Título del Control

Claudio Cáceres Soto

Auditoría Informática

Instituto IACC

16/08/2018
OBJETIVO DEL CONTROL: Comprender los tipos y características de las técnicas de
recopilación de evidencias utilizadas en los procesos de auditoría.
Desarrollo

Instrucciones: Considere el siguiente enunciado: “se le ha solicitado que pueda identificar

riesgos y controles asociados a estos, en el proceso de otorgamientos de créditos de una
compañía de la industria financiera, el cual es soportado por un sistema de información
desarrollado internamente. Interesa en particular detectar el riesgo asociado al cumplimiento
normativo, el cual establece que la tasa otorgada no debe superar la tasa máxima convencional
que es publicada periódicamente en la página de la Superintendencia de Bancos e Instituciones
Financieras”.

En base a lo anterior, indique los pasos que debe seguir esta auditoría para
cumplir con los parámetros de la técnica de prueba de recorrido.

Antes de iniciar cualquier auditoria, el auditor debe comprender el, todo el proceso que
revisara, debe hacer el recorrido completo.
Se utilizará la técnica de prueba de recorrido. Esta técnica consiste en que las personas o los
empleados entiendan /comprendan el procedimiento “proceso” que se creará y/o mejorara
para la otorgación de los créditos, es el paso a paso teniendo en cuenta:

- Tasas de interés que se aplicaran no sean mayores a lo permitido por la

Superintendencia de Bancos e Instituciones Financieras (Prioridad)
- Otorgamiento de créditos Riesgos / controles

Debemos tener la documentación separada para 3 perfiles:

- Documentación para los desarrolladores

- Documentación para los usuarios
- Documentación para los administradores o soporte técnico

Una vez lista toda la documentación comenzamos con realizar los procesos completos:

- Proceso de la entidad, banco, etc

- Procesos del solicitante

La idea es revisar el proceso de los créditos, donde se debe cumplir con la tasa máxima de
interés permitida, la entidad debe contar ya con la documentación, esta nos servirá de guía,
estos deben ser los originales, siempre debe existir una etapa manual, llenado de papel, para
cargar los datos del sistema.
Se debe seguir y siempre iniciar del inicio no asumir nada, la idea es poder visualizar / detectar
si algo se está pasando, revisar los registros, procesamiento de datos (envió y recepción de la
misma), realizado este paso es vamos a la aplicación informática.
Su operatividad debe ser sin problema y las transacciones puedan ser ejecutadas sin
intervenciones. Esta uno puede emplear una transacción simulada con datos para luego dar
paso a un proceso real.

La tasa máxima aplicada y autorizada por la Superintendencia de Bancos e Instituciones

Financieras.

Controlar o más bien revisar los riesgos de la aplicación de la tasa puede ser de fácil, siendo
este proceso automático, sin la intervención, deberíamos revisar los pasos, parámetros, lugar
donde esta alojado y hardware, el paso a paso hacer lo en distintos horarios y revisar los
resultados, con el nivel de seguridad de base de datos, enlaces.

Ahora si este proceso es manual se eleva exponencialmente el factor de riesgo y aplicar mal la
tasa de interés. Como las ofertas de vuelos que alguien digito mal el numero o le falto un 0.

En Chile, la ley reconoce el derecho de quien otorga un crédito de cobrar por este servicio una
tasa de interés. La tasa de interés en Chile se fija libremente entre las partes involucradas, pero
tiene un “techo” que se llama Tasa Máxima Convencional (TMC). Esta tasa normalmente es la
que se aplica en caso de atraso de las cuotas o mora.

