Universidad de Panamá

Facultad de Administración de Empresas y Contabilidad

Escuela de Contabilidad
Licenciatura en Contabilidad y Auditoria
Segundo Semestre 2021

AUDITORIA DE DATOS DIGITALIZADOS

Profesor

LUIS DEL CID DUARTE

Tema

REALIZACION DE UNA AUDITORIA DE SI

Estudiantes:

Samuel Pimentel 8-752-85

Zulibeth Tuñón 2-153-819

Fecha de Entrega

27 de octubre de 2021
 1

Contenido
INTRODUCCIÓN................................................................................................................3
REALIZACION DE UNA AUDITORIA DE SI......................................................................4
1. Planificar la asignación de auditoria:.............................................................................5
2. Elaborar el plan de auditoria:..........................................................................................6
3. Ejecutar el Plan................................................................................................................6
4. Monitorear la actividad del proyecto..............................................................................6
OBJETIVOS DE LA AUDITORIA.......................................................................................6
TIPOS DE AUDITORIAS....................................................................................................8
a) Auditorias de cumplimiento.............................................................................................8
b) Auditorias Financieras.....................................................................................................8
c) Auditorias operativas.......................................................................................................9
d) Auditorias integradas.......................................................................................................9
e) Auditorias administrativas...............................................................................................9
f) Auditorias de SI................................................................................................................9
g) Auditorias especializadas..............................................................................................10
h) Auditorias forenses........................................................................................................10
METODOLOGIA DE LA AUDITORIA...............................................................................12
AUDITORIA BASADO EN EL RIESGO............................................................................15
RIESGO DE AUDITORIA Y MATERIALIDAD..................................................................16
 Riesgo inherente............................................................................................................17
 Riesgo de control...........................................................................................................17
 Riesgo de detección......................................................................................................17
 Riego general de auditoria............................................................................................17
EVALUACION Y TRATAMIENTO DEL RIESGO.............................................................19
 Evaluar el riesgo.............................................................................................................19
 Tratar el riesgo...............................................................................................................20
TECNICAS DE EVALUACION DEL RIESGO DE AUDITORIAS DE SI...........................22
PROGRAMAS DE AUDITORIA........................................................................................24
DETECCIÓN DE FRAUDES.............................................................................................26
PRUEBAS DE CUMPLIMENTO VERSUS PRUEBAS SUSTANTIVAS...........................28
EVIDENCIA....................................................................................................................... 30
 2

ENTREVISTA Y OBSERVACION DEL PERSONAL DURANTE LA EJECUCON DE

SUS FUNCIONES............................................................................................................. 36
 Muestreo estadístico......................................................................................................37
 Muestreo no estadístico................................................................................................37
USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS...............................38
TECNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA...................................39
EVALUACION DEL AMBIENTE DE CONTROL..............................................................41
Determinación de la materialidad de los hallazgos.....................................................41
COMUNICACIÓN DE LOS RESULTADOS DE AUDITORIA...........................................42
DOCUMENTACION DE LA AUDITORIA..........................................................................42
CONCLUSION.................................................................................................................. 43
REFERENCIAS................................................................................................................. 44
 3

INTRODUCCIÓN

En este trabajo veremos la realización de una auditoria de SI un elemento clave

en la planificación de una auditoria de sistemas de información es traducir los

objetivos de auditoria básicos y de amplio alcance en objetivos específicos de

auditoria de sistemas de información.

Los objetivos de la auditoria se refieren a las metas específicas que deben

cumplirse por parte de la auditoria. En contraste, un objetivo de control se refiere

a cómo debe funcionar un control interno.

También veremos lo que debe entender el auditor en los diversos tipos de

auditorías que pueden efectuarse interna o externamente, y los procedimientos

de auditoria asociados con cada uno de ellas.

La metodología de auditoria que se debe seguir, la cual es un conjunto de

procedimientos documentados de auditoria diseñados para alcanzar los

objetivos de auditoria planificados y los componentes que conlleva todo este

proceso.

Veremos cómo se siguen los programas de auditoria, lo cual es un conjunto de

procedimientos e instrucciones de auditoria paso a paso que debe realizarse

para completar una auditoria. Los programas de auditoria financiera, operativas,

integradas, administrativas y de sistemas de información se basan en el alcance

y el objetivo de la asignación en particular.

 4

REALIZACION DE UNA AUDITORIA DE SI

Se requieren varios pasos para realizar una auditoría. Una planificación

adecuada es el primer paso necesario para realizar auditorías de SI efectivas.

Para usar de manera eficaz los recursos de auditoria de SI, las organizaciones

de auditoria deben evaluar todos los riesgos de las áreas generales y de

aplicaciones y de servicios relacionados a auditar, y luego desarrollar un

programa de auditoria que comprenda objetivos y procedimientos de auditoria

que satisfagan los objetivos de la auditoria. El proceso de auditoria requiere que

el auditor de SI recolecte evidencia, evalúe las fortalezas y debilidades de los

controles basándose en la evidencia reunida a través de pruebas de auditoria, y

prepare un informe de auditoría que presente a la gerencia en una forma

objetiva dichos asuntos (debilidades de las áreas de control con

recomendaciones para su solución).

La gerencia de auditoria debe asegurarse de que haya disponibilidad de

recursos de auditoria adecuados y una agenda para llevar a cabo las auditorias

y, en el caso de una auditoría interna de SI, para realizar revisiones de

seguimiento respecto al avance de las acciones correctivas emprendidas por la

gerencia. El proceso de auditoria incluye la definición del alcance de la auditoria,

la formulación de los objetivos de la auditoria, la realización de los

procedimientos de auditoria, la revisión y evaluación de la evidencia, la

 5

elaboración de conclusiones y opiniones, y el reporte a la gerencia después de

discusión con los dueños clave del proceso.

Las técnicas de gestión de proyectos para gestionar y administrar proyectos de

auditoria, ya sea automatizados o manuales, incluyen los siguientes pasos

básicos:

1. Planificar la asignación de auditoria: Planificar la auditoria tomando en

cuenta el riesgo especifico del proyecto.

2. Elaborar el plan de auditoria: Distribuir las tareas de auditoria necesarias

en toda la línea de tiempo, optimizando el uso de los recursos. Realizar

cálculos realistas sobre los requerimientos de tiempo para cada tarea con

la debida consideración a la disponibilidad del auditado.

3. Ejecutar el Plan: Ejecutar las tareas de la auditoria con respecto al plan

4. Monitorear la actividad del proyecto: Los auditores de SI reportan su

progreso real a los pasos planificados de la auditoria para asegurar que

los desafíos sean gestionados de manera proactiva y que el alcance sea

completado dentro del tiempo y el presupuesto.

