Procesos de auditoria

Universidad Cesar Vallejo
Auditoria de Sistemas
Facultad de Ingeniería de Sistemas
FASES DEL PROCESO
DE LA AUDITORIA
I. PRIMERA FASE PLANEACIÓN
En esta fase se identifica la forma en que las Tecnologías de
Información pueden contribuir de la mejor manera al logro de los
objetivos institucionales, y al establecimiento de una organización e
infraestructura tecnológica apropiada. Se hace un bosquejo de la
situación de la entidad, que le permita al auditor elabora el programa
de auditoria que se llevará a efecto.
Elementos Principales de esta Fase
1. Conocimiento y Comprensión de la Entidad
2. Objetivos y Alcance de la auditoria
3. Análisis Preliminar del Control Interno
4. Análisis de los Riesgos y la Materialidad
5. Planeación Específica de la auditoria
6. Elaboración de programas de Auditoria
1. Conocimiento y Comprensión de la Entidad a auditar.
Previo a la elaboración del plan de auditoria, se debe investigar
todo lo relacionado con la entidad a auditar, para poder elaborar
el plan en forma objetiva. Este análisis debe contemplar: su
naturaleza operativa, su estructura organizacional, giro del
negocio, capital, estatutos de constitución, disposiciones legales
que la rigen, sistemas informáticos que utiliza y todo aquello que
sirva para comprender exactamente cómo funciona la empresa.
Fases del proceso de Auditoria 1

Para el logro del conocimiento y comprensión de la entidad se
deben establecer diferentes mecanismos o técnicas que el auditor
deberá dominar y estas son entre otras:
a) Visitas al lugar
b) Entrevistas y encuestas
c) Análisis comparativos.
d) Análisis FODA (Fortalezas, oportunidades, debilidades,
amenazas)
e) Análisis Causa-Efecto
f) Árbol de Objetivos.- Desdoblamiento de Complejidad.
g) Árbol de Problemas
2. Objetivos y Alcance de la auditoria.
Los objetivos indican el propósito por lo que es contratada la
firma de auditoria, qué se persigue con el examen, para qué y
por qué. Si es con el objetivo de informar a la gerencia sobre el
estado real de la empresa, o si es por cumplimiento de los
estatutos que mandan efectuar auditorias anualmente, en todo
caso, siempre se cumple con el objetivo de informar a los socios,
a la gerencia y resto de interesados sobre la situación encontrada
para que sirvan de base para la toma de decisiones.
Por otro lado el alcance también puede estar referido al período a
examinar: puede ser de un año, de un mes, de una semana, y
podría ser hasta de varios años.
3. Análisis Preliminar del Control Interno
Este análisis reviste de vital importancia en esta fase, porque de
su resultado se comprenderá la naturaleza y extensión del plan

de auditoria y la valoración y oportunidad de los procedimientos a
utilizarse durante el examen.

4. Análisis de los Riesgos y la Materialidad.
El Riesgo en auditoria representa la posibilidad de que el
auditor exprese una opinión errada en su informe debido a que
la información suministrada a el estén afectados por una
distorsión material o normativa.
En auditoria se conocen tres tipos de riesgo: Inherente, de
Control y de Detección.
El riesgo inherente es la posibilidad de que existan errores
significativos en la información auditada, al margen de la
efectividad del control interno relacionado; son errores que no se
pueden prever.
El riesgo de control está relacionado con la posibilidad de que
los controles internos imperantes no prevén o detecten fallas que
se están dando en sus sistemas y que se pueden remediar con
controles internos más efectivos.
El riesgo de detección está relacionado con el trabajo del
auditor, y es que éste en la utilización de los procedimientos de
auditoria, no detecte errores en la información que le
suministran.
El riesgo de auditoria se encuentra así:
RA = RI x RC x RD
Donde:
RI: Riesgo Inherente
RC: Riesgo de Control