El auditor debe saber como se calcula (TMC) La fórmula de cálculo de la TMC se fija por ley pero
es la Superintendencia de Bancos e Instituciones Financieras (SBIF) la encargada de calcular
periódicamente la TMC para 9 categorías de créditos establecidos (con diferentes montos en UF
y plazos).
El cálculo se obtiene del promedio de las tasas de la industria (conocido como interés corriente)
para ese tipo de crédito y aplicándole el factor fijado por ley para la TMC (que actualmente es
50%). Es decir, para cada tramo, la tasa máxima que puede ser cobrada a un consumidor es un
50% superior que el promedio de las tasas que efectivamente se pagan en el mercado.
La TMC se actualiza mensualmente. Los promedios se establecen en relación con las
operaciones efectuadas durante cada mes calendario y las tasas resultantes se publican en el
Diario Oficial y en esta Superintendencia durante la primera quincena del mes siguiente.

Como es un software desarrollado por la misma entidad, la recolección de los datos y la carga
de los mismo, pero para el usuario la persona que recibe y procesa el papeleo, esta parte del
proceso debería ser automática, me refiero a que no lo puedan manipular, seria como la frase
“El sistema lo arroja solo”, estamos al tanto de que esto es un código que se ejecuta.

Entrevistas: Siempre es bueno tener uno tips para la entrevista de los usuarios…
- Hacer uso de los documentos: a través de la documentación veremos de manera precisa los
requisitos del proceso.
- No dudes en volver a plantear la misma pregunta si lo considera necesario: a veces es
necesario poder retomar un tema desde diferentes puntos de vista.
- Concede un tiempo para que respondan: debemos tener paciencia, pues el responsable del
proceso al que le formulemos una pregunta puede necesitar un determinado tiempo para
pensar.
No debemos tender a pensar que por tardar más nos miente.
- Evita la jerga: es decir, no hablemos directamente de calidad en sí. Si queremos saber el
resultado de un proceso, es mejor preguntar directamente que ocurre tras el proceso.
- Plantee escenarios diferentes: recomendamos plantear un escenario y preguntar cómo se
procedería en caso de ocurrencia.
Esto ayuda a determinar el grado de control que tienen sobre el proceso en caso de situaciones
imprevistas.
- Pregunta por qué: las personas que realizan sus tareas sin entender el motivo tienden a ser
menos diligentes en asegurar que el proceso se está llevando a cabo con consistencia y de
manera correcta.
- Da importancia a escuchar: presta atención a lo que dice la persona a la que le has formulado
una pregunta y no anticipes la respuesta.
- Escribe: deja constancia de todas las evidencias detectadas y evaluadas, pues te ayudará a la
preparación del informe final de auditoría.
- Explique al auditado de lo que puede resultar en el informe final de auditoría: ante no
conformidades descubiertas, es recomendables informar previamente al responsable del
proceso antes de emitir el informe final de auditoría.

La observación de procesos y desempeño de empleados:

Proporcionar información accesible y sencilla para facilitar el trabajo diario e inculcar a los
empleados el deseo de trabajar mejor.
Aumentar gradualmente y de forma continua, el conocimiento de información relevante para el
mayor número posible de empleados.
Aumentar la autonomía y la independencia de los empleados, enriqueciendo las relaciones
personales y profesionales y mejorando el ambiente de trabajo.
Hacer que la metodología de observación del desempeño y el intercambio de información
proporcionada por ella, se transforme en una cultura de la empresa, reflejando su misión, su
visión y sus valores.
El compromiso de todo el cuerpo de empleados y colaboradores se incrementa por el simple
hecho de que ahora tienen conocimiento de los objetivos y la información relevante de la
empresa y empiezan a ver la gestión de una manera transparente y adecuada

Pruebas de recorrido: Realizando la prueba de recorrido. los trabajadores de la financiera serán

los que realmente aplicarán los procedimientos, entonces debemos realizar las consultas,
proveer manuales didácticos. Ojo rara vez la prueba de recorrido sale a la primera, siempre
habrá algún que otro paso que se pueda automatizar, importante esta prueba para poder
identificar donde se puede automatizar. Siempre tener procedimientos y manuales por si
tienen alguna duda pueden volver a leer los pasos.
Los datos recogidos de la prueba de recorrido de los más diversos procesos de negocio se
entienden y se imprimen en forma conjunta para diferentes administradores, que pueden
seguir el desempeño de estos procesos en tiempo real y cuando sea necesario, tener tiempo
suficiente para tomar decisiones críticas y corregir los eventuales defectos.