OBJETIVOS DE LA AUDITORIA

Los objetivos de la auditoria se refieren a las metas específicas que deben

cumplirse por parte de la auditoria. En contraste, un objetivo de control se refiere

a cómo debe funcionar un control interno. Una auditoria incorpora por lo general

varios objetivos de auditoria.

 6

Los objetivos de la auditoria se centran a menudo en validar que existen

controles internos para minimizar los riesgos del negocio, y que éstos funcionen

como se espera. Estos objetivos de la auditoria incluyen el aseguramiento del

cumplimiento de los requerimientos legales y regulatorios, así como también la

confidencialidad, integridad, confiabilidad y disponibilidad de los recursos de

información y de TI. La gerencia de auditoria puede dar al auditor de SI un

objetivo general de control para revisar y evaluar al llevar a cabo una auditoria.

Un elemento clave en la planificación de una auditoria de sistemas de

información es traducir los objetivos de auditoria básicos y de amplio alcance en

objetivos específicos de auditoria de sistemas de información. Por ejemplo, en

una auditoria financiera/operacional, un objetivo de control podría ser asegurar

que las transacciones sean debidamente registradas en las cuentas de libro

mayor del sistema contable. Sin embargo, en la auditoria de SI, el objetivo

podría ampliarse para asegurar que existan funciones de edición que detecten

los errores en la codificación de las transacciones que podrían tener un impacto

en las actividades de registro de las cuentas.

El auditor de SI debe tener una comprensión de cómo se puede traducir los

objetivos generales de auditoria en objetivos específicos de control de los

sistemas de información. La determinación de los objetivos de una auditoria es

un paso critico en la planificación de una auditoria de SI.

 7

Uno de los propósitos básicos de cualquier auditoría de SI es identificar los

objetivos de control y los controles relacionados que tratan el objetivo. Por

ejemplo, la revisión inicial de un sistema de información llevada a cabo por un

auditor de SI debe identificar los controles clave. El auditor de SI debe entonces

decidir si prueba estos controles para verificar su cumplimiento. El auditor de SI

debe identificar los controles clave tanto generales como los de aplicación

después de entender y de documentar los procesos del negocio y las

aplicaciones/funciones que respaldan estos procesos y los sistemas de soporte

en general. Sobre la base de ese entendimiento, el auditor de SI debe identificar

los puntos clave de control.

De esta manera alternativa, un auditor de SI puede ayudar en la evaluación de la

integridad de los datos de un informe financiero, la cual es conocida como

prueba sustantiva, a través de técnicas de auditoria asistidas por computadora

(TAAC).

TIPOS DE AUDITORIAS

El auditor de SI debería entender los diversos tipos de auditorías que pueden

efectuarse interna o externamente, y los procedimientos de auditoria asociados

con cada uno de ellos:

a) Auditorias de cumplimiento: Las auditorias de cumplimiento incluyen

pruebas específicas de los controles para demostrar el cumplimiento de

normas regulatorias o de la industria. Estas auditorías a menudo

 8

coinciden con las auditorias tradicionales, pero pueden concentrarse en

datos o sistema particulares. Los ejemplos incluyen en las auditorias del

consejo de estándares de seguridad de la industria de Tarjetas de pago

que procesan información de tarjetas de crédito y las auditorias de la Ley

de Responsabilidad y Portabilidad de Seguros médicos para empresas

que manejan datos médicos.

b) Auditorias Financieras: El propósito de una auditoria financiera es

determinar la exactitud de los estados financieros de una organización.

Una auditoria financiera a menudo involucra pruebas sustantivas

detalladas, aunque con cada vez mayor frecuencia, los auditores están

poniendo más énfasis en un enfoque de auditoria basado en riesgo y

control. Este tipo de auditoria se relaciona con la integridad y confiabilidad

de la información financiera.

c) Auditorias operativas: Una auditoria operativa está diseñada para evaluar

la estructura del control interno en un proceso o áreas determinada. Las

auditorias de SI sobre controles de aplicaciones o de sistemas de

seguridad lógica son ejemplos de auditorías operativas.

d) Auditorias integradas: Una auditoria integrada combina pasos de auditoria

financiera y operativa. También se realiza para evaluar los objetivos

generales dentro de una organización, relacionados con la información

financiera y la salvaguarda de activos, la eficiencia y el cumplimiento. Una

auditoria integrada puede ser ejecutad por auditores externos o internos e

 9

incluiría pruebas de cumplimiento a los controles internos y los pasos de

auditoria sustantiva.

e) Auditorias administrativas: están orientadas a evaluar aspectos

relacionados con la eficiencia de la productividad operativa dentro de una

organización.

f) Auditorias de SI: Este proceso recolecta y evalúa la evidencia para

determinar si los sistemas de información y los recursos relacionados

protegen adecuadamente los activos, mantienen la integridad y

disponibilidad de los datos y del sistema, proveen información relevante y

confiable, logran de forma efectiva las metas organizacionales, usan

efectivamente los recursos y tienen en efecto controles internos que

proveen una certeza razonable de que los objetivos de negocio,

operacionales y de control serán alcanzados y que los eventos no

deseados serán evitados o detectados y corregidos de forma oportuna.

g) Auditorias especializadas: dentro de la categoría de las auditorias de SI,

existe un numero de revisiones especializadas que examinan áreas tales

como los servicios realizados por terceros. La Declaración sobre

Estándares para Compromisos de Atestación 16 (SSAE 16), titulada

“Informes sobre los controles en una organización de servicios” es un

estándar de auditoria AICPA). Este estándar reemplazo el anterior

estándar llamado Declaración de Estándares de Auditoria (SAS70)

titulado “Reporte sobre el procesamiento de Transacciones realizado por

 10

las Organizaciones de Servicios”. Este estándar define los estándares

profesionales utilizados por organización de servicios. Este tipo de

auditoria se ha vuelto cada vez más relevante debido a la actual

tendencia a la externalización (outsourcing) de procesos financieros y de

negocios a terceros proveedores de servicios que, en algunos casos,

pueden operar en diferentes jurisdicciones o incluso en diferentes países.

h) Auditorias forenses: La auditoría forense ha sido definida como una

auditoria especializada en descubrir, revelar y hacer seguimiento a

fraudes y crímenes. Los profesionales forenses han sido llamados a

participar en las investigaciones relacionadas con los recursos de

computadoras puedan haber sido mal empleados, una investigación

adicional es necesaria para recopilar evidencia de posible actividad

criminal que pueda luego ser reportada a las autoridades competentes.

Una investigación de informática forense incluye el análisis de dispositivos

electrónicos, tales como computadora, teléfonos inteligentes, discos,

enrutadores y otros equipos electrónicos. El auditor de SI que posea las

habilidades puede asistir al gerente de seguridad de información en la

realización de las investigaciones forenses y llevar a cabo la auditoria de

los sistemas para asegurar que se cumplan los procedimientos de

recolección de evidencia para la investigación forense. La evidencia

electrónica es vulnerable a alteraciones, por lo que es necesario

manejarla con extremo cuidado y se deben asegurar controles para

 11

garantizar que no pueda ocurrir ninguna manipulación. Se debe

establecer una cadena de custodia de evidencia electrónica para cumplir

con los requerimientos legales.

