Técnicas de Auditoría Informática

Mónica Soto Oyarzun

Auditoria de Sistemas

Instituto IACC

12 de julio 2021
 Desarrollo

Cabe señalar que una auditoria con parámetros de la técnica de recorrido consiste en reproducir
y documentar, a través del sistema de información de la entidad, las etapas manuales y
automáticas de un proceso de gestión o de una clase de transacción, desde su inicio hasta su
finalización, sirviéndose de una transacción utilizada como ejemplo, teniendo como objetivo
verificar la comprensión del proceso de gestión, subproceso o actividad analizada, los riesgos y los
controles claves relacionados.

Para el caso planteado, los pasos que debemos seguir y cumplir con la técnica de prueba
de recorrido son los siguientes:
1. Revisión de las actividades y transacciones de la entidad.
2. Inspección de documentos (p.ej. planes y estrategias de negocio), actas/documentos y
manuales de control interno.
3. Lectura de los informes elaborados por los gestores (p.ej. informes de gestión trimestrales
y estados financieros provisionales), por los responsables de la gobernanza (p.ej. actas de
las reuniones del consejo de administración), y por los responsables del control interno.
4. Visitas a las instalaciones de la entidad.
5. Hacer un seguimiento de las transacciones a través del sistema de información con
relevancia para la información financiera, que puede ser llevado a cabo como parte de una
prueba de recorrido

Actividad

1. Sagesa, compañía dedicada a la transmisión de energía eléctrica en el Sistema

Interconectado Central, desea realizar una auditoría a los proveedores de tecnologías de
información. Se necesita identificar si los contratos especifican acuerdos de niveles de
servicio y si éstos son monitoreados.

La secuencia de pasos necesarios para cubrir la necesidad según las técnicas de revisión de
documentos y entrevistas son:
Revisión de documentación

a) Identificar la documentación vigente existente tanto física como digitalmente. Esta

documentación puede incluir lo siguiente:
 Documentos de inicio de desarrollo de sistemas (por ejemplo, estudios de
factibilidad).
 Documentación suministrada por proveedores externos de aplicación.
 Acuerdos de nivel de servicio con proveedores externos de TI.
 Requerimientos funcionales y especificaciones de diseño.
 Planes e informes de pruebas.
 Programa y documento de operaciones.
 Registros (logs) e historial de cambios a programas.
 Manuales del usuario.
 Manuales de operación.
 Documentos relacionados con la seguridad (por ejemplo, planes de seguridad,
evaluación de riesgo).
 Planes de continuidad del negocio.
 Informes de control de calidad.
 Reportes sobre métricas de seguridad.
b) Verificar la existencia y disponibilidad de un nivel mínimo de documentación de sistemas
de información.
c) Buscar estándares y prácticas de documentación dentro de la organización de tecnologías
de la información.
d) Entender los enfoques actuales de desarrollo de sistemas, tales como los métodos
orientados a objetos, y cómo se genera la documentación
e) Reconocer además otros componentes de la documentación de los sistemas de
información, tales como especificaciones de base de datos, descripción de archivos o
listados de programas autodocumentados.
Entrevistas para una auditoría de sistemas informáticos

Los procedimientos para recopilar evidencia incluyen: indagación, observación, inspección,

confirmación, desempeño y monitoreo.
 Indagación: consiste en la obtención de información por la vía verbal, a través de
averiguaciones y conversaciones con funcionarios de la entidad o empresa auditada sobre
aquellas situaciones en las cuales los hallazgos requieren de una mayor firmeza en cuanto
a la recopilación y síntesis de la información específica.
 Observación: se refiere al examen ocular para cerciorarse de la ejecución de operaciones.
 Inspección: consiste en el examen físico a bienes, fondos y valores de la entidad o empresa
con el objeto de demostrar su existencia y autenticidad.
 Confirmación: acción enfocada en obtener información de fuentes externas o
independientes de la entidad o empresa auditada.
 Desempeño: se refiere a determinar la eficiencia y eficacia de una operación específica o
de un empleado.
 Monitoreo: seguimiento sobre una operación de un punto a otro dentro de un proceso.

Actividad

2. Considere los siguientes enunciados:

 “El auditor informático necesita determinar si la gerencia de tecnologías de la
información ha definido un control anual de revisión y actualización de todos sus
procedimientos y políticas”.
 “El auditor informático necesita corroborar la secuencia de respaldos periódicos a
los datos: tiempo de realización, lugar de almacenamientos y tarea programada
que ejecuta”.
 “El auditor informático necesita realizar una conciliación entre las tablas
documentadas y las tablas creadas en la base de datos para determinar la
suficiencia de la documentación”.

De acuerdo a lo estudiado, indique cuál o cuáles serían las técnicas de recopilación de

evidencias recomendadas para lograr cada uno de los objetivos propuestos en los puntos
 1, 2 y 3 reconozca las características presentes en cada párrafo que justifiquen y
fundamenten su elección.

Utiliza técnicas de recopilación de evidencias, revisión de documentos y entrevistas

para una auditoría informática

De acuerdo a lo estudiado, las técnicas de recopilación de evidencias recomendadas para

lograr los objetivos propuestos, además de reconocer las características de las técnicas, en los
puntos 1, 2 y 3 serian:
 En el punto 1 tenemos la técnica de revisión de documentos, específicamente la revisión
de políticas y procedimientos, teniendo como características principales la verificación de
que los documentos son los apropiados, que sean entendibles para el personal y el
cumplimiento de las políticas y procedimientos por parte del personal. La referencia en
este caso tiene una gran responsabilidad en la formulación de los documentos, como en
su desarrollo, control y publicación, los cuales se engloban en las directivas generales de la
compañía y sus propósitos.

 En el punto 2 tenemos nuevamente la técnica de revisión de documentos, ya que la

revisión de documentos en general de los sistemas e información, identificando los
documentos que se encuentren vigentes, estos pueden estar en forma física como digital.
En el caso que estén almacenados en forma digital, es importante la integridad de estos
archivos.

 En el punto 3, la técnica de auditoria que utilizaremos son las pruebas de recorrido, con lo
cual se confirmaría si fueron comprendidos los procesos y controles, se deberá ir
reproduciendo y documentado por medio de un sistema de información, las etapas tanto
manuales como automáticas que se incluyen en un proceso de gestión, desde el comienzo
hasta el final.
 Conclusión

La evidencia de auditoría es la información/documentación utilizada por el auditor para alcanzar las

conclusiones en las que basa su opinión. La evidencia de auditoría incluye tanto la información
contenida en los registros contables de los que se obtienen los estados financieros, como otra
información complementaria.

La evidencia de Auditoría es suficiente cuando el auditor considera que la cantidad de evidencia ha

aportado lo requerido para sustentar su opinión, o que el riesgo de error existe, o por el contrario
que no existe y que por lo tanto los estados financieros están libres de errores materiales y por lo
tanto son razonables.

La evidencia de Auditoría es adecuada o apropiada, cuando el auditor considera que es fiable,

relevante y contundente.

En palabras resumidas, la evidencia de Auditoría son las pruebas que ha obtenido el auditor, para
sustentar sus afirmaciones, la principal, la afirmación de razonabilidad o no de los estados
financieros.
 Bibliografía

IACC (2016). Técnicas de Auditoría Informática. Auditoría de Sistemas. Semana 3.

https://incp.org.co/conozca-poco-mas-la-nia-500-evidencia-auditoria