Auditoría informática, lo que debe conocer el

Auditor

El auditor debe conocer un conjunto de técnicas, herramientas y

metodología para guiar su plan de trabajo, de la misma manera
debe tener claro cuál es la documentación necesaria a realizar
durante la puesta en práctica el proceso de auditoría.

Entre Herramientas y Técnicas para la Auditoria

Informática, los diferentes actores expresan lo siguiente: Como lo
señala Piattini M. y Navarro E. (2001), recomienda una series de
técnicas y herramientas de Auditoría Informática (AI), tomando en
consideración el objetivo de la AI. Por ejemplo:

Auditoría Física entre las técnicas recomienda:

Observación de las Instalaciones, sistemas, cumplimiento de

Normas y Procedimientos. Revisión analítica de:
Documentación de construcción y preinstalaciones,
Documentación sobre seguridad física, Normas y
Procedimientos sobre seguridad física de los datos,
Contratos de Seguros y Mantenimientos, Entrevista y
Consultas a técnicos y peritos que forman parte de la
plantilla o independientes contratados. Las herramientas,
cuaderno de campo, grabadora de audio, máquina
fotográfica o cámara de vídeo (p. 190).
Auditoría de Base de Datos, recomienda dos técnicas de control
como son: “Matrices de control y Análisis de los caminos de acceso
y como herramienta las Herramientas CASE (Computer Aided
System/Software Engineering) y IPSE (Integrated Project Support
Environments)” (pp. 329-330).
Auditoría de la Seguridad, como métodos y técnicas considera:
“Los Cuestionarios, Entrevistas, Observación, Muestreo, las
CAAT(Computer Aided Auditing Techniques), las pruebas, las
simulaciones en paralelo con datos reales, programa del auditor o
revisión de programas” (pp. 413-414).
Auditoria de una Aplicación, las herramientas más comunes
tenemos: “Entrevistas, Encuestas, Observación del trabajo realizado
por los usuarios, Pruebas de conformidad, Pruebas substantivas o
de validación y Uso del computador” (pp. 450-455).
De acuerdo a Echenique, J. (2001). Recomienda técnicas
avanzadas de auditoría con informática, entre ellas tenemos:
Pruebas Integrales, Simulaciones, Revisiones de Acceso,
Operaciones en Paralelo, Evaluación de Sistemas con datos
de prueba, Registros extendidos, Totales aleatorios de
ciertos programas, Selección de determinado tipo de

1
 transacciones como auxiliar en el análisis de un archivo
histórico y Resultados de ciertos cálculos para
comparaciones posteriores (pp. 12-13).

Según Muñoz C. (2002), divide estás técnicas y herramientas en

tres grupos: “Instrumentos de recopilación de datos aplicables en la
auditoría de sistemas”: Entrevistas, Cuestionario, Encuestas,
Observación, Inventarios, Muestreo y Experimentación (pp. 329-
409). “Técnicas de evaluación aplicables en la auditoría de
sistemas”: Examen, Inspección, Confirmación, Comparación y
Revisión documental (pp. 418-454). “Técnicas especiales para la
auditoría de sistemas computacionales”: Guías de evaluación,
Ponderación, Simulación, Evaluación, Diagrama del círculo de
sistemas, Diagramas de sistemas, Matriz de evaluación, Programas
de verificación, Seguimiento de programación (pp. 478-553).

De acuerdo a Chicano, E (2014), entre las técnicas menciona: “las

pruebas sustantivas y de cumplimiento” (pp. 27-29). “El muestreo”
(pp. 31-34), “Utilización de herramientas tipo CAAT (Computer
Assisted Audit Tools)” (pp. 35-38). igualmente se describen las
herramientas principales para la auditoría de sistemas que las
clasifica en: “Herramientas del Sistema Operativo” (pp.185-188).
entre ellas menciona Ping, Traceroute, Whois, NSLookup.
“Herramientas de análisis de red, puertos y servicios” (pp. 191-201).
como Nmap, Netcat, NBTScan, Snort y Network Miner.
“Herramientas de análisis de vulnerabilidades como Nessus” (pp.
201-203). “Analizadores de protocolos” (pp. 204-209), como
WireShark, DSniff, Cain & Abel, IP Sniffer y Tcpdump. “Analizadores
de páginas web” (pp. 209-215) como Acunetix, Dirb, Parosproxy,
Virus Total y URLVoid. “Ataques de diccionario y fuerza bruta como
Brutus” (pp. 215-220), y otros como John the Ripper, OphCrack y
Bruter.

Como todo lo expuesto anteriormente, podemos observar que de

las diferentes propuestas no existen una metodología estándar para
la AI, es por ello que el auditor debe complementar las
características de una metodología y ejecutar las buenas prácticas,
con el fin de disponer de una variedad de técnicas y herramientas
para llevar a ejecución una auditoria de informática; su elección
depende del objetivo y el alcance de la auditoria y de la experiencia
del auditor en dichas técnicas y herramientas.

Una vez identificada las técnicas y herramientas a utilizar el

auditor debe conocer que documentación debe realizar durante
el proceso de auditoria(Papeles de Trabajo).

