad operativa

administrativa

Auditoría de SI Determina si los sistemas de información y los recursos relacionados protegen adecuadamente los
activos, mantienen la integridad y disponibilidad de los datos y del sistema. Logran de forma
efectiva las metas organizacionales, usan eficientemente los recursos y que los eventos no
deseados evitados o detectados y corregidos de forma oportuna

Auditorías Forenses Auditoría especializada en descubrir, revelar y hacer seguimiento a fraudes y crímenes. El propósito
principal es el desarrollo de evidencia para autoridades competentes (establecer cadena de
custodia para cumplir con requerimientos legales). Relacionado con fraude corporativo y crimen
cibernético

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

4. Planificación de la auditoría
Pasos para realizar una planificación de auditoría

Dirigir la logística del trabajo de auditoría

Asignar recursos humanos a la auditoría

(Auditor técnicamente competente, posea habilidades y conocimientos necesarios – Actualización habilidades, técnicas)

Desarrollar el enfoque de la auditoría

(Estrategia de la auditoría)

Establecer alcance y los objetivos de la auditoría

Realizar Análisis de Riesgos

Identificar los contenidos específicos del negocio

(Políticas, estándares, directrices, procedimientos y estructura organizacional)

Lograr una comprensión del negocio

(misión, visión, objetivos, propósito del negocio, requerimientos de
información y procesamiento)

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

4. Planificación de la Auditoría

Comprensión del negocio

Revisión
Lectura de Revisión del
reportes informes relacionados
antecedentes publicaciones de la negocio
anteriores con TI (auditoría
industria, reportes planes estratégicos de
interna, externa,
anuales y reportes de TI a mediano y largo
consultorías,
análisis financieros plazo
revisiones específicas
independientes
regulatorias)

Servicios
Entrevistas Normatividad identificar las
tercerizados
a los gerentes clave identificar funciones de TI o las
para emprender regulaciones actividades
pormenores del específicas aplicables a relacionadas que han
negocio TI sido contratadas
externamente

Conocimiento
Entendimiento
TI Comprensión de las
diversas prácticas,
Recorrido a las
funciones de negocio,
instalaciones clave de la
sistemas de información
organización
y tecnología que
soportan la actividad.

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

 4. Planificación de la Auditoría

Plan a
corto
plazo (1)
Consideraciones

Plan a
largo
plazo (2)

(1) Toma en cuenta aspectos relevantes de auditoría que serán cubiertos durante el año. Análisis de aspectos relevantes se
(2) Toma en cuenta aspectos relacionados con riesgos debidos a los cambios en la dirección debe realizar por lo menos una vez
estratégica de TI de la organización que afectarán el ambiente de TI. al año. Los resultados deben ser
revisados por la alta dirección y
La planificación debe lograr correspondencia entre los recursos de auditoría disponibles y las aprobados por el comité de
tareas definidas en el plan de auditoría deben considerar requerimientos del proyecto auditoría o nivel gerencial
(contrato), recursos de personal (especialistas) y otras limitaciones. encargado.

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

5. Realización de una auditoría de SI
5.1 Generalidades

Auditoría puede definirse como un proceso sistemático por el cual un equipo calificado,
competente e independiente, obtiene y evalúa objetivamente la evidencia respecto a las
afirmaciones acerca de un proceso con el fin de formarse una opinión sobre el particular e
informar sobre el grado de cumplimiento.

La auditoría de SI puede definirse como cualquier auditoría que abarca la revisión y evaluación
(parcial o total) de los sistemas automatizados de procesamiento de información, procesos
relacionados no automatizados y las interfaces entre ellos.

Planificación Programa de Informe de

Auditoría Auditoría

• Evaluar Riesgos • Objetivos • Debilidades de control

• Asignar recursos • Procedimientos • Recomendaciones
• Definición de alcance • Recolectar evidencia • Elaboración de
• Evaluar fortalezas y conclusiones y
debilidades de control opiniones
• Reporte a gerencia

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

5.2 Fases de una auditoría
1. Sujeto de la
auditoría
• Identificar el área
que será auditada
Proceso de Auditoría de SI
4. Planificación
de preauditoría
3. Alcance de la • Identificar
Auditoría habilidades y
recursos técnicos
2. Objetivo de • Identificar los necesarios
Auditoría sistemas, funciones • Identificar fuentes
o unidades de información para
• Identificar el específicos de la las pruebas
propósito de la organización que
auditoria • Identificar ubicación
serán incluidos en la
de áreas o
revisión
instalaciones que
serán auditadas
Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas
5.2 Fases de una auditoría

