METODOLOGA DE LA AUDITORA

INFORMTICA

Introduccin
Para hacer una adecuada planeacin de la auditoria en informtica, hay
que seguir una serie de pasos previos que permitirn dimensionar el tamao
y caractersticas de rea dentro del organismo a auditar, sus sistemas,
organizacin y equipo.
En el caso de la auditoria en informtica, la planeacin es fundamental,
pues habr que hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos.
Evaluacin de la infraestructura y equipos de cmputo.

Introduccin

Para hacer una planeacin eficaz, lo primero que se requiere es obtener

informacin general sobre la organizacin y sobre la funcin de
informtica a evaluar.
Para ello es preciso hacer una investigacin preliminar y algunas
entrevistas previas, con base en esto planear el programa de trabajo, el
cual deber incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la misma.

Fases de Metodologa de Auditora

Informtica

1. Identificar el Alcance y los Objetivos de la Auditora Informtica (A.I.)

2. Realizar el Estudio Inicial del entorno a auditar
3. Determinar los Recursos necesarios para realizar la auditora
4. Elaborar el Plan de Trabajo
5. Realizar las Actividades de Auditora
6. Realizar el Informe Final
7. Carta de Presentacin y Carta de Manifestaciones

1. Alcance y Objetivos de la A.I.: Alcance

Entorno y lmites en que se realizar la A.I.
HASTA DNDE SE LLEGA
Acuerdo por escrito (entre auditor y cliente) cuando se incluyen reas no
informticas o cuando la empresa tiene varias sedes, de:
Funciones (Seguridad, Direccin, etc.)
Materias (S.O., BD, etc.)
Departamentos o reas Organizativas (Explotacin, Sistemas, Comunicaciones, etc.)

Su no definicin pondr en peligro el xito de la A.I.

Limitaciones: QU DEJA DE AUDITARSE
Principalmente en materias que pueden suponerse incluidas

1. Alcance y Objetivos de la A.I.:

Objetivos

Auditor debe comprender con exactitud los

deseos y pretensiones del cliente, para cumplir
con los objetivos
Objetivos especficos
Necesidad de auditar una materia de gran
especializacin
Contrastar algn informe interno con el que resulte del
externo
Evaluacin del funcionamiento de reas informticas
en un determinado departamento
Aumentos de seguridad y fiabilidad
Aumento de calidad
Disminucin de costes o plazos

Objetivos generales (comunes a toda A.I.)

Operatividad deMetodologa
los S.I.
de la Auditora Informtica
Metodologa
de
la
Auditora
Informtica
Controles Generales de la Gestin
Informtica

1. Alcance y Objetivos de la A.I.:

Objetivos

Operatividad

Funcionamiento, aunque sea mnimo, de la

organizacin y sus mquinas (PCs, mainframes)
Conseguida a escala general y parcial (p.e. cajero y
lneas)
Conseguida a travs de:
Controles Tcnicos Generales (p.e. CPD diferentes)
Sistema operativo y software de base
funcionan simultneamente con aplicaciones
Hw y Sw compatibles
Controles Tcnicos Especficos
Espacio en disco
Perodo de utilizacin de BD comunes

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

1. Alcance y Objetivos de la A.I.:

Objetivos

Controles Generales de la Gestin Informtica

Verificar normas del Departamento de Informtica y
observar su consistencia con las del resto de la
empresa
Normas Generales de la Instalacin Informtica
Procedimientos Generales y Especficos del
Departamento de Informtica (p.e. una aplicacin
no pasa a Explotacin sin su correspondiente
Documentacin)
Comprobar que no existen contradicciones con
normas y procedimientos generales de la empresa

Interlocutores
Personas con poder de decisin y validacin dentro de
la empresa
Personas a las que va dirigido el informe

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

2. Estudio
Inicial

Examinar situacin general de funciones y

actividades generales de la informtica
Conocimiento de:
Organizacin: Estructura organizativa del
Departamento de Informtica a auditar
Entorno de Operacin: Entorno de trabajo
Aplicaciones Informticas: Procesos informticos
realizados en la empresa auditada
Bases de Datos
Ficheros