RD: Riesgo de detección
5. Planeación Específica de la Auditoria.
Para cada auditoria que se va a practicar, se debe elaborar un
plan. Esto lo contemplan las Normas para la ejecución. Este plan
debe ser técnico y administrativo.
6. Elaboración de Programa de Auditoria
Cada miembro del equipo de auditoria debe tener en sus manos
el programa detallado de los objetivos y procedimientos de
auditoria objeto de su examen.
II. SEGUNDA FASE EJECUCIÓN:
El propósito fundamental de esta fase es recopilar las pruebas que
sustenten las opiniones del auditor en cuanto al trabajo realizado, es
la fase del trabajo de campo, esta depende grandemente del grado
de profundidad con que se haya realizado la fase anterior.
Aunque todas las fases son importantes, esta fase viene a ser el
centro de lo que es el trabajo de auditoria, donde se realizan todas
las pruebas y se utilizan todas las técnicas o procedimientos para
encontrar las evidencias de auditoria que sustentarán el informe de
auditoria.
Elementos de la fase de ejecución
1. Las Pruebas de Auditoria
2. Técnicas de Muestreo
3. Evidencias de Auditoria
4. Papeles de Trabajo
5. Hallazgos de Auditoria

1. Las Pruebas de Auditoria
Son técnicas o procedimientos que utiliza el auditor para la
obtención de evidencia. Las pruebas poden ser:
A. Las pruebas sustantivas: tratan de obtener la evidencia
referida a la información que se desea auditar. Están
relacionadas con la integridad, la exactitud y la validez de la
información auditada.
B. Las pruebas de cumplimiento: tratan de obtener
evidencia de que se están cumpliendo y aplicando
correctamente los procedimientos de control interno
existentes. Estas pruebas tratan de obtener evidencia de que
los procedimientos de control interno, en los que el auditor
basa su confianza en el sistema.
2. Técnicas de Muestreo.
Se usa la técnica de muestreo ante la imposibilidad de efectuar
un examen a la totalidad de los datos. Por tanto esta técnica
consiste en la utilización de una parte de los datos (muestra) de
una cantidad de datos mayor (población o universo).
El muestreo que se utiliza puede ser Estadístico o No Estadístico.
Es estadístico: Es cuando la muestra es escogida al azar, se
utilizan los métodos ya conocidos en estadística para la selección
de muestras:
a) Aleatoria: cuando todos los datos tienen la misma
oportunidad de ser escogidos o seleccionados. Ejemplo se
tiene una lista de 100 alumnos y se van a examinar 10 de

ellos. Se introducen los números del 1 al cien en una
tómbola y se sacan 10. Los 10 escogidos serán los clientes
revisados.
b) Sistemática: se escoge al azar un número y luego se
designa un intervalo para los siguientes números. Ejemplo:
se tiene una lista de 1000 clientes, entre los primeros 20 se
escoge al azar uno de ellos. Si resulta el 12, se puede
designar los siguientes 4 números de la lista con intervalos
de 50. Los clientes a examinarse serían: 12(escogido al
azar), 13, 14, 15 y 16. Luego el 62(12 +50), 63, 64,65 y 66.
Luego el 112(62 + 50), 113, 114,115 y 116. Luego el 162,
163, 164, 165 y 166, y así sucesivamente hasta completar
los 100 de la muestra.
c) Selección por Celdas: se elabora una tabla de distribución
estadística y luego se selecciona una de las celdas. Ejemplo:
Una lista de 1000 clientes puede dividirse en 5 grupos
(celdas) de 200:
Del 1 al 200 Del 201 al 400 Del 401 al 600 Del 601 al 800
Del 801 al 1000
Se puede escoger una de las celdas como muestra para ser
examinadas.
d) Al Azar: es el muestreo basado en el juicio o la apreciación.
Viene a ser un poco subjetivo, sin embargo es utilizado por
algunos auditores. El auditor puede pensar que los errores

podrían estar en las partidas grandes, y de estas revisar las
que resulten seleccionadas al azar.
e) Selección por bloques: se seleccionan las transacciones
similares que ocurren dentro de un período dado. Ejemplo:
seleccionar 100 transacciones de ventas ocurridas en la
primera semana de Enero, o 100 de la tercera semana, etc.
3. Evidencia de Auditoria
Se llama evidencia de auditoria a " Cualquier información que
utiliza el auditor para determinar si la información cuantitativa o
cualitativa que se está auditando, se presenta de acuerdo al
criterio establecido".
La Evidencia para que tenga valor de prueba, debe ser Suficiente,
Competente y Pertinente.
La evidencia es suficiente, si el alcance de las pruebas es
adecuado. Solo una evidencia encontrada, podría ser no
suficiente para demostrar un hecho.
La evidencia es pertinente, si el hecho se relaciona con el
objetivo de la auditoria.
La evidencia es competente, si guarda relación con el alcance
de la auditoria y además es creíble y confiable.
Además de las tres características mencionadas de la evidencia
(Suficiencia, Pertinencia y Competencia), existen otras que son
necesarias mencionar, porque están ligadas estrechamente con el
valor que se le da a la evidencia: Relevancia, Credibilidad,
Oportunidad y Materialidad.

