Administración del proceso de Auditoría Informática

Cristian Godoy Vera

Auditoría de Sistema
Instituto IACC
17/mayo/2021
 Desarrollo
I.-

Auditoria informática
¿de qué se trata? Se refiere a la verificación de la exactitud de la información que entregan los sistemas.
Es un proceso llevado a cabo por un auditor, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un Sistema es capaz de proteger los datos, así
como mantener la integridad de los mismos, para asegurar que se lleven a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple
con las leyes y regulaciones establecidas.

¿cuáles son sus etapas?  Planificación

 Trabajo De Campo Y Documentación
 Descubrimiento De Hallazgos Y Validación
 Desarrollo De Soluciones
 Comunicación De Resultados
 Informe Final
¿Por qué es importante Para determinar la forma en que se hará la auditoria:
planificar? -Dónde se debe detallar cada actividad para prever el trabajo
-Definir los objetivos, las pruebas a aplicar y también para conocer a la empresa y los
recursos con que cuenta el auditor para ejecutarla, así como el alcance y las
limitaciones.

¿cuál es el alcance de la Se refiere a la profundidad del examen a realizar, hasta dónde o hasta qué periodo, toda
auditoria? el área o solo una parte, con qué nivel de acceso a la información, Por ejemplo:
-auditoría de sistemas al instituto profesional de los dos últimos años en el área de
finanzas.
Limitaciones de la Se refiere a las restricciones que tiene el auditor para aplicar las pruebas que requiere
auditoria para obtener la evidencia que sustente su opinión.
Por ejemplo, en este caso, una restricción puede ser:
- El acceso a la información personal de los estudiantes.
-El acceso a la información personal de los colaboradores del instituto.

II.-

Etapas de la ¿Qué se realizará en cada etapa?

auditoria

Planificación Investigación
 Definir actividades: Entrevistas, reuniones y carta Gantt de actividades, seleccionar
recursos y metodología a utilizar.
Determinación del alcance. Personas, áreas y departamentos a auditar.
 Periodos de tiempo a auditar.
 Definir restricciones de la auditoria.
Determinación de la estrategia de auditoría
Creación de una lista de chequeos y procedimientos
 Recopilación de antecedentes:
 Reglamento interno
 Manuales de procedimiento
 Regulación legal del instituto

Pruebas De De Cumplimiento:
Auditoría De Son las que se aplican para asegurar que los procedimientos del instituto se ejecuten y cumplan
Cumplimiento según lo estipulado, por ejemplo, se cumple con lo establecido en reglamento interno para
ingreso de cada carrera, ¿todos los alumnos cumplen con requisitos de ingreso?
Sustantivas:
Son las que se aplican para evidenciar la existencia, exactitud, integridad, propiedad,
evaluación y presentación de la información, por ejemplo:
-cantidad de estudiantes matriculados
-cantidad de carreras impartidas
 -cantidad de alumnos matriculados en cada carrera
-cantidad de profesores del instituto.

Trabajo De Trabajo De Campo

Campo Y -Objetividad, señalar los hechos como los encuentra.
Documentación -Mantener distancia profesional, la cordialidad y compañerismo no debe confundirse con
compromiso de actuaciones u omisiones.
-Recopilar información pertinente sin perderse en detalles innecesarios.
Documentación:
-las observaciones y anotaciones serán derivadas en un informe, y de ser necesario en respaldo
digital.

Descubrimiento Para analizar la información puede utilizar mapas conceptuales, diagramas de flujo.
De Hallazgos Y Todo hecho que se considere considerable y con incidencia debe ser documentado e informado.
Validación Para que un hallazgo sea válido, es importante que tenga una base, una evidencia sustentadora,
es decir, debe ser comprobado.

Seguimiento Se realizará un continuo monitoreo a las recomendaciones, con el objeto de aplicar las
continuo correcciones que se requieran y validar aquellas operaciones que dieron un buen resultado y no
presentan errores.
Por ejemplo, en el caso del instituto educacional:
De efectividad (asegura el logro de los objetivos):
Encuestas de satisfacción Medición de niveles de servicio
 III.-
¿cómo se comunican los
resultados? Mediante un informe escrito de auditoria
Características del  Resumen ejecutivo.
informe  Describir el propósito.
 Describir el alcance.
 Punteo de los resultados.
 Describir el riesgo y el impacto.
¿Qué debe tener el 1) Fecha de emisión.
informe? 2) Alcance, limitaciones y objetivos de la auditoría establecidos.
3) Descripción de la metodología aplicada en la ejecución del proceso.
4) Documentación revisada y también la elaborada por el auditor.
5) Pruebas realizadas.
6) Fechas en que se realizó el trabajo de campo, entrevistas, reuniones, etc.
7) Limitaciones detectadas al realizar las pruebas que impiden la emisión
de un juicio sobre ciertos aspectos de la seguridad del sistema informático.
8) Informe ejecutivo que incluya aspectos destacables y el cumplimiento de
los objetivos de auditoría.
9) Sección de recomendaciones, que contendrá alternativas de solución, las
que deben ser abiertas e indicar los riesgos si es que existen.
10) Anexos, que son el detalle y los resultados de las pruebas.
11) Opinión del auditor (la cual podría omitirse en el caso que el auditor se
 abstenga), incluyendo las no conformidades.
12) Firma del auditor

Bibliografía
IACC (2019). Administración del proceso de auditoría informática. Auditoría de Sistemas.
Semana 6