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

2. Estudio Inicial:
Organizacin

Estructura organizativa del Departamento de

Informtica a auditar.
Organigrama: estructura informtica de la
organizacin a auditar

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

2. Estudio Inicial:
Organizacin

Departamentos: describir sus funciones

Relaciones Jerrquicas y funcionales
1 Empleado con dos Jefes

Flujos de Informacin, tanto horizontales y

oblicuas como extradepartamentales y verticales
Canales alternativos que denotan lagunas en la
estructura y organigrama, o bien por simpatas

Nmero de Puestos de Trabajo

Nombres de los puestos de trabajo corresponden a
funciones distintas: Deficiencias en estructura si varios
nombres con 1 funcin

Nmero de Personas por Puesto de Trabajo

Distribucin de recursos ineficiente
Necesidad de reorganizacin

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

2. Estudio Inicial: Entorno

Operativo

Referencia del entorno de trabajo en el que el

auditor va a trabajar
Situacin Geogrfica
Diferentes CPDs, con responsables y mismos
estndares de trabajo

Arquitectura y Configuracin Hardware y

Software
Configuracin de diferentes CPDs compatible y estn
intercomunicados

Inventario Hardware y Software

CPUs, procesadores, PCs, perifricos, etc.
Software bsico, software interno y software comprado

Comunicaciones y Redes de Comunicacin

Lneas de Comunicacin
Acceso a red pblica e intranet

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

2. Estudio Inicial: Aplicaciones

Informticas

Procedimientos Informticos realizados en la

empresa
Volumen, Antigedad y Complejidad de las
aplicaciones
Periodicidad de ejecuciones de carga de trabajo

Metodologa de desarrollo de aplicaciones

Documentacin de aplicaciones
Mantenimiento es el 70% de recursos

Cantidad y Complejidad de Bases de Datos y

Ficheros
Tamao y caractersticas de BD y Ficheros
Nmero de Accesos a BD y Ficheros
Frecuencia de Actualizacin

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

3. Recursos de la
A.I.

A partir del Estudio Inicial, se determinan los

recursos humanos y materiales
Recursos Materiales
Proporcionados por cliente en su mayora
Software: paquetes de auditora del equipo auditor,
compiladores
Hardware: PCs, impresoras, lneas de comunicacin
Determinacin de incremento de carga del auditado y
consenso en fechas y duracin de actividades de
auditora

Recursos Humanos
Cantidad depende del alcance de la auditora
Perfil depende de la materia a auditar

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

3. Recursos de la A.I.

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

4. Plan y Asignacin de
Trabajos

Calendario de actividades a realizar aprobado

por responsables de rea y de auditora
Aspectos a tener en cuenta:
Plan por grandes reas: Elaboracin ms compleja y
costosa que implica superior calidad, ms tiempo total
y mayores recursos
Plan por reas especficas: Resultado obtenido ms
rpidamente y con menor calidad
Auditora de toda la Informtica o Parcial:
determinacin del nmero de auditores y especialistas

Planificacin de la Auditora (Gua ISACA)

Conocimiento de la organizacin y de sus procesos,
para identificar problemas potenciales, alcance, etc.
Programa de auditora: Calendario de trabajo (tareas y
recursos) y su seguimiento
Evaluacin interna del control, mediante pruebas de
Metodologa de la Auditora Informtica
*
Metodologa
de lacontroles
Auditora Informtica
cumplimiento
de los

Revisin

5 . Actividades de la A.I.:
Tcnicas

Anlisis de la informacin obtenida (principalmente a

travs de cuestionarios y entrevistas) y de la propia

Entrevistas
Con mtodo prestablecido y preparacin
Gran elaboracin de preguntas, orden
Desencadena en checklist: cuestionario minucioso,
ordenado y estructurado por materias

