Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoría.
Lic. Carlos Cueva Villalobos.
cuevav@hotmail.com
8994 8596
METODOLOGÍA PARA REALIZAR AUDITORÍAS
Origen de la auditoría
Visita Preliminar
Establecer Objetivos
Aplicar la Auditoría
Dicha metodología también nos servirá para establecer las técnicas, métodos y
procedimientos adaptables a las características especiales de la auditoría del área
específica de sistemas a evaluar, incluyendo los recursos humanos, técnicos y
materiales necesarios para dicha revisión.
METODOLOGÍA PARA REALIZAR AUDITORÍAS
Determinar los puntos que deben ser evaluados Presentar desviaciones a discusión
externa
contingencia
accionistas, autoridades de planes de un hallazgo.
socios y dueños. judiciales contingencia
•Por orden de la •Por revisiones de •Por la
dirección autoridades de elaboración de
general. seguridad social planes de
•Por orden de las y del trabajo contingencia
gerencias o •Por solicitud de •Por la aplicación
departamentos proveedores y de los planes de
superiores. acreedores contingencia
•A solicitud de •Por solicitud de
funcionarios y distribuidores y
empleados de desarrolladores
otros niveles. de software y
hardware
•Definir las •Determinar las •Diseñar los •Diseñar las •Diseñar las
evaluados
• Asignar los • Asignar los recursos • Asignar los recursos • Asignar los demás
recursos informáticos y materiales y de recursos para la
humanos para tecnológicos para consumo para la realización de la
la realización de la realización de la realización de la auditoría
la auditoría auditoría auditoría
Origen de la auditoría
Visita Preliminar
Determinar los puntos que deben ser evaluados Presentar desviaciones a discusión
De acuerdo con el programa de auditoría, cada auditor tiene que realizar las actividades que le
corresponden conforme fueron diseñadas, en la cronología que le fue asignada a cada una, y de
acuerdo con los tiempos y recursos que le corresponde utilizar;
Aquí lo importante es que, conforme a la guía de auditoría, se tienen que utilizar, uno a uno, los
instrumentos y herramientas elegidos para llevar a cabo la evaluación, ya sea mediante la
recopilación y análisis de la información, la observación, las pruebas y simulaciones de los
sistemas, o mediante cualquier otro instrumento de los que se diseñaron previamente para esta
revisión.
METODOLOGÍA PARA REALIZAR AUDITORÍAS
Una vez que se realizaron las actividades diseñadas en el programa de trabajo de auditoría, que
se utilizaron los instrumentos de recopilación de información y/o se utilizaron los instrumentos
determinados para la auditoría, entonces se buscan las posibles desviaciones y se procede a
elaborar los documentos de desviaciones, en los cuales se anotan las situaciones encontradas, las
causas que las originaron y sus posibles soluciones, así como los responsables de solucionar dichas
desviaciones y las posibles fechas para hacerlo.
El auditor puede elaborar este documento cuando lo considere necesario; es decir, lo puede
elaborar conforme va realizando cada evaluación, conforme va evaluando áreas completas,
conforme va realizando cada evento programado o conforme a cualquier otro criterio. Lo
importante es que conforme el auditor detecte las desviaciones, elabore de inmediato el
documento de desviaciones.
METODOLOGÍA PARA REALIZAR AUDITORÍAS
Una vez que el auditor determinó las desviaciones encontradas durante la evaluación, debe elaborar un documento que
contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a
las necesidades de la empresa.
Una vez hecho esto, es obligación del auditor comentarlas con las personas que están involucradas directamente en las
desviaciones, a fin de encontrar de manera conjunta las causas que las originaron y, derivado de este intercambio de opiniones,
debe determinar las posibles soluciones para cada una de estas causas. También puede asignar a los responsables de
solucionarlas y, de ser posible, las fechas para hacerlo.
Es muy conveniente señalar que la importancia de la auditoría no sólo es reportar las desviaciones encontradas en una operación
normal, sino que las personas que están involucradas directamente en la operación deben conocerlas; el propósito es que estén
conscientes de las desviaciones encontradas en su trabajo para que puedan emprender las acciones necesarias para corregirlas,
si es que las correcciones están en sus manos.
