PLANIFICACIN AUDITORA

EN INFORMTICA
PLANEACIN Y PROGRAMACIN DE
UNA AUDITORA
Para hacer una adecuada planeacin de la auditora en informtica, hay
que seguir una serie de pasos previos que permitan dimensionar el
tamao y caractersticas de rea dentro del organismo a auditar, sus
sistemas, organizacin y equipo.
En el caso de la auditora en informtica, la planeacin es fundamental,
pues habr que hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos
Evaluacin de los equipos de computo.
 Para hacer una planeacin eficaz, se requiere obtener informacin
general sobre la organizacin y sobre la funcin de informtica a
evaluar.

Para ello es preciso hacer una investigacin preliminar y algunas

entrevistas previas, con base en esto planear el programa de trabajo, el
cual deber incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la misma.
Metodologa de Trabajo de Auditora
Informtica
Alcance y objetivos de la Auditora Informtica
Estudio Inicial del entorno auditable
Determinacin de los recursos necesarios para la realizar la auditora
Elaboracin del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la Auditora
Confeccin y redaccin del Informe Final
Redaccin de la carta
Definicin y alcance

Visita preliminar
Expresa los lmites de la misma
Trminos de referencia (cliente-auditor)
Tipo de auditora
Informacin a evaluar
Compromisos del cliente
Compromisos del auditor
Equipo de trabajo
Honorarios.
Estudio Inicial

Conocimiento por parte del auditor:

Organizacin
Entorno operacional
Aplicaciones bases de datos y ficheros
Recursos materiales
Recursos humanos
Organizacin

Evaluar Organigrama
Departamentos
Relaciones jerrquicas y funcionales entre rganos de la organizacin.
Flujos de informacin
Nmeros de puestos de trabajo
Nmero de personas por puestos de trabajo
ENTORNO OPERACIONAL
Situacin geogrfica de los sistemas. (ubicacin de los distintos centros
de proceso de datos).

Arquitectura y configuracin de Hardware y Software

Inventario de Hardware y software

APLICACIONES DE BASES DE DATOS Y
FICHEROS
Conocimiento de:
Volumen, antigedad y complejidad de las aplicaciones
Metodologa del diseo
Se deber recabar informacin de tamao y caractersticas de las bases de
datos, clasificndolas en relacin y jerarquas.
Determinacin de los recursos de la
auditora informtica

Determinacin de recursos de la auditora en informtica

Mediante los resultados del estudio inicial realizado se procede a determinar
los recursos humanos y materiales que han de emplearse en la auditora.
Elaboracin del plan y de los
programas de trabajo
Una vez asignados los recursos, el responsable de la auditora y sus
colaboradores establecen un plan del trabajo, luego se procede a la
programacin del mismo.
REVISION PRELIMINAR

En esta fase el auditor debe de armarse de un conocimiento amplio del

rea que va a auditar, los objetivos que debe cumplir, tiempos (una
empresa no pude dejar sus equipos y personal que lo opera sin trabajar
porque esto le genera perdidas sustanciosas), herramientas y
conocimientos previos, as como de crear su equipo de auditores
expertos en la materia con el fin de evitar tiempos muertos a la hora de
iniciar la auditoria.
Revisin preliminar La revisin preliminar significa la recoleccin de
evidencias por medio de entrevistas con el personal de la instalacin, la
observacin de las actividades en la instalacin y la revisin de la
documentacin preliminar.
 Revisin preliminar El primero paso en el desarrollo de la auditoria, despus
de la planeacin, es la revisin preliminar del rea de informtica. el objetivo
de la revisin preliminar es el de obtener la informacin necesaria para que
el auditor pueda tomar la decisin de cmo proceder en la auditoria.
Revisin preliminar La revisin preliminar elaborada por un auditor interno
difiere de la realizada por un auditor externo en tres aspectos. en primero
lugar, el auditor interno normalmente requiere de menos remisiones y
trabajos, especialmente en la parte gerencia y de organizacin, ya que l es
parte de la organizacin y est familiarizado con la misma. en segundo, el
auditor externo se enfoca ms en las causas de las perdidas y en los
controles necesarios para justificar su decisiones; el auditor interno tiene una
amplia perspectiva, la cual incorpora en sus consideraciones sobre la
eficiencia y eficacia con la que se trabaja.
Revisin detallada

