METODOLOGIA DE LA AUDITORIA

www.inacap.cl

Fases de Metodologa de
Auditora Informtica
1. Identificar el Alcance y los Objetivos de la Auditora
Informtica (A.I.)
2. Realizar el Estudio Inicial del entorno a auditar
3. Determinar los Recursos necesarios para realizar la auditora
4. Elaborar el Plan de Trabajo
5. Realizar las Actividades de Auditora
6. Realizar el Informe Final
7. Carta de Presentacin y Carta de Manifestaciones

www.inacap.cl

1. Alcance y Objetivos de la
A.I.: Alcance
Entorno y lmites en que se realizar la A.I.
HASTA DNDE SE LLEGA
Acuerdo por escrito (entre auditor y cliente) cuando se incluyen
reas no informticas o cuando la empresa tiene varias sedes,
de:
Funciones (Seguridad, Direccin, etc.)
Materias (S.O., BD, etc.)
Departamentos o reas Organizativas (Explotacin,
Sistemas, Comunicaciones, etc.)
Su no definicin pondr en peligro el xito de la A.I.
Limitaciones: QU DEJA DE AUDITARSE
Principalmente en materias que pueden suponerse incluidas
3

www.inacap.cl

1. Alcance y Objetivos de la
A.I.: Objetivos
Auditor debe comprender con exactitud los deseos y pretensiones
del cliente, para cumplir con los objetivos
Objetivos especficos
Necesidad de auditar una materia de gran especializacin
Contrastar algn informe interno con el que resulte del
externo
Evaluacin del funcionamiento de reas informticas en un
determinado departamento
Aumentos de seguridad y fiabilidad
Aumento de calidad
Disminucin de costes o plazos
Objetivos generales (comunes a toda A.I.)
Operatividad de los S.I.
Controles Generales de la Gestin Informtica
www.inacap.cl

1. Alcance y Objetivos de la
A.I.: Objetivos
Operatividad
Funcionamiento, aunque sea mnimo, de la organizacin y
sus mquinas (PCs, mainframes)
Conseguida a escala general y parcial (p.e. cajero y lneas)
Conseguida a travs de:
Controles Tcnicos Generales (p.e. CPD diferentes)
Sistema operativo y software de base funcionan
simultneamente con aplicaciones
Hw y Sw compatibles
Controles Tcnicos Especficos
Espacio en disco
Perodo de utilizacin de BD comunes

www.inacap.cl

1. Alcance y Objetivos de la
A.I.: Objetivos
Controles Generales de la Gestin Informtica
Verificar normas del Departamento de Informtica y
observar su consistencia con las del resto de la empresa
Normas Generales de la Instalacin Informtica
Procedimientos Generales y Especficos del
Departamento de Informtica (p.e. una aplicacin no
pasa a Explotacin sin su correspondiente
Documentacin)
Comprobar que no existen contradicciones con normas y
procedimientos generales de la empresa
Interlocutores
Personas con poder de decisin y validacin dentro de la
empresa
Personas a las que va dirigido el informe
6

www.inacap.cl

2. Estudio
Inicial
Examinar situacin general de funciones y actividades generales de
la informtica
Conocimiento de:
Organizacin: Estructura organizativa del Departamento de
Informtica a auditar
Entorno de Operacin: Entorno de trabajo
Aplicaciones Informticas: Procesos informticos realizados
en la empresa auditada
Bases de Datos
Ficheros

www.inacap.cl

2. Estudio Inicial:
Organizacin
Estructura organizativa del Departamento de Informtica a auditar.
Organigrama: estructura informtica de la organizacin a auditar

DIRECCIN
CONTROL GESTIN

EXPLOTACIN

PRODUCCIN

PLANIFICACIN

RR. HH.