Tipos de Evidencias:
1. Evidencia Física: muestra de materiales, mapas, fotos.
2. Evidencia Documental: cheques, facturas, contratos, etc.
3. Evidencia Testimonial: obtenida de personas que trabajan en
el negocio o que tienen relación con el mismo.
4. Evidencia Analítica: datos comparativos, cálculos, etc.
Técnicas para la Recopilación de Evidencias
A. ESTUDIO GENERAL.- Apreciación sobre la fisonomía o
características generales de la empresa, significativas o
extraordinaria. Esta apreciación se hace aplicando el juicio
profesional del auditor, que basado en su preparación y
experiencia, podrá obtener de los datos e información de la
empresa que va a examinar, situaciones importantes o
extraordinarias que pudieran requerir atención especial.
El estudio general, deberá aplicarse con cuidado y diligencia,
por lo que es recomendable que su aplicación la lleve a cabo
un auditor con preparación, experiencia y madurez, para
asegurar un juicio profesional sólido y amplio.
B. ANÁLISIS. Clasificación y agrupación de los distintos
elementos individuales que se desean evaluar, de tal manera
que los grupos constituyan unidades homogéneas y
significativas.

C. INSPECCION. Examen físico de los recursos informáticos, con
el objeto de cerciorarse de la existencia y su buen
funcionamiento.
D. CONFIRMACIÓN. Obtención de una comunicación escrita de
una persona independiente de la empresa examinada y que se
encuentre en posibilidad de conocer la naturaleza y
condiciones de la operación y, por lo tanto, confirmar de una
manera válida, puede ser aplicada de diferentes formas:
Positiva.- Se envían datos y se pide que contesten, tanto si
están conformes como si no lo están. Se utiliza este tipo de
confirmación.
Negativa.- Se envían datos y se pide contestación, sólo si
están inconformes.
E. INVESTIGACIÓN. Obtención de información, datos y
comentarios de los funcionarios y empleados de la propia
empresa.
F. DECLARACIÓN. Manifestación por escrito con la firma de los
interesados, del resultado de las investigaciones realizadas
con los funcionarios y empleados de la empresa.
Esta técnica, se aplica cuando la importancia de los datos o el
resultado de las investigaciones realizadas lo ameritan.

G- CERTIFICACIÓN. Obtención de un documento en el que se
asegure la verdad de un hecho, legalizado por lo general, con
la firma de una autoridad.
H. OBSERVACIÓN. Presencia física de cómo se realizan ciertas
operaciones o hechos. El auditor se cerciora de la forma como
se realizan ciertas operaciones, dándose cuenta ocularmente
de la forma como el personal de la empresa las realiza. Por
ejemplo, el auditor puede obtener la convicción de que los
inventarios físicos fueron practicados de manera satisfactoria,
observando cómo se desarrolla la labor de preparación y
realización de los mismos.
4. Papeles de Trabajo
Son los archivos o legajos que maneja el auditor y que contienen
todos los documentos que sustentan su trabajo efectuado
durante la auditoria.
Estos archivos se dividen en Permanentes y Corrientes:
El archivo permanente está conformado por todos los
documentos que tienen el carácter de permanencia en la
empresa, es decir, que no cambian y que por lo tanto se pueden
volver a utilizar en auditorias futuras; como los Estatutos de
Constitución, contratos de arriendo, informe de auditorias
anteriores, etc.

El archivo corriente está formado por todos los documentos
que el auditor va utilizando durante el desarrollo de su trabajo y
que le permitirán emitir su informe previo y final.
Los papeles de trabajo constituyen la principal evidencia de la
tarea de auditoria realizada y de las conclusiones alcanzadas que
se reportan en el informe de auditoria.
Los papeles de trabajo son utilizados para:
a) Registrar el conocimiento de la entidad y su sistema de control
interno.
b) Documentar la estrategia de auditoria.
c) Documentar la evaluación detallada de los sistemas, las
revisiones de transacciones y las pruebas de cumplimiento.
d) Documentar los procedimientos de las pruebas de
sustentación aplicadas a las operaciones de la entidad.
e) Mostrar que el trabajo de los auditores fue debidamente
supervisado y revisado
f) Registrar las recomendaciones para el mejoramiento de los
controles observados durante el trabajo.
El formato y el contenido de los papeles de trabajo es un asunto
relativo al juicio profesional del auditor; no hay sentencias
disponibles que indiquen lo que se debe incluir en ellos, sin
embargo, es esencial que contengan suficiente evidencia del
trabajo realizado para sustentar las conclusiones alcanzadas. La
efectividad de los papeles de trabajo depende de la calidad, no
de la cantidad.
5. Hallazgos de Auditoria