El auditor debe decidir si se debe continuar elaborando pruebas de

consentimiento, con la esperanza de obtener mayor confianza por
medio del sistema de control interno, o proceder directamente a la
revisin con los usuarios (pruebas compensatorias), o a las pruebas
sustantivas. en la fase de evaluacin detallada es importante para el
auditor identificar las causas de las prdidas y los efectos causados por
estas. al terminar la revisin detallada el auditor debe evaluar en que
momento los controles establecidos reducen las perdidas esperadas a
un nivel aceptable.
Examen y evaluacin de la
informacin
Los auditores internos debern relazar diferentes pasos como obtener, analizar,
interpretar y documentar la informacin para apoyar los resultados de la
auditoria.
El proceso es el siguiente:
Obtener la informacin de todos los asuntos relacionados son los objetivos
de la auditoria.
La informacin deber ser suficiente, competente y relevante para que
proporcione bases slidas en relacin con los hallazgos y recomendaciones de la
auditoria.
Los procedimientos de auditoria, incluyendo el empleo de las tcnicas de
pruebas selectivas y el muestreo estadstico, debern ser elegidos con
anterioridad cuando esto sea posible y ampliarse o modificarse cuando estos lo
requieran.
 El proceso de recabar analizar interpretar y documentar la informacin
deber supervisarse para proporcionar una seguridad razonable de que la
objetividad del auditor se mantuvo y que las metas se cumplieron.
Los documentos de trabajo debern ser preparados por los auditores
y revisados por la gerencia de auditoria.En estos se deber registrar la
informacin obtenida y el anlisis realizado y deben apoyar las bases de los
hallazgos de auditoria y las recomendaciones que se harn.
Los auditores debern reportar los resultados. El auditor deber discutir las
conclusiones y recomendaciones en los niveles apropiados de la
administracin antes de emitir su informe final. Los informes pueden incluir
recomendaciones para mejoras potenciales y reconocer el trabajo
satisfactorio y medidas correctivas. Los puntos de vista de los auditores
respecto a recomendacionespueden incluirse en el informe de auditora.
 Los auditores internos realizaran el seguimiento de las recomendaciones, para
asegurarse de que se tomaron las acciones apropiadas sobre hallazgos de
auditoria reportados.
El director de auditoria en informtica deber establecer un programa para
seleccionar y desarrollar los recursos, as:
Descripciones de puestos en cada nivel de la auditoria.
Seleccin de individuos calificados.
Entrenamiento y capacitacin profesional para cada uno de los auditores.
Evaluacin del trabajo de cada uno de los auditores por lo menos una vez al
ao.
Asesora a los auditores en lo referente a su trabajo y desarrollo profesional.
 La auditora interna y externa deber coordinarse para asegurar la adecuada
cobertura y para minimizar la duplicidad de esfuerzos. El propsitodel departamento
de auditoria interna es proporcionar una seguridad razonable de que el trabajo de
auditoria est de acuerdo con los normas aplicables.
Un programa de control de calidad deber incluir:
Supervisin
Revisiones internas
Revisiones externas
La supervisin del trabajo de los auditores en informtica deber llevarse a cabo
continuamente para asegurar que se est realizando su trabajo de acuerdo con las
normas, polticas y programas de auditoria en informtica.
Para evaluar la calidad de del trabajo de auditoria en informtica debern practicarse
revisiones externas.
PRUEBAS DE CONSENTIMIENTO

El proceso de la prueba de consentimiento es determinar si los controles

internos operan como fueron diseados para operar. El auditor debe
determinar si los controles en realidad existen y si realmente trabajan
confiablemente.
Adems de las tcnicas manuales de recoleccin es muy frecuente que
el auditor recurra a tcnicas de recoleccinde informacin asistidas por
computadora, para determinar la existencia y confiabilidad de los
controles. Por ejemplo para determinar la existencia y confiabilidad de
los controles de un sistema de red, se requerir el entrar a la red y
evaluar directamente al sistema.
PRUEBAS DE CONTROLES DE
USUARIOS
Se puede presentar situaciones en las que el auditor no confi en los
controles internos de las instalaciones informticas, porque el usuario
ejerce controles que compensan cualquier debilidad dentro de los
controles internos de informatica. Las pruebas que compensan las
deficiencias de los controles internos se pueden realizar mediante
cuestionarios, entrevistas, vistas y evaluaciones hechas directamente
con los usuarios.
PRUEBAS SUSTANTIVAS

El objetivo primordial de las pruebas sustantivas es obtener la evidencia suficiente para que el auditor pueda emitir
su juicio durante el procesamiento de la informacin.
Se pueden identificar ocho diferentes pruebas sustantivas:

Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad

Pruebas para asegurar la calidad de los datos
Pruebas para identificar la inconsistencia de los datos
Pruebas para comparar con los datos o contadores fsicos
Confirmacin de datos con fuentes externas
Pruebas para confirmar la adecuada comunicacin
Pruebas para determinar falta de seguridad
Pruebas para determinar problemas de legalidad
El auditor debe participar en tres estados del sistema
Durante la fase de diseo del sistema
Durante la fase de operacin
Durante la fase posterior a la auditoria
PRUEBAS SUSTANTIVAS

Para realizar una auditora en informtica el auditor necesita dividir los sistemas en una
serie de subsistemas para identificar las actividades bsicas que se realizan en estos
subsistemas, adems de hacer una evaluacin de estos subsistemas tiene que llegar a una
evaluacin global sobre la confianza total del sistema.
Primero se realiza una investigacin preliminar del ares de informtica, para lograr un
entendimiento de cmo est siendo administrada la instalacin.
Segundo si el auditor determina confiar enlos controles internos del sistema, se realiza una
investigacin detallada.
Tercero el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos controles
que son crticos.
Cuarto se realizan pruebas sustantivas de los procedimientos.
Finalmente el auditor debe dar una opinin.
Despus de haber realizado estos pasos el auditor evala los controles internos del sistema
y decide si debe proceder con pasos alternativos