Departamento de Informtica

Universidad de Castilla-La Mancha

T3.METODOLOGA DE
LA AUDITORA
INFORMTICA

Fases
Fases de
de Metodologa
Metodologa de
de Auditora
Auditora Informtica
Informtica
1. Identificar el Alcance y los Objetivos de la Auditora
Informtica (A.I.)
2. Realizar el Estudio Inicial del entorno a auditar
3. Determinar los Recursos necesarios para realizar la
auditora
4. Elaborar el Plan de Trabajo
5. Realizar las Actividades de Auditora
6. Realizar el Informe Final
7. Carta de Presentacin y Carta de Manifestaciones
Metodologa de la Auditora Informtica

1.
1. Alcance
Alcance yy Objetivos
Objetivos de
de la
la A.I.:
A.I.: Alcance
Alcance
Entorno y lmites en que se realizar la A.I.
HASTA DNDE SE LLEGA
Acuerdo por escrito (entre auditor y cliente) cuando se
incluyen reas no informticas o cuando la empresa tiene
varias sedes, de:
Funciones (Seguridad, Direccin, etc.)
Materias (S.O., BD, etc.)
Departamentos o reas Organizativas (Explotacin, Sistemas,
Comunicaciones, etc.)

Su no definicin pondr en peligro el xito de la A.I.

Limitaciones: QU DEJA DE AUDITARSE
Principalmente en materias que pueden suponerse incluidas

Metodologa de la Auditora Informtica

1.
1. Alcance
Alcance yy Objetivos
Objetivos de
de la
la A.I.:
A.I.: Objetivos
Objetivos
Auditor debe comprender con exactitud los deseos y
pretensiones del cliente, para cumplir con los objetivos
Objetivos especficos
Necesidad de auditar una materia de gran especializacin
Contrastar algn informe interno con el que resulte del externo
Evaluacin del funcionamiento de reas informticas en un
determinado departamento
Aumentos de seguridad y fiabilidad
Aumento de calidad
Disminucin de costes o plazos

Objetivos generales (comunes a toda A.I.)

Operatividad de los S.I.
Controles Generales de la Gestin Informtica
Metodologa de la Auditora Informtica

1.
1. Alcance
Alcance yy Objetivos
Objetivos de
de la
la A.I.:
A.I.: Objetivos
Objetivos
Operatividad
Funcionamiento, aunque sea mnimo, de la organizacin y sus
mquinas (PCs, mainframes)
Conseguida a escala general y parcial (p.e. cajero y lneas)
Conseguida a travs de:
Controles Tcnicos Generales (p.e. CPD diferentes)
Sistema operativo y software de base funcionan
simultneamente con aplicaciones
Hw y Sw compatibles
Controles Tcnicos Especficos
Espacio en disco
Perodo de utilizacin de BD comunes

Metodologa de la Auditora Informtica

1.
1. Alcance
Alcance yy Objetivos
Objetivos de
de la
la A.I.:
A.I.: Objetivos
Objetivos
Controles Generales de la Gestin Informtica
Verificar normas del Departamento de Informtica y observar su
consistencia con las del resto de la empresa
Normas Generales de la Instalacin Informtica
Procedimientos Generales y Especficos del Departamento de
Informtica (p.e. una aplicacin no pasa a Explotacin sin su
correspondiente Documentacin)
Comprobar que no existen contradicciones con normas y
procedimientos generales de la empresa

Interlocutores
Personas con poder de decisin y validacin dentro de la empresa
Personas a las que va dirigido el informe

Metodologa de la Auditora Informtica

2.
2. Estudio
Estudio Inicial
Inicial
Examinar situacin general de funciones y actividades
generales de la informtica
Conocimiento de:
Organizacin: Estructura organizativa del Departamento de
Informtica a auditar
Entorno de Operacin: Entorno de trabajo
Aplicaciones Informticas: Procesos informticos realizados en la
empresa auditada
Bases de Datos
Ficheros

Metodologa de la Auditora Informtica

2.
2. Estudio
Estudio Inicial:
Inicial: Organizacin
Organizacin
Estructura organizativa del Departamento de Informtica a
auditar.
Organigrama: estructura informtica de la organizacin a
auditar
DIRECCIN
CONTROL GESTIN

EXPLOTACIN

PRODUCCIN

PLANIFICACIN

RR. HH.

