Apunte Académico

Clase 8: Enfoque de las auditorias de TI

Unidad 3: Descripción y aplicación de las Auditorias de TI
Asignatura: AUD2067 Auditoría de Sistemas I
Escuela: Ingeniería y Negocios
Los principales temas para revisar en este apunte serán:
1. Elaboración del programa de Auditoría de TI.
2. Gestión de la Auditoría en Terreno y Análisis de la información recolectada.
3. Definición de las conclusiones y recomendaciones.
4. Confección y distribución del Informe de la Auditoría.
5. Seguimiento de las Recomendaciones.
Introducción
Una auditoria tiene tres procesos claves, la planificación, ejecución y luego la
finalización. En una auditoria, mantenemos también el inicio o etapa 0, que es
cuando el cliente nos solicita el trabajo y nosotros generamos la carta de encargo o
contrato por los servicios a prestar. Luego seguimos con la planificación en donde
elaboramos el plan para la auditoria, evaluamos riesgos y establecemos objetivos.
Pasamos a la ejecución cuando realizamos el trabajo en donde generamos la
gestión de la auditoria, analizamos y realizamos pruebas. Una vez terminamos esta
etapa tenemos la finalización en donde concluimos sobre nuestro trabajo, revisamos
y por último elaboramos y distribuimos los informes de auditoría. Terminado este
proceso lo conocemos como fin, o etapa final en donde archivamos los papeles de
trabajo.
En casos de auditorías internas o auditorias recurrentes o de certificación también
mantenemos la etapa de seguimiento de recomendaciones, en donde el auditor
verifica que se hayan realizado los cambios propuestos a nivel de controles o nivel
de aplicaciones.
Todos estos puntos los revisaremos en forma detallada.

Fuente: Apunte Auditoria de Sistemas de Información I, Daniela Alvarado.

1. Elaboración programa de auditoria
La elaboración de un programa de auditoria se conoce como etapa de
PLANIFICACIÓN.
Para generar una auditoria eficiente y eficaz es necesario se debe planificar la
auditoria, con esto podremos tener la seguridad del cumplimiento de los objetivos
de la auditoria y de las normas de auditoria. Este se divide en tres fases:
1 Planificación estratégica
2 Planificación administrativa
3 Planificación Técnica

1. Planificación estratégica
Es una revisión global que permite conocer la empresa, los sistemas de información
y su control interno con la intención de hacer una primera evaluación de riesgos.
Según los resultados de esa evaluación se establecerán los objetivos de la auditoria
y se podrá determinar el alcance u las pruebas que hayan de aplicarse, así como el
momento de realizarlas. Para llevar a cabo esta tarea es necesario conocer entre
otros aspectos los siguientes:
Las características de los equipos informáticos
 El sistema o los sistemas operativos
 Características de los archivos o de las bases de datos.
 La organización de la empresa
 La organización del servicio de explotación.
 Las aplicaciones que el SI de la empresa que auditaremos se esté explotando
o esté en funcionamiento.
 Sector donde opera la empresa
 Informaciones comerciales

La información puede obtenerse:

 Mediante entrevistas y confirmaciones
 Inspeccionando documentación clave para la auditoria
2. Planificación administrativa
La planificación administrativa no se debería hacer hasta haber concluido la
Planificación Estratégica. En esta fase de la planificación pueden surgir ciertos
problemas por coincidir las fechas de trabajo personal de la empresa auditora con
los otros clientes. Así en esta etapa deben quedar claros los siguientes aspectos:
1. Evidencia: en este punto se podrá hacer una relación con la documentación
disponible en la etapa anterior, documentación que se utilizará indicando el lugar
donde se encuentra para que esté a disposición del equipo de auditoria.
2. Personal: De que personal se va a disponer, que conocimientos y experiencia
son los ideales y si va a ser necesario o no contar con expertos, tanto personal de
la empresa auditoria como expertos externos.
3. Calendario: Establecer las fechas de comienzo de finalización de la auditoria y
determinar dónde se va a realizar cada tarea: en las dependencias del cliente o en
las oficinas del auditor.
4. Coordinación y cooperación: Es conveniente que el auditor mantenga buenas
relacionadas con el “auditado”, que se establezca, entre ambos, con un nivel de
cooperación sin que deje de cumplirse el principio de independencia.

