METODOLOGÍA PARA

REALIZAR UNA AUDITORÍA

INFORMÁTICA
Autor: Dayana Almache
 METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.-

Estudio Revisión y Examen Comunicación

FASE I

FASE III

FASE IV
FASEII
Preliminar evaluación de detallado de de resultados
controles y áreas críticas
seguridades
 FASE I.- ESTUDIO PRELIMINAR

En esta fase preliminar el estudio es corto en tiempo y general en su investigación.

• Hacer un diagnóstico del negocio, que incluye a la alta dirección y las áreas usuarias.
• Organización: Estructura organizativa del Departamento de Informática a auditar
• Entorno de Operación: Entorno de trabajo
• Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada
• Bases de Datos
Estudio preliminar • Ficheros
o diagnóstico

• Alcance
• Entorno y límites en que se realizará la AI
• Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o
cuando la empresa tiene varias sedes.
• Limitaciones: QUÉ DEJA DE AUDITARSE
• Objetivos
• Objetivos generales
Identificar el • Verificar normas del Departamento de Informática y observar su consistencia
• Comprobar que no existen contradicciones con normas y procedimientos generales de la
Alcance y los empresa
Objetivos de la AI • Objetivos específicos 
• Necesidad de auditar una materia de gran especialización
• Contrastar algún informe interno con el que resulte del externo
 FASE II, REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES

Abarca la revisión de los diferentes diagramas de flujo de procesos como la realización de pruebas
de cumplimiento de las seguridades informáticas existentes, la revisión de aplicaciones de las áreas
críticas, la revisión de procesos históricos (backups), la revisión de documentación y archivos, entre
otras actividades de importancia que nos permitan tener una idea más clara del entorno.

Objetivos de la evaluación
• Verificar la existencia de los controles requeridos
• Determinar la operatividad y suficiencia de los controles existentes

Plan de pruebas de los controles

• Incluye la selección del tipo de prueba a realizar.
• Debe solicitarse al área respectiva, todos los elementos necesarios
de prueba.
 Fase III: EXAMEN DETALLADO DE ÁREAS CRÍTICAS

Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas establecerá motivos,
objetivos, alcance, recursos, metodología de trabajo, duración, plan de trabajo y análisis del
problema.

 Un estudio y análisis profundo en los que definirá concretamente su grupo de

trabajo y la distribución de carga del mismo.
 Establecerá los motivos, objetivos, alcance recursos que usará
 Definirá la metodología de trabajo y la duración de la
 Presentará el plan de trabajo y analizará detalladamente cada problema
encontrado con todo lo anteriormente analizado.
 Fase IV: INFORME DE AUDITORÍA.- COMUNICACIÓN DE RESULTADOS

Se elaborará del borrador del informe a ser discutido con los ejecutivos de la empresa
hasta llegar al definitivo. Este informe debe prepararse una vez obtenidas y analizadas las
respuestas de compromiso de las áreas.

Debe contener:
 Motivos de la auditoria
 Introducción: objetivo y contenido del informe de auditoria
 Objetivos de la auditoría
 Alcance, cobertura de la evaluación realizada
 Estructuras Orgánicas –Funcional del área informática Configuración del Hardware y software instalado
 Opinión: con relación a la suficiencia del control interno del sistema evaluado
 Hallazgos
 Recomendaciones