SISTEMAS

SOPORTE
TCNICO

COMUNICACIN

DESARROLLO

SEGURIDAD

BASES DATOS

www.inacap.cl

2. Estudio Inicial:
Organizacin
Departamentos: describir sus funciones
Relaciones Jerrquicas y funcionales
1 Empleado con dos Jefes
Flujos de Informacin, tanto horizontales y oblicuas como
extradepartamentales y verticales
Canales alternativos que denotan lagunas en la estructura y
organigrama, o bien por simpatas
Nmero de Puestos de Trabajo
Nombres de los puestos de trabajo corresponden a funciones
distintas: Deficiencias en estructura si varios nombres con 1
funcin
Nmero de Personas por Puesto de Trabajo
Distribucin de recursos ineficiente
Necesidad de reorganizacin

www.inacap.cl

2. Estudio Inicial:
Entorno Operativo
Referencia del entorno de trabajo en el que el auditor va a trabajar
Situacin Geogrfica
Diferentes CPDs, con responsables y mismos estndares de
trabajo
Arquitectura y Configuracin Hardware y Software
Configuracin de diferentes CPDs compatible y estn
intercomunicados
Inventario Hardware y Software
CPUs, procesadores, PCs, perifricos, etc.
Software bsico, software interno y software comprado
Comunicaciones y Redes de Comunicacin
Lneas de Comunicacin
Acceso a red pblica e intranet
10

www.inacap.cl

2. Estudio Inicial: Aplicaciones

Informticas
Procedimientos Informticos realizados en la empresa
Volumen, Antigedad y Complejidad de las aplicaciones
Periodicidad de ejecuciones de carga de trabajo
Metodologa de desarrollo de aplicaciones
Documentacin de aplicaciones
Mantenimiento es el 70% de recursos
Cantidad y Complejidad de Bases de Datos y Ficheros
Tamao y caractersticas de BD y Ficheros
Nmero de Accesos a BD y Ficheros
Frecuencia de Actualizacin

Metodologa de la Auditora
w w w .Informtica
inacap.c

11

3. Recursos de
la A.I.
A partir del Estudio Inicial, se determinan los recursos humanos y
materiales
Recursos Materiales
Proporcionados por cliente en su mayora
Software: paquetes de auditora del equipo auditor,
compiladores
Hardware: PCs, impresoras, lneas de comunicacin
Determinacin de incremento de carga del auditado y
consenso en fechas y duracin de actividades de auditora
Recursos Humanos
Cantidad depende del alcance de la auditora
Perfil depende de la materia a auditar
12

www.inacap.cl

3. Recursos de
la A.I.
Profesin

Actividades y conocimientos deseados

Informtico Generalista

Con amplia experiencia en diferentes ramas (por

ejemplo, Explotacin, Desarrollo, Sistemas)

Experto en Desarrollo de
Proyectos

Amplia experiencia como Jefe de Proyectos.

Conocedor de las metodologas y tcnicas ms
importantes de Desarrollo

Tcnico de Sistemas

Experto en SS.OO. y Software Bsico. Amplios

conocimientos de Explotacin

Experto en BD y su
administracin

Amplia experiencia en BD y su mantenimiento, as

como en los productos utilizados para ellos.
Conocimientos de Explotacin

Experto en Software de
Comunicaciones

Conocimientos profundos de
comunicacin, teleproceso, etc.

Experto en Explotacin

Responsable de algn CPD. Amplia experiencia en

Automatizacin de Trabajos.

Tcnico de Organizacin

Buen coordinador y organizados. Especialista en el

anlisis de flujos de informacin

Tcnico de Evaluacin de
Costes

Economista con conocimientos de informtica

Redes,

lneas

de

13

www.inacap.cl

4. Plan y Asignacin de
Trabajos
Calendario de actividades a realizar aprobado por responsables de
rea y de auditora
Aspectos a tener en cuenta:
Plan por grandes reas: Elaboracin ms compleja y costosa
que implica superior calidad, ms tiempo total y mayores
recursos
Plan por reas especficas: Resultado obtenido ms
rpidamente y con menor calidad
Auditora de toda la Informtica o Parcial: determinacin del
nmero de auditores y especialistas
Planificacin de la Auditora (Gua ISACA)
Conocimiento de la organizacin y de sus procesos, para
identificar problemas potenciales, alcance, etc.
Programa de auditora: Calendario de trabajo (tareas y
recursos) y su seguimiento
Evaluacin interna del control, mediante pruebas de
cumplimiento de los controles
14
www.inacap.cl

5 . Actividades de la
A.I.: Tcnicas
Revisin
Anlisis de la informacin obtenida (principalmente a travs
de cuestionarios y entrevistas) y de la propia
Entrevistas
Con mtodo prestablecido y preparacin
Gran elaboracin de preguntas, orden
Desencadena en checklist: cuestionario minucioso, ordenado
y estructurado por materias
Simulacin
Muestreos

15

www.inacap.cl

5. Actividades de la A.I.:
Tcnicas: Cuestionario
Objetivo de Control

Cules son los procedimientos de

control correspondientes a este objetivo?