Revisión de documentación general de los sistemas de información:

- Documentos de inicio de desarrollo de sistemas

- Documentación de la aplicación.
- Requerimientos funcionales y especificaciones de diseño.
- Planes e informes de pruebas.
- Programa y documento de operaciones.
- Registros (logs) e historial de cambios a programas. Manuales del usuario.
- Manuales de operación.
- Documentos relacionados con la seguridad (por ejemplo, planes de seguridad,
evaluación de riesgo).
- Planes de continuidad del negocio. Informes de control de calidad.
- Reportes sobre métricas de seguridad.

2 -)Traselec, compañía dedicada a la transmisión de energía eléctrica en el Sistema

Interconectado Central, desea realizar una auditoría a los proveedores de tecnologías de
información. Se necesita identificar si los contratos especifican acuerdos de niveles de
servicio y si éstos son monitoreados. A través de las técnicas de revisión de documentación y
entrevistas, indique cuál sería la secuencia de pasos necesarios para cubrir esta necesidad.
Fundamente su respuesta.

Respuesta: La técnica de recopilación de información seria primordial de la auditoría, a través

de revisión de documentos y entrevistas uno obtiene la evidencia suficiente que respalde la
auditoria, que se está realizando.

En la técnica de revisión de documentos se desea obtener los datos de la estructura

organizacional del área, para la situación planteada revisar la o las empresas proveedoras que
deban ser auditadas, las políticas y procedimientos de estas.

Con la revisión de la estructura de la empresa proveedora podremos entender los roles de

las personas a cargo, la jerarquía de estos y las capacidades de personal para cumplir todos los
roles.

Con la revisión de las políticas y procedimientos, podemos ver las áreas cubiertas, tiempo que
transcurre desde el inicio hasta la conclusión para los monitores /mantenciones, se podrá
apreciar si estas tareas están bien con el tiempo designado o más bien requerirán un mayor
tiempo, incluso pudiendo uno subdividir aún más el proceso ya. El factor seguridad hoy en día
es una ley Talibana, más bien una dictadura Talibanes. Ha sido la bandera de las grandes
Minera la seguridad, ante todo, deteniendo incluso procesos enteros, deteniendo la toma de
datos. Estas detenciones sirven para actualizar procesos o procedimientos, es una constante
actualización de los mismo. Importante revisar las detenciones realizadas por los trabajadores,
y las conclusiones después de las detenciones, básicamente para saber si corrigió algún
protocolo o no.
Hoy en día son cada vez son más precisos y actualizados los datos. Los respaldos de la
información, cada vez seguros.

Otro punto la revisión del contrato físico para poder ver:

- Adjudicación del contrato
- Inicio de contrato
- Plazo del contrato
- Los servicios contratados
- Proceso de la implementación y puesta en marcha del servicio,
- Manuales de usuario
- Manuales de sistemas
- Manuales de los protocolos de instalación

Otro punto no menor el auditor debe velar que los procedimientos y políticas sean las
adecuadas para así saber si el personal las entiende.

Para eso el proceso de entrevista la cual es un gran recurso para el auditor, podemos observar,
preguntar, inspeccionar, monitorear, revisar los roles y cargo de cada funcionario.

Netamente ver si la en la entrevista de los funcionarios cuadra con lo que dice las políticas y
procedimientos.

La idea cruzar y ver si realmente el cargo / roles de la persona, así uno podrá verificar / analizar
si el perfil del cargo / roles, es muy frecuente de que el trabajador o la persona esté haciendo o
tomando decisiones que sobrepasan el cargo, y muy a menudo esto ocurre en las empresas,
por distintos factores…La entrevista nos puede arrojar estos pequeños lapsos.

3 -) De acuerdo a lo estudiado, indique cuál o cuáles serían las técnicas de recopilación de

evidencias recomendadas para lograr cada uno de los objetivos propuestos en los puntos
1, 2 y 3 reconozca las características presentes en cada párrafo que justifiquen y
fundamenten su elección.