La evidencia de computadora manejada de manera inadecuada puede

ser considerada inadmisible por las autoridades judiciales. La

consideración más importante para un auditor forense es la de obtener

una imagen completa (Bit-stream) del dispositivo objeto a examinar esa

imagen sin alterar los sellos de fecha u otra información atribuible a los

archivos examinados. Además, las herramientas y técnicas de auditoria

forense, tales como el mapeo de datos para la evaluación de riesgos de

privacidad y seguridad y la búsqueda de propiedad intelectual para la

protección de datos, también se están usando para prevención,

cumplimiento y aseguramiento.

METODOLOGIA DE LA AUDITORIA

Una metodología de auditoria es un conjunto de procedimientos

documentados de auditoria diseñados para alcanzar los objetivos de

auditoria planificados. Sus componentes son una declaración del alcance,

los objetivos de la auditoria y los programas de auditoria.

La metodología de la auditoria debe ser establecida y aprobada por la

gerencia de auditoria para lograr consistencia en el enfoque de auditoria.

 12

Esta metodología deber ser formalizada y comunicada a todo el personal

de la auditoria.

Fases de una auditoria

 Sujeto de la auditoria: identificar el área que será auditada.

 Objetivo de la auditoria: Identificar el propósito de la auditoria.

Ejemplo, un objetivo podría ser determinar si los cambios del

código fuente del programa ocurren en un ambiente bien definido y

controlado.

 Alcance de la auditoria: identificar los sistemas, funciones o

unidades específicos de la organización que serán incluidos en la

revisión. Por ejemplo, en el ejemplo anterior de los cambios del

programa, el enunciado de alcance podría limitar la revisión a solo

un sistema de aplicación o a un periodo limitado.

 Planificación de preauditoria: identificar las habilidades y los

recursos técnicos necesarios, también se debe identificar las

fuentes de información para la prueba o examen, como diagramas

de flujo funcionales, políticas, normas, procedimientos y papeles de

trabajo anteriores a la auditoria, identificar las localidades o

instalaciones que serán auditadas y desarrollar n plan de

comunicaciones al comienzo de cada compromiso que describa

con quien comunicarse, cuando, con qué frecuencia y porque

motivos.
 13

 Procedimientos de auditoria y pasos para recolección de datos:

Identificar y seleccionar el enfoque de auditoria para verificar y

comprobar los controles, identificar la lista de individuos que sean

entrevistados, identificar y obtener las políticas, estándares y

directrices departamentales para realizar la revisión, desarrollar

herramientas y metodologías de auditoria para probar y verificar el

control.

 Procedimientos para evaluar los resultados de la prueba o la

revisión: identificar métodos (incluyendo herramientas) para

realizar la evaluación, identificar criterios para evaluar la prueba

(similar a un guion e prueba que use el auditor al realizar la

evaluación), identificar medios y recursos para confirmar que la

evaluación fue precisa (y que se puede repetir, si corresponde).

 Procedimiento para las comunicaciones con la gerencia:

determinar la frecuencia de la comunicación, preparar la

documentación para el final.

 Preparación de reporte de auditoria: revelar los procedimientos de

seguimiento de la revisión, revelar los procedimientos para

evaluar/probar la eficacia y efectividad operacional, revelar los

procedimientos para probar los controles, revisar y evaluar la

cantidad de ls documentos, las políticas y los procedimientos.

 14

Cada departamento de auditoria debe diseñar y aprobar una metodología de

auditoria, así como también los pasos mínimos al ser observados en cualquier

asignación de auditoria.

Todos los planes, programas, actividades, pruebas, hallazgos e incidentes de

auditoria deben estar debidamente documentados en papeles de trabajo.

El formato y los medios de papeles de trabajo pueden variar, dependiendo de la

necesidad especifica del departamento. Los auditores de SI deben considerar

como mantener la integridad y la protección de la evidencia de prueba de

auditoria para preservar su valor como justificación (sustansacion) en respaldo

de los resultados de la auditoria. riesgo

Los papeles de trabajo se pueden considerar los puentes o interfaces entre los

objetivos y el informe final de la auditoria. Los papeles de trabajo deben proveer

una transición impecable, con trazabilidad y respaldo del trabajo realizado,

desde los objetivos hasta el informe, y desde el informe hasta el objetivo. El

reporte de auditoria, en este contexto, puede ser visualizado como solo un papel

de trabajo determinado.

AUDITORIA BASADO EN EL RIESGO

La auditoria basada en riesgo efectivo es impulsada en dos procesos:

1. La evaluación de riesgo que impulsa el cronograma de la auditoria

 15

2. La evaluación que minimiza el riesgo de la auditoria durante la ejecución

de una auditoria.

Un enfoque de auditoria basada en el riesgo, generalmente esta adaptado para

desarrollar y mejorar el proceso de auditoria continua. Este enfoque se usa para

evaluar el riesgo para apoyar la decisión del auditor de SI y realizar ya sea

prueba de cumplimiento o pruebas sustantivas. Es importante enfatizar el

enfoque de auditoria basado en riesgo ayuda eficientemente al auditor a

determinar la naturaleza y la extensión de las pruebas. Dentro de este concepto,

el riesgo inherente, el riesgo de control o el riesgo de detención no deberían ser

motivo de gran preocupación, a pesar de debilidades. En el enfoque de auditoria

basado en riesgos, los auditores del Si, no se basan solo en el riesgo, sino

también se basan en los controles internos y operativos, así como el

conocimiento de la empresa o negocio. Este tipo de decisión sobre la evaluación

del riesgo puede ayudar a relacionar el análisis del costo-beneficio de control del

riesgo conocido, permitiendo selecciones prácticas.

Los riesgos de negocios son las preocupaciones sobre los probables efectos de

un evento incierto en el logro de los objetivos establecidos. La naturaleza de los

riesgos del negocio puede ser financiera, regulatoria u operativa, y puede incluir

riesgo derivados de tecnología especifica.

Al encender la naturaleza del negocio, los auditores del SI pueden identificar y

clasificar los tipos de riesgos que determinaran mejor el modelo de riesgo o el

 16

enfoque para llevar a cabo la auditoria. La evaluación del modelo de riesgo

puede ser tan simple como ponderar los tipos de riesgo asociados al negocio e

identificar los riesgos en una ecuación. Por otra parte, la evaluación de riesgo

puede ser un esquema donde a los riesgos se le ha dado paso de manera

elaborada basado en la naturaleza del negocio o la importancia del riesgo.

