METODOLOGA PARA REALIZAR AUDITORAS INFORMTICAS.

1. Concepto de metodologa
Una metodologa de auditoria es un conjunto de procedimientos documentados de
auditoria diseados para alcanzar los objetivos de auditoria planeados. Sus
componentes son una declaracin del alcance, una declaracin de los objetivos de
la auditoria y una declaracin de los programas de auditoria.
La metodologa de auditoria debera ser establecida y aprobada por la gerencia de
auditoria para lograr consistencia en el enfoque de auditoria. Esta metodologa
debera ser formalizada y comunicada a todo el personal de auditoria.
TOMADO DE MANUAL DE PREPARACIN AL EXAMEN CISA

2. Importancia del uso de una metodologa

Las metodologas son necesarias para desarrollar una auditoria ya que permiten realizarla
de manera ordenada y eficaz.

3. Fases de la auditora
Se requieren varios pasos para realizar una auditora. El auditor de sistemas debe
evaluar los riesgos globales y luego desarrollar un programa de auditora que
consta de objetivos de control y procedimientos de auditora que deben satisfacer
esos objetivos. El proceso de auditora exige que el auditor de sistemas rena
evidencia, evale fortalezas y debilidades de los controles existentes basado en la
evidencia recopilada, y que prepare un informe de auditora que presente esos
temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditora debe
garantizar una disponibilidad y asignacin adecuada de recursos para realizar el
trabajo de auditora adems de las revisiones de seguimiento sobre las acciones
correctivas emprendidas por la gerencia.

FASE 1. Obtencin y documentacin del conocimiento sobre el rea/objeto

de la auditora
Al planificar una auditora, el auditor de sistemas debe tener una comprensin de
suficiente del ambiente total que se revisa. Debe incluir una comprensin general
de las diversas prcticas comerciales y funciones relacionadas con el tema de la
auditora, as como los tipos de sistemas que se utilizan. El auditor de sistemas
tambin debe comprender el ambiente normativo en el que opera el negocio. Por
ejemplo, a un banco se le exigir requisitos de integridad de sistemas de
informacin y de control que no estn presentes en una empresa manufacturera.
Los pasos que puede llevar a cabo un auditor de sistemas para obtener una
comprensin del negocio son:
-

Recorrer las instalaciones del ente.

Lectura de material sobre antecedentes que incluyan publicaciones sobre
esa industria, memorias e informes financieros.
Entrevistas a gerentes claves para comprender los temas comerciales
esenciales.
Estudio de los informes sobre normas o reglamentos.
Revisin de planes estratgicos a largo plazo.
Revisin de informes de auditoras anteriores.

FASE 2. Evaluacin de riesgos de auditora

Se puede definir los riesgos de auditora como aquellos riesgos de que la
informacin pueda tener errores materiales o que el auditor de sistemas no pueda
detectar un error que ha ocurrido.
Los riesgos en auditora pueden clasificarse de la siguiente manera:
-

Riesgo inherente: Cuando un error material no se puede evitar que suceda

por que no existen controles compensatorios relacionados que se puedan
establecer.
Riesgo de Control: Cuando un error material no puede ser evitado o
detectado en forma oportuna por el sistema de control interno.
Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas
a partir de un procedimiento inadecuado.

El auditor puede llegar a la conclusin de que no existen errores materiales

cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos
componentes o riesgos, se refiere a un error que debe considerarse significativo
cuando se lleva a cabo una auditora.
En una auditora de sistemas de informacin, la definicin de riesgos materiales
depende del tamao o importancia del ente auditado as como de otros factores.

El auditor de sistemas debe tener una cabal comprensin de estos riesgos de

auditora al planificar. Una auditora tal vez no detecte cada uno de los potenciales
errores en un universo. Pero, si el tamao de la muestra es lo suficientemente
grande, o se utiliza procedimientos estadsticos adecuados se llega a minimizar la
probabilidad del riesgo de deteccin.
De manera similar al evaluar los controles internos, el auditor de sistemas debe
percibir que en un sistema dado se puede detectar un error mnimo, pero ese error
combinado con otros, puede convertir en un error material para todo el sistema.
La materialidad en la auditora de sistemas debe ser considerada en trminos del
impacto potencial total para el ente en lugar de alguna medida basado en lo
monetario.
TOMADO DE METODOLOGIA DE UNA AUDITORIA DE SISTEMAS
FASE 3. Planeacin general de la auditora y cronograma
El plan general de Auditoria se conforma con los recursos humanos fsicos, las
operaciones predeterminadas, las pruebas a aplicar y los objetivos a alcanzar con
examen.
En un plan global de auditoria se debe considerar las condiciones del trabajo,
responsabilidades legales de los auditores, naturaleza y calendario de los informes
u organizacin del cliente, ayuda a desarrollar un plan general de auditaje, el cual
incluir, entre otras, la identificacin de las reas importantes y de alto riesgo,
determinacin de los niveles de importancia relativa para el examen, existencia de
controles internos, naturaleza y amplitud de las evidencias a obtener, coordinacin
de los procedimientos a aplicar, el efecto de nuevas normas y otras
consideraciones que requieran atencin especial.
Los asuntos que debe considerar el auditor al desarrollar el plan general de
auditoria cuando menos son [NIA, 1998]
-