Se considera que los hallazgos en auditoria son las diferencias
significativas encontradas en el trabajo de auditoria con relación
a lo normado o a lo presentado por la gerencia.
Atributos del hallazgo:
1. Condición: la realidad encontrada
2. Criterio: cómo debe ser (la norma, la ley, el reglamento, lo
que debe ser)
3. Causa: qué originó la diferencia encontrada.
4. Efecto: qué efectos puede ocasionar la diferencia encontrada.
Al plasmar el hallazgo el auditor primeramente indicará el título
del hallazgo, luego los atributos, a continuación indicará la
opinión de las personas auditadas sobre el hallazgo encontrado,
posteriormente indicará su conclusión sobre el hallazgo y
finalmente hará las recomendaciones pertinentes. Es conveniente
que los hallazgos sean presentados en hojas individuales.
Solamente las diferencias significativas encontradas se pueden
considerar como hallazgos (generalmente determinadas por la
Materialidad), aunque en el sector público se deben dar a conocer
todas las diferencias, aun no siendo significativas.
Una vez concluida la fase de Ejecución, se debe solicitar la carta
de salvaguarda o carta de gerencia, donde la gerencia de la
empresa auditada da a conocer que se han entregado todos los
documentos que oportunamente fueron solicitados por los
auditores.
III. TERCERA FASE PREPARACION DEL INFORME:

En esta fase el Auditor se dedica a formalizar en un documento los
resultados a los cuales llegaron los auditores en la Auditoria ejecutada
y demás verificaciones vinculadas con el trabajo realizado.
Comunica los resultados al máximo nivel de dirección de la entidad
auditada y otras instancias administrativas, así como a las
autoridades que correspondan, cuando esto proceda.
El informe parte de los resúmenes de los temas y de las Actas de
Notificación de los Resultados de Auditoria (parciales) que se vayan
elaborando y analizando con los auditados, respectivamente, en el
transcurso de la Auditoria.
La elaboración del informe final de Auditoria es una de las fases más
importante y compleja de la Auditoria, por lo que requiere de extremo
cuidado en su confección.
El informe de Auditoria debe tener un formato uniforme y estar
dividido por secciones para facilitar al lector una rápida ubicación del
contenido de cada una de ellas.
El informe de Auditoria debe cumplir con los principios siguientes:
 Que se emita por el jefe de grupo de los auditores actuantes.
 Por escrito.
 Oportuno.
 Que sea completo, exacto, objetivo y convincente, así como
claro, conciso y fácil de entender.

 Que todo lo que se consigna esté reflejado en los papeles de
trabajo y que responden a hallazgos relevantes con evidencias
suficientes y competentes.
 Que refleje una actitud independiente.
 Que muestre la calificación según la evaluación de los resultados
de la Auditoria.
 Distribución rápida y adecuada.
En esta fase se analizan las comunicaciones que se dan entre la
entidad auditada y los auditores, es decir:
A) Comunicaciones de la Entidad, y
B) Comunicaciones del auditor
Entre las primeras tenemos:
a) Carta de Representación
b) Reporte a partes externas
En las comunicaciones del auditor están:
a) Memorando de requerimientos
b) Comunicación de hallazgos
c) Informe de control interno
Y siendo las principales comunicaciones del auditor:
a) Informe Especial
b) Dictamen
c) Informe Final
Si en el transcurso del trabajo de auditoria surgen hechos o se
encuentran algunos o algún hallazgo que a juicio del auditor es grave,
se deberá hacer un informe especial, dando a conocer el hecho en

forma inmediata, con el propósito de que sea corregido o enmendado
a la mayor brevedad.
Así mismo, si al analizar el sistema de control interno se encuentran
serias debilidades en su organización y contenido, se debe elaborar
por separado un informe sobre la evaluación del control interno.
El informe final del auditor, debe estar elaborado de forma sencilla y
clara, ser constructivo y oportuno.
Las personas auditadas deben estar siendo informadas de todo lo que
acontezca alrededor de la auditoria, por tanto, podrán tener acceso a
cualquier documentación relativa a algún hecho encontrado.

