Auditoría Informática.

Auditoría Informática.
Instituto IACC
07 de septiembre de 2018
Actividad

1. Considere el siguiente enunciado: “se le ha solicitado que pueda identificar riesgos y controles
asociados a estos, en el proceso de otorgamientos de créditos de una compañía de la industria
financiera, el cual es soportado por un sistema de información desarrollado internamente.
Interesa en particular detectar el riesgo asociado al cumplimiento normativo, el cual establece
que la tasa otorgada no debe superar la tasa máxima convencional que es publicada
periódicamente en la página de la Superintendencia de Bancos e Instituciones Financieras”.

En base a lo anterior, indique los pasos que debe seguir esta auditoría para cumplir con los
parámetros de la técnica de prueba de recorrido.

Desarrollo

Primeramente debemos indicar que una auditoria con parámetros de la técnica de recorrido
consiste en reproducir y documentar, a través del sistema de información de la entidad, las etapas
manuales y automáticas de un proceso de gestión o de una clase de transacción, desde su inicio hasta su
finalización, sirviéndose de una transacción utilizada como ejemplo, teniendo como objetivo verificar la
comprensión del proceso de gestión, subproceso o actividad analizada, los riesgos y los controles claves
relacionados.

Para el caso planteado, los pasos que debemos seguir y cumplir con la técnica de prueba de
recorrido son los siguientes:
 Revisión de las actividades y transacciones de la entidad.
 Inspección de documentos (p.ej. planes y estrategias de negocio), actas/documentos y manuales
de control interno.
 Lectura de los informes elaborados por los gestores (p.ej. informes de gestión trimestrales y
estados financieros provisionales), por los responsables de la gobernanza (p.ej. actas de las
reuniones del consejo de administración), y por los responsables del control interno.
 Visitas a las instalaciones de la entidad.
  Hacer un seguimiento de las transacciones a través del sistema de información con relevancia
para la información financiera, que puede ser llevado a cabo como parte de una prueba de
recorrido

Actividad

2. Traselec, compañía dedicada a la transmisión de energía eléctrica en el Sistema Interconectado

Central, desea realizar una auditoría a los proveedores de tecnologías de información. Se
necesita identificar si los contratos especifican acuerdos de niveles de servicio y si éstos son
monitoreados.

A través de las técnicas de revisión de documentación y entrevistas, indique cuál sería la

secuencia de pasos necesarios para cubrir esta necesidad. Fundamente su respuesta.

Desarrollo

La secuencia de pasos necesarios para cubrir la necesidad según las técnicas de revisión de
documentos y entrevistas son:

Revisión de documentación

a) Identificar la documentación vigente existente tanto física como digitalmente. Esta

documentación puede incluir lo siguiente:
 Documentos de inicio de desarrollo de sistemas (por ejemplo, estudios de factibilidad).
 Documentación suministrada por proveedores externos de aplicación.
 Acuerdos de nivel de servicio con proveedores externos de TI.
 Requerimientos funcionales y especificaciones de diseño.
 Planes e informes de pruebas.
 Programa y documento de operaciones.
 Registros (logs) e historial de cambios a programas.
 Manuales del usuario.
 Manuales de operación.
  Documentos relacionados con la seguridad (por ejemplo, planes de seguridad,
evaluación de riesgo).
 Planes de continuidad del negocio.
 Informes de control de calidad.
 Reportes sobre métricas de seguridad.
b) Verificar la existencia y disponibilidad de un nivel mínimo de documentación de sistemas de
información.
c) Buscar estándares y prácticas de documentación dentro de la organización de tecnologías de la
información.
d) Entender los enfoques actuales de desarrollo de sistemas, tales como los métodos orientados a
objetos, y cómo se genera la documentación
e) Reconocer además otros componentes de la documentación de los sistemas de información,
tales como especificaciones de base de datos, descripción de archivos o listados de programas
autodocumentados.

Entrevistas

Los procedimientos para recopilar evidencia incluyen: indagación, observación, inspección,

confirmación, desempeño y monitoreo.
 Indagación: consiste en la obtención de información por la vía verbal, a través de averiguaciones
y conversaciones con funcionarios de la entidad o empresa auditada sobre aquellas situaciones
en las cuales los hallazgos requieren de una mayor firmeza en cuanto a la recopilación y síntesis
de la información específica.
 Observación: se refiere al examen ocular para cerciorarse de la ejecución de operaciones.
 Inspección: consiste en el examen físico a bienes, fondos y valores de la entidad o empresa con
el objeto de demostrar su existencia y autenticidad.
 Confirmación: acción enfocada en obtener información de fuentes externas o independientes
de la entidad o empresa auditada.
 Desempeño: se refiere a determinar la eficiencia y eficacia de una operación específica o de un
empleado.
 Monitoreo: seguimiento sobre una operación de un punto a otro dentro de un proceso.
Actividad

3. Considere los siguientes enunciados:

 “El auditor informático necesita determinar si la gerencia de tecnologías de la
información ha definido un control anual de revisión y actualización de todos sus
procedimientos y políticas”.
 “El auditor informático necesita corroborar la secuencia de respaldos periódicos a los
datos: tiempo de realización, lugar de almacenamientos y tarea programada que
ejecuta”.
 “El auditor informático necesita realizar una conciliación entre las tablas documentadas
y las tablas creadas en la base de datos para determinar la suficiencia de la
documentación”.

De acuerdo a lo estudiado, indique cuál o cuáles serían las técnicas de recopilación de

evidencias recomendadas para lograr cada uno de los objetivos propuestos en los puntos 1, 2 y
3 reconozca las características presentes en cada párrafo que justifiquen y fundamenten su
elección.

Desarrollo

De acuerdo a lo estudiado, las técnicas de recopilación de evidencias recomendadas para lograr

los objetivos propuestos, además de reconocer las características de las técnicas, en los puntos 1, 2 y 3
serian:
 En el punto 1 tenemos la técnica de revisión de documentos, específicamente la revisión de
políticas y procedimientos, teniendo como características principales la verificación de que los
documentos son los apropiados, que sean entendibles para el personal y el cumplimiento de las
políticas y procedimientos por parte del personal. La referencia en este caso tiene una gran
responsabilidad en la formulación de los documentos, como en su desarrollo, control y
publicación, los cuales se engloban en las directivas generales de la compañía y sus propósitos.

 En el punto 2 tenemos nuevamente la técnica de revisión de documentos, ya que la revisión de

documentos en general de los sistemas e información, identificando los documentos que se
 encuentren vigentes, estos pueden estar en forma física como digital. En el caso que estén
almacenados en forma digital, es importante la integridad de estos archivos.

 En el punto 3, la técnica de auditoria que utilizaremos son las pruebas de recorrido, con lo cual
se confirmaría si fueron comprendidos los procesos y controles, se deberá ir reproduciendo y
documentado por medio de un sistema de información, las etapas tanto manuales como
automáticas que se incluyen en un proceso de gestión, desde el comienzo hasta el final.
Bibliografía

(2018). Técnicas de auditoría informática. Parte I (ed., Vol. Semana 3, pp.). IACC.

Yamiler, M. (2014). Manual de Fiscalización de la Sindicatura de Comptes de la CV, Sección 591: Cómo
realizar y documentar las pruebas de recorrido. Recuperado de
http://es.scribd.com/doc/202550092/MF591-Pruebas-de-Recorrido#scribd