Control Semana 3

Auditoria en Informática
Juan Manuel Lorca Gajardo
Auditoría Informática
Instituto IACC
07 de Mayo de 2020
Antecedentes:

1. Considere el siguiente enunciado: “se le ha solicitado que pueda identificar riesgos y

controles asociados a estos, en el proceso de otorgamientos de créditos de una
compañía de la industria financiera, el cual es soportado por un sistema de
información desarrollado internamente. Interesa en particular detectar el riesgo
asociado al cumplimiento normativo, el cual establece que la tasa otorgada no debe
superar la tasa máxima convencional que es publicada periódicamente en la página de
la Superintendencia de Bancos e Instituciones Financieras”. En base a lo anterior,
indique los pasos que debe seguir esta auditoría para cumplir con los parámetros de la
técnica de prueba de recorrido.

2. Transelec, compañía dedicada a la transmisión de energía eléctrica en el Sistema

Interconectado Central, desea realizar una auditoría a los proveedores de tecnologías de
información. Se necesita identificar si los contratos especifican acuerdos de niveles de
servicio y si éstos son monitoreados. A través de las técnicas de revisión de
documentación y entrevistas, indique cuál sería la secuencia de pasos necesarios para
cubrir esta necesidad. Fundamente su respuesta.

3. Considere los siguientes enunciados:

“El auditor informático necesita determinar si la gerencia de tecnologías de la
información ha definido un control anual de revisión y actualización de todos sus
procedimientos y políticas”.
“El auditor informático necesita corroborar la secuencia de respaldos periódicos a los
datos: tiempo de realización, lugar de almacenamientos y tarea programada que
ejecuta”.
“El auditor informático necesita realizar una conciliación entre las tablas
documentadas y las tablas creadas en la base de datos para determinar la suficiencia de
la documentación”.

De acuerdo a lo estudiado, indique cuál o cuáles serían las técnicas de recopilación de

evidencias recomendadas para lograr cada uno de los objetivos propuestos en los
puntos 1, 2 y 3 reconozca las características presentes en cada párrafo que justifiquen y
fundamenten su elección
Desarrollo:
1. Considere el siguiente enunciado: “se le ha solicitado que pueda identificar riesgos y
controles asociados a estos, en el proceso de otorgamientos de créditos de una compañía
de la industria financiera, el cual es soportado por un sistema de información
desarrollado internamente. Interesa en particular detectar el riesgo asociado al
cumplimiento normativo, el cual establece que la tasa otorgada no debe superar la tasa
máxima convencional que es publicada periódicamente en la página de la
Superintendencia de Bancos e Instituciones Financieras”.

De conformidad a lo estudiado durante la presente semana, respecto a la pregunta

anterior, puedo argumentar lo siguiente; Una prueba de recorrido denominada Paso a
paso, consiste en reproducir y documentar, por medio de un sistema, las etapas manuales
y automáticas del proceso de gestión o de transacción, desde inicio a fin, empleando para
ello una transacción simulada con datos y proceso real.
Conforme a ello, el auditor debe ser capaz de comprender el proceso antes de aplicar
cualquier investigación. Desarrollado este paso por parte del auditor, es necesario realizar
una prueba de otorgamiento de crédito a una entidad ficticia para poder así chequear el
procedimiento de esta. Esta prueba debe hacerse paso a paso para poder verificar que
cada procedimiento del proceso sea el correcto o detectar fallas o falencias.

2. Transelec, compañía dedicada a la transmisión de energía eléctrica en el Sistema

Interconectado Central, desea realizar una auditoría a los proveedores de tecnologías de
información. Se necesita identificar si los contratos especifican acuerdos de niveles de
servicio y si éstos son monitoreados. A través de las técnicas de revisión de
documentación y entrevistas, indique cuál sería la secuencia de pasos necesarios para
cubrir esta necesidad. Fundamente su respuesta.

La técnica de recopilación de información, pieza clave de una auditoría, mediante la

revisión de documentos y entrevistas, esta destinada a lograr obtener evidencia suficiente
que respalde la auditoria.

En la técnica de revisión de documentos se busca obtener los datos de la estructura

organizacional del área, de las políticas y los procedimientos que estas aplican y de los
sistemas utilizados por estos proveedores.
Mediante la revisión de la estructura de la empresa proveedora, logramos definir y
entender los roles de las personas a cargo, la jerarquía de estos y la suficiencia de personal
para cumplir todos los roles.
 Con la revisión de las políticas y procedimientos, podemos ver las áreas cubiertas y el
tiempo que se dedica a estas para su monitoreo o mantención si es necesario, como son las
siguientes:
 Separación y segregación de funciones.
 La seguridad que se emplea en cuanto al análisis de datos de los solicitantes.
 Actualización de los datos de los solicitantes.
 Respaldos de la información.
 Privilegios de quienes manejan la información.

De igual modo, mediante el chequeo de la información general, logramos obtener datos

por ejemplo; inicio de contrato, tipo de contrato, acuerdo y tipo de los servicios
contratados, informes de pruebas de la implementación del servicio, manuales de usuario,
manuales de sistemas, protocolos, reportes varios, etc. Y todo esto contrastado con
entrevistas a personal supervisor de empresa proveedora.

3. Considere los siguientes enunciados:

“El auditor informático necesita determinar si la gerencia de tecnologías de la
información ha definido un control anual de revisión y actualización de todos sus
procedimientos y políticas”.
“El auditor informático necesita corroborar la secuencia de respaldos periódicos a los
datos: tiempo de realización, lugar de almacenamientos y tarea programada que
ejecuta”.
“El auditor informático necesita realizar una conciliación entre las tablas
documentadas y las tablas creadas en la base de datos para determinar la suficiencia de
la documentación”.

De acuerdo a lo estudiado, indique cuál o cuáles serían las técnicas de recopilación de

evidencias recomendadas para lograr cada uno de los objetivos propuestos en los puntos
1, 2 y 3 reconozca las características presentes en cada párrafo que justifiquen y
fundamenten su elección

Precisamente para lograr la revisión y actualización de procedimientos y políticas

emplearemos la técnica de revisión de documentación, revisión de políticas y
procedimientos del área de tecnología informática.

Esta técnica se encarga de revisar si existen políticas y procedimientos adecuados, además

de verificar que la gerencia asuma la responsabilidad por la formulación, desarrollo,
documentación, publicación y control de estas políticas o procedimientos, además de la
frecuencia con que estas son revisadas.
 “El auditor informático necesita corroborar la secuencia de respaldos periódicos a los
datos: tiempo de realización, lugar de almacenamientos y tarea programada que
ejecuta”.

Es necesario realizar una prueba de recorrido, debido a que esta se enfoca en el

entendimiento de los procesos y de los controles. Para ello se realiza la simulación o
definitivamente se pueden modificar los horarios o fechas para chequear el cumplimiento,
formas y lugar de los respaldos

 “El auditor informático necesita realizar una conciliación entre las tablas documentadas y
las tablas creadas en la base de datos para determinar la suficiencia de la
documentación”.

El proceso de revisión de documentación general de los sistemas de información,

perteneciente a revisión de documentos, sería lo más recomendado, debido a que
mediante la utilización de esta técnica, logramos identificar la información existente
vigente con que cuenta la empresa ya sea físicamente o en forma digital.

De este modo, podremos realizar la comparación y verificar su precisión o falencia, con que
se detalla las tablas de las bases de datos en documentos y cuál es la configuración real con
que se maneja esta información.
Bibliografía:

 Técnicas de auditoría informática. Parte I. Auditoría Informática. Semana 3. IACC (2015).