Estructura de la Carta de Presentación
La carta tiene importancia porque en ella ha de resumirse la Auditoria
realizada. Se destina exclusivamente al responsable máximo de la
empresa, o a la persona concreta que encargo o contrato la Auditoria.
Así como pueden existir tantas copias del informe Final como solicite
el cliente, la auditoria no hará copias de la citada carta de
Introducción.
La carta de presentación poseerá los siguientes atributos:
• Tendrá como máximo 4 folios.
• Incluirá fecha, naturaleza, objetivos y alcance.
• Cuantificará la importancia de las áreas analizadas.
• Proporcionará una conclusión general, concretando las áreas de gran
debilidad.
• Presentará las debilidades en orden de importancia y gravedad.
• En la carta de Introducción no se escribirán nunca recomendaciones.
Estructura del Informe Final
1. Hecho encontrado.
- Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y además convincente.
- No deben existir hechos repetidos.
2. Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean
directamente deducibles del hecho.
3. Repercusión del hecho
- Se redactará las influencias directas que el hecho pueda tener
sobre otros aspectos informáticos u otros ámbitos de la
empresa.

4. Conclusión del hecho
- No deben redactarse conclusiones más que en los casos en que
la exposición haya sido muy extensa o compleja.
5. Recomendación del auditor informático
- Deberá entenderse por sí sola, por simple lectura.
- Deberá estar suficientemente soportada en el propio texto.
- Deberá ser concreta y exacta en el tiempo, para que pueda ser
verificada su implementación.
- La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan
implementarla.

IV. CUARTA FASE SEGUIMIENTO:
En esta fase se siguen, los resultados de una Auditoria, con el
objetivo de conocer en que medida se han erradicado las deficiencias
detectadas en la Auditoria, así que pasado un tiempo aproximado de
seis meses o un año se vuelve a realizar otra Auditoria de tipo
recurrente.
La fase del seguimiento se realiza para evaluar el nivel del
cumplimiento y el impacto de las recomendaciones hechas ya que
todos los procesos necesitan ser evaluados de forma regular a través
del tiempo, para verificar su calidad y suficiencia en cuanto a los
requerimientos de control.
A. SEGUIMIENTO DE RECOMENDACIONES
Se debe efectuar el seguimiento y verificación de la implantación
de las recomendaciones contenidas en los informes de auditoria.
Al remitirse los informes de auditoria a los titulares de las
entidades, se requerirá que estos informen en un plazo
determinado sobre las acciones correctivas adoptadas al efecto,
las que serán objeto de registro una vez recibida la información.
De no recibirse esta, en el plazo otorgado, se podrá programar la
ejecución de auditorias de seguimiento con fines de verificación.
B. SEGUIMIENTO DE PLANES DE MEJORAMIENTO
En los casos que, como consecuencia de la auditoria, las
entidades diseñen y establezcan planes de mejoramiento, estos
deberán ser materia de monitoreo, requiriéndose a la entidad
que informe periódicamente sobre las acciones correctivas que
adopte.

La implantación oportuna de dichas medidas podrán ser
verificadas mediante procesos de auditoria

APLICACIÓN
AUDITORÍA INFORMÁTORIA
1. Auditoria informática en el área de planificación
Algunos de los objetivos que podemos mencionar son:
- Determinar que planes del proceso de datos están coordinados con
los planes generales de la organización.
- Revisar los planes de informática.
- Contrastar el plan con su realización.
- Determinar el grado de participación y responsabilidad de
directivos y usuarios en la aplicación.
- Participar en el proceso de planificación.
- Revisar los planes de desarrollo del software de aplicaciones.
- Revisar los procedimientos de planificación del software del
sistema (software de base)
- Comprobar la ejecución del plan en cualquiera de sus niveles
(estratégico, táctico, operacional)
El auditor cuando se encuentre examinando la validez de la
planificación de la informática dentro de la organización, centrará
especialmente su atención en:
- El sistema de información
- La planificación del desarrollo.
- La planificación de proyectos
- La definición y distribución de las distintas aplicaciones.