Conocimiento del negocio

Riesgo e importancia relativa
Naturaleza, tiempos y alcance de los procedimientos.
Coordinacin, direccin, supervisin y revisin.
Los pasos para evaluar las fortalezas y debilidades del control interno.
El recurso humano que desarrollara la Auditoria.
Las pruebas a aplicar, su alcance y la oportunidad de aplicacin en cada
visita. Por lo general son tres: Preliminar, de cierre y final
TOMADO DE UNIDAD SEIS.
FASE 4. Planeacin detallada de auditora

El programa de auditora para la planificacin detallada puede incluir los siguientes

procedimientos generales:

Considerar el objetivo general de la auditoria y del reporte de planificacin

preliminar.

Recopilar informacin adicional segn instrucciones de la planificacin

preliminar.

Evaluar el control interno.

Calificar el riesgo de auditora.

Definir los procedimientos de auditora, a base de la evaluacin del control

interno.

Resumir los resultados de la planificacin especifica.

Los principales resultados que se obtienen de la planificacin detallada son los

siguientes:

Presentacin de un plan de muestreo y enfoque de la auditoria.

Presentacin de un plan especifico de la auditoria a desarrollar, que incluye,

los programas de auditora por componentes a ser examinados en la
siguiente fase.

Explicacin de las desviaciones o deficiencias del control interno.

TOMADO
DE
HTTP://WWW.EMAGISTER.COM/QUE-ES-PLANIFICACIONESPECIFICA-DETALLADA-CARACTERISTICAS_H
FASE 5. Revisin preliminar del rea /objeto de la auditora
El objetivo de la revisin preliminar es el de obtener la informacin necesaria para
que el auditor pueda tomar la decisin de cmo proceder en la auditora. Al
terminar la revisin preliminar el auditorpuede proceder en uno de los tres caminos
siguientes:Diseo de la auditora. Puede haber problemas debido a la falta
de competencia tcnica para realizar la auditora.
Realizar una revisin detallada de los controles internos de los sistemas con la
esperanza de que se deposite la confianza en los controles de los sistemas y de
que una serie de pruebas sustantivas puedan reducir las consecuencias.

Decidir el no confiar en los controles internos del sistema. Existen dosrazones

posibles para esta decisin. Primero, puede ser ms eficientedesde el punto de
vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los
controles del rea de informtica pueden duplicar los controles existentes en el
rea del usuario.
TOMADO DE HTTPS://SITES.GOOGLE.COM/SITE/AISADITH/UNIDAD-2
FASE 6. Identificacin y registro de las reas funcionales donde participa el
objeto de estudios
FASE 7. Identificacin y registro de Procesos Administrativos y Tcnicos que
tiene que ver con el objeto de estudio
FASE 8. Evaluacin del rea /objeto de la auditora (incluye anlisis y
evaluacin de riesgos identificados en cada uno de los procesos
administrativos y tcnicos, en cada rea funcional)

Seleccin de una metodologa de evaluacin de riesgos

Existen numerosas metodologas de evaluacin de riesgos informatizadas y no
informatizadas. stas varan desde las simples clasificaciones de riesgo alto,
medio y bajo basadas en el juicio del Auditor, hasta los clculos complejos y
aparentemente cientficos que suministran una clasificacin numrica de riesgo. El
Auditor debe tener en cuenta el grado de complejidad y detalle apropiados para la
organizacin auditada.
Todas las metodologas de evaluacin de riesgos dependen de juicios subjetivos
en algn momento del proceso (por ej., para asignar ponderaciones a los diversos
parmetros). El rea de Auditora debe identificar las decisiones subjetivas
requeridas a fin de utilizar una metodologa especfica y considerar si estos juicios
pueden emitirse y validarse con un grado de exactitud apropiado.
Al decidir cul es la metodologa de evaluacin de riesgos ms apropiada, el rea
de Auditora debe tener en cuenta:
-

El tipo de informacin que debe recopilarse (algunos sistemas utilizan el

efecto financiero como nica medida esto no siempre resulta adecuado
para las auditoras de TI).

