AUDITORIA

INFORMTICA
MBA, CAROLINA ARGUELLO

2. METODOLOGA DE LA AUDITORIA
INFORMTICA
CONTENIDO
Objetivos de la auditora
Alcance de la auditoria.
Planeacin de la Auditoria
Programa de Auditora
Los procedimientos de auditora
Recopilacin de evidencias
Evidencia de Auditoria
Las Pruebas de Auditoria
El Informe

2.1 OBJETIVO DE LA AUDITORIA

INFORMATICA
Los objetivos de auditora se enfocan a menudo en
validar:
Que existan controles internos para minimizar los
riesgos del negocio, y que estos funcionen como
se espera.
Asegurar que se estn cumpliendo los
requerimientos legales, y exista una seguridad
razonable implementada sobre los activos, como
ser: confidencialidad, integridad y disponibilidad
de los recursos de informacin

2.1 OBJETIVO DE LA AUDITORIA

INFORMATICA
EJEMPLO
Determinar un nivel de confiabilidad e integridad
de los datos, sistemas y programas con relacin
al entorno de procesamiento electrnico de
datos.
Identificar y medir los riesgos relativos al negocio
y ambiente de Tecnologa Informtica,
comunicando las recomendaciones para mitigar
los riesgos.

2.2. ALCANCE DE LA AUDITORIA

INFORMATICA
Debe existir un acuerdo muy preciso entre
auditores y clientes sobre las funciones, las
materias y las organizaciones a auditar y las
excepciones de alcance de la auditora, es
decir cuales materias, funciones u
organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones
deben figurar al comienzo del Informe Final

2.2. ALCANCE DE LA AUDITORIA

INFORMATICA
EJEMPLO
Controles Generales de Tecnologa Informtica
considerando la revisin de las siguientes reas:
Normas, polticas y procedimientos
Estructura organizativa
Funciones y Responsabilidades
Seguridad Fsica en el centro de cmputos de la
Compaa.
Seguridad Lgica - Procedimientos
Pasaje de desarrollo a produccin
Seguridad Lgica - Control de acceso
Procedimientos de altas de usuarios.

2.3. PLANEACION DE LA AUDITORIA

INFORMATICA
Obtener informacin general sobre la organizacin y
sobre la funcin de informtica a evaluar.
Revisin de los planes estratgicos en el rea de TI a
corto y largo plazo.
Identificar documentaciones como polticas,
procedimientos y estructura de la organizacin.
Lograr entendimiento respecto a los procesos claves
del negocio.
Realizar una investigacin preliminar y algunas
entrevistas previas, con base en esto planear el
programa de trabajo.
Se deber incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el
desarrollo de la misma

2.4. PROGRAMA DE AUDITORIA

INFORMATICA
CONCEPTO
El programa de trabajo de auditora es la estrategia y
el plan de auditora, este identifica el alcance, los
objetivos y los procedimientos de auditora para lograr
evidencia suficiente y competente para obtener y
sustentar las conclusiones y opiniones de auditora.
Los auditores evalan las funciones y sistemas de TI
desde perspectivas diferentes, tales como:
Seguridad (confidencialidad, integridad,
disponibilidad)
Calidad ( efectividad, eficiencia)
Fiduciaria ( cumplimiento, confiabilidad)
Servicio( soporte, entrega y la capacidad).

2.4.1. PROCEDIMIENTOS DE AUDITORIA

INFORMATICA
Los procedimientos generales de auditora son los
pasos bsicos en la ejecucin de una auditora y
habitualmente incluyen lo siguiente:
Obtencin y documentacin del conocimiento
sobre el rea/objeto de la auditora
Evaluacin de riesgos

Planeacin detallada de auditora

Evaluacin del rea/objeto de auditora

2.4.1. PROCEDIMIENTOS DE AUDITORIA

INFORMATICA
Verificacin y evaluacin de la correccin de los
controles diseados para cumplir los objetivos de
control.
Pruebas de cumplimientos (pruebas de la
implementacin de controles y su aplicacin
consistente)
Pruebas sustantivas (que confirmen la exactitud
de la informacin)
Informe (comunicacin de los resultados)

2.4.1. PROCEDIMIENTOS DE AUDITORIA

INFORMATICA
EJEMPLO
Relevamiento de las Normas, Polticas y
Procedimientos del rea de Tecnologa
Informtica.
Visita al Centro de Cmputos.
Verificacin de la estructura organizativa
existente en el rea de tecnologa informtica.
Verificacin de las tareas correspondiente a la
continuidad de procesamiento de datos.
Verificacin de las polticas de seguridad
existentes.
Anlisis de los usuarios que acceden al sistema
operativo. .. Etc.

2.5. RECOPILACION DE EVIDENCIAS

CONCEPTO
Se llama evidencia de auditoria a "
Cualquier informacin que utiliza el
auditor para determinar si la informacin
cuantitativa o cualitativa que se est
auditando, se presenta de acuerdo al
criterio establecido".

