Universidad de San Carlos de Guatemala

Centro Universitario de Izabal (CUNIZAB)

Licenciatura en Contadura Publica y
Auditoria

METODOLOGIA DE LA
AUDITORIA EN INFORMATICA

METODOLOGA DE LA AUDITORA INFORMATICA

Qu es una metodologa?
Etapas de la metodologa
Alcance y Objetivos de la Auditoria Informtica
Estudio inicial de la auditora informtica
Determinacin de los recursos necesarios para realizar la
auditora
Elaboracin del plan y de los programas de trabajo
Actividades propiamente dichas de la auditora
Confeccin y redaccin del Informe Final
Redaccin de la carta de Introduccin o Carta de
Presentacin del Informe Final

Fase I Definicin de Alcance y Objetivos

El alcance de la auditora expresa los lmites de la misma. Debe
existir un acuerdo muy preciso entre auditores y clientes sobre las
funciones, las materias y las organizaciones a auditar.

Fase II Estudio Inicial

Organizacin

Organigrama
Departamentos
Relaciones jerrquicas y funcionales entre rganos de la organizacin
Flujos de informacin
Nmero de personas por puestos de trabajo

Fase III Entorno Operacional

El equipo de auditora informtica debe poseer una adecuada referencia del entorno
en el que va a desenvolverse.

Fase IV Determinacin de Recursos de Auditora

Informtica
Recursos materiales
Recursos humanos
Elaboracin del plan y de los programas de trabajo

Fase V Actividades de la Auditora Informtica

Tcnicas de Trabajo:
Anlisis de la informacin recabada del auditado
Anlisis de la informacin propia
Cruzamiento de las informaciones anteriores
Entrevistas
Simulacin
Muestreos
Herramientas:
Cuestionario general inicial
Cuestionario Checklist
Estndares
Monitores
Simuladores (Generadores de datos)
Paquetes de auditora (Generadores de Programas)
Matrices de riesgo

Fase VI Informe Final

Estructura del informe final
Modelo conceptual de la exposicin del informe final:

Fase VII Carta de Introduccin o Presentacin del

Informe Final
Herramientas y Tcnicas para la Auditora Informtica

Cuestionarios
Entrevistas
Trazas y/o Huellas
Software de Interrogacin

METODO DE TRABAJO Y PROCESAMIENTO A

EJECUTAR:
consiste en el proceso de recoleccin y evaluacin de evidencia para
determinar si los SI y los recursos relacionados salvaguardan
adecuadamente los activos, mantienen la integridad de los datos y del
sistema, proveen informacin relevante y confiable, alcanzan
efectivamente los objetivos organizacionales, y cuentan con controles
internos que provean una seguridad razonable de que los objetivos
Operacionales
Las Normas de Auditoria indican la obligatoriedad de obtener evidencia
suficiente para sustentar los hallazgos de auditora.

Para lograr la recoleccin de evidencia se emplean varias etapas en ejecucin de la

auditoria, las cuales detallaremos a continuacin:
1. Estructura Organizacional (Controles sobre las
actividades IT)

Anlisis de Situacin Actual

Entrevistas con los funcionarios del rea de Informtica

Relevamiento de actividades y procesos
Revisin de los procedimientos de control implantados.
Reunin de Validacin.

Elaboracin de mejoras potenciales

Compilacin Basada en estndares de control COBIT.
Reuniones de validacin y discusin.

 Procedimientos Detallados
Se ejecutarn los siguientes procedimientos:

Estructura de Personal
Dependencia, roles y responsabilidades del personal del rea informtica.
Evaluacin de la segregacin de funciones.
Evaluacin de la Gestin
Evaluar los procesos y estndares y probar su cumplimiento.
Evaluar el proceso de planeamiento y la razonabilidad del plan informtico.
Atencin al Usuario
Anlisis del procedimiento establecido para asegurar que el servicio sea acorde con las
necesidades de los usuarios.
Evaluacin de los procedimientos de atencin a usuarios y administracin de
problemas.