RIESGO DE AUDITORIA Y MATERIALIDAD

El riesgo de auditoria puede ser definido como el riesgo que la información

puede contener errores materiales que pueden pasar sin ser detectados durante

el curso de auditoria. El auditor del SI debe tomar en cuenta si fuera implacable,

otros factores relevantes para la organización; datos de cliente, privacidad,

disponibilidad de los servicios prestados, así como la imagen corporativa y

política, como el caso de organizaciones y fundaciones públicas.

El riesgo de auditoria esta influenciado por:

 Riesgo inherente: En lo que relaciona con el riesgo de auditoria, es el

nivel del riesgo o la explotación del proceso la entidad que serán

auditados sin tomar en cuenta los controles que se ha implantado la

gerencia. El riesgo inherente existe independientemente de una auditoria

y puede ocurrir debido a la naturaleza del negocio.

 Riesgo de control: El riesgo de que exista un error material que no sea

evitado ni detectado oportunamente por el sistema de control interno. Por

ejemplo, el riesgo de control asociado con la revisión manual de los

 17

registros de computadora puede ser alto porque las actividades que

requieren investigación a menudo no son detectadas debido al volumen

de la información registrada en las pistas de auditoria. El riesgo de control

asociado con procedimientos computarizados de validación de datos, es

por lo general bajo si los procesos se aplican de manera sistemática.

 Riesgo de detección: el riesgo de que se hallan producido errores

materiales o falsas declaraciones que no sean detectados por de l auditor

de SI.

 Riego general de auditoria: La probabilidad de los informes o información

financiera puede contener errores materiales y que el auditor pueda no

detectar un error ocurrido. un objetivo al formular el enfoque de auditoria

es limitar el riesgo de auditoria en el área bajo revisión de modo que el

riesgo de auditoria general este en un nivel suficientemente bajo al

finalizar el examen. No se debe confundir el riesgo de auditoria con el

riesgo de muestreo estadístico, el cual es el riesgo de que se establezcan

supuestos incorrectos sobre las características de una población de llla

que se selecciona una muestra.

Específicamente, esto significa que una debilidad de control interno o un

conjunto de debilidades de control interno combinados deja a la organización

altamente susceptible a que ocurra una amenaza, por ejemplo, la perdida

financiera, interrupción del negocio, perdida de la confianza de los clientes,

sanción económica, etc. El auditor de SI debería preocuparse por determinar la

 18

materialidad de los puntos en cuestión a través de un enfoque de auditoria

basado en riesgos para evaluar los controles internos.

El auditor de SI debe tener un buen entendimiento de los riesgos de auditoria al

planificar una auditoria. Una muestra de auditoria puede no detectar todos los

errores potenciales en una población. Sin embargo, usando procedimientos

apropiados de muestreo estadístico o un fuerte proceso de control de calidad, la

probabilidad del riesgo de detección podría minimizarse a un nivel aceptable.

De manera similar, al evaluar los controles internos, el auditor de SI debería

darse cuenta de que es posible que un sistema determinado no detecte un error

menor. Sin embargo, ese error especifico, combinado con otros, podría llegar a

ser importante para la totalidad del sistema.

El concepto de materialidad requiere un juicio acertado de parte del auditor de SI

puede detectar un error pequeño que podría ser considerado significativo a un

nivel operativo, pero podría no ser considerado como significativo por la alta

dirección. Las consideraciones de materialidad, combinadas con una

comprensión del riesgo de auditoria, son conceptos esenciales para planificar las

áreas que serán auditadas, así como las pruebas especificas que llevaran a

cabo en una auditoria determinado.

EVALUACION Y TRATAMIENTO DEL RIESGO

 19

 Evaluar el riesgo: Para desarrollar una comprensión mas completa del

riesgo de auditoria, el auditor de SI debe entender como la organización

que esta siendo auditada encarga la evaluación y tratamiento del riesgo.

Las evaluaciones de riesgo deben identificar, cuantificar y prioriza los

riesgos contra criterios para aceptación del riesgo y objetivos relevantes

para la organización. Los resultados deben guiar y determinar la acción

apropiada de la gerencia y las prioridades para gestionar los riesgos de

seguridad de la información y para implementar controles seleccionados

para protegerlos contra los riesgos.

Las evaluaciones del riesgo también deben realizarse periódicamente

para ocuparse de los cambios en el ambiente, los requerimientos de

seguridad y en la situación del riesgo, por ejemplo, en activos, amenazas,

vulneralidades, impactos y cuando ocurren cambios significativos. Estas

evaluaciones de riesgos deben emprenderse en una metódica capaz de

producir resultados comparables y reproducibles.

El alcance de una evaluación del riesgo puede ser toda la organización,

parte de la organización, un sistema de información individual,

componentes específicos del sistema, o servicios en los que esto es

practicable, realista y útil.

 Tratar el riesgo: Antes de considerar el tratamiento de un riesgo, la

organización debe decidir los criterios para determinar si los riesgos

pueden dentro del apetito de riesgo. Los riesgos pueden ser aceptados,
 20

si, por ejemplo, se determina es bajo o que el costo del tratamiento no es

rentable para la organización. Dichas decisiones deben ser registradas.

Los riesgos identificados en la evaluación del riesgo necesitan ser trataos. Las

posibles opciones de respuesta a riesgos incluyen:

 Mitigación de riesgos: no realizar ninguna acción, a sabiendas y

objetivamente, siempre que el riesgo satisfaga claramente la política y los

criterios de la organización para aceptación del riesgo.

 Evitar los riesgos: evitar riesgos al no permitir acciones que provocarían

los riesgos.

 Transferencia de riesgo/compartir los riesgos: Transferir los riesgos

asociados a otras partes, por ejemplo, aseguradores o proveedores.

Para los riesgos en los que la decisión de tratamiento del riesgo ha sido aplicar

los controles apropiados, los controles deben ser seleccionados para garantizar

que los riesgos se reduzcan a un nivel aceptable, teniendo en cuenta:

 Los requerimientos y limitaciones de la legislación y las regulaciones

nacionales e internacionales

 Los objetivos de a organización

 Los requerimientos y limitaciones operacionales

 Rentabilidad (necesidad de equilibrar la inversión en implantación y

operación de controles frente al daño que posiblemente surja de fallas de

seguridad)
 21

Los controles se pueden seleccionar partir de estándares profesionales o

industriales, o es posible diseñar nuevos controles que satisfagan las

necesidades especificas de la organización. Es necesario reconocer que

algunos controles pueden no ser aplicables a todos los sistemas o entornos de

información y pueden no ser prácticos para todas las organizaciones.

Es necesario considerar los controles de seguridad de la información en la etapa

de especificación y diseño de los requerimientos de sistemas y proyectos. De no

hacerlo, se pueden registrar costos adicionales y soluciones menos efectivas y,

en el peor de los casos, la incapacidad para alcanzar una seguridad adecuada.