SISTEMAS

SOPORTE
TCNICO

COMUNICACIN

DESARROLLO

SEGURIDAD

BASES DATOS

Metodologa de la Auditora Informtica

2.
2. Estudio
Estudio Inicial:
Inicial: Organizacin
Organizacin
Departamentos: describir sus funciones
Relaciones Jerrquicas y funcionales
1 Empleado con dos Jefes

Flujos de Informacin, tanto horizontales y oblicuas como

extradepartamentales y verticales
Canales alternativos que denotan lagunas en la estructura y
organigrama, o bien por simpatas

Nmero de Puestos de Trabajo

Nombres de los puestos de trabajo corresponden a funciones
distintas: Deficiencias en estructura si varios nombres con 1 funcin

Nmero de Personas por Puesto de Trabajo

Distribucin de recursos ineficiente
Necesidad de reorganizacin

Metodologa de la Auditora Informtica

2.
2. Estudio
Estudio Inicial:
Inicial: Entorno
Entorno Operativo
Operativo
Referencia del entorno de trabajo en el que el auditor va a
trabajar
Situacin Geogrfica
Diferentes CPDs, con responsables y mismos estndares de trabajo

Arquitectura y Configuracin Hardware y Software

Configuracin de diferentes CPDs compatible y estn
intercomunicados

Inventario Hardware y Software

CPUs, procesadores, PCs, perifricos, etc.
Software bsico, software interno y software comprado

Comunicaciones y Redes de Comunicacin

Lneas de Comunicacin
Acceso a red pblica e intranet

Metodologa de la Auditora Informtica

10

2.
2. Estudio
Estudio Inicial:
Inicial: Aplicaciones
Aplicaciones Informticas
Informticas
Procedimientos Informticos realizados en la empresa
Volumen, Antigedad y Complejidad de las aplicaciones
Periodicidad de ejecuciones de carga de trabajo

Metodologa de desarrollo de aplicaciones

Documentacin de aplicaciones
Mantenimiento es el 70% de recursos

Cantidad y Complejidad de Bases de Datos y Ficheros

Tamao y caractersticas de BD y Ficheros
Nmero de Accesos a BD y Ficheros
Frecuencia de Actualizacin

Metodologa de la Auditora Informtica

11

3.
3. Recursos
Recursos de
de la
la A.I.
A.I.
A partir del Estudio Inicial, se determinan los recursos
humanos y materiales
Recursos Materiales

Proporcionados por cliente en su mayora

Software: paquetes de auditora del equipo auditor, compiladores
Hardware: PCs, impresoras, lneas de comunicacin
Determinacin de incremento de carga del auditado y consenso en
fechas y duracin de actividades de auditora

Recursos Humanos
Cantidad depende del alcance de la auditora
Perfil depende de la materia a auditar

Metodologa de la Auditora Informtica

12

3.
3. Recursos
Recursos de
de la
la A.I.
A.I.
P ro fe si n

A c tiv id a d e s y c o n o c im ie n to s d esea d o s

In fo r m t ico G ene ra lista

C o n a m p lia e xp er ie n c ia en d ifere nte s ra m a s (p o r

e je m p lo , E xp lo tac i n, D e sa rro llo , S iste m a s)

E xp erto en D esarro llo d e

P ro ye cto s

A m p lia e xp er ie nc ia c o m o Je fe d e P ro yecto s.
C o no c ed o r d e las m eto do lo g a s y t cn ic a s m s
im p o rta nte s d e D e sa rro llo

T c n ico d e S iste m a s

E xp erto e n S S .O O . y S o ftw are B s ico . A m p lio s

co no cim ie nto s d e E xp lo taci n

E xp erto en B D y su
ad m in istrac i n

A m p lia e xp e r ie nc ia e n B D y su m a nte n im ie nto , as

c o m o e n lo s p ro d u cto s utiliz a d o s p a ra ello s.
C o no c im ie nto s d e E xp lo ta ci n

E xp erto en S o ftw are d e

C o m u n ic a c io nes

C o no c im ie nto s p ro fu nd o s d e
c o m u n ica c i n, tele p ro c eso , etc .