De acuerdo Piattini M. y Navarro E. (2001), define Papeles de

Trabajo como:

2
 totalidad de los documentos preparados o recibidos por el
auditor, de manera que en conjunto constituyen un
compendio de la información utilizada y de las pruebas
efectuadas en la ejecución de su trabajo, junto con la
decisiones que ha debido tomar para llegar a formarse su
opinión. (pp. 98-99)

En base a lo anteriormente expuesto, podemos decir que los

papeles de trabajo lo constituyen un conjunto de registros continuo
de todas la actividades realizadas por el auditor. Su uso o utilidad
permite al auditor recoger las evidencias detectadas durante todo el
trabajo de auditoría, igualmente lo ayuda a realizar su trabajo mas
eficiente y sirven como soporte del trabajo para poder ser utilizado
en posteriores auditorías y permiten la revisión de la auditoría
realizada por el auditores externos.
De acuerdo a Chicano E. (2014) expresa que los papeles de
trabajo debe tener las siguientes características: “Completos” ,
“Claros” y “Concisos” (pp. 271-272). Completos, porque deben
cubrir todas las actividades realizadas, incluyendo los resultados
encontrado. Claros, indica que su redacción debe ser lo más
comprensible posible hacia las personas que va dirigida la auditoría
y Concisos, donde incluya solo la información relevante o
importante.
Según Muñoz C. (2002). Señala:
...que el contenido de los papeles de trabajo puede variar de
un auditor a otro y de un tipo de auditoría a otra, ya que en
cada trabajo existen procedimientos, técnicas y métodos de
evaluación especiales que forzosamente harán diferente la
recolección de los documentos. (pp. 247).
En consideración a lo anteriormente expresado, podemos decir;
que la elaboración y diseño de los papeles de trabajo, dependen de
los criterios y necesidades del auditor, estos deben realizarlo con
profesionalidad y objetividad para que le facilite su trabajo. Para ello
debe tomar en consideración los análisis previos realizados a la
organización, del sistema de información a evaluar y de los
aspectos más críticos. Muñoz, recomienda unas propuestas que
integran estos papeles entre ella tenemos:
● Hoja de identificación
● Índice de contenido de los papeles de trabajo
● Dictamen preliminar (borrador)
● Resumen de desviaciones detectadas (las más importantes)
● Situaciones encontradas (situaciones, causas y soluciones)
● Programa de trabajo de auditoría
● Guía de auditoría
● Inventario de software
● Inventario de hardware

3
 ● Inventario de consumibles
● Manual de organización
● Descripción de puestos
● Reportes de pruebas y resultados
● Respaldos (backups)de datos, disquetes y programas de
aplicación de auditoría
● Respaldos (backups) de las bases de datos y de los sistemas
● Guías de claves para el señalamiento de los papeles de
trabajo
● Cuadros y estadísticas concentradores de información
● Anexos de recopilación de información
● Diagramas de flujo, de programación y de desarrollo de
sistemas
● Testimoniales, actas y documentos legales de comprobación y
confirmación
● Análisis y estadísticas de resultados, datos y pruebas de
comportamiento del sistema
● Otros documentos de apoyo para el auditor. (pp. 247-248).

Teniendo claro los papeles de trabajo, el auditor debe proceder a

realizar el informe de auditoría, según Chicano E. (2014), define
informe como: “es el documento escrito que refleja los resultados
obtenidos a través de las pruebas de auditoría junto con sus
conclusiones, observaciones, sugerencias y recomendaciones
realizadas por el auditor” (p. 295). En base a lo anterior, el informe
es un herramienta que utiliza el auditor para comunicar sus
objetivos, alcances de la auditoría, donde expresa las debilidades
encontradas y sus causas, las recomendaciones y conclusiones a las
que se lleguen.
En cuanto a los tipos de informe de auditoría, básicamente
existen dos tipos, de acuerdo a Tamayo A. (2001) manifiesta que
son: “Informes Abreviados” y “Informes Extensos” (p. 61).
Tomando en consideración a lo antes expuesto los Informes
Abreviados, son dirigido a la gerencia y altos directivos de la
organización, cuyo fin es para la toma de decisiones y los Informes
Extensos, van dirigidos a las personas involucradas con las
aplicaciones, donde se describe examen de la auditoría efectuada
en el área.
Según Muñoz C. (2002), recomienda una estructura del informe de
auditoría que contempla: “Oficio de presentación”, “Introducción”,
“Dictamen de la auditoría”, “Situaciones relevantes”, “Situaciones
detectadas”, “Anexos” y “Confirmaciones en papeles de trabajo” (p.
306).
A lo anteriormente expresado, el Oficio de presentación, es un
documento de carácter oficial, su función es la presentación del
informe; mediante este documento se pone a consideración de los
directivos de la empresa el resultado de la auditoría practicada al