 2. Gestin de los Sistemas Informticos

Anlisis de Situacin Actual

Relevamiento detallado de la funcionalidad implantada.
Caractersticas generales de las aplicaciones (tablas, reportes).

Elaboracin de mejoras potenciales

Elaboracin de conclusiones y recomendaciones, a partir del material relevado y
estndares de control
Reuniones de validacin y discusin.

Procedimientos Detallados
Desarrollo, Operacin y Mantenimiento de Aplicaciones
Revisar y evaluar la metodologa de desarrollo de aplicaciones existente.
Relevar los procedimientos para desarrollo de aplicaciones utilizados.
Evaluar los procedimientos para pasar los programas de ambiente de desarrollo a
produccin.
Revisar la documentacin de la planificacin de mantenimiento
Evaluar los procedimientos de operacin.

 Administracin de la Base de Datos (Dba)

Evaluar los procedimientos de administracin de la base de datos.
Revisar el sistema de documentacin de la base de datos (nivel de detalle y
actualizacin
de la informacin).
Analizar roles y responsabilidades de la administracin de la base de datos.
Gestin y Explotacin de las Aplicaciones
- Relevar informacin relativa a las aplicaciones como:
- Caractersticas generales.
- Responsables.
- Plataforma tecnolgica.
- Principales mdulos.
Evaluar la seguridad y control de cada aplicacin.

 3. Plataformas y Comunicaciones

Anlisis de Situacin Actual

Relevamiento detallado de HW utilizado en cada aplicacin.
Anlisis de niveles de servicio (capacidad, velocidad, tiempos de parada).

Elaboracin de mejoras potenciales

Elaboracin de conclusiones y recomendaciones, a partir del material relevado de estndares

de control COBIT.
Reuniones de validacin y discusin.

Procedimientos Detallados

Plataforma Tecnolgica, Redes y Comunicaciones

Revisin de los procedimientos de medicin del rendimiento.
Revisin de los procedimientos relativos al monitoreo de la red. Anlisis de la bitcora de
problemas.
Relevar las herramientas de monitoreo de hardware y software existentes
Relevamiento de la arquitectura del sistema, incluyendo:
- Servicios de red implementados. - Diagrama de la red. - Servidores.

 4. Evaluacin
Continuidad

de

Seguridades

Procedimientos

de

Anlisis de Situacin Actual:

Revisin de seguridad de las plataformas utilizando herramientas especficas.
Evaluacin del Plan de Contingencias.

Elaboracin de mejoras potenciales:

Elaboracin de conclusiones y recomendaciones, a partir del material relevado y de las
prcticas comunes en compaas de tamao similar y estndares de control COBIT.
Reuniones de validacin y discusin.

 Procedimientos Detallados
Seguridades: Fsicas, Lgicas y Comunicaciones
Evaluar las polticas y procedimientos de seguridad vigentes.
Revisar la seguridad lgica implantada en los servidores, utilizando la herramienta de software
especfico para cada plataforma Esto comprende, entre otros:
Tipo y longitud mnima y mxima de las claves de acceso. Manejo de claves de acceso
histricas.
Administracin de claves de acceso por servicio. Nmero de perfiles de usuario.
Tiempo permitido de inactividad en el sistema (time out).
Verificar la activacin y revisin de logs y pistas de auditora.
Revisar las seguridades de accesos remotos (dial up, internet, intranet).

Plan de Contingencias :
Evaluar la estrategia de recuperacin, infraestructura tecnolgica y las facilidades para la
continuidad del procesamiento.
Evaluar los procedimientos de recuperacin y operacin durante la emergencia, tomando en
cuenta: responsables, actualizacin, pruebas peridicas, metodologa para la determinacin de
los procedimientos.

Evidencia de auditoria
Es lo que el
Auditor obtiene de los diferentes
procedimientos de auditoria.