Simulacin
Muestreos

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

5. Actividades de la A.I.: Tcnicas: Cuestionario

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

5. Actividades de la A.I.:
Herramientas

Cuestionario general
Cuestionario-Checklist
Simuladores (generadores de datos)
Paquetes de Auditora (generadores de
programas)
Rastrear los caminos de los datos
Utilizados principalmente en auditoras no informticas
Paquetes de parametrizacin de libreras

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

Movilizacin

5. Actividades de
la A.I.

Mantener reunin de planificacin inicial para:

Determinar el proceso ms eficaz-rentable de
obtencin de informacin
Determinar el uso de especialistas / herramientas
sectoriales

Entorno de Control
Registrar y evaluar el entorno de control de la
empresa

Informacin del negocio/sector

Planificar la utilizacin de tecnologa
Obtener comprensin del negocio, estructura, riesgos
Discutir preocupaciones, necesidades, expectativas

Informacin sobre los sistemas y el entorno

informtico
Evaluando los controles de supervisin

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

5. Actividades de
la A.I.

Estrategia de auditora

Reunin de planificacin

Preparar los programas de auditora

Para las reas de auditora, analizando riesgos de error
y fraudes identificados

Preparar un plan de tareas

Calendario e informacin a entregar del cliente
Plan de tareas, con asignacin de tiempos
Roles y responsabilidades de miembros del equipo
auditor y estrategia para comunicacin para revisar,
asignar tareas y acordar objetivos
Establecer medidas para supervisar el progreso,
incluyendo reuniones peridicas

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

5. Actividades de
la A.I.

Comunicacin del plan

Informar a los miembros del equipo

Presentar al cliente el plan de auditora

Ejecucin
Documentar, evaluar y probar controles de supervisin
de las aplicaciones
Informar al cliente sobre estado del trabajo y
conclusiones alcanzadas

Otros procedimientos de auditora

Informes finales

Revisin
Completar los pasos y tareas del trabajo

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

Finalizacin

5. Actividades de
la A.I.

Completar y revisar el tratamiento informtico.

Responder a excepciones
Aspecto crticos importantes han sido resueltos,
documentados y comunicados al cliente y al equipo
Carta de manifestaciones del cliente
Firma del auditor

Informacin al cliente
Comunicar las debilidades significativas de control
interno y las recomendaciones oportunas

Evaluaciones
Calidad del servicio en relacin con las expectativas
del cliente

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

6. Informe
Final

Relacin con los Estndares

Contenido de lo auditado e Imprimir el Informe

El Informe de Auditora indica:
Alcance
Objetivos
Perodo de cobertura
Naturaleza y extensin del trabajo de auditora
Organizacin
Destinatarios del informe
Restricciones
Hallazgos
Conclusiones
Recomendaciones
Plan de contingencias

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

6. Informe
Final

Necesidad de la gua

Describir prcticas recomendadas para preparar un

informe de auditora

Realizacin del informe

Estilo y Contenido: Objetivo, claro, conciso,
constructivo y oportuno
Apropiado a los destinatarios
Identificar organizacin auditada
Incluye ttulo, firma y fecha
Objetivos (lo que trata de cumplir la auditora)
Alcance: naturaleza, tiempo y extensin del trabajo de
auditora
rea funcional
Perodo de auditora
Sistemas de informacin, aplicaciones o entornos
auditados

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

6. Informe
Final

Realizacin del Informe (continuacin)

Restriccin sobre su distribucin
Hallazgos significativos de la auditora (causas y
riesgos)
Conclusin: evaluacin del auditor sobre el rea
auditada
Recomendaciones, para realizar acciones correctivas
Presentacin: lgica y organizada
Estar a tiempo para fomentar las acciones correctivas
puntualmente
Consideraciones de eventos subsiguientes
Fraude descubierto despus de la auditora
Incendio despus de la revisin de controles

tica y estndares profesionales

Actividades subsiguientes
Peticin de contestacin, que incluya las acciones
de la Auditora Informtica
correctivas
comoMetodologa
resultado
del
informe
Metodologa
de la Auditora
Informtica