4
área de sistemas. Lo integra: Logotipo de identificación, Nombre de
la empresa, Fecha de emisión del informe, Identificación de la
empresa o área auditada, Ejecutivo receptor del informe, Período de
la evaluación, Contenido (o cuerpo del oficio), Responsable de
emitir el dictamen y Firma del responsable.
La Introducción hace la presentación formal de su trabajo. La
integra: Aspectos generales (Prólogo, Objetivo, Justificación,
Metodología utilizada y Narrativa por capítulos). El Dictamen de la
auditoría es una opinión profesional respecto al funcionamiento de
los sistemas. Lo Integra: Presentación del dictamen (Logotipo de
identificación, Nombre de la empresa (o área interna de auditoría),
Fecha de emisión del dictamen, Ejecutivo receptor del dictamen,
Breve introducción al dictamen, Contenido del informe de auditoría,
Dictamen y recomendaciones del auditor y Responsable de emitir el
dictamen).
Las Situaciones relevantes, son los documentos oficiales donde el
responsable de la auditoría reporta las desviaciones que, según su
criterio, son las más importantes encontradas durante el desarrollo
de la auditoría.
Las Situaciones encontradas, es donde se concentran todas las
desviaciones encontradas durante la evaluación. Los Anexos, son
documentos en forma de gráficas, cuadros, declaraciones o
cualquier otro formato que servirá de soporte para las desviaciones
reportadas en el informe final. Las Confirmaciones en papeles de
trabajo, No se integra en el informe final de auditoría, pero si se
desea aclarar cualquier duda, es necesario llevar las pruebas
documentadas. De ahí su importancia.
En la actualidad los auditores de informática, cuentan con la
metodología CRMR (Computer Resource Management Review) o
Evaluación de la Gestión de Recursos Informáticos. Se define como
una metodología que realiza una evaluación de eficiencia de
utilización de los recursos informáticos por medio del management
(administrador). Esta metodología detecta deficiencias
organizativas y gerenciales más que problemas de tipo técnico y
proporcionando soluciones más rápidas a problemas concretos y
notorios.
Su aplicación se implementa cuando; hay mala respuesta a las
peticiones y necesidades de los usuarios, de forma frecuente se
genera información errónea por fallos de datos o proceso,
sobrecarga en la capacidad de los procesos, hay elevación de
costos excesivos en los procesos del centro de procesos de datos,
entre otros.
Las área de aplicación de esta metodología abarca: Gestión de
Datos, Control de Operaciones, Control y utilización de recursos
materiales y humanos, Interfaces y relaciones con usuarios,

5
Planificación, Organización y administración. Para ejecutar o
realizar el CRMR se requiere la siguiente información: Datos de
mantenimiento preventivo de Hardware, Informes de anomalías de
los sistemas, Procedimientos estándar de actualización,
Procedimientos de emergencia, Monitoreo de los Sistemas, Informes
del rendimiento de los Sistemas, Gestión de Espacio en disco,
Documentación de entrega de Aplicaciones a Explotación,
Documentación de alta de cadenas en Explotación, Utilización de
CPU, canales y discos, Datos de paginación de los Sistemas,
Volumen total y libre de almacenamiento, Ocupación media de
disco, Manuales de Procedimientos de Explotación, Mantenimiento
de las Librerías de Programas.
Como realizar el CRMR, pasos:
1.Se determina los supuestos de partida: El área a auditar se
divide en: Segmentos. Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones. De este modo la
auditoria se realiza en 3 niveles.
2.Se determina las fases de la Auditoria: Fase 0: Causas de la
realización de la Auditoria. Fase 1: Estrategia y logística del
ciclo de seguridad. Fase 2: Cálculos y resultados del ciclo de
seguridad. Fase 3: Confección del informe del ciclo de
seguridad. De este modo la auditoria se realiza en 4 fases.
3.Se determina las actividades de la Auditoria:
1. Asignación del equipo auditor.
2. Asignación del equipo interlocutor del cliente.
3. Elaboración de formularios globales y parciales por parte
del cliente.
4. Asignación de pesos técnicos por parte del equipo auditor.
5. Asignación de pesos políticos por parte del cliente.
6. Asignación de pesos finales a segmentos y secciones.
7. Preparación y confirmación de entrevistas.
8. Entrevistas, confrontaciones, análisis y repaso de
documentación.
9. Cálculo y ponderación subsecciones, secciones y
segmentos.
10. Identificación de áreas mejorables.
11. Elección de las áreas de actuación prioritaria.
12. Preparación de recomendaciones y borrador de informe.
13. Discusión de borrador con cliente.
14. Entrega del informe

REFERENCIA BIBLIOGRÁFICA

6
Piattini, M. y Navarro E. Auditoría Informática Un enfoque práctico.
2a. Edición. Editorial. AlfaOmega Grupo Editor. 2001. Madrid.
España.

Chicano, E. Auditoría de seguridad informática. 1a. Edición. Editorial.

IC Editorial, 2014. Andalucía. España.

Muñoz, C. Auditoría en sistemas computacionales. 1a. Edición.

Editorial. Pearson Educación. 2002. Juárez. México.

Tamayo, A. AUDITORIA DE SISTEMAS una visión práctica.

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES,
2001. Manizales. Colombia.

Echenique, J. Auditoría en Informática. 2a. Edición. Editorial,

McGraw-Hill. 2001. México.