Facultad de ciencias económicas, administrativas y contables

Departamento de contaduría pública

Ing. Alfonso Alfonso
Auditoria de Sistemas de Información I

EL PROCESO DE AUDITORIA DE
SISTEMAS DE INFORMACIÓN

CAPITULO 2 - EJECUCIÓN
TEMAS
PASOS DE LA AUDITORÍA DE TI
Definir el Alcance de la Auditoría

Establecer los objetivos de la auditoria

Identificar el criterio de la auditoría

Realizar procedimientos de auditoria

Revisar y evaluar la evidencia

Sacar conclusiones y formular opiniones de auditoría

Comunicarse con la gerencia después de una conversación con los dueños claves del proceso
AUDITORÍA DE SI A LA GESTIÓN DE
PROYECTOS

• Planificar la auditoría tomando en cuenta el riesgo específico del proyecto.

• Distribuir las tareas de auditoría necesarias en toda la línea de tiempo, optimizando el uso de los
recursos. Realizar cálculos realistas sobre los requerimientos de tiempo para cada tarea con la
debida consideración a la disponibilidad del auditado.

• Ejecutar las tareas de la auditoría con respecto al plan.

AUDITORÍA DE SI A LA GESTIÓN DE
PROYECTOS (Cont.)

• Los auditores de SI reportan su progreso real con respecto a los pasos planificados de la auditoría
para garantizar que los desafíos sean gestionados de manera proactiva y que el alcance sea
completado dentro del tiempo y el presupuesto.
AUDITORÍAS INTERNAS VS. EXTERNAS
Auditoria Interna Auditoria Externa
• El alcance y los • El alcance y los
objetivos de la función objetivos de la
de auditoría dentro de auditoría se
la organización y no documentan en un
son específicos de una contrato formal o en
auditoría de SI en una declaración de
particular. trabajo.
• El estatuto de auditoría es un documento aprobado por los responsables del gobierno que
define el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna.
Debe ser aprobado por el más alto nivel de la gerencia o por el comité de auditoría.

• Una carta de compromiso es un documento formal que define la responsabilidad, autoridad y

rendición de cuentas de un auditor SI para una tarea específica. No sustituye a un estatuto
de auditoría.
 OBJETIVOS DE LA AUDITORÍA
Un elemento clave en la planificación de la
auditoría de SI es la traducción de los
objetivos básicos de auditoría en objetivos
específicos de auditoría de SI.

Los objetivos de la auditoría se refieren a las

metas específicas que deben cumplirse por
parte de la auditoría. A menudo se centran en
validar que existen controles internos y que
son eficaces para minimizar el riesgo
empresarial.
FASES DE LA AUDITORÍA
 PROGRAMAS DE AUDITORÍA
Un programa de auditoría es un conjunto de procedimientos e
instrucciones de auditoría paso a paso que deben realizarse
para completar una auditoría.
Los programas de auditoría se basan en el alcance y el
objetivo de la asignación en particular.
Consiste en la estrategia y el plan de auditoría.
Identifica el alcance, los objetivos y los procedimientos de
auditoría para lograr evidencia suficiente, competente y
confiable para obtener y sustentar las conclusiones y
opiniones de la auditoría.
PROCEDIMIENTOS DEL PROGRAMA
 PAPELES DE TRABAJO DE AUDITORÍA
Todos los planes, programas,
actividades, pruebas, hallazgos e
incidentes de auditoría deberán estar
debidamente documentados en
papeles de trabajo. Los papeles de
trabajo deben proveer una transición
impecable, con trazabilidad y respaldo
del trabajo realizado, desde los
objetivos hasta el informe y desde
el informe hasta los objetivos.
 FRAUDE, IRREGULARIDADES Y ACTOS
ILEGALES
La presencia de controles internos no elimina
completamente el fraude. Un auditor de SI debe:
■ Observar y ejercer el debido cuidado
profesional en todos los aspectos de su
trabajo.
■ Estar alerta a las posibles oportunidades que
permitan que el fraude se materialice.
■ Ser consciente y ser diligente con respecto a
la posibilidad y a los medios de perpetrar
fraudes, especialmente explotando las
vulnerabilidades y pasando por alto los
controles en el ambiente de TI.
■ Tener conocimientos sobre fraudes e
indicadores de fraude y, durante la ejecución
de una auditoría, estar alertos a la posibilidad
de fraudes y errores.
METODOLOGÍA DE MUESTREO
MÉTODOS DE PRUEBA
Pruebas de cumplimiento: •
Pruebas de control diseñadas para
obtener evidencia de auditoría
tanto en la eficacia de los controles
como en su funcionamiento
durante el período de la auditoría
Pruebas sustantivas: • Obtención
de evidencia de una auditoría
sobre la integridad, precisión o
existencia de actividades o
transacciones realizadas durante
el período de la auditoría.
PROCESO DE PRUEBA
La figura muestra la relación entre las pruebas de cumplimiento y las
pruebas sustantivas y describe las dos categorías de pruebas
sustantivas.
MUESTREO
El muestreo se utiliza cuando el tiempo y el
costo limitan la capacidad de probar todas las
transacciones o eventos.
Hay dos abordajes del muestreo:
■ El muestreo estadístico utiliza un método
objetivo para determinar el tamaño de la
muestra y los criterios de selección.
■ El muestreo no estadístico utiliza el juicio del
auditor SI para determinar el tamaño de la
muestra y los criterios de selección.
 MÉTODOS DE MUESTREO
Muestreo por atributos Proporcional
• Se refiere a la presencia o ausencia • Muestreo por atributos
de un atributo • Muestreo de parar o seguir
• Expresado en tasas de incidencia • Muestreo por descubrimiento
• Suele utilizarse en las pruebas de
cumplimiento
 METODOLOGÍA DE MUESTREO (CONT.)
Muestreo de variables. Variable
• Se ocupa de las características de • Promedio estratificado por
la población que varían, tales como muestreo de unidad
los valores monetarios y las • Media no estratificada por
ponderaciones. unidad
• Proporciona conclusiones • Estimación de diferencia
relacionadas con las desviaciones
de la norma.
• Suele utilizarse en las pruebas
sustantivas.
PASOS DE MUESTREO
El equipo interno de auditoría de SI está auditando los controles
sobre las devoluciones de ventas y está preocupado por los
fraudes. ¿Cuál de los siguientes métodos de muestreo sería de
MÁS ayuda para los auditores SI?