3. Planificación técnica
En esta última fase se ha de elaborar el programa de trabajo. En la fase de
planificación estratégica se han establecido los objetivos de la auditoria, en la fase
de planificación administrativa se han asignado los recursos del personal, tiempo,
etc. En la fase de la planificación técnica se indican los métodos, procedimientos,
las herramientas y las técnicas que se utilizarán para alcanzar los objetivos de la
auditoria.
El programa de auditoria debe ser flexible y abierto, de tal forma que se puedan ir
introduciendo cambios a medida que se vaya conociendo mejor el sistema.
Dedicarle el tiempo necesario a la planificación permite evitar pérdidas innecesarias
de tiempo y de recursos.
2. Gestión de la auditoria
La gestión de la auditoria tiene relación con las pruebas que realizaremos, en esta
etapa:
Solicitamos la información al cliente
Trabajamos en la información, por ejemplo, con la descarga de la data revisamos si
nos sirve completamente para la realización de pruebas.
Realizamos las pruebas de auditoria
Validamos y concluimos en papel de trabajo

Es muy importante que esto quede documentado en un PAPEL DE TRABAJO, el

cual detalla que estamos revisando, como lo revisaremos, que solicitamos al cliente,
las pruebas y su documentación de respaldo, y conclusión por estos
procedimientos.

Por ejemplo, me encuentro revisando el cumplimiento del software de recursos

humanos, específicamente el libro de remuneraciones y cruce con el asiento
contable y liquidaciones de sueldo. Para esto le solicite a mi cliente que me
entregará el libro de remuneraciones desde enero a diciembre del año en curso,
que es en donde ha estado funcionando este nuevo software, además del envió de
los asientos contables. Primeramente, para validar que exista cruce entre libro de
remuneraciones y asiento contable cree un asiento mensual según nuestros
conocimientos y los compare con el asiento contable realizado por el cliente. Para
validar el libro de remuneraciones y su cruce con las liquidaciones de sueldo decidí
muestrear en forma aleatoria, solicitando 100 liquidaciones de sueldo y revisando
una a una que todo lo que estuviese en el libro de remuneraciones fuese igual a las
liquidaciones.
Por cada procedimiento concluí, en ambos casos no tuve diferencias, por lo tanto,
entiendo que este objetivo se cumple y que hoy el software si está cruzando la
información.
3. Definición de las conclusiones y recomendaciones
El definir conclusiones y recomendaciones se da en forma posterior a la ejecución
de nuestro programa de auditoria, una vez que realizamos todas las gestiones de
auditoria debemos ser capaces de generar conclusiones grupales y
recomendaciones.
Por ejemplo, al auditar el cumplimiento del cruce del libro de remuneraciones y la
contabilización, al validar en la gestión de auditoria verificamos que existen
discrepancias en las cuentas contables, lo que concluye en que el cliente debe en
forma mensual reclasificar para que quede correctamente.
Como conclusión y recomendación creemos que es necesario revisar las
transacciones de la aplicación utilizada y generar que las transacciones tengan la
cuenta contable correcta, de esta forma no son necesarias las reclasificaciones
manuales y evitaríamos errores involuntarios en la contabilidad final, gracias a una
configuración errónea.

4. Confección y distribución del informe

La confección y distribución del informe consta de:
Definir nuestra postura o conclusión frente al trabajo encargado, esto se refiere, por
ejemplo, a que tenemos una opinión favorable, que quiere decir que el software
funciona en forma correcta, con salvedades que se refiere a que existen algunas
cosas por mejorar o recomendaciones, o finalmente que la aplicación no está
funcionando en forma correcta.
Esto debe quedar detallado en un informe que detallara nuestras conclusiones y
recomendaciones de cómo podríamos mejorar el software.
Este informe debe ser presentado a nuestros pares y a los solicitantes con
explicaciones, para que de esta forma ellos tomen acciones futuras.

Si siguiéramos el ejemplo anterior tendríamos que entregar esta conclusión en

nuestro informe detallado.
5. Seguimiento de las recomendaciones
Una vez que el auditor entrega su informe, la dirección de la empresa continua con
un proceso conocido como Mejora Continua, en donde toman las recomendaciones
realizadas y deciden si generaran los cambios propuestos u otros.
Esto significa que el auditor también debe realizar un trabajo posterior que es revisar
el seguimiento de las recomendaciones y revisar que realmente hoy la aplicación
consiga su objetivo.
Conclusión
1. Es de vital importancia que entendamos el proceso de planificación,
ejecución y finalización de una auditoria
2. Necesitamos tener bastos conocimientos de las pruebas que podamos
realizar en la etapa de la ejecución
3. Debemos tener claridad respecto a las 2 primeras unidades que nos
ayudarán a entender las pruebas de auditoria y cómo podemos concluir sobre
las aplicaciones.