El costo del software u otras licencias requeridas para utilizar la

metodologa.

El grado de disponibilidad de la informacin requerida.

La cantidad de informacin adicional que debe recopilarse antes de poder

obtener una salida confiable, y el costo de recopilar dicha informacin
(incluyendo el tiempo que debe dedicarse a esa tarea).

Las opiniones de otros usuarios de la metodologa y sus puntos de vista

sobre su eficacia en la tarea de mejorar la eficiencia y/o efectividad de sus
auditoras.

La buena disposicin de la gerencia para aceptar la metodologa como

medio para determinar el tipo y nivel de trabajo de auditora a realizar.

No puede esperarse que una metodologa de evaluacin de riesgos determinada

resulte apropiada en todas las situaciones. Las condiciones que inciden en el
desarrollo de las auditoras pueden modificarse con el tiempo. Peridicamente, el
rea de Auditora Interna debe realizar una nueva evaluacin de la idoneidad de
las metodologas de evaluacin de riesgos seleccionadas.
Uso de la Evaluacin de Riesgos
El Auditor debe utilizar las tcnicas de evaluacin de riesgos seleccionadas al
desarrollar el plan general de auditora y al planificar las auditoras especficas. La
evaluacin de riesgos, en combinacin con otras tcnicas de auditora, debe
tenerse en cuenta al tomar decisiones de planificacin relacionadas con:
-

La naturaleza, el alcance y la oportunidad de los procedimientos de

auditora.

Las reas o funciones de negocio a auditar.

El tiempo y los recursos a asignar a cada una de las auditoras.

El Auditor de SI debe tener en cuenta los siguientes tipos de riesgo, a fin de

determinar su nivel global:
-

Riesgo inherente

Riesgo de control

Riesgo de deteccin

Riesgo inherente

El riesgo inherente es la tendencia de un rea de Tecnologa de Informacin a

cometer un error que podra ser material, en forma individual o en combinacin
con otros, suponiendo la inexistencia de controles internos relacionados. Por
ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es
normalmente alto dado que los cambios en los datos o programas, o aun su
divulgacin, a travs de las deficiencias en la seguridad del sistema operativo
podran tener como resultado una desventaja competitiva o informacin de gestin
falsa. Por otro lado, el riesgo inherente asociado a la seguridad de una PC
independiente es normalmente bajo, cuando un anlisis adecuado demuestra que
no se utiliza con propsitos crticos de negocio.
El riesgo inherente para la mayora de las reas de auditora de TI es
normalmente alto dado que, por lo general, el posible efecto de los errores se
extiende a varios sistemas de negocios y a un gran nmero de usuarios.
Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los
controles generales de TI como los detallados. Ello no se aplica en los casos en
que la tarea del Auditor Interno est relacionada exclusivamente con controles
generales.
En lo que respecta a los controles generales de TI, el Auditor Interno debe tener
en cuenta lo siguiente, al nivel apropiado para el rea de auditora en cuestin:
La integridad, experiencia y conocimiento de la Gerencia de TI.
Los cambios en la Gerencia de TI.
La presin ejercida sobre la Gerencia de TI, que puede predisponerla a ocultar o
distorsionar informacin (por ej., prdida de datos en grandes proyectos crticos de
negocios, actividades de hackers, etc.).
La naturaleza del negocio y de los sistemas de la organizacin (por ej., la
posibilidad de ejercer el comercio electrnico, la complejidad de los sistemas, la
falta de sistemas integrados, etc.).
Los factores que afectan el rendimiento de la organizacin en general (por ej.,
cambios tecnolgicos, disponibilidad del personal de TI, etc.).
El grado de influencia de terceros en el control de los sistemas auditados (por ej.,
debido a la integracin de la cadena de suministro, la tercerizacin de los
procesos de TI, las alianzas estratgicas de negocio y el acceso directo de los
clientes).
Al nivel de los controles detallados de TI, el Auditor Interno debe tener en cuenta,
en el nivel apropiado para el rea de auditora en cuestin:
Los hallazgos y fecha de auditoras anteriores en el rea.

La complejidad de los sistemas involucrados.

