FUNDACIN UNIVERSITARIA LOS LIBERTADORES

METODOLOGA AUDITORIA DE SISTEMAS

Programa: Sistemas
I.- Conocimiento del rea a Auditar.
1.1

Esquemas y Ambientes del Sistema de Informacin Automtico.

Se realiza un Estudio Preliminar.- Incluye definir el grupo de trabajo, el programa

de auditora, efectuar visitas a la unidad informtica y a las diferentes reas
(escenario) para conocer el proceso de informacin, su ambiente y clase de
procesamiento que se realiza.
Lo anterior con el fin de identificar las deficiencias, falencias, amenazas y las
actividades que son sujetas a control para elaborar el cuestionario de Evaluacin
de Control Interno para la obtencin de informacin y evaluar preliminarmente las
actividades y deficiencias sujetas a control, como soporte a los procedimientos y
procesos, (QUE HACER) lo anterior debe estar de acuerdo con las polticas,
reglamentos, normas y medidas de la Empresa, de los procedimientos se originan
los papeles de trabajo.(COMO HACERLO), para despus analizarlos y elaborar el
informe de Auditora.
Se realizan entrevistas con los principales funcionarios del PAD o PED. y a las
diferentes reas de la Empresa.

II.- Planeacin Auditoria de Sistemas.

.- Cronograma
.- Presupuesto.
Una planificacin adecuada es el primer paso necesario para realizar la Auditora
de Sistemas en forma eficaz. El auditor de sistemas debe entender y comprender
el esquema y ambiente del negocio en el cual se debe realizar la auditora as
como las causas de riesgos, los riesgos, fraudes e identificar la vulnerabilidad de
las reas de acuerdo al escenario que se elige para el Auditaje del Sistema.
Durante la evaluacin se desarrollan las actividades con el fin de buscar las
evidencias de acuerdo a los criterios para definir los hallazgos e identificar si estn
conformes o no estn conformes y establecer las observaciones que se definen en
cada rea. Se debe tener en cuenta las siguientes fases:
1 .- Comprensin del negocio y de su ambiente.
Al planificar una auditora, el auditor de sistemas debe tener una comprensin
suficiente del ambiente total que se revisa en cada rea. Debe incluir una

comprensin general de las diversas prcticas comerciales y funciones

relacionadas con el tema de la auditora, as como los tipos de sistemas que se
utilizan. El auditor de sistemas tambin debe comprender el ambiente normativo
en el que opera el negocio. Por ejemplo, a un banco se le exigir requisitos de
integridad del Sistema de Informacin Financiero y establecer el control que no
estn presentes en una Empresa Manufacturera.
Se debe realizar las siguientes actividades para que el auditor de sistemas pueda
obtener la comprensin del negocio:
a. Recorrer las instalaciones de la Entidad.
b. Lectura de material sobre antecedentes que incluyan publicaciones sobre la
Empresa u Organizacin industria, financiera, servicios o manufactura,
memorias e informes financieros.
c. Entrevistas a gerentes claves para comprender los temas comerciales
esenciales.
d. Estudio de los informes sobre normas o reglamentos.
e. Revisin de planes estratgicos a largo plazo.
f. Revisin de informes de auditoras anteriores.
2 .- Riesgo y materialidad de auditora.
Se deben definir las causas de riesgo que generan aquellos riesgos de la
informacin, se pueden tener errores materiales o que el auditor de
sistemas no pueda detectar un error que ha ocurrido. El auditor de sistemas
debe tener una cabal comprensin de estos riesgos de auditora al
planificar. Una auditora tal vez no detecte cada uno de los potenciales
errores en un universo. Pero, si el tamao de la muestra es lo
suficientemente grande, o se utiliza procedimientos estadsticos adecuados
para minimizar la probabilidad del riesgo de deteccin.
3.- Tcnicas de evaluacin de Riesgos.
El auditor de sistemas debe evaluar esos riesgos y determinar cules de las
diferentes reas son de alto riesgo.
Existen cuatro motivos por los que se utiliza la evaluacin de riesgos, estos
son:
.- Permitir que la gerencia asigne recursos necesarios para la auditora.
.- Garantizar que se ha obtenido la informacin pertinente de todos los
niveles gerenciales, y garantiza que las actividades de la funcin de
auditora se dirigen correctamente a las reas de alto riesgo y
constituyen un valor agregado para la gerencia.
.- Constituir la base de datos para la organizacin de la auditora a fin de
Administrar eficazmente el departamento.