Ejemplo de un cuestionario de auditoria correspondiente al
área de planificación:
1. Sistemas de información
1.1 ¿La dirección general y ejecutiva ha considerado la
importancia que tiene el estudio del sistema de información?
1.2 ¿Se establecen los requisitos de información a largo plazo?
1.3 ¿Se ha realizado una planificación estratégica del sistema de
información para la empresa?
1.4 ¿Existe una metodología para llevar a cabo tal planificación?
1.5 ¿Está definida la función del director del sistema de
información?
1.6 ¿Existe un plan estratégico del departamento de sistema de
información?
2. Recursos humanos
2.1 ¿Se estudia la evolución del mercado y la adaptación del
personal a esa evolución?
2.2 ¿Los informáticos reciben noticias del momento tecnológico
por revistas, notas técnicas, etc.?
2.3 ¿Se recibe formación y se planifica ésta mediante asistencia a
cursos, seminarios, etc.?
3. Otros aspectos
3.1 ¿Los cambios en los sistemas informáticos son consecuencia
de la planificación más que de la presión por necesidades
operativas?
3.2 ¿Se solicitan demostraciones sobre los nuevos artículos a los
proveedores?
3.3 ¿Se ha realizado algún estudio de planificación del posible
efecto de las cargas normales de trabajo y los picos sobre los
requerimientos tanto de equipos como de software?

3.4 ¿La entidad dispone de un plan informático?
3.5 ¿Se están siguiendo las directrices marcadas por el plan?
3.6 ¿El plan recoge todos los diferentes aspectos relacionados con
la función informática?
2. Auditoria informática en el área de organización y
administración
Una buena administración redundará en un buen servicio a los
usuarios y sus necesidades estarán cubiertas por un importante grado
de satisfacción.
La labor del auditor en el entorno de trabajo en que ahora se está
moviendo, se centrará en los aspectos primordiales de una buena
gestión del departamento de informática, aspectos tales como la
dotación de recursos humanos (políticas de personal),
procedimientos, relaciones con proveedores y usuarios, comités ,
estructura, etc.
Objetivos:
- Revisión del organigrama del departamento y del general de la
empresa, al objeto de conocer al departamento, sus dependencias,
funciones y operaciones.
- Comparar la estructura actual con la definida.
- Verificar los estándares de documentación.
- Determinar los procedimientos de dirección para hacer cumplir con
los criterios de documentación en proceso de datos.
- Confrontar las directrices sobre documentos con la realidad.
- Colaborar en la elaboración de nuevos documentos.
- Evaluar la distribución de funciones.
- Examinar los planes de formación.
- Verificar los métodos de análisis e imputación de costos.

- Confrontar presupuesto y realidad.
- Revisar todo tipo de contratos que afecten al departamento de
informática (servicios, mantenimientos, seguros, etc.).
- Examinar los métodos de trabajo: análisis, programación,
pruebas,...
- Evaluar el grado de participación de los usuarios.
- Evaluar el rendimiento de consultores externos.
- Conocer el grado de aceptación o satisfacción general con respecto
al servicio informática.
- Revisar la documentación de usuario.
- Examinar los procedimientos usados para actualizar la
documentación.
- Determinar el impacto de servicio de proceso de datos recibido
desde fuentes externas.
- Evaluar el grado de conocimiento de los usuarios implicados sobre
los sistemas automatizados.
área de organización y administración:
1. Formación
1.1 ¿El desarrollo de aplicaciones tiene en cuenta el nivel de
adecuación y formación del personal?
1.2 ¿Existen proyectos planificados o en desarrollo que requieran
el uso de categorías por encima del nivel del personal?
1.3 ¿Hay presupuesto –tiempo y dinero- para formación?
2. Estándares y metodologías
2.1 ¿Existe algún procedimiento que controle y regule la
introducción de modificaciones a proyectos ya terminados?
2.2 ¿Hay metodología para el análisis de aplicaciones?