La auditoría no se lleva a cabo para cortar las cabezas de los auditados; es una disciplina que ayuda a detectar las desviaciones
en las operaciones de los auditados, así como a conocer las causas de tales desviaciones y sus posibles soluciones.
METODOLOGÍA PARA REALIZAR AUDITORÍAS
La actividad previa, o más bien paralela, a la detección de las desviaciones, es el análisis de los
papeles de trabajo y la elaboración en borrador de las llamadas situaciones detectadas; el
propósito es que el auditor elabore su borrador y comente las desviaciones con los auditados.
Después de comentarlas, debe elaborar las modificaciones pertinentes, así como el informe
definitivo de las situaciones encontradas.
Guía de evaluación
Listas de Verificación
Ponderación
Evaluación
TÉCNICAS ESPECIALES DE AUDITORÍA
Guía de evaluación.
La guía de auditoría es un documento básico en una auditoría de sistemas, mediante
el cual se puede hacer una buena revisión de las áreas de sistemas, de la gestión
informática y en sí de todos los aspectos del sistema. Además es muy útil para
cualquier auditor, independientemente de su experiencia y conocimientos en este tipo
de auditorías, ya que con su aplicación puede estandarizar los procedimientos de
revisión y evaluación.
TÉCNICAS ESPECIALES DE AUDITORÍA
Ref Actividad que será Procedimientos de Herramientas que Observaciones
evaluada auditoría serán utilizadas
SAS-01 Evaluar la seguridad en el Solicitar la
acceso de usuarios de la asignación de una
red y la validez de sus terminal y accesar
atributos. información,
cambiar datos, BD,
instrucciones y
programas, hasta
donde lo permita el
sistema.
Ingresar al
administrador y
cambiar privilegios,
atributos y
contraseñas de
varios usuarios.
TÉCNICAS ESPECIALES DE AUDITORÍA
Ref Actividad que será Procedimientos de Herramientas que Observaciones
evaluada auditoría serán utilizadas
SAS-02 Evaluar la seguridad de los
niveles de acceso de
usuarios.
TÉCNICAS ESPECIALES DE AUDITORÍA
Ref Actividad que será Procedimientos de Herramientas que Observaciones
evaluada auditoría serán utilizadas
SAS-03 Evaluar la confiabilidad Ingresar al sistema de
en la administración de red sin contraseña.
la contraseña.
Reiniciar el sistema y
utilizar teclas F5 y F8 al
encender.
Tratar de accesar al
sistema alterando tres
veces la contraseña y
observar las acciones
del sistema
TÉCNICAS ESPECIALES DE AUDITORÍA
Listas de Verificación
Éste es uno de los métodos de recopilación y evaluación de auditoría más sencillos,
más cómodos y más fáciles de utilizar, debido a la simplicidad de su elaboración, la
comodidad en su aplicación y por la facilidad para encontrar desviaciones, lo cual la
hace una de las herramientas más confiables y utilizables para cualquier revisión de
sistemas computacionales; asimismo, se aplica tanto para el área de sistemas, para la
gestión administrativa o para cualquier otra función informática.
Evaluación
La evaluación es una de las técnicas más comunes en cualquier tipo de auditoría y es
considerada como la herramienta típica para auditar cualquier actividad, ya que permite
determinar, mediante pruebas concretas, si lo cuantificado (o cualificado) es lo que se
esperaba obtener de lo que se está evaluando; así se determina si se está cumpliendo con
la actividad revisada, conforme a lo que se esperaba de ella. En esta técnica se aplica el
principio fundamental del control: establecer parámetros de medición, recopilación de
información y comparación de lo realmente alcanzado con lo planeado, y con el resultado
obtenido se hace una retroalimentación de los resultados de esta evaluación.
TÉCNICAS ESPECIALES DE AUDITORÍA
Evaluación
Esta técnica se aplica fácilmente mediante los siguientes pasos y requiere de poco trabajo:
• El valor obtenido en el paso anterior se compara con el valor esperado (otro cierto valor ideal),
el que supuestamente deberá cumplir la actividad que en evaluación.
Es indispensable que cada una de estas desviaciones sean discutidas con los
empleados, funcionarios o usuarios que fueron auditados, ya que, de alguna
manera, éstos son los responsables de que se presenten dichas situaciones (o
cuando menos están involucrados en ellas); el propósito de informarles es que
ratifiquen o rectifiquen el origen de tales desviaciones.