Ningún conjunto de controles puede alcanzar una seguridad completa. Es

necesario implementar una acción de gestión adicional para monitorear, evaluar

y mejorar la eficacia y efectividad de los controles de seguridad para respaldar

las metas de la organización.

TECNICAS DE EVALUACION DEL RIESGO DE AUDITORIAS DE SI

Al determinar cuáles áreas funcionales deberían ser auditadas, el auditor de SI

podría enfrentarse con una gran variedad de sujetos de auditoria. Cada uno de

ellos puede representar diferentes tipos de riesgo. El auditor de SI debería

evaluar estos candidatos con diferentes riesgos para determinar cuáles son las

áreas de alto riesgo que deberían ser auditadas.

Existen muchas metodologías disponibles de evaluación de riesgos,

automatizadas y no automatizadas, de las que puede escoger el auditor de SI.

 22

Estas varían dese clasificaciones sencillas de alto, medio y bajo, con base en el

juicio profesional de auditor de SI, hasta complejos cálculos científicos que

proveen una clasificación numérica del riesgo.

Uno de esos enfoques de evaluación de riesgos es un sistema de puntuación

que es útil para priorizar auditoria con base en como la complejidad técnica, el

nivel de procedimientos de control establecidos y el nivel de perdida financiera.

Estas variables pueden o no ser ponderadas. los valores de riesgo se comparan

entre si y las auditorias se programan en consecuencia. Otra forma de

evaluación de riesgos es dependiente de juicio profesional, en la que se toma

una decisión independiente con base en el conocimiento del negocio, la directiva

de la dirección ejecutiva, las perspectivas históricas, las metas del negocio y los

factores ambientales. También se puede utilizar una combinación de técnicas.

Los métodos de evaluación de riesgos pueden cambiar y desarrollarse a través

del tiempo para satisfacer las necesidades de la organización. El auditor de SI

debería considerar el nivel de complejidad y detalle apropiados para la

organización que se esté auditando.

Uso de la evaluación de riesgos para determinar las áreas que serán auditadas:

 Permite que la dirección asigne de manera efectiva los recursos limitados

de auditoria.

 Asegura que se haya obtenido información relevante de todos los niveles

de la gerencia, incluidos el consejo de dirección, los auditores de SI y la

 23

gestión de áreas funcionales. En general, esta información apoya a la

gerencia a cumplir efectivamente sus responsabilidades y asegura que

las actividades de auditoria estén dirigidas a las áreas de alto riesgo del

negocio, lo cual agregara valor a la gestión.

 Establece las bases para gestionar el departamento de auditoria de

manera efectiva.

 Provee un resumen de como se relaciona el departamento de auditoria de

manera efectiva.

 Provee un resumen de como se relaciona el sujeto individual de la

auditoria con el resto de la organización, así como también con los planes

de negocios.

PROGRAMAS DE AUDITORIA

Un programa de auditoria es un conjunto de procedimientos e instrucciones de

auditoria paso a paso que debe realizarse para completar una auditoria. Los

programas de auditoria financiera, operativas, integradas, administrativas y de

sistemas de información se basan en el alcance y el objetivo de la asignación en

particular. Los auditores de SI evalúan a menudo las funciones y los sistemas de

TI desde perspectivas diferentes, tales como la seguridad (confidencialidad,

integridad y disponibilidad), la calidad (efectividad, eficacia). Fiduciaria

(cumplimiento, confiabilidad), el servicio y la capacidad. El programa de trabajo

de auditoria es la estrategia de auditoria y el plan de auditoria; este identifica el

 24

alcance, los objetivos y los procedimientos de auditoria para lograr evidencia

suficiente, competente y confiable para obtener y sustentar las conclusiones y

opiniones de la auditoria.

Los procedimientos generales de auditoria son los pasos básicos en la ejecución

de una auditoria y habitualmente incluyen lo siguiente:

 Obtención y documentación del conocimiento sobre el área/objeto de la

auditoria

 Evaluación del riesgo y planificación general de la auditoria y cronograma

 Planificación de auditoria detallada que incluirá los pasos de auditoria

necesarios y un desglose del trabajo planificado en un cronograma

elaborado previamente.

 Revisión preliminar del área/objeto de la auditoria

 Verificación y evaluación e la pertinencia de los controles diseñados para

cumplir con los objetivos de control

 Pruebas de cumplimiento (pruebas de la implementación de controles y

su aplicación consistente)

 Pruebas sustantivas (que confirman la exactitud de la información)

 Reporte (comunicación de los resultados)

 Seguimiento en casos en los que hay una función de auditoría interna

El auditor de SI debe entender los procedimientos para la prueba y evaluación

de los controles de SI. Estos procedimientos podrían incluir:

 25

 El uso de software generalizado de auditoria para examinar el contenido

de los archivos de datos (incluyendo los registros del sistema)

 El uso de software especializado para evaluar el contenido del SO (o

detectar deficiencias en el establecimiento de parámetros del sistema)

 Técnicas de elaboración de diagramas de flujo para la documentación de

aplicaciones automatizadas y del proceso de negocio

 El uso de registros/informes de auditoria disponibles en los sistemas

operativos de aplicación

 Revisión de la documentación

 Investigación y observación

 Recorridos (walk-throughs)

 Revisión del rendimiento de controles

El auditor de SI debe tener una comprensión de estos procedimientos que le

permita planificar pruebas apropiadas de auditoria.

DETECCIÓN DE FRAUDES

El uso de tecnología de la información para el negocio ha beneficiado a las

empresas en términos de una calidad de entrega de información

significativamente mayor. Sin embargo, el uso extendido de la tecnología de

información y de internet conlleva riesgos que permiten que se perpetren errores

y fraudes.
 26

La gerencia es el principal responsable de establecer, implementar y mantener

un marco de referencia y un diseño de controles de TI que satisfagan los

objetivos de control. Un sistema bien diseñado de control interno brinda buenas

oportunidades para disuadir y detectar fraudes de forma oportuna, los controles

internos pueden fallar donde dichos controles son burlados aprovechándose de

las vulnerabilidades o explotando las debilidades de la gerencia en los controles

o la complicidad de personas.

La legislación y regulaciones relativas al gobierno corporativo asignan

responsabilidades importantes sobre la gestión, los auditores y el comité de

auditoria con respecto a la detección y revelación de cualquier fraude,

importante o no.

El auditor de SI debe observar y ejercer el debido cuidado profesional en todos

los aspectos de su trabajo. Los auditores de SI a los que se confían funciones de

aseguramiento deben garantizar un cuidado razonable al realizar su trabajo y

estar alertas a las posibles oportunidades que permitan que se materialice el

fraude.