1. Modificacin en las aplicaciones

La Direccin debera establecer
procedimientos adecuados para asegurar
que se controlan las modificaciones que
puedan producirse en las aplicaciones.
Tener en cuenta los siguientes aspectos:

Revisa o est implicada la direccin

en la implantacin y el control de las
modificaciones que se realicen en las
aplicaciones?.

Recoge la direccin comentarios de

los usuarios sobre la calidad funcional
y operacional de las operaciones?.

Revisa la direccin los informes

correspondientes o participa en las
pruebas a las que se someten las
modificaciones, incluyendo
informacin sobre el volumen de
modificaciones realizadas en las
aplicaciones, cambios de emergencia,
solicitudes sin atender, etc.

16

www.inacap.cl

5. Actividades de la A.I.:
Herramientas
Cuestionario general
Cuestionario-Checklist
Simuladores (generadores de datos)
Paquetes de Auditora (generadores de programas)
Rastrear los caminos de los datos
Utilizados principalmente en auditoras no informticas
Paquetes de parametrizacin de libreras

17

www.inacap.cl

5. Actividades de
la A.I.
Movilizacin
Mantener reunin de planificacin inicial para:
Determinar el proceso ms eficaz-rentable de obtencin
de informacin
Determinar el uso de especialistas / herramientas
sectoriales
Entorno de Control
Registrar y evaluar el entorno de control de la empresa
Informacin del negocio/sector
Planificar la utilizacin de tecnologa
Obtener comprensin del negocio, estructura, riesgos
Discutir preocupaciones, necesidades, expectativas
Informacin sobre los sistemas y el entorno informtico
Evaluando los controles de supervisin
18

www.inacap.cl

5. Actividades de
la A.I.
Estrategia de auditora
Reunin de planificacin
Preparar los programas de auditora
Para las reas de auditora, analizando riesgos de error y
fraudes identificados
Preparar un plan de tareas
Calendario e informacin a entregar del cliente
Plan de tareas, con asignacin de tiempos
Roles y responsabilidades de miembros del equipo auditor y
estrategia para comunicacin para revisar, asignar tareas y
acordar objetivos
Establecer medidas para supervisar el progreso, incluyendo
reuniones peridicas
19

www.inacap.cl

5. Actividades de
la A.I.
Comunicacin del plan
Informar a los miembros del equipo
Presentar al cliente el plan de auditora
Ejecucin
Documentar, evaluar y probar controles de supervisin de
las aplicaciones
Informar al cliente sobre estado del trabajo y conclusiones
alcanzadas
Otros procedimientos de auditora
Informes finales
Revisin
Completar los pasos y tareas del trabajo

20

www.inacap.cl

5. Actividades de
la A.I.
Finalizacin
Completar y revisar el tratamiento informtico. Responder a
excepciones
Aspecto crticos importantes han sido resueltos,
documentados y comunicados al cliente y al equipo
Carta de manifestaciones del cliente
Firma del auditor
Informacin al cliente
Comunicar las debilidades significativas de control interno y
las recomendaciones oportunas
Evaluaciones
Calidad del servicio en relacin con las expectativas del
cliente
21

www.inacap.cl

6. Informe Final:
Gua ISACA
Relacin con los Estndares
Estndar 070.010: Contenido e Impreso del Informe
El Informe de Auditora indica:
Alcance
Objetivos
Perodo de cobertura
Naturaleza y extensin del trabajo de auditora
Organizacin
Destinatarios del informe
Restricciones
Hallazgos
Conclusiones
Recomendaciones
22

www.inacap.cl

6. Informe Final:
Gua ISACA
Necesidad de la gua
Describir prcticas recomendadas para preparar un informe
de auditora
Realizacin del informe
Estilo y Contenido: Objetivo, claro, conciso, constructivo y
oportuno
Apropiado a los destinatarios
Identificar organizacin auditada
Incluye ttulo, firma y fecha
Objetivos (lo que trata de cumplir la auditora)
Alcance: naturaleza, tiempo y extensin del trabajo de
auditora
rea funcional
Perodo de auditora
Sistemas de informacin, aplicaciones o entornos
auditados
23
www.inacap.cl