Tipos de evidencia de Auditoria

La suficiencia de evidencia: la cantidad de procedimientos
efectuados
La calidad o adecuada evidencia de auditoria: es la medida
de la confiabilidad de la evidencia

Pruebas aplicables a una Auditoria

informtica
Pruebas clsicas: Consiste en probar las aplicaciones /
sistemas con datos de prueba, observando la entrada, la
salida esperada, y la salida obtenida.
Pruebas sustantivas: Aportan al auditor informtico
suficientes evidencias para que se pueda realizar un juicio
imparcial.

Pruebas de cumplimiento: Determinan si un sistema de

control interno funciona adecuadamente.

Procedimientos para obtener la evidencia

de auditoria
Inspeccin
Observacin
Preguntas
Confirmaciones
Clculos
Tcnicas de examen analtico

Elementos de la evaluacin para efectos de

evidencia de auditoria
Sistemas y aplicaciones
Instalaciones y soportes
Tecnologa y personal informtico

Papeles de Trabajo
Son el conjunto de anlisis, sumarios, resmenes, comentarios y
correspondencia formada e integrada por el Auditor durante el desarrollo de
un examen de Estados financieros, sistemas Informticos o auditorios de
cuentas en especfico.

De acuerdo al Instituto Guatemalteco de Contadores Pblicos y

Auditores (IGCPA)
los papeles de trabajo son los registros llevados por el Auditor independiente
sobre los procedimientos seguidos, las pruebas realizadas, la informacin
obtenida y las conclusiones a que se ha llegado durante el desarrollo de un
examen de estados financieros de acuerdo con Normas Internacionales de
Auditoria.

Objetivos de los Papeles de Trabajo

1.

Facilitar la preparacin del informe de Auditoria

Comprobar y explicar en detalle las opiniones y conclusiones

resumidas en el
Informe
2.

3.

Coordinar y organizar todas las fases del trabajo de Auditoria.

4.

Actuar como gua en auditorias.

5.

Resumir las cuentas, incluyendo los cambios ms importantes

experimentados durante el ejercicio y,

6.

Servir de fundamento al ser objeto de revisin el trabajo realizado.

Contenido de los Papeles de Trabajo

Suficiente informacin
Que el trabajo ha sido planeado,
que el trabajo de todos los
ayudantes ha sido supervisado y revisado.
Que el sistema de control interno del cliente ha sido revisado y
evaluado determinndose el alcance de las pruebas a las cuales se
limitaron los procedimientos.
Los procedimientos de auditoria seguidos y las pruebas realizadas
para obtener evidencia suficiente y competente. Las anotaciones
pueden ser programas de trabajo y cedulas que permitirn la
identificacin razonable del trabajo realizado por el Auditor.
Comentarios adecuados preparador por el Auditor indicando las
conclusiones respecto a aspectos importantes del trabajo.
Servir de gua y fuente de informacin en auditorias subsecuentes.

Requisitos mnimos a observarse en

la Preparacin de Papeles de Trabajo

Informacin importante que deben contener las cedulas

Tcnica a usarse en la preparacin de los Papeles de Trabajo

Notas en los Papeles de Trabajo

Conclusiones en los Papeles de Trabajo

Mtodos de referencia

Requisitos mnimos a observarse en

la Preparacin de Papeles de Trabajo
Nombre del cliente
Ttulo de la cedula
ndice de referencia
Fecha de examen
Ttulo de las columnas
Rubros examinados (nombres de las cuentas)
Marcas de auditoria y sus explicaciones
Comentarios
Conclusiones
Iniciales del auditor que preparo la cedula
Fecha en la cual se completa la cedula
Fuente de informacin (especificar de donde fue preparado y
quien dio la informacin)

Tcnica a usarse en la preparacin de los Papeles de Trabajo

Deben estar ordenados
Las preguntas contestadas
Los hechos evaluados y conclusin sobre los mismos.
No deben contener comentarios incriminatorios sobre el
personal del cliente.
Exactitud matemtica
Todas las cedulas deben sumar correctamente vertical y
horizontalmente.
Las cintas de mquinas verificadas.
Debe tenerse cuidado de las sumas obtenidas del personal del
cliente.
Debe emplearse una correcta escritura y gramtica.
Las notas deben ser claras y concisas.
Los papeles de trabajo deben estar completamente terminados.