Aun cuando se debe entender que la presencia de controles internos no elimina

por completo el fraude, los auditores de SI deben estar conscientes y ser

diligentes con respecto a la posibilidad y a los medios de perpetrar fraudes,

especialmente explotando las vulnerabilidades y pasando por alto los controles

 27

en el ambiente de TI. Los auditores de SI deben tener conocimientos sobre

fraudes e indicadores de fraude y, durante la ejecución y errores.

Durante el curso del trabajo regular de aseguramiento, el auditor de SI se puede

encontrar con cualquier instancia o indicador de fraude. Después de una

evaluación cuidadosa, el auditor de SI puede comunicar la necesidad de una

investigación detallada a las autoridades competentes. En caso de que el auditor

identifique un fraude mayor o donde el riesgo asociado con la detección sea

elevado, la gerencia de auditoria también debe considerar informar

oportunamente al comité de auditoría.

Con respecto a la prevención de fraudes, el auditor de SI debe estar consciente

de los requerimientos legales potenciales que conciernen a la implementación

de procedimientos específicos de detección de fraude y al reporte a las

autoridades.

PRUEBAS DE CUMPLIMENTO VERSUS PRUEBAS SUSTANTIVAS

Las pruebas de cumplimiento consisten en recolectar evidencia con el propósito

de probar el cumplimiento de una organización con procedimientos de control

esto difiere de la prueba sustantiva, en la que la evidencia se recoge para

evaluar la integridad de transacciones individuales, datos u otra información.

Una prueba de cumplimiento determina si los controles están siendo aplicados

de manera que cumplan con las políticas y procedimientos de gestión. Por

ejemplo, si al auditor de SI le preocupa s los controles de las bibliotecas de

 28

programas de producción están funcionando correctamente, el auditor de SI

podría seleccionar una muestra de programas para determinar si las versiones

fuente y objeto son las mismas. El objetivo amplio de cualquier prueba de

cumplimiento es proveer a los auditores de SI una certeza razonable de que un

control en particular sobe el cual el auditor de SI le percibió en la evaluación

preliminar.

Es importante que el auditor de SI entienda el objetivo especifico de una prueba

de cumplimiento y del control que se esta probando. Las pruebas de

cumplimiento pueden usarse para probar la existencia y efectividad de un

proceso definido, el cual puede incluir una pista de evidencia documental y

automatizada, por ejemplo, para proveer el aseguramiento de que solo se

realizan modificaciones autorizadas a los programas de producción.

Una prueba sustantiva justifica la integridad del procesamiento actual. Provee

evidencia de la validez e integridad de los saldos en los estados financieros y de

las transacciones que respaldan dichos saldos. Los auditores de SI podrían usar

pruebas sustantivas para comprobar si hay errores monetarios que afecten

directamente a los saldos de los estados financieros u otros datos relevantes de

la empresa. Además, un auditor de SI podría desarrollar una prueba sustantiva

para determinar si los registros del inventario de la biblioteca de cintas son

correctos. Para realizar esta prueba, el auditor de SI podría realizar un inventario

completo o podría usar una muestra estadística, que le permita llegar a una

conclusión respecto de la exactitud de todo el inventario.

 29

Existe una correlación directa entre el nivel de los controles internos y la

cantidad de pruebas sustantivas requeridas.

Si los resultados de las pruebas a los controles (pruebas de cumplimiento)

revelaran la presencia de controles internos adecuados, entonces el auditor de

SI tiene una justificación para minimizar los procedimientos sustantivos. Por el

contrario, si la prueba a los controles revelara debilidades en los controles que

podrían generar dudas sobre la completitud, exactitud o validez de las cuentas,

las pruebas sustantivas pueden responder esas dudas.

Algunos ejemplos de pruebas de cumplimiento de controles en las cuales se

podrían considerar las muestras incluyen derechos de acceso de usuarios,

procedimientos de control de cambio de programas, procedimientos de

documentación, documentación de programas, revisión de registros, auditorias

de licencias de software, etc.-

Algunos ejemplos de pruebas sustantivas en las cuales se podrían considerar el

muestreo incluyen el desempeño de un calculo complejo (por ejemplo, interés)

en una muestra de cuentas o una muestra de transacciones para garantizar una

documentación de respaldo, etc.

El auditor de SI podría también decidir, durante la evaluación preliminar de los

controles, incluir algunas pruebas sustantivas si los resultados de esta

evaluación preliminar indican que los controles implementados no son confiables

o no existen.
 30

EVIDENCIA

La evidencia es cualquier información usada por el auditor de SI para determinar

si la entidad o los datos que están siendo auditados cumplen con los criterios u

objetivos establecidos, y respalda las conclusiones de la auditoria. Es un

requerimiento que las conclusiones del auditor se basen en evidencia suficiente,

relevante y competente. Al planificar el trabajo de auditoria de SI, el auditor de SI

debe tomar en cuenta el tipo de evidencia de auditoría a ser recopilada, su uso

como evidencia de auditoria para alcanzar los objetivos de auditoria y sus

diferentes niveles de confiabilidad.

La evidencia de auditoria puede incluir:

 Las observaciones del auditor de SI (presentadas a la gerencia)

 Notas tomadas de las entrevistas

 Resultados de confirmaciones independientes obtenidas por el auditor de

SI diferentes partes interesadas

 Material extraído de correspondencia y documentación interna o contratos

con terceros externos

 Los resultados de los procedimientos de pruebas de auditorias

Si ben toda la evidencia apoya al auditor de SI en el desarrollo de las

conclusiones de la auditoria, ciertos tipos de evidencia son más confiables que

otros.
 31

Los determinantes para evaluar la confiabilidad de la evidencia de auditoria

incluyen:

 Independencia del proveedor de la evidencia: la evidencia obtenida de

fuentes externas es mas confiable dentro de la organización. Esta es la

razón por la cual se usan las cartas de confirmación para verificar los

saldos de las cuentas por cobrar. Adicionalmente, los contratos o

acuerdos firmados con partes externas podrían ser considerados

confiables si los documentos originales se ponen a disposiciones para

revisión.

 Credenciales de la persona que suministra la información o evidencia: el

auditor de SI debería siempre considerar las credenciales y las

responsabilidades funcionales de las personas que suministran la

información o evidencia independientemente de si estas personas son

internas o externas a la organización. Estos también pueden aplicarse al

auditor de SI. Si un auditor de SI no tiene un buen entendimiento del área

técnica que esta en revisión, la información recopilada de las pruebas en

esa puede no ser confiable, especialmente si el auditor de SI no entiende

la prueba en su totalidad.

 Objetividad de la evidencia: la evidencia objetiva es mas confiable que la

evidencia que requiere opinión o interpretación considerable. La revisión e

inventario de medios de un auditor de SI es una evidencia objetiva y

directa. El análisis de un auditor de SI de la eficiencia de una aplicación,

 32

basado en discusiones con determinado personal, puede no ser una

evidencia de auditoria objetiva.