.- Proveer un resumen que describa como el tema individual de auditora se

relaciona con la organizacin global de la empresa as como los planes
del negocio.

III.- Objetivos Generales de la Auditoria.

.- Objetivo General
.- Objetivo especifico.
En los Objetivos de Auditora se indica el propsito del trabajo de la Auditora a
realizar, La informacin de los sistemas de informacin deber estar resguardada
de acceso incorrecto y se debe mantener actualizada.
Aqu se define el alcance de la Auditora osea la extensin y lmites del rea a
Auditar. El alcance incluye una descripcin de los emplazamientos fsicos,
unidades organizativas, tareas, actividades, procesos y macroprocesos, adems
se debe determinar el tiempo cubierto en el trabajo de Auditaje y la Planificacin
previa, donde se identifica los recursos y destrezas que se necesitan para realizar
el trabajo as como las fuentes de informacin para pruebas o revisin y lugares
fsicos o instalaciones donde se va auditar.

IV.- Control Interno.

.- Evaluacin de Control Interno.
Se realiza una revisin y evaluacin de controles y seguridades.- que consiste en
la revisin de los diagramas de flujo de datos y procesos, realizacin de pruebas
de cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas,
revisin de procesos histricos (backups), revisin de documentacin y archivos,
entre otras actividades.
Se realiza un examen detallado de reas crticas, efectuando una serie de
preguntas que deben soportar las fases anteriores, el auditor descubre las
posibles deficiencias y actividades sujetas a control y sobre ellas hace un estudio y
anlisis profundo en los que definir concretamente su grupo de trabajo y la
distribucin de carga del mismo, establecer el cumplimiento de los objetivos,
definir un plan de trabajo y la duracin de la auditora analizando detalladamente
cada problema encontrado.

V.- Procedimientos. (QUE se debe hacer)

.- Descripcin Narrativa Implantacin del Procedimiento. Las principales
herramientas de las que dispone un auditor informtico para formalizar los
procedimientos son:
Observacin

 Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujogramas
Listas de chequeo
Mapas conceptuales

.- Pruebas Sustantivas: En estas pruebas se verifican el grado de confiabilidad

del Sistema de Informacin del organismo. Se suelen obtener mediante
observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico,
revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y
validez de la informacin.
.- Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado
mediante el anlisis de la muestra. Proporciona evidencias de que los
controles claves existen y que son aplicables efectiva y uniformemente.
Una prueba de cumplimiento es el examen de la evidencia disponible de que
una o ms tcnicas de control interno estn operando durante el periodo de
auditora.
El auditor deber obtener evidencia de auditora mediante pruebas de
cumplimiento de:

Existencia: el control existe

Efectividad: el control est funcionando con eficiencia
Continuidad: el control ha estado funcionando durante todo el periodo.

El objetivo de las pruebas de cumplimiento es quedar satisfecho de que una

tcnica de control estuvo operando efectivamente durante todo el periodo de
auditora.
Algunos ejemplos de procedimientos de auditora son:
- Revisin de la documentacin de sistemas e identificacin de los controles
existentes.
- Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas y
controles aplicados. Utilizacin de software de manejo de base de datos
para examinar el contenido de los archivos de datos.
- Desarrollo del programa de auditora; un programa de auditora es un
conjunto documentado de procedimientos diseados para alcanzar los
objetivos de la auditora planificada.

VI.- Papeles de trabajo. (COMO se debe hacer).

.- Descripcin del Papel de trabajo.

.- Dictamen: Estudio que permite visualizar los puntos ms relevantes que
posee la auditoria y permite mostrar las normas que se deben seguir tanto
ticas y morales.
.- Concepto tcnico: Soporte o apoyo de las recomendaciones y sugerencias
establecidas en el Dictamen.

VII.- Anlisis de papeles de trabajo.

.- Nombre del papel de trabajo
.- Descripcin del papel de trabajo
.- Controles a implantar segn el diseo.
.- Controles a implantar segn su implementacin
.- Controles a implantar segn su ejecucin
.- Costos de controles a implantar.
.- Fecha de implantacin.

VIII.- Informe de Auditora de Sistemas.