El nivel de intervencin manual requerida.
La propensin a la prdida o apropiacin indebida de los bienes controlados por el
sistema (por ej., inventario, nmina, etc.).
La probabilidad de que se produzcan picos de actividad en ciertos momentos del
perodo de auditora.
Las actividades que no estn comprendidas en la rutina de procesamiento de SI
(por ej., el uso de los utilitarios del sistema operativo para corregir datos, etc.).
La integridad, experiencia y habilidades de la gerencia y el personal que participan
en la aplicacin de los controles de TI.
Riesgo de Control
Es el riesgo por el que un error, que podra cometerse en un rea de auditora -y
que podra ser material, individualmente o en combinacin con otros-, no pueda
ser evitado o detectado y corregido oportunamente por el sistema de control
interno. Por ejemplo, el riesgo de control asociado a las revisiones manuales de
registros computadorizados es normalmente alto debido a que las actividades que
requieren investigacin a menudo se pierden con facilidad por el volumen de
informacin registrada. El riesgo de control asociado a los procedimientos
computarizados de validacin de datos es normalmente bajo puesto que los
procesos se aplican con regularidad.
El Auditor Interno debe evaluar el riesgo de control como un riesgo alto a menos
que los controles internos pertinentes:
Se identifiquen
Se consideren eficaces
Se prueben y confirmen como adecuadamente operativos (pruebas de
cumplimiento)
Riesgo de Deteccin
Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor
Interno no detectan un error que podra ser material, individualmente o en
combinacin con otros. Por ejemplo, el riesgo de deteccin asociado a la
identificacin de violaciones de la seguridad en un sistema de aplicacin es

normalmente alto, debido a que en el transcurso de la auditora, los registros de

todo su perodo no se encuentran disponibles. El riesgo de deteccin asociado con
la identificacin de la falta de planes de recuperacin ante desastres es
normalmente bajo, dado que su existencia puede verificarse con facilidad.
Al determinar el nivel de pruebas sustantivas requeridas, el Auditor Interno debe
tener en cuenta:
La evaluacin del riesgo inherente.
La conclusin sobre riesgos de control a la que se llega luego de las pruebas de
cumplimiento.
Cuanto ms exhaustiva es la evaluacin del riesgo inherente y de control, mayor
es la evidencia de auditora que debera obtener el Auditor Interno mediante la
ejecucin de los procedimientos sustantivos de auditora.
Documentacin
El rea de Auditora Interna deber documentar la tcnica o metodologa de
evaluacin de riesgos utilizada en una auditora. Normalmente, la documentacin
deber incluir:
Una descripcin de la metodologa de evaluacin de riesgos utilizada.
La identificacin de exposiciones significativas y los riesgos correspondientes.
Los riesgos y exposiciones que la auditora se propone abordar.
La evidencia de auditora utilizada para respaldar la evaluacin de riesgos del
Auditor Interno.
En resumen, el nivel de trabajo de auditora requerido para lograr un objetivo de
auditora especfico resulta de una decisin subjetiva del Auditor Interno. Uno de
los aspectos de esta decisin es el riesgo de llegar a una conclusin incorrecta
basada en los hallazgos de auditora (riesgo de auditora). El otro es el riesgo de
cometer errores en el rea auditada (riesgo de error). El Auditor Interno debe tener
en cuenta las normas profesionales al determinar cmo implementar la evaluacin
de riesgos mencionada, as como tambin, utilizar el juicio profesional en su
aplicacin y estar preparado para justificar cualquier desviacin respecto de ellas.
Tomado de http://www.iaia.org.ar/revistas/elauditorinterno/02/articulo3.html.

FASE 9. Verificacin y evaluacin de los controles diseados para minimizar

cada uno de los riesgos crticos analizados y evaluados.

FASE 10. Pruebas de cumplimiento (pruebas de la implementacin de

controles, su funcionamiento y su aplicacin consistente)
Las pruebas de cumplimiento son pruebas que disea el auditor tendiente a
verificar el cumplimiento de las polticas y procedimientos existentes, esto es
poder determinar si los controles internos funcionan y se aplican a la prctica.

Su objetivo principal es determinar y comprobar la efectividad del sistema del

control interno que la empresa haya implementado, por lo tanto en el momento de
analizar las pruebas escogidas se debe verificar si los procedimientos son los
adecuados, si se estn ejecutando y si se estn ejecutando se est realizando de
la manera correcta.

El propsito es reunir evidencia suficiente para analizar si el control interno

funciona efectivamente y si est logrando sus objetivos por lo que generalmente
se refiere a la inspeccin de documentos.