 Tiempo de disponibilidad de la evidencia: el auditor de SI debería

considerar el tiempo durante el cual la información existe o esta

disponible al determinar la naturaleza, el tiempo y la extensión de las

pruebas de cumplimiento y, si fuera aplicable, las pruebas sustantivas.

Por ejemplo, la evidencia de auditoria procesada por sistemas dinámicos,

tales como hojas de trabajo pueden no ser rescatadas después de un

periodo de tiempo determinado si los cambios a los archivos no son

controlados o si los archivos no son respaldados.

El auditor de SI reúne una variedad de evidencia durante la auditoria. Algunas

de ellas pueden ser relevantes ara los objetivos de la auditoria, mientras que

otras evidencias pueden ser consideradas periféricas. El auditor e SI debería

centrase en los objetivos generales de la revisión y no en la naturaleza de la

evidencia recopilada.

El auditor de SI deberá evaluar tanto la calidad como la cantidad de la evidencia.

La Federación de Contadores se refiere a estas dos características como

competencia(calidad). La evidencia es competente cuando es tanto valida como

relevante. Con base en el juicio de auditoria se determina cuando se logra la

suficiencia, de la misma manera que se determina la competencia de la

evidencia.
 33

Es importante que los auditores de SI tengan una comprensión de las reglas de

la evidencia, ya que es posible que encuentren ua variedad de tipos de

evidencia.

La recolección de evidencia es un paso clave en el proceso de auditoria. El

auditor de SI debe estar consciente de las diversas formas de evidencia de

auditoria y de como puede ser recopilada y revisada. El auditor de SI debe

entender los estándares de aseguramiento y auditoria de SI de ISACA 1205

Las siguientes son técnicas para la recopilación de evidencia:

 Revisión de las estructuras organizacionales de SI: Una estructura

organizacional que provee una adecuada separación o segregación de

funciones es un control general clave en un ambiente de sistemas de

información. El auditor de SI debería a entender los controles generales

de la organización y ser capaz e evaluarlos en la organización que se

audita. Donde haya un fuerte énfasis en un procesamiento distribuido

cooperativo o en la computación de usuario final, las funciones de TI

pueden estar organizadas un poco diferente de la organización “clásica”

de SI, constituida por funciones operativas y de sistemas separadas. El

auditor de SI deberá poder revisar estas estructuras organizacionales y

determinar el nivel de control que proveen.

 Revisión de políticas y procedimientos de SI: un auditor de SI debe

revisar si existen políticas y procedimientos apropiados, determinar si el

 34

personal entiende las políticas y los procedimientos, y garantizar que se

sigan las políticas y los procedimientos. El auditor de SI debería verificar

que la gerencia asume plena responsabilidad por la formulación, el

desarrollo, la documentación, la publicación y el control de las políticas

que abarcan propósitos y directivas generales. Así mismo, se deberían

llevar a cabo revisiones regulares de las políticas y de los procedimientos

para asegurar que siguen siendo adecuados.

 Revisión de los estándares de SI: primero, el auditor de SI debería

entender los estándares vigentes existentes dentro de la organización.

 Revisión de la documentación de SI: un primer paso al revisar la

documentación para un sistema de información es entender la

documentación establecida dentro de la organización. Esta

documentación se puede imprimir o guardar electrónicamente. Si esto

ultimo fuera el caso, el auditor de SI debería evaluar los controles para

preservar la integridad de los documentos. El auditor de SI debe buscar

un nivel mínimo de documentación de SI. La documentación puede

incluir:

o Documentos de inicio del desarrollo de sistemas como estudio de

factibilidad

o Documentación suministrada por proveedores externos de

aplicación

o SLA con proveedores de TI externos

 35

o Requerimientos funcionales y especificaciones de diseño

o Planes e informes de pruebas

o Programa y documentos de operaciones

o Registros e historial de cambios a programas

o Manuales de usuario

o Manales de operación

o Documentos relacionados con la seguridad

o Planes de continuidad del negocio

o Informes de QA

o Reportes sobre métricas de seguridad

 Entrevistas al personal apropiado: las técnicas de entrevista constituyen

una habilidad importante para el auditor de SI. Las entrevistas deberían

ser organizadas de antemano con objetivos claramente comunicados,

deberían seguir un patrón fijo y deberían ser documentados por medio de

notas de entrevista. Un buen método es un formulario de entrevista o lista

de verificación preparada por un auditor

 Observación de procesos y desempeño de empleados: es una técnica

clave de auditoría para muchos tipos de revisiones. El audito no debe

obstaculizar las funciones del proceso al realizar sus observaciones y

debería documentar todo con suficiente detalle como para poder

 36

presentarlo, si se requiere, como evidencia de auditoria en una fecha

posterior.

 Nueva revisión del desempeño: el proceso de repetición de ejecución es

una técnica de auditoria clave que generalmente proporciona una mejor

evidencia que las otras técnicas y es, por consiguiente, utilizada cuando

al combinar la investigación, observación y examen de la evidencia no se

obtiene una garantía suficiente de que un control funcione de manera

efectiva.

 Recorridos: la pauta de recorrido es una técnica de auditoria para

confirmar el entendimiento de los controles

ENTREVISTA Y OBSERVACION DEL PERSONAL DURANTE LA EJECUCON

DE SUS FUNCIONES

La observación al personal en el desempeño de sus funciones ayuda a un

auditor de SI a identificar:

 Funciones reales: la observación podría ser una prueba adecuada para

asegurar que a persona asignada y autorizada para realizar una función

en particular es la persona que esta realmente haciendo el trabajo

 Procesos/procedimientos reales: la ejecución de un recorrido de

proceso/procedimiento permite que el auditor de SI obtenga evidencia de

cumplimiento y observe desviaciones, si los controles físicos

 37

 Concienciación sobre seguridad: se debe observar el grado de

concienciación sobre seguridad que una persona tiene para verificar la

comprensión y la practica de buenas medidas de seguridad preventivas y

de detección para salvaguardar los activos y datos de la compañía.

 Líneas de reporte: deben observarse para asegurar que se practiquen las

responsabilidades asignadas y una segregación de funciones adecuada.

 Inconvenientes de la observación: el observador puede interferir con el

entorno observado

MUESTREO

El muestreo es usado cuando las consideraciones de tiempo y de costo impiden

una verificación total de todas las transacciones o eventos en una población

definida previamente. La población esta constituida por l totalidad de los

elementos que es necesario examinar. Una muestra es un subconjunto de

miembros de una población utilizada para realizar pruebas.

Los dos enfoques generales para muestreo son:

 Muestreo estadístico: es un enfoque objetivo para determinar el tamaño y

los criterios de selección de la muestra

 Muestreo no estadístico: el método de muestreo, el numero de elementos

que serán examinados de una población y cuales elementos seleccionar

son determinados en base al juicio del auditor

 38

Al utilizar métodos d muestreo estadístico o no estadístico, el auditor de SI debe

diseñar y seleccionar una muestra de auditoria, ejecutar procedimientos de

auditoria y evaluar los resultados de la muestra para obtener evidencia de

auditoria suficiente, confiable, relevante y útil.