E xp erto en E xp lo ta ci n

R esp o ns a b le d e a lg n C P D . A m p lia e xp e r ie nc ia e n
A u to m at iz ac i n d e T raba jo s.

T c n ico d e O rg an iz a c i n

B u e n c o o rd inad o r y o rg an iz ad o s. E sp ec ia lista e n e l
a n lis is d e flu jo s d e in fo r m a c i n

T c n ico d e E va lu ac i n d e
C o stes

E c o no m ista c o n co no c im ie nto s d e in fo r m t ic a

Metodologa de la Auditora Informtica

R ed e s,

ln ea s

de

13

4.
4. Plan
Plan yy Asignacin
Asignacin de
de Trabajos
Trabajos
Calendario de actividades a realizar aprobado por responsables de rea y
de auditora
Aspectos a tener en cuenta:
Plan por grandes reas: Elaboracin ms compleja y costosa que
implica superior calidad, ms tiempo total y mayores recursos
Plan por reas especficas: Resultado obtenido ms rpidamente y
con menor calidad
Auditora de toda la Informtica o Parcial: determinacin del
nmero de auditores y especialistas
Planificacin de la Auditora (Gua ISACA)
Conocimiento de la organizacin y de sus procesos, para
identificar problemas potenciales, alcance, etc.
Programa de auditora: Calendario de trabajo (tareas y recursos) y
su seguimiento
Evaluacin interna del control, mediante pruebas de cumplimiento
de los controles
Metodologa de la Auditora Informtica

14

55 .. Actividades
Actividades de
de la
la A.I.:
A.I.: Tcnicas
Tcnicas
Revisin
Anlisis de la informacin obtenida (principalmente a travs de
cuestionarios y entrevistas) y de la propia

Entrevistas
Con mtodo prestablecido y preparacin
Gran elaboracin de preguntas, orden
Desencadena en checklist: cuestionario minucioso, ordenado y
estructurado por materias

Simulacin
Muestreos

Metodologa de la Auditora Informtica

15

5.
5. Actividades
Actividades de
de la
la A.I.:
A.I.: Tcnicas:
Tcnicas: Cuestionario
Cuestionario
Objetivo de Control

Cules son los procedimientos de

control correspondientes a este objetivo?

1. Modificacin en las aplicaciones

La Direccin debera establecer
procedimientos adecuados para asegurar
que se controlan las modificaciones que
puedan producirse en las aplicaciones.
Tener en cuenta los siguientes aspectos:

Revisa o est implicada la direccin

en la implantacin y el control de las
modificaciones que se realicen en las
aplicaciones?.

Recoge la direccin comentarios de

los usuarios sobre la calidad funcional
y operacional de las operaciones?.

Revisa la direccin los informes

correspondientes o participa en las
pruebas a las que se someten las
modificaciones, incluyendo
informacin sobre el volumen de
modificaciones realizadas en las
aplicaciones, cambios de emergencia,
solicitudes sin atender, etc.

Metodologa de la Auditora Informtica

16

5.
5. Actividades
Actividades de
de la
la A.I.:
A.I.: Herramientas
Herramientas
Cuestionario general
Cuestionario-Checklist
Simuladores (generadores de datos)
Paquetes de Auditora (generadores de programas)
Rastrear los caminos de los datos
Utilizados principalmente en auditoras no informticas
Paquetes de parametrizacin de libreras

Metodologa de la Auditora Informtica

17

5.
5. Actividades
Actividades de
de la
la A.I.
A.I.
Movilizacin
Mantener reunin de planificacin inicial para:
Determinar el proceso ms eficaz-rentable de obtencin de
informacin
Determinar el uso de especialistas / herramientas sectoriales