“El auditor informático necesita determinar si la gerencia de tecnologías de la

información ha definido un control anual de revisión y actualización de todos sus
procedimientos y políticas”.
Respuesta: Ocuparía 2 técnicas:
- Revisión de documentos
- Revisión de políticas y procedimientos del área de tecnología informática.
la aplicación de ambas técnicas permitirá la revisión y actualización de procedimientos,
políticas del área de tecnología informática. Lo que necesitamos con exactitud es ver la (s),
o si existen políticas y procedimientos adecuados, verificar que la gerencia de tecnología
tenga cubierta su área, por la responsabilidad para la formulación, desarrollo,
documentación, publicación y control de estas políticas o procedimientos. No menor es la
frecuencia con que estos controles son realizados.

“El auditor informático necesita corroborar la secuencia de respaldos periódicos a los

datos: tiempo de realización, lugar de almacenamientos y tarea programada que
ejecuta”.

Respuesta: Una prueba de recorrido, ya que este se enfoca en el entendimiento de los

procesos y de los controles. Para esto se debe realizar una simulación o definitivamente se
pueden modificar la ejecución de los “jobs”, con los horarios o fechas para chequear su
ejecución, no menor es revisar si el archivo se pueda abrir y no esté corrompido ya me ocurrió
en una ocasión realice el respaldo de una base de datos, el respaldo pesaba los mismo que la
base que respalde pero al abrir la en un nuevo servidor de SQL no la pude abrir completada, así
que tuve que volver a ejecutar la tarea y salió bien. Nunca supe que salió mal en la primera,
pero puede ocurrir.
Revisión de documentación general de los sistemas de información, me gusta por los
manuales que siempre deben existir, del porque las cosas, los logs, muchas veces no son
revisados, pero pueden ayudar mucho, entregar la información de lo que ocurrió u ocurre,
siempre he tenido problemas en tener que adivinar el porque se configuro tal cosa o porque se
utiliza tal programa. Siempre tengo que recolectar la información de varios para poder
entender el por qué, sin contar el tiempo que me toma en entender ciertas cosas, pero ya estoy
pelando mi lugar de trabajo…pero estos puntos los destacaría:

- Planes e informes de pruebas.

- Programa y documento de operaciones.
- Registros (logs) e historial de cambios a programas. Manuales del usuario.
- Manuales de operación.
- Documentos relacionados con la seguridad (por ejemplo, planes de seguridad,
evaluación de riesgo).
- Planes de continuidad del negocio. Informes de control de calidad.
- Reportes sobre métricas de seguridad.
“El auditor informático necesita realizar una conciliación entre las tablas
documentadas y las tablas creadas en la base de datos para determinar la suficiencia
de la documentación”.

Respuesta: Revisión de documentación general de los sistemas de información, perteneciente

a revisión de documentos, similar al punto de arriba sería lo indicado, ya que a través de esta
técnica podemos identificar la información existente vigente con que cuenta la empresa ya sea
físicamente o en forma digital. Acá podremos realizar dicha comparación y verificar su precisión
o falencia con que se detalla las tablas de las bases de datos en documentos y la
configuración real con que se manejan estas.
Una prueba de recorrido, siempre hay que revisar el recorrido por si existes fugas o solo llegan
una parte, no solo sirven para eso esta prueba, con esta pruebe uno puede revisar el estado de
la maquina Hardware si este todo operativo, configuraciones etc…
 Bibliografía

IACC (2018). Técnicas de auditoría informática. Parte I.

cdec2.cdec-sing.cl/pls/portal/cdec.pck_web_coord_elec.sp_pagina?p_id=5091

lyd.org/centro-de-prensa/noticias/2011/09/preguntas-clave-sobre-la-tasa-maxima-convencional/

www.heflo.com/es/blog/gestion-de-empresas/observacion-del-desempeno/

www.luismiguelmanene.com/2010/11/16/evaluacion-del-desempeno-en-las-organizaciones/