8. Preparación
del informe de
7. Procedimiento auditoría
para las • Identificar objetivo,
6. Procedimiento comunicaciones alcance,
procedimientos
para evaluar los • Específico de la • Elaboración de
5. Procedimiento resultados organización (definir conclusiones y
protocolo de opiniones
de Auditoría • Específico de la comunicación)
organización • Identificar
• Identificar enfoque deficiencias de
(herramientas para
para verificar los control y
verificar el control)
controles recomendaciones
• Identificar personal a • Discusión con los
entrevistar dueños clave del
• Identificar y proceso
Recolectar • Reporte a la gerencia
información
• Desarrollar
metodología para
probar el control

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

5.3 Auditoría basada en el Riesgo
Este enfoque se usa para evaluar riesgos y para apoyar la decisión del auditor de realizar pruebas de
cumplimiento o pruebas sustantivas, ayuda eficientemente a determinar la naturaleza y extensión de las
pruebas.

Recopilar información y planificar

Conocimiento del negocio, estatutos regulatorios, resultados de auditorías
anteriores, evaluación del riesgo inherente, información financiera reciente

Comprensión del control interno

Ambiente de control, evaluación de riesgos de control, procedimientos de
control.

Realizar Pruebas de cumplimiento

Identificar controles clave que se deben probar, realizar pruebas de confiabilidad,
prevención de riesgos y adherencia a las políticas y procedimientos

Realizar Pruebas sustantivas

Procedimientos analíticos, pruebas de talladas de saldos de cuentas

Concluir la auditoría
Identificar riesgos, debilidad en el control, crear recomendaciones,
emitir el informe

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

5.4 Objetivos de la auditoría

- Se refiere a las metas específicas que deben cumplirse por parte de la auditoría.

- Por lo general se centra en validar que existen controles internos para minimizar los
riesgos del negocio, y que estos funcionen como se espera.

- Incluye el aseguramiento del cumplimiento con requerimientos legales, confidencialidad,

integridad, confiabilidad y disponibilidad de recursos de información y de TI

- El auditor debe tener comprensión de cómo se puede traducir los objetivos generales de
auditoría en objetivos específicos de control de los sistemas de información

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

 5.5 Pruebas de cumplimiento vs. Pruebas Sustantivas

- Pruebas de cumplimiento: consiste en recolectar evidencia con el propósito de probar el

cumplimiento de procedimientos de control. Determina si los controles están siendo aplicados de
manera que cumplen con las políticas y procedimientos de control

- Pruebas Sustantivas: recolecta evidencia para evaluar la integridad de transacciones individuales,

datos u otra información. Fundamente la integridad de un procesamiento real, provee evidencia de
la validez e integridad de los saldos en los estados financieros y de las transacciones que respaldan
dichos saldos.

Existe una correlación directa entre el nivel de los controles internos y la cantidad de pruebas
sustantivas requeridas.

Requiere realizar una

El resultado a las pruebas mayor cantidad de
de los controles (pruebas pruebas sustantivas, para
de cumplimiento) revelan validar las dudas sobre la
la presencia de controles efectividad de los
internos adecuados controles
Prueba de cumplimiento
revela debilidades en los
Auditor justifica minimizar controles, podría generar
los procedimientos dudas sobre la
sustantivos completitud, exactitud o
validez del as cuentas

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

5.6 Evidencia de auditoría
Es cualquier información usada por el auditor para determinar si se cumple con los criterios u objetivos
establecidos, y soportan las conclusiones de auditoría. Las conclusiones del auditor se debe basar en evidencia
suficiente (cantidad), relevante y competente (calidad).

Los procedimientos para recopilar evidencia de auditoría incluyen: indagación, observación, inspección,
confirmación, desempeño y monitoreo.

Muestreo
Es usado cuando las consideraciones de tiempo y de costo impiden una verificación total de todas las
transacciones o eventos en una población definida previamente. El muestreo se usa para inferir características
de una población, con base en las características de una muestra.

Los dos enfoques:

- Muestreo estadístico: es un enfoque objetivo para determinar el tamaño y los criterios de selección de la
muestra, los resultados de una muestra estadística son cuantificables matemáticamente.
- Muestreo no estadístico (muestreo de criterio): el numero de elementos que serán examinados y cuales
seleccionar son determinados con base del juicio del auditor, criterio subjetivo respecto a que elementos
tienen mayor importancia y riesgo.