Entorno de Control
Registrar y evaluar el entorno de control de la empresa

Informacin del negocio/sector

Planificar la utilizacin de tecnologa
Obtener comprensin del negocio, estructura, riesgos
Discutir preocupaciones, necesidades, expectativas

Informacin sobre los sistemas y el entorno informtico

Evaluando los controles de supervisin

Metodologa de la Auditora Informtica

18

5.
5. Actividades
Actividades de
de la
la A.I.
A.I.
Estrategia de auditora
Reunin de planificacin

Preparar los programas de auditora

Para las reas de auditora, analizando riesgos de error y fraudes
identificados

Preparar un plan de tareas

Calendario e informacin a entregar del cliente
Plan de tareas, con asignacin de tiempos
Roles y responsabilidades de miembros del equipo auditor y
estrategia para comunicacin para revisar, asignar tareas y acordar
objetivos
Establecer medidas para supervisar el progreso, incluyendo
reuniones peridicas
Metodologa de la Auditora Informtica

19

5.
5. Actividades
Actividades de
de la
la A.I.
A.I.
Comunicacin del plan
Informar a los miembros del equipo
Presentar al cliente el plan de auditora

Ejecucin
Documentar, evaluar y probar controles de supervisin de las
aplicaciones
Informar al cliente sobre estado del trabajo y conclusiones
alcanzadas

Otros procedimientos de auditora

Informes finales

Revisin
Completar los pasos y tareas del trabajo

Metodologa de la Auditora Informtica

20

5.
5. Actividades
Actividades de
de la
la A.I.
A.I.
Finalizacin
Completar y revisar el tratamiento informtico. Responder a
excepciones
Aspecto crticos importantes han sido resueltos, documentados y
comunicados al cliente y al equipo
Carta de manifestaciones del cliente
Firma del auditor

Informacin al cliente
Comunicar las debilidades significativas de control interno y las
recomendaciones oportunas

Evaluaciones
Calidad del servicio en relacin con las expectativas del cliente

Metodologa de la Auditora Informtica

21

6.
6. Informe
Informe Final:
Final: Gua
Gua ISACA
ISACA
Relacin con los Estndares
Estndar 070.010: Contenido e Impreso del Informe
El Informe de Auditora indica:
Alcance
Objetivos
Perodo de cobertura
Naturaleza y extensin del trabajo de auditora
Organizacin
Destinatarios del informe
Restricciones
Hallazgos
Conclusiones
Recomendaciones
Metodologa de la Auditora Informtica

22

6.
6. Informe
Informe Final:
Final: Gua
Gua ISACA
ISACA
Necesidad de la gua
Describir prcticas recomendadas para preparar un informe de
auditora

Realizacin del informe

Estilo y Contenido: Objetivo, claro, conciso, constructivo y
oportuno
Apropiado a los destinatarios
Identificar organizacin auditada
Incluye ttulo, firma y fecha
Objetivos (lo que trata de cumplir la auditora)
Alcance: naturaleza, tiempo y extensin del trabajo de auditora
rea funcional
Perodo de auditora
Sistemas de informacin, aplicaciones o entornos auditados
Metodologa de la Auditora Informtica

23

6.
6. Informe
Informe Final:
Final: Gua
Gua ISACA
ISACA
Realizacin del Informe (continuacin)

Restriccin sobre su distribucin

Hallazgos significativos de la auditora (causas y riesgos)
Conclusin: evaluacin del auditor sobre el rea auditada
Recomendaciones, para realizar acciones correctivas
Presentacin: lgica y organizada
Estar a tiempo para fomentar las acciones correctivas puntualmente
Consideraciones de eventos subsiguientes
Fraude descubierto despus de la auditora
Incendio despus de la revisin de controles

tica y estndares profesionales

Actividades subsiguientes
Peticin de contestacin, que incluya las acciones correctivas
como resultado del informe
Metodologa de la Auditora Informtica