2.5. RECOPILACION DE EVIDENCIAS

CARACTERISITICAS
La Evidencia para que tenga valor de prueba,
debe ser Suficiente, Competente y Pertinente.
Es suficiente, si el alcance de las pruebas es
adecuado. Solo una evidencia encontrada,
podra ser no suficiente para demostrar un
hecho.
Es pertinente, si el hecho se relaciona con el
objetivo de la auditoria.
Es competente, si guarda relacin con el alcance
de la auditoria y adems es creble y confiable

2.5. RECOPILACION DE EVIDENCIAS

TECNICAS
Revisin de estructuras organizativas de SI
Una slida estructura organizativa con adecuada segregacin
de funciones es un control general clave en SI

Revisin de los estndares de documentacin de SI

Se debe buscar un nivel mnimo de documentacin de SI
Documentos que inician el desarrollo de sistemas
Especificaciones de diseo funcional
Manuales de documentacin de usuario
Manuales de operaciones del ordenador
Documentos sobre la seguridad

2.5. RECOPILACION DE EVIDENCIAS

TECNICAS
Revisin de la documentacin de sistemas
Revisar la documentacin de un sistema en particular
Evaluar si cumple los estndares de la organizacin

Entrevistas del personal apropiado

Su propsito es recopilar evidencias de auditora
Destreza importante, necesaria para los Auditores de
SI
Planificar la entrevista
Documentarla con notas
Formularios de entrevistas
Listas de control
Naturaleza de descubrimiento y no acusatoria

2.5. RECOPILACION DE EVIDENCIAS

TECNICAS
Observacin de operaciones y actuacin de los
empleados
Tcnica de auditora clave para muchos tipos
de revisiones
No ser inoportunos al hacer las observacin
Documentarlo con suficiente grado de detalle para
poder presentarlo como evidencia

2.5.1. TIPOS DE EVIDENCIAS DE

AUDITORIA INFORMTICA
Evidencia Fsica
Muestra de materiales, mapas, fotos.
Evidencia Documental
Cheques, facturas, contratos, etc.

Evidencia Testimonial
Obtenida de personas que trabajan en el negocio o
que tienen relacin con el mismo.
Evidencia Analtica
Datos comparativos, clculos, etc.

2.6. PRUEBAS DE AUDITORIA

INFORMATICA
Las pruebas de control estn relacionadas con el
grado de efectividad del control interno imperante.
Las pruebas analticas se utilizan haciendo
comparaciones entre dos o ms estados
financieros o haciendo un anlisis de las razones
financieras de la entidad para observar su
comportamiento.
Las pruebas sustantivas son las que se aplican a
cada cuenta en particular en busca de evidencias
comprobatorias. Ejemplo, un arqueo de caja
chica, circulacin de saldos de los clientes, etc.

2.7. INFORME
El informe de Auditora debe contener a lo
menos:
Dictamen sobre el rea auditada.
Informe sobre la estructura del Control Interno de
la entidad.
Conclusiones y recomendaciones resultantes de
la Auditora,.
Deben detallarse en forma clara y sencilla, los
hallazgos encontrados.

2.7. INFORME
HALLAZGO
Se considera que los hallazgos en auditoria son las
diferencias significativas encontradas en el trabajo
de auditoria con relacin a lo normado o a lo
presentado por la gerencia.
Atributos del hallazgo:
1.Condicin: la realidad encontrada
2. Criterio: cmo debe ser (la norma, la ley, el
reglamento, lo que debe ser)
3. Causa: qu origin la diferencia encontrada.
4. Efecto: qu efectos puede ocasionar la
diferencia encontrada.

2.7. INFORME
HALLASZGO
Al plasmar el hallazgo el auditor primeramente
indicar el ttulo del hallazgo, luego los atributos,
a continuacin indicar la opinin de la personas
auditadas sobre el hallazgo encontrado,
posteriormente indicar su conclusin sobre el
hallazgo y finalmente har las recomendaciones
pertinentes. Es conveniente que los hallazgos
sean presentados en hojas individuales.

CONCLUSION METODOLOGIA DE
AUDITORIA INFORMATICA
Conocimiento general del rea de sistemas
Organigrama
Estructura del rea o departamento
Relaciones funcionales y jerrquicas
Recursos (equipos con los que se cuenta)
Aplicaciones en desarrollo
Aplicaciones en produccin

CONCLUSION METODOLOGIA DE
AUDITORIA INFORMATICA
Planificacin
Definicin de objetivos y alcances
Personas de la organizacin que se
involucrarn en el proceso de auditora
Plan de trabajo
Tareas
Calendario
Resultados parciales
Presupuesto

CONCLUSION METODOLOGIA DE
AUDITORIA INFORMATICA
Desarrollo de la auditora
Entrevistas
Cuestionarios
Observacin de las situaciones deficientes
Observacin de los procedimientos
Fase de diagnstico
Definicin de los puntos dbiles y fuertes, los riesgos
eventuales y posibles tipos de solucin y mejora
Presentacin de conclusiones
Integracin de soporte documental
Formulacin de observaciones y papeles de
trabajo
Informe final

MUCHAS GRACIAS !!!

PREGUNTAS???