Los dos métodos:

- Muestreo de atributos: generalmente aplicado en pruebas de cumplimiento, se ocupa de la presencia o
ausencia de un atributo y provee conclusiones que se expresa en tasa de incidencia.
- Muestreo de variables: generalmente aplicado en pruebas sustantivas, se ocupa de las características de
una población que varían (ej: valor monetario, peso) y provee conclusiones relacionados con desviaciones
de la norma.
Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas
 5.6 Técnicas para obtener evidencia

• Una adecuada • Revisar si son apropiados • Entender la • Organizadas de antemano

segregación de funciones • Determinar si el personal documentación existente (formulario, lista de
es un control general las conoce, entiende y y vigente verificación),
clave en un ambiente de sigue • Evaluar los controles para documentadas.
sistemas de información • Prueba de recorrido para preservar la integridad de • Objetivos claramente
observar cumplimiento y los documentos comunicados
desviaciones • Verificar la exactitud
Revisión de
Estructuras Revisión de
organizacionales de Revisión de la Entrevistas al
políticas y
TI documentación personal
procedimientos

• No obstaculizar el proceso • Es utilizada cuando al • Confirma el

al realizar la observación combinar la investigación, entendimiento de los
• Documentar con observación y examen no controles
suficiente detalle, se obtiene una garantía
• Valida si una función es suficiente de que un
realizada por la persona control funcione de
asignada manera efectiva
Observación de
procesos y Repetición de Inspección y
desempeño de ejecución verificación
empleados

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

5.7 Evaluación de la fortalezas y debilidades

El auditor revisará la evidencia recopilada durante la auditoría para determinar si las

operaciones revisadas están bien controladas y son efectivas

EL auditor debe evaluar las fortalezas y debilidades de los controles evaluados y luego
determinar si son efectivos para cumplir los objetivos de control establecidos, teniendo en
cuenta:
- Un control fuerte puede compensar un control débil en otra área
- Existen controles compensatorios en áreas donde los controles han sido identificados
como débiles
- Un grupo de controles cuando se acumulan, pueden actuar como controles
compensatorios y de esta manera minimizar el riesgo

Determinación de la materialidad de los hallazgos

Es la evaluación de que sería significativo para los diferentes niveles de la gerencia, requiere
determinar el efecto potencial del hallazgo si no se realizan acciones correctivas.

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

 5.8 Comunicación de los resultados de la auditoría
Una vez terminada la auditoría se realiza una reunión para presentar los hallazgos y recomendaciones a la
gerencia, una recomendación es describir no solamente los aspectos negativos en términos de hallazgos, sino
también comentarios constructivos sobre procesos y controles en perfeccionamiento o sobre controles
efectivos ya existentes, el auditor debe asegurarse:
- Los hechos presentados en el informe son correctos
- Las recomendaciones son realistas y eficientes

Antes de comunicar los resultados de la auditoría a la alta dirección, se debería discutir los hallazgos con el
personal directivo del área o proceso auditado, con el propósito de llegar a un acuerdo sobre los hallazgos y
desarrollar un curso de acción correctiva, en caso de desacuerdo se debe profundizar sobre la importancia
del hallazgo, riesgos y efectos de no corregir la debilidad de control.

Las técnicas de presentación podrían ser:

- Resumen ejecutivo
- Informe detallado
- Presentación visual

Implementación de recomendaciones por parte de la gerencia

La gerencia del auditado evalúa los hallazgos, estableciendo las acciones correctivas a tomar y plazos para su
implementación. Se debería desarrollar un programa sólido para las acciones correctivas y obtener un
compromiso con el auditado sobre la fecha en que el plan de acción se implementará.

Es apropiado que el auditor reporte a la alta dirección sobre el progreso de la implementación de las acciones
correctivas acordadas.

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

5.8 Comunicación de los resultados de la auditoría

Estructura y contenido del informe de auditoría

Introducción
objetivos, limitaciones, alcance, periodo cubierto de auditoría, declaración general sobre el carácter y
la extensión de los procedimientos realizados, metodología y directrices aplicadas

Hallazgos
una buena práctica es agrupar por secciones y nivel de importancia

Conclusión y opinión
respecto a si los controles y procedimientos examinados son adecuados y los riesgos existentes como
consecuencia de las debilidades detectadas

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

5.9 Documentación de la auditoría - Papeles de Trabajo P/T

Registro Incluir como mínimo:

• Planificación, alcance y objetivos de auditoría
• Programa de auditoría
• Procedimientos realizados y evidencia recopilada
• Hallazgos, conclusiones, recomendaciones
• Copia del informe emitido

Documentación Debe ser:

• Evidencia necesaria que respalda las conclusiones alcanzadas
• Clara, completa, fácilmente recuperable y suficientemente comprensible
• Poseer fecha, firmas, numeración
• Evidencia de revisión, aprobación

Propiedad y acceso Tener en cuenta:

• La propiedad es de la entidad que realizo la auditoría
• El acceso se otorga a personal autorizado, para externos debe ser previamente aprobado
• Cumplir con políticas de custodia, integridad, requerimientos de retención y liberación de documentación

Proceso de Auditoría de SI Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas

6. Bibliografía

ISACA

Manual de Preparación al Examen CISA

Publicaciones ISACA Journal

Auditoría de Aplicaciones Tutor: Sandra Peñalosa Ferro – Ingeniera de Sistemas