Entre algunos ejemplos de pruebas de cumplimiento se tienen:

-Ventas realizadas sin ser facturadas o registradas
-Recibimiento de pagos sin ser registrados
-La auditora interna practica arqueos sorpresivos y frecuentas a los fondos de
caja

-Analizar existencias fsicas en inventarios y si sus movimientos estn en registros

apropiados
-Estudios para determinar la posible existencia de inventarios daados u obsoletos

El auditor puede analizar una muestra con la cual se obtienen dos propsitos,
probar el cumplimiento del control interno y comprobar si el importe monetario de
las transacciones es el correcto.

La forma en que se examinen este tipo de pruebas depende de cada cuenta que
se analice de los estados financieros, puesto que cada una de stas tienen
elementos y caractersticas diferentes que hacen que sus procesos de inspeccin
y prueba sean diferente y particulares.

FASE 11. Pruebas sustantivas (que confirmen la exactitud de la informacin)

El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que

permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden
ocurrir prdidas materiales durante el procesamiento de la informacin. El auditor
externo expresar este juicio en forma de opinin sobre cundo puede existir un
proceso equivocado o falta de control de la informacin.
Se pueden identificar ocho diferentes pruebas sustantivas:
Pruebas para identificar errores en el procesamiento o de falta de seguridad o
confidencialidad.
Pruebas para asegurar la calidad de los datos.

Pruebas para identificar la inconsistencia de los datos.

Pruebas para comparar con los datos o contadores fsicos.
Confirmacin de datos con fuentes externas.
Pruebas para confirmar la adecuada comunicacin.
Pruebas para determinar falta de seguridad.
Pruebas para determinar problemas de legalidad

TOMADO DE: AUDITORIA INFORMATICA, AGUSTIN DE GANTE PERALTA, 30 NOV.

2011

FASE 12. Elaboracin, discusin y entrega formal Informe (comunicacin de

los resultados)
Los informes de auditoria son el producto final del trabajo de auditoria. Son usados
por el auditor para reportar a la direccin sus hallazgos y recomendaciones. El
formato exacto de un informe de auditoria vara en cada organizacin. Sin
embargo, el auditor experimentado debera entender los componentes bsicos de
un informe de auditoria y como este comunica los hallazgos de auditoria a la
direccin.
No existe un formato especifico para un informe de auditoria, sin embargo, las
polticas y los procedimientos de auditoria e la organizacin generalmente dictarn
el formato. Sin embargo los informes de auditoria tendrn la siguiente estructura y
contenido:
-

Una introduccin al informe.

Una declaracin de los objetivos.
Limitaciones para la auditoria. Y alcance.
El periodo cubierto por la auditoria
Una declaracin general sobre el carcter y la extensin de los
procedimientos da auditoria realizados y los procesos durante la auditoria.
Declaracin sobre la metodologa de la auditoria
Las directrices seguidas.

Es recomendable incluir los hallazgos de auditoria en anexos separados.

Incluir la conclusin y la opinin generales del auditor respecto a si los controles y

procedimientos examinados son adecuados y los riesgos potenciales reales
identificados como consecuencia.
El auditor debe proveer un informe balanceado, que describa no solamente os
aspectos negativos en trminos de hallazgos sino tambin comentarios
constructivos sobre procesos y controles en perfeccionamiento o sobre efectivos
ya existentes.
TOMADO DE MANUAL DE PREPARACIN AL EXAMEN CISA

TOMADO DE AUDITORIA INFORMTICA, AGUSTIN DE GANTE PERALTA, 30

NOVIEMBRE 2011

FASE 13. Seguimiento

recomendaciones dadas

asesora

en

la

implementacin

de

las

La auditoria es un proceso continuo. Los auditores deben tener un programa de

seguimiento para determinar si se han implementado las acciones correctivas
acordadas. A pesar de que los auditores que trabajan para firmas de auditoria
externas pueden no necesariamente seguir este proceso, ellos pueden logar estas
tareas si lo acuerdan con la entidad auditada.

El momento del seguimiento depender de la gravedad de los hallazgos y estar

sujeto al criterio del auditor. Los resultados serian se comunicados a los niveles
apropiados de la gerencia.

El nivel de revisin en el seguimiento del auditor depender da varios factores. En

algunos casos, el auditor puede solo necesitar averiguar sobre el estado actual.
En otros casos, el auditor que trabaja en funcin de auditoria interna puede tener
que llevar a cabo ciertos pasos de auditoria para determinar si las acciones
correctivas acordadas por la direccin han sido implementadas.

TOMADO DE MANUAL DE PREPARACIN AL EXAMEN CISA