2.3 ¿Existe alguna metodología para el diseño de base de datos?
2.4 ¿Se utiliza alguna metodología de programación?
2.5 ¿Las últimas pruebas se realizan con datos proporcionados por
los usuarios?
3. Relación con terceros
3.1 ¿Hay tareas del servicio informático que están siendo
delegadas a personal ajeno a la empresa?
3.2 ¿Se definieron procedimientos para la subcontratación de tales
tareas?
3.3 ¿Los departamentos usuarios tienen una importante
implicación en la fase de análisis funcional?
3.4 ¿Se incluye en esa fase una previsión del grado de asistencia
que necesita el departamento usuario?
4. Documentación
4.1 ¿Hay normas que definan el modo de documentar
aplicaciones?
4.2 ¿Se están confeccionando manuales de usuario con el
suficiente nivel de comprensión?
4.3 ¿Se documentan todas y cada una de las fases del desarrollo
de una aplicación?
4.4 ¿Hay copia de toda la documentación?
3. Auditoria informática en el área de construcción de sistemas
Algunos de los objetivos de la auditoria informática son:
- Examinar la metodología de construcción que se esté utilizando, o
en su defecto, aconsejar su implantación.
- Examinar el inventario de problemas a resolver por el sistema,
dictaminando sobre la prioridad y razonabilidad de éstos.

- Verificar los medios que la organización ha dispuesto para la
realización.
- Comprobar el plan de realización:
- Garantizar la fiabilidad y precisión del estudio económico de costos
preliminar a la realización.
- Verificar los estudios de necesidades de software y hardware
asociados con el proyecto.
- Evaluar los métodos utilizados para la recogida de datos.
- Colaborar en la fase de puesta en marcha del sistema.
- Comprobar los medios de seguridad con que se va a dotar (o se ha
dotado ya) al sistema en cuestión.
- Evaluar el rendimiento de un sistema ya en marcha.
- Aconsejar, si es necesario, las modificaciones oportunas para la
optimización del sistema en funcionamiento.
El auditor que examina la construcción del sistema, bien en el
momento de su desarrollo o bien cuando éste ya está funcionando,
debe concluir garantizando la calidad del proyecto o enumerando las
deficiencias que hacen que el sistema se aleje de lo que a su juicio
debería ser un sistema capaz de satisfacer las necesidades a cubrir.
Juzgará, pues, sobre la calidad del sistema que está examinando,
para lo cual fijará su atención en comprobar que los resultados que
proporciona el sistema son efectivamente aquellos que se esperaban
de él en función de cómo fue diseñado y que, además, desde su fase
de diseño, el sistema no ha sido degradado por causa alguna en
ninguna de sus partes.
Para que el sistema cumpla con los estándares de calidad exigibles
son necesarias tres condiciones: en primera instancia que esté bien
planificado, después que sea bien controlado y por último que se
administre adecuadamente.

La auditoria de la precisión debe tener en cuenta la precisión con que
se desarrolló el estudio del sistema y la precisión que se le prevé
cuando éste funcione (no es tan infrecuente encontrar sistemas
operando en forma muy diferente a como fueron pensados).
Evidentemente, la calidad de la información que circula y aporta el
sistema es algo que preocupa especialmente cuando se está
diseñando. Existen una serie de procedimientos de control que
contribuyen a garantizar la precisión del sistema, tales como los
contadores de registros, totales y subtotales por lotes, dígitos de
control y verificación en la codificación y un largo etcétera que, junto
con unas adecuadas validaciones de los datos, deben estar presentes
en el sistema. El auditor verificará que así sea, o colaborará en su
implantación basándose en su experiencia.
Es también oportuno la fijación de unos estándares de auditoria, una
vez que el sistema esté en marcha, con objeto de que la dirección
tenga fácil y rápido conocimiento de los rendimientos en materia de
precisión. No siempre el sistema produce resultados que ayuden
realmente a resolver los problemas que tiene el usuario; por lo tanto,
el trabajo de auditoria de la eficacia se centrará en localizar todas
aquellas deficiencias que estén restando (o vayan a restar) eficiencia
al sistema y que pueden estar ubicados en los datos, los programas o
en el propio equipo. El auditor trabajará muy cerca del usuario,
especialmente en la fase de diseño (es mucho menos costoso
modificar sobre diseño que sobre lo implantado) identificando la
información que debe proporcionar el sistema así como a aquellas
personas destinatarias de cada una de estas informaciones. Esto
ayudará a definir con toda precisión y sin equívocos los informes
necesarios así como a ubicarlos en los departamentos de la
organización sin duplicidades de papel innecesarias. Una herramienta