A. Parar o seguir
B. Variable clásica
C. Descubrimiento
D. Probabilidad proporcional al tamaño
AUDITORÍA DE LAS TÉCNICAS DE
RECOPILACIÓN DE EVIDENCIAS
EVIDENCIA
La evidencia es cualquier información usada por el auditor de
SI para determinar si la entidad o los datos que están siendo
auditados cumplen con los criterios u objetivos establecidos,
y respalda las conclusiones de la auditoría.

Algunos tipos de evidencia son más confiables que otros. La

confiabilidad está determinada por:
• La independencia del proveedor de pruebas
• Las calificaciones del proveedor de pruebas
• La objetividad de la evidencia
• La oportunidad de la evidencia

El auditor SI debe centrarse en los objetivos de la auditoría y

no en la naturaleza de la evidencia. Se considera que la
evidencia es competente cuando es tanto válida como
pertinente.
TÉCNICAS DE RECOPILACIÓN DE EVIDENCIA
OBSERVACIÓN Y ENTREVISTAS
La observación del personal en el desempeño de sus funciones ayuda a un
auditor de SI a identificar:

• Tenga en cuenta que el personal puede cambiar su comportamiento si

sabe que se lo está observando. Por lo tanto, combine las observaciones
con las entrevistas, que pueden proporcionar una garantía adecuada de
que el personal tiene las habilidades técnicas necesarias.
Se le asigna realizar una auditoría SI de los procesos de
aprovisionamiento de usuarios dentro del sistema financiero de su
organización que cotiza en bolsa.

El auditor externo ha realizado pruebas para cumplir con los requisitos

de Sarbanes-Oxley. ¿Cuál cree que sería el MEJOR curso de acción
para realizar esta auditoría de TI?

Durante la planificación de su auditoría de TI, el dueño del proceso

identifica un área que necesita mejoras. ¿Qué técnicas adicionales de
sistemas de calidad se adaptarían mejor a este tipo de evaluación?
¿Cuál de los siguientes es el MEJOR factor para determinar el
alcance requerido de la recopilación de datos durante la
etapa de planificación de una auditoría de cumplimiento de
SI?

A. Complejidad de la operación de la organización.

B. Hallazgos y asuntos destacados del año anterior.
C. Propósito, objetivo y alcance de la auditoría.
D. La familiaridad del auditor con la organización.
¿Cuál de las siguientes opciones representa falta de
controles adecuados?

A. Un impacto
B. Una vulnerabilidad
C. Un activo
D. Una amenaza
CONCLUSIONES
■ Revisamos Auditoría a la gestión de Proyectos
■ La metodología de muestreo
■ Tecnicas de recopilación de evidencias
■ Análisis de Datos
■ Tecnicas de informes y comunicación
■ Aseguramiento de la calidad
■ Mejoramiento del proceso de auditoria