7. Otra
Documentacin

Carta de Presentacin del Informe Final

Resumen en 3 4 folios del contenido del informe final
Incluye fecha, naturaleza, objetivos y alcance de la
auditora
Cuantifica la importancia de las reas analizadas
Proporciona una conclusin general, concretando las
reas de gran debilidad
Presentar las debilidades en orden de importancia

Carta de Manifestaciones
La Direccin de la empresa auditada confirma que se
han mostrado transparente y han proporcionado toda
la informacin necesaria para la auditora
En papel con membrete de la empresa auditada
Firman los responsables de los reas relacionados con
la auditora: Presidente, Consejero Delegado, Director
General

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

8. Estructura del
Informe Final

Ttulo o Identificacin del Informe

Distinguirlo de otros informes

Fecha de Comienzo
Miembros del Equipo Auditor
Entidad auditada
Identificacin de destinatarios
Finaliza con
Nombre, Direccin y Datos Registrales del Auditor
Firma del Auditor
Fecha de emisin del informe

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

8. Estructura del
Informe Final

Objetivos y Alcance de la Auditora

Estndares, especificaciones, prcticas y procedimientos
utilizados
Excepciones aplicadas

Materias consideradas en la auditora

Situacin actual
Hechos importantes
Hechos consolidados
Tendencias, de situacin futura
Puntos dbiles y amenazas (hecho = debilidad)
Hecho encontrado
Consecuencias del hecho
Repercusin del hecho (influencias sobre otros aspectos)
Conclusin del hecho
Recomendaciones
Redaccin de la Carta de Presentacin

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

8. Estructura del Informe Final: Tipos de

Informes

Funcin de opinin del auditor respecto a los

objetivos de la auditora
Favorable o sin salvedades: trabajo realizado
Sin limitaciones de alcance y sin incertidumbre
De acuerdo con la normativa legal y profesional

Con salvedades
Desfavorable
Identificacin de irregularidades
Incumplimiento de la normativa legal y profesional que
afecte a significativamente a los objetivos estipulados

Denegada
Limitaciones al alcance
Incertidumbres significativas
Irregularidades
Incumplimiento de normativa lega y profesional

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

8. Estructura del Informe Final: Tipos de

Informes
Salvedades
Limitacionescon
al alcance
El auditor no puede aplicar los procedimientos de
auditora requeridos por la normativa legal y profesional o
segn su juicio profesional
Provenientes de la propia entidad auditada
Considerar la naturaleza y magnitudes del efecto
potencial de los procedimientos omitidos y su importancia
relativa

Incertidumbres

Desenlace que no se puede estimar por depender de que

suceda, o no, algn otro hecho: litigios, juicios, etc.

Errores e incumplimiento de normativa legal y

profesional

Utilizacin de principios distintos a los generalmente

aceptados
Ausencia de informacin

Cambios durante
Metodologael
de laejercicio
Auditora Informticarespecto a los
Metodologa de la Auditora Informtica
del ejercicio
anterior

8. Estructura del Informe Final: Pautas del

Lenguaje y
Redaccin
del Informe
Ttulos: expresivos
y breves
Prrafos
Un solo asunto por prrafo
8 10 lneas por prrafo

Frases
Una sola idea por frase
No ms de 3 lneas

Otros consejos
Lenguaje sobrio y normal
Voz activa, nunca pasiva
Omitir palabras innecesarias (con referencia a,
consecuentemente con, etc.)
Evitar redundancias
No utilizar adverbios y adjetivos simultneamente

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica

ADVERBIOS
Los adverbios son palabras que modifican a un verbo, un adjetivo o a
otro adverbio. En la oracin funcionan como circunstanciales o
formando parte de modificadores. Son invariables, ya que no tienen
gnero ni nmero.

Metodologa de la Auditora Informtica

Metodologa de la Auditora Informtica