PROCEDIMIENTO PARA ELABORAR EL INFORME DE AUDITORÍA
Comentar las situaciones relevantes con los directivos del área de sistemas y confirmar
las causas y soluciones.
Así como las situaciones encontradas se comentaron con los auditados, también las
situaciones relevantes se deben comentar con los directivos del área de sistemas, a fin
de que éstos las conozcan; el personal auditado puede, a juicio de los directivos, estar
presente para cualquier posible aclaración sobre lo informado. Esto es lo más
recomendable.
El responsable de la auditoría debe encabezar la presentación de este informe al
directivo de mayor jerarquía del área de sistemas. Por lo general, esta reunión es de
carácter formal y en ella se reportan todas y cada una de las situaciones consideradas
como relevantes; aunque también se pueden presentar las llamadas situaciones
encontradas.
En esta reunión se presentan los resultados obtenidos en la auditoría de sistemas
computacionales, y el informe a los directivos del área auditada se debe hacer en
forma abierta y preferentemente en presencia de todo el personal auditado; esto
obedece a que aún podría ser posible aclarar, ratificar o rectificar las desviaciones
reportadas, así como sus causas y soluciones.
PROCEDIMIENTO PARA ELABORAR EL INFORME DE AUDITORÍA
La razón de plasmar este informe en tan poco espacio es que los directivos de
una empresa, por lo general, tienen poco conocimiento del lenguaje que se
maneja en los sistemas de la institución; por lo tanto, el informe final debe ser lo
más sencillo, claro y comprensible para ellos, procurando evitar, al máximo
posible, el uso de términos demasiado técnicos y desconocidos para personas
ajenas a la informática.
Sólo se deben destacar los aspectos más importantes del área, desde el punto
de vista de los directivos y no del personal que maneja los sistemas.
PROCEDIMIENTO PARA ELABORAR EL INFORME DE AUDITORÍA
Características de fondo
Estas características se refieren al cuidado que debe tener el auditor al revisar que el
contenido total del dictamen de auditoría sea acorde con lo que realmente tiene que
señalar acerca de la revisión efectuada, refiriéndose exclusivamente al contenido del
informe; para ello debe tomar en cuenta los siguientes aspectos:
• Que la información que contiene el documento sea veraz, confiable y oportuna.
• Que el contenido del informe sea congruente con lo observado.
• Que permita mostrar, con su simple lectura, la situación real del área auditada, a fin
de identificar y solucionar la problemática señalada.
• Que su contenido abarque todo lo que se debe informar del área auditada, sin
abundar en explicaciones inútiles, pero sin ser parco en lo que se presenta.
• Que el lector capte inmediatamente la problemática que reporta el auditor, así
como la opinión que plasma respecto al funcionamiento del área de sistemas o de los
sistemas auditados.
CARACTERÍSTICAS DEL INFORME DE AUDITORÍA
Características de forma
Estas características se refieren a la manera en que el auditor debe presentar el
informe, en cuanto al estilo de redacción, el contenido en partes, apartados,
apéndices, tipo y tamaño de las hojas y el tipo de letra; también en lo relativo a la
forma de utilizar la redacción, ortografía, sintaxis, gramática y demás componentes del
lenguaje, y en sí de todo lo relacionado con la presentación del documento. Al
redactar dicho informe, el auditor debe considerar los siguientes aspectos:
• Que esté redactado en forma concisa, clara, sencilla y amena, sin exceso de
tecnicismos, pero sin omitirlos cuando sean necesarios, a fin de que su lectura sea
comprensible.
• Que al redactarlo se eviten la redundancia, repeticiones y reiteraciones inútiles que
sólo abultan y entorpecen la lectura.
• Que la forma de presentar el informe sea profesional.
CARACTERÍSTICAS DEL INFORME DE AUDITORÍA
Aunque hay muchas formas de presentar el informe de auditoría, de acuerdo con las
preferencias de la empresa o del auditor que realiza la auditoría.
ESTRUCTURA DEL INFORME DE AUDITORÍA
ESTRUCTURA DEL INFORME DE AUDITORÍA
ESTRUCTURA DEL INFORME DE AUDITORÍA
ESTRUCTURA DEL INFORME DE AUDITORÍA
ü Receso de 9:30am a 9:45am