 Un muestreo de atributos: se usa para estimar la tasa de ocurrencia de

una característica especifica en una población

 Parar o seguir el muestreo: ayuda a prevenir el muestreo excesivo de un

atributo permitiendo que una prueba de auditoria sea detenida lo antes

posible. Se usa cuando el auditor de SI considera que se encontraran

pocos errores en una población.

 Muestreo por descubrimiento: puede usarse cuando la tasa de ocurrencia

que se espera es extremadamente baja.

USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS

Debido a la poca disponibilidad de auditores de SI y a la necesidad de

especialistas en seguridad de TI y de otros expertos en el asunto objeto para

llevar a cabo auditorias de áreas altamente especializadas, el departamento de

auditoria a los que se le confío el proveer aseguramiento pueden requerir los

servicios de otros auditores. la externalización de servicios de aseguramiento y

seguridad de SI se esta convirtiendo en una practica cada vez mas común.

Cuando se propone que una parte de los servicios de auditoria de SI se

 39

externalice a otro proveedor externo de servicios o de auditoria, se debería

considerar lo siguiente respecto al uso de servicios d otros auditores y expertos:

 Restricciones sobre la externalización de servicios de auditoria/seguridad

dispuestas por las leyes y regulaciones

 Estatuto de auditoria o estipulaciones contractuales

 Competencia profesional, calificaciones y experiencia

 Cumplimiento de las regulaciones legales y regulaciones

 Cumplimiento de los estándares profesionales aplicables

TECNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA

Durante la ejecución de la auditoria, el auditor de SI debe obtener evidencia

suficiente, relevante y útil para lograr de manera efectiva los objetivos de la

auditoria. Los hallazgos y conclusiones de la auditoria deberían ser sustentadas

por un análisis e interpretación apropiadas de la evidencia. En la actualidad, los

entornos de procesamiento de información plantean un duro desafío al auditor

de SI para la recopilación de evidencia suficiente, relevante y útil debido a que

evidencia puede existir solo en formato electrónico.

Las CAATs son herramientas importantes para el auditor de SI para recolectar

información de estos ambientes. Cuando los sistemas tienen diferentes entornos

de hardware y de software, diferente estructura de datos, formato de registros o

funciones de procesamiento, es casi imposible para los auditores recopilar

 40

determinada evidencia sin una herramienta de software para recolectar y

analizar los registros.

Los CAATs proveen un medio para acceder a los daños y analizarlos para un

objetivo de auditoria predeterminando y para reportar los hallazgos de auditoria

enfatizando la confianza de los riesgos producidos y mantenidos en el sistema.

La confiabilidad de la fuente de información usada reafirma los hallazgos

generados.

El GAS se refiere al software estándar que tiene la capacidad de leer y acceder

a los datos directamente en diversas plataformas de base de datos, sistema de

archivos planos y formatos ASCII.

Las funciones de Gas son:

 Acceso a archivos: permite la lectura de diferentes formatos y registro de

estructura de archivos.

 Reorganización de archivos: permite la indexación, clasificación, función y

vinculación control de archivos.

 Selección de datos: permite condiciones de filtrado y criterios de selección

global.

 Funciones estadísticas: permite el muestreo, la estratificación y el análisis

de frecuencia

 Funciones aritméticas: permite operadores y funciones aritméticas

 41

Estas herramientas y técnicas se pueden utilizar para efectuar diversos

procedimientos de auditoria que incluyen:

 Pruebas de detalle de transacciones y saldos

 Procedimiento de revisión analítica

 Pruebas de cumplimento de controles generales de SI

 Pruebas de cumplimento de controles de aplicaciones del SI

 Evaluación de la vulnerabilidad del SO y red

 Pruebas de penetración

 Pruebas de seguridad de aplicaciones y escaneo de seguridad del código

fuente

EVALUACION DEL AMBIENTE DE CONTROL

El auditor del SI revisara la evidencia recopilada durante la auditoria para

determinar si las operaciones revisadas están bien controladas y son efectivas.

Esta es también un área que requiere el juicio y experiencia del auditor del SI. El

auditor debe evaluar la fortaleza y debilidades de los controles evaluados y

luego determinar si son efectivos para cumplir los objetivos de control

establecidos como parte del proceso de planificación de la auditoria.

El auditor del SI puede encontrar que no todos los procedimientos de control

están establecidos, pero debería evaluar la totalidad de los controles

considerando la fortaleza y debilidades del procedimiento de control.

 42

Determinación de la materialidad de los hallazgos: El concepto es un tema

clave al decir que hallazgo presentar en reporte de auditoria. La clave para

determinar la materialidad de los hallazgos de la auditoria es la evaluación de

que seria significativo para los diferentes niveles de gerencia. La evaluación

requiere determinar el efecto potencial del hallazgo sino se realizan correcciones

correctivas.

COMUNICACIÓN DE LOS RESULTADOS DE AUDITORIA

La entrevista final, llevada a cabo al final de la auditoria provee al auditor del SI

la oportunidad de discutir los hallazgos y las recomendaciones con la gerencia.

Durante la entrevista final el auditor debería:

 Asegurarse de los hechos presentados estén correctos

 Asegurarse de que las recomendaciones sean realistas y eficientes y sino

lo fueran, buscar alternativas negociando con la gerencia del auditado

 Sugerir fechas de implementación para las recomendaciones acordadas

DOCUMENTACION DE LA AUDITORIA

La documentación de la auditoria debe incluir, como mínimo, un registro de lo

siguiente:

 La planificación y preparación del alcance y de los objetivos de la

auditoria

 Descripción y recorridos en la red de auditoria vista

 43

 El programa de auditoria

 Los pasos de auditoria realizada y evidencia recopilada

 El uso de servicios de otros auditores y expertos

 Los hallazgos, conclusiones y recomendaciones de auditoria

CONCLUSION

La auditoría en informática es la revisión y la evaluación de los controles,

sistemas, procedimientos de informática; de los equipos de cómputo.

 su utilización, eficiencia y seguridad, de la organización que participan en el

procesamiento de la información, a fin de que por medio del señalamiento de

cursos alternativos se logre una utilización más eficiente y segura de la

información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los

equipos de cómputo, de un sistema o procedimiento específico, sino que

además habrá de evaluar los sistemas de información en general desde sus

entradas, procedimientos, controles, archivos, seguridad y obtención de

información.

La auditoría en informática es de vital importancia para el buen desempeño de

 44

los sistemas de información, ya que proporciona los controles necesarios para

que los sistemas sean confiables y con un buen nivel de seguridad.

REFERENCIAS

Cisa (26° edición). Manual de Preparación para el Examen CISA