24

7.
7. Otra
Otra Documentacin
Documentacin
Carta de Presentacin del Informe Final

Resumen en 3 4 folios del contenido del informe final

Incluye fecha, naturaleza, objetivos y alcance de la auditora
Cuantifica la importancia de las reas analizadas
Proporciona una conclusin general, concretando las reas de gran
debilidad
Presentar las debilidades en orden de importancia

Carta de Manifestaciones
La Direccin de la empresa auditada confirma que se han mostrado
transparente y han proporcionado toda la informacin necesaria
para la auditora
En papel con membrete de la empresa auditada
Firman los responsables de los reas relacionados con la auditora:
Presidente, Consejero Delegado, Director General

Metodologa de la Auditora Informtica

25

8.
8. Estructura
Estructura del
del Informe
Informe Final
Final
Ttulo o Identificacin del Informe
Distinguirlo de otros informes

Fecha de Comienzo
Miembros del Equipo Auditor
Entidad auditada
Identificacin de destinatarios
Finaliza con
Nombre, Direccin y Datos Registrales del Auditor
Firma del Auditor
Fecha de emisin del informe

Metodologa de la Auditora Informtica

26

8.
8. Estructura
Estructura del
del Informe
Informe Final
Final
Objetivos y Alcance de la Auditora
Estndares, especificaciones, prcticas y procedimientos utilizados
Excepciones aplicadas

Materias consideradas en la auditora

Situacin actual
Hechos importantes
Hechos consolidados
Tendencias, de situacin futura
Puntos dbiles y amenazas (hecho = debilidad)
Hecho encontrado
Consecuencias del hecho
Repercusin del hecho (influencias sobre otros aspectos)
Conclusin del hecho
Recomendaciones
Redaccin de la Carta de Presentacin

Metodologa de la Auditora Informtica

27

8.
8. Estructura
Estructura del
del Informe
Informe Final:
Final: Tipos
Tipos de
de Informes
Informes
Funcin de opinin del auditor respecto a los objetivos de la
auditora
Favorable o sin salvedades: trabajo realizado
Sin limitaciones de alcance y sin incertidumbre
De acuerdo con la normativa legal y profesional

Con salvedades
Desfavorable
Identificacin de irregularidades
Incumplimiento de la normativa legal y profesional que afecte a
significativamente a los objetivos estipulados

Denegada

Limitaciones al alcance
Incertidumbres significativas
Irregularidades
Incumplimiento de normativa lega y profesional
Metodologa de la Auditora Informtica

28

8.
8. Estructura
Estructura del
del Informe
Informe Final:
Final: Tipos
Tipos de
de Informes:
Informes:
Con
Con salvedades
salvedades
Limitaciones al alcance
El auditor no puede aplicar los procedimientos de auditora requeridos
por la normativa legal y profesional o segn su juicio profesional
Provenientes de la propia entidad auditada
Considerar la naturaleza y magnitudes del efecto potencial de los
procedimientos omitidos y su importancia relativa

Incertidumbres
Desenlace que no se puede estimar por depender de que suceda, o no,
algn otro hecho: litigios, juicios, etc.

Errores e incumplimiento de normativa legal y

profesional
Utilizacin de principios distintos a los generalmente aceptados
Ausencia de informacin

Cambios durante el ejercicio respecto a los del ejercicio

anterior
Metodologa de la Auditora Informtica

29

8.
8. Estructura
Estructura del
del Informe
Informe Final:
Final: Pautas
Pautas del
del Lenguaje
Lenguaje yy
Redaccin
Redaccin del
del Informe
Informe
Ttulos: expresivos y breves
Prrafos
Un solo asunto por prrafo
8 10 lneas por prrafo

Frases
Una sola idea por frase
No ms de 3 lneas

Otros consejos
Lenguaje sobrio y normal
Voz activa, nunca pasiva
Omitir palabras innecesarias (con referencia a, consecuentemente con,
etc.)
Evitar redundancias
No utilizar adverbios y adjetivos simultneamente
Metodologa de la Auditora Informtica

30