En lo referente a su redaccin, el Informe deber ser claro, adecuado,
suficiente y comprensible. Una utilizacin apropiada del lenguaje informtico
resulta recomendable. Los puntos esenciales, genricos y mnimos del
Informe son los siguientes:
Identificacin del Informe: El ttulo del Informe deber identificarse de
acuerdo al escenario que identifica el rea a Auditar.
Identificacin de la Entidad auditada: Identificacin de la entidad objeto
de la Auditora de Sistemas.
Identificacin del Cliente: Se deber identificar a los destinatarios o a las
personas que requieren el trabajo de Auditoria.
Objetivos de la Auditora Informtica: Declaracin de los objetivos de la
auditora para identificar su propsito, sealando los objetivos incumplidos.
Normativa aplicada y excepciones: Identificacin de las normas legales y
profesionales utilizadas, as como las excepciones significativas de uso y el
posible impacto en los resultados de la auditora.
Alcance de la Auditora: Concretar la naturaleza y extensin del trabajo
realizado; rea organizativa, perodo de auditora, sistemas de informacin,
limitaciones al alcance y restricciones del auditado.
Conclusiones: Informe corto de opinin: Lgicamente, se ha llegado a los
resultados y, sobre todo, a la esencia del dictamen, la opinin y los prrafos
de salvedades y nfasis, si procede.
El Informe debe contener uno de los siguientes tipos de opinin: favorable
o no favorable, con salvedades, desfavorable o adversa, y denegada.

1. Opinin favorable. La opinin calificada como favorable, sin salvedades o

limpia, deber manifestarse de forma clara y precisa, y es el resultado de un
trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo
con la normativa legal y profesional.
Es indudable que entre el informe de recomendaciones al cliente, que
incluye lo referente a debilidades de control interno en sentido amplio, y las
salvedades, existe o puede existir una zona de gran sensibilidad; que
tendr que clarificarse al mximo.
2. Opinin desfavorable. La opinin desfavorable o adversa es aplicable en
el caso de:
.- Identificacin de irregularidades
.- Incumplimiento de la normativa legal y profesional, que afecten
significativamente a los objetivos de auditora informtica.
3. Opinin denegada. La denegacin de opinin puede tener su origen en:

. Las limitaciones al alcance de auditora.

. Incertidumbres significativas de un modo tal que impidan al auditor
formarse una opinin.
. Irregularidades.
. El incumplimiento de normas legales y profesionales.
4. Resumen. De acuerdo con la normativa legal y profesional, se realiza el
informe
del Auditor con recomendaciones y sugerencias que se convierte en la
fuente de orientacin para minimizar las causas de riesgo. No se debe
olvidar que las reas auditadas estn sometidas a cambios como, por
ejemplo a la implantacin de aseguramiento y gestin de la calidad -va
ISO 190011, va ISO 27001, COBIT y dems modelos que soportan la
seguridad Informtica.
5. Fecha del Informe
El tiempo no es neutral; la fecha del Informe es importante, no slo por la
cuantificacin de honorarios y el cumplimiento con el cliente, sino para
conocer la magnitud del trabajo y sus aplicaciones. Conviene precisar las
fechas de inicio y conclusin del trabajo de campo, incluso la del cierre
del ejercicio, si es que se est realizando un Informe de Auditora
Informtica como herramienta de apoyo a la Auditora de Cuentas.
6. Identificacin y firma del Auditor
Este aspecto formal del informe es esencial tanto si es individual como si
forma parte de una sociedad de auditora, que deber corresponder a un
socio o socios legalmente as considerados.

7. Distribucin del Informe

Bien en el contrato, bien en la carta propuesta del Auditor Informtico,
deber definirse quin o quines podrn hacer uso del Informe, as como
los usos concretos que tendr, pues los honorarios debern guardar
relacin con la responsabilidad civil.
CONCLUSIONES
Se determinan identificando el asunto del escenario muy claro, de acuerdo a
recomendaciones y sugerencias porque cada trmino tiene un contenido usual
muy concreto; es, en esencia, un juicio de valor u opinin con justificacin.
Se deben aplicar criterios en trminos de probabilidad, hay que evitar la
predisposicin a algn posible tipo de manipulacin, debido a la libertad de
eleccin de pruebas, en esta conclusin se debe registrar las sugerencias y
recomendaciones concretas registradas.