Notas en los Papeles de Trabajo

Deben ser concisas, claras y de fcil interpretacin.
Deben indicar claramente la fuente de informacin.
Deben llegar a una conclusin, no deben quedar preguntas abiertas.
Las notas que aparecen en varias partes deben estar acordes unas con
otras.
Deben revisarse las notas ya escritas.
No dejar notas pendientes de aclarar e interrogantes.

Conclusiones en los Papeles de Trabajo

Los papeles de trabajo en cada seccin debern contener una conclusin
sobre el trabajo realizado e indicar si el auditor est de acuerdo con los
resultados obtenidos en sus pruebas.
Mtodos de referencia
Numeracin correlativa
Numeracin de final de ao
Asignacin de letras
Cruce de referencias.

Marcas de Auditoria

Clases de Papeles de Trabajo

En cuanto al periodo de su utilizacin
Papeles permanentes:
Papeles de ao corriente:
En cuanto a las fuentes de Informacin.
Fuentes Internas:
Fuentes Externas:

En cuanto a su contenido
Programas de auditoria
Hojas de trabajo o balances.
Asientos de ajustes.
Cedulas analticas y otros papeles de trabajo.
Cedulas sumarias.

Naturaleza Confidencial de los Papales de Trabajo

Propiedad y Custodia de los Papeles de Trabajo

Evidencia en los papeles de Trabajo

Revisin

Archivo de Papeles de Trabajo

Archivo Permanente
Archivo Corriente
Archivo de Correspondencia
Archivo de Facturacin
Archivo Administrativo

Comunicacin de
Resultados

Auditoria Informtica

El informe debe contener lo siguiente:

Motivos de la Auditora
Objetivos
Alcance
Estructura Orgnico-Funcional del rea Informtica
Configuracin del Hardware y Software instalado
Control Interno
Resultados de la Auditora

Los informes de auditora son el producto final del trabajo del auditor de sistemas,
este informe es utilizado para indicar las observaciones y recomendaciones a la
gerencia

CONFECCIN
Y
REDACCIN
DEL
INFORME
FINAL

La funcin de la auditora se materializa exclusivamente por escrito. Por

lo tanto la elaboracin final es el exponente de su calidad. Resulta
evidente la necesidad de redactar borradores e informes parciales
previos al informe final, los que son elementos de contraste entre opinin
entre auditor y auditado y que pueden descubrir fallos de apreciacin en
el
auditor.

Estructura del Informe Final

El informe comienza con la fecha de comienzo de la auditora y la fecha de
redaccin del mismo. Se incluyen los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicacin de la jefatura,
responsabilidad y puesto de trabajo que ostente. Definicin de objetivos y
alcance de la auditora. Enumeracin de temas considerados: Antes de
tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible
todos los temas objeto de la auditora.
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a. Situacin actual. Cuando se trate de una revisin peridica, en la que se
analiza no solamente una situacin sino adems su evolucin en el tiempo,
se expondr la situacin prevista y la situacin real.
b. Tendencias. Se tratarn de hallar parmetros que permitan establecer
tendencias futuras.
c. Puntos dbiles y amenazas.
d. Recomendaciones y planes de accin. Constituyen junto con la exposicin
de puntos dbiles, el verdadero objetivo de la auditora informtica.
e. Redaccin posterior de la Carta de Introduccin o Presentacin.

MODELO CONCEPTUAL DE LA
EXPOSICIN DEL INFORME FINAL

Flujo del hecho o debilidad:

Hecho encontrado.
Consecuencias del hecho.
Repercusin del hecho.
Conclusin del hecho.
Recomendacin del auditor informtico.

Carta de Introduccin o
Presentacin del Informe Final:
La carta de introduccin tiene especial importancia porque en ella ha de
resumirse la auditora realizada. Se destina exclusivamente al
responsable mximo de la empresa, o a la persona concreta que
encargo o contrato la auditora.
La carta de introduccin poseer los siguientes atributos:
Tendr como mximo 4 folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran
debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.