que nos puede ayudar en este caso es la matriz de recepción y
distribución de documentos.
Una forma objetiva de evaluar la información que se encuentra en
un sistema es emplear la matriz de recepción y distribución de
documentos, en la cual se define de modo gráfico la distribución de
documentos y los resultados obtenidos en un proceso.
La prevención del fraude es muy compleja de establecer en la etapa
de construcción, pero sí conviene que el auditor centre su atención en
el establecimiento de controles en aquellos puntos del sistema que
sean más proclives en un futuro a la comisión del fraude
(transacciones económicas, redondeo de importes, etc.).
Será de gran utilidad el estudio de fraudes conocidos en sistemas de
características similares al que se está construyendo.
4. Auditoria informática en el área de explotación
Algunos de sus objetivos son:
- Comprobar la existencia de normas generales escritas para el
personal de explotación en lo que se refiere a sus funciones.
- Verificar la existencia de estándares de documentación en el
departamento.
- Comprobar que en ningún caso los operadores acceden a
documentación de programas que no sea la exclusiva para su
explotación.
- Verificar que los programadores no tienen acceso a la operación
del ordenador cuando corren sus programas.
- Examinar que las versiones de programas y ficheros activos en
explotación son efectivamente las versiones que deben ser las
vigentes.

- Como consecuencia de lo anterior, revisar que existen
procedimientos que impidan que puedan correrse versiones de
programas no activos.
- Investigar el diario de explotación y los archivos «log».
- Verificar los procedimientos según los cuales se incorporan nuevos
programas a las librerías productivas.
- Examinar la adecuación de los locales en que se guardan los
medios magnéticos de almacenamiento, así como la perfecta y
visible identificación de estos medios.
- Investigar los estándares en tiempo de ejecución de la instalación,
comparando éstos con las observaciones reales efectuadas.
- Verificar los planes de mantenimiento preventivo de la instalación.
- Comprobar que existen normas escritas que regulen
perfectamente todo lo relativo a copias de seguridad: manejo,
autorización de obtención, destrucción, etc.
- Inspeccionar el cumplimiento de sus funciones, además de la
idoneidad de éstas, de la persona encargada de mantener la
biblioteca de medios magnéticos.
- Comprobar que existen métodos adecuados que permitan verificar
un seguimiento de los trabajos en el ordenador.
- Examinar e incluso participar en la elaboración de los presupuestos
del centro de explotación si éstos son independientes del resto del
servicio informático.
área de explotación:
1. Intervención de operadores
1.1 ¿Hay necesidad de que el operador responda a mensajes
tomando él la iniciativa?

1.2 ¿Se ha detectado una excesiva intervención del operador en la
ejecución de trabajos?
2. Organización
2.1 ¿Están claramente definidas las funciones y responsabilidades
del personal de explotación?
2.2 ¿Existen procedimientos de cobertura por vacaciones o
enfermedad?
2.3 ¿Se considera adecuada la estructura del departamento de
explotación?
2.4 ¿El usuario está satisfecho del rendimiento de la explotación?
2.5 ¿Se utilizan todos los recursos de explotación de que dispone
el sistema?
3. Otros aspectos
3.1 ¿Son frecuentes las averías en algún componente del sistema?
3.2 ¿Se está realizando regularmente un mantenimiento
preventivo?
3.3 ¿Se han definido planes de evolución y estudios de
posibilidades de ampliación de los equipos?
5. Auditoria informática del entorno operativo hardware
Objetivos:
- Determinar si el hardware se utiliza eficientemente.
- Revisar los informes de la dirección sobre la utilización del
hardware.
- Revisar si el equipo se utiliza por el personal autorizado.
- Examinar los estudios de adquisición, selección y evolución del
hardware.
- Comprobar las condiciones ambientales.
- Revisar el inventario hardware.
- Verificar los procedimientos de seguridad física.

- Examinar los controles de acceso físico.
- Revisar la seguridad física de los componentes de la red de
teleproceso.
- Revisar los controles sobre la transmisión de los datos entre los
periféricos y el ordenador.
- Comprobar los procedimientos de prevención/detección/corrección
frente a cualquier tipo de desastre.
Colaborar en la confección de un plan de contingencias y desastres.
6. Auditoria informática del entorno operativo software
Objetivos:
- Revisar las librerías utilizadas por los programadores.
- Examinar que los programas realizan lo que realmente se espera
de ellos.
- Revisar el inventario de software.
- Comprobar la seguridad de datos y ficheros.
- Examinar los controles sobre los datos.
- Revisar los procedimientos de entrada y salida.
- Verificar las previsiones y procedimientos de back-up.
- Revisar los procedimientos de planificación, adecuación y
mantenimiento del software del sistema.

Procesos de auditoria

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Procesos de auditoria

Similar a Procesos de auditoria (20)

Procesos de auditoria