6. Informe Final:
Gua ISACA
Realizacin del Informe (continuacin)
Restriccin sobre su distribucin
Hallazgos significativos de la auditora (causas y riesgos)
Conclusin: evaluacin del auditor sobre el rea auditada
Recomendaciones, para realizar acciones correctivas
Presentacin: lgica y organizada
Estar a tiempo para fomentar las acciones correctivas
puntualmente
Consideraciones de eventos subsiguientes
Fraude descubierto despus de la auditora
Incendio despus de la revisin de controles
tica y estndares profesionales
Actividades subsiguientes
Peticin de contestacin, que incluya las acciones correctivas
como resultado del informe
24

www.inacap.cl

7. Otra
Documentacin
Carta

Carta

de Presentacin del Informe Final

Resumen en 3 4 folios del contenido del informe final
Incluye fecha, naturaleza, objetivos y alcance de la auditora
Cuantifica la importancia de las reas analizadas
Proporciona una conclusin general, concretando las reas
de gran debilidad
Presentar las debilidades en orden de importancia
de Manifestaciones
La Direccin de la empresa auditada confirma que se han
mostrado transparente y han proporcionado toda la
informacin necesaria para la auditora
En papel con membrete de la empresa auditada
Firman los responsables de los reas relacionados con la
auditora: Presidente, Consejero Delegado, Director General
25

www.inacap.cl

8. Estructura del
Informe Final
Ttulo o Identificacin del Informe
Distinguirlo de otros informes
Fecha de Comienzo
Miembros del Equipo Auditor
Entidad auditada
Identificacin de destinatarios
Finaliza con
Nombre, Direccin y Datos Registrales del Auditor
Firma del Auditor
Fecha de emisin del informe

26

www.inacap.cl

8. Estructura del
Informe Final
Objetivos y Alcance de la Auditora
Estndares, especificaciones, prcticas y procedimientos utilizados
Excepciones aplicadas

Materias consideradas en la auditora

Situacin actual
Hechos importantes
Hechos consolidados
Tendencias, de situacin futura
Puntos dbiles y amenazas (hecho = debilidad)
Hecho encontrado
Consecuencias del hecho
Repercusin del hecho (influencias sobre otros aspectos)
Conclusin del hecho
Recomendaciones
Redaccin de la Carta de Presentacin
27

www.inacap.cl

8. Estructura del Informe Final:

Tipos de Informes
Funcin de opinin del auditor respecto a los objetivos de la
auditora
Favorable o sin salvedades: trabajo realizado
Sin limitaciones de alcance y sin incertidumbre
De acuerdo con la normativa legal y profesional

Con salvedades
Desfavorable
Identificacin de irregularidades
Incumplimiento de la normativa legal y profesional que afecte a
significativamente a los objetivos estipulados

Denegada

Limitaciones al alcance
Incertidumbres significativas
Irregularidades
Incumplimiento de normativa lega y profesional
28

www.inacap.cl

8. Estructura del Informe Final: Tipos de

Informes:
Con salvedades
Limitaciones al alcance

El auditor no puede aplicar los procedimientos de auditora

requeridos por la normativa legal y profesional o segn su juicio
profesional
Provenientes de la propia entidad auditada
Considerar la naturaleza y magnitudes del efecto potencial de
los procedimientos omitidos y su importancia relativa

Incertidumbres
Desenlace que no se puede estimar por depender de que
suceda, o no, algn otro hecho: litigios, juicios, etc.

Errores e incumplimiento de normativa legal y

profesional
Utilizacin de principios distintos a los generalmente aceptados
Ausencia de informacin

Cambios durante el ejercicio respecto a los del

ejercicio anterior
Metodologa de la Auditora
w w w .Informtica
inacap.cl

29

8. Estructura del Informe Final: Pautas del

Lenguaje y
Redaccin del Informe
Ttulos: expresivos y breves
Prrafos
Un solo asunto por prrafo
8 10 lneas por prrafo

Frases
Una sola idea por frase
No ms de 3 lneas

Otros consejos
Lenguaje sobrio y normal
Voz activa, nunca pasiva
Omitir palabras innecesarias (con referencia a, consecuentemente
con, etc.)
Evitar redundancias
No utilizar adverbios y adjetivos simultneamente
30

www.inacap.cl