Metodología de Trabajo de Auditoría

Informática

El método de trabajo del auditor pasa

por las siguientes etapas:

 Alcance y Objetivos de la Auditoría

Informática.
 Estudio inicial del entorno auditable.
 Determinación de los recursos
necesarios para realizar la auditoría.
 Elaboración del plan y de los
Programas de Trabajo.
 Actividades propiamente dichas de la
auditoría.
 Confección y redacción del Informe
Final.
 Redacción de la Carta de Introducción
o Carta de Presentación del Informe
final.
Definición de Alcance y Objetivos

El alcance de la auditoría expresa los

límites de la misma. Debe existir un
acuerdo muy preciso entre auditores y
clientes sobre las funciones, las
materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta
muy beneficioso para ambas partes
expresar las excepciones de alcance de
la auditoría, es decir cuales materias,
funciones u organizaciones no van a ser
auditadas.

Tanto los alcances como las

excepciones deben figurar al comienzo
del Informe Final.
Las personas que realizan la auditoría
han de conocer con la mayor exactitud
posible los objetivos a los que su tarea
debe llegar. Deben comprender los
deseos y pretensiones del cliente, de
forma que las metas fijadas puedan ser
cumplidas.
 Una vez definidos los objetivos
(objetivos específicos), éstos se
añadirán a los objetivos generales y
comunes de a toda auditoría
Informática: La operatividad de los
Sistemas y los Controles Generales de
Gestión Informática.

Estudio Inicial

Para realizar dicho estudio ha de

examinarse las funciones y actividades
generales de la informática.
Para su realización el auditor debe
conocer lo siguiente:

Organización:
Para el equipo auditor, el conocimiento
de quién ordena, quién diseña y quién
ejecuta es fundamental. Para realizar
esto en auditor deberá fijarse en:

1) Organigrama:
El organigrama expresa la estructura
oficial de la organización a auditar.
 Si se descubriera que existe un
organigrama fáctico diferente al oficial,
se pondrá de manifiesto tal
circunstancia.

2) Departamentos:
Se entiende como departamento a los
órganos que siguen inmediatamente a
la Dirección. El equipo auditor
describirá brevemente las funciones de
cada uno de ellos.

3) Relaciones Jerárquicas y
funcionales entre órganos de la
Organización:
El equipo auditor verificará si se
cumplen las relaciones funcionales y
Jerárquicas previstas por el
organigrama, o por el contrario
detectará, por ejemplo, si algún
empleado tiene dos jefes.
Las de Jerarquía implican la
correspondiente subordinación. Las
funcionales por el contrario, indican
 relaciones no estrictamente
subordinables.

4) Flujos de Información:
Además de las corrientes verticales
intradepartamentales, la estructura
organizativa cualquiera que sea,
produce corrientes de información
horizontales y oblicuas
extradepartamentales.
Los flujos de información entre los
grupos de una organización son
necesarios para su eficiente gestión,
siempre y cuando tales corrientes no
distorsionen el propio organigrama.
En ocasiones, las organizaciones
crean espontáneamente canales
alternativos de información, sin los
cuales las funciones no podrían
ejercerse con eficacia; estos canales
alternativos se producen porque hay
pequeños o grandes fallos en la
estructura y en el organigrama que los
representa.
 Otras veces, la aparición de flujos de
información no previstos obedece a
afinidades personales o simple
comodidad. Estos flujos de
información son indeseables y
producen graves perturbaciones en la
organización.

5) Número de Puestos de trabajo

El equipo auditor comprobará que los
nombres de los Puesto de los Puestos
de Trabajo de la organización
corresponden a las funciones reales
distintas.
Es frecuente que bajo nombres
diferentes se realicen funciones
idénticas, lo cual indica la existencia
de funciones operativas redundantes.
Esta situación pone de manifiesto
deficiencias estructurales; los
auditores darán a conocer tal
circunstancia y expresarán el número
de puestos de trabajo
verdaderamente diferentes.
6) Número de personas por Puesto de
Trabajo
Es un parámetro que los auditores
informáticos deben considerar. La
inadecuación del personal determina
que el número de personas que
realizan las mismas funciones rara vez
coincida con la estructura oficial de la
organización.

Entorno Operacional

El equipo de auditoría informática

debe poseer una adecuada referencia
del entorno en el que va a
desenvolverse.
Este conocimiento previo se logra
determinando, fundamentalmente, los
siguientes extremos:

a) Situación geográfica de los

Sistemas:
Se determinará la ubicación
geográfica de los distintos Centros
de Proceso de Datos en la empresa.
 A continuación, se verificará la
existencia de responsables en cada
unos de ellos, así como el uso de los
mismos estándares de trabajo.

b) Arquitectura y configuración de
Hardware y Software:
Cuando existen varios equipos, es
fundamental la configuración
elegida para cada uno de ellos, ya
que los mismos deben constituir un
sistema compatible e
intercomunicado. La configuración
de los sistemas esta muy ligada a
las políticas de seguridad lógica de
las compañías.
Los auditores, en su estudio inicial,
deben tener en su poder la
distribución e interconexión de los
equipos.

c) Inventario de Hardware y
Software:
El auditor recabará información
escrita, en donde figuren todos los
 elementos físicos y lógicos de la
instalación. En cuanto a Hardware
figurarán las CPUs, unidades de
control local y remotas, periféricos
de todo tipo, etc.
El inventario de software debe
contener todos los productos
lógicos del Sistema, desde el
software básico hasta los
programas de utilidad adquiridos o
desarrollados internamente. Suele
ser habitual clasificarlos en
facturables y no facturables.

d) Comunicación y Redes de
Comunicación:
En el estudio inicial los auditores
dispondrán del número, situación y
características principales de las
líneas, así como de los accesos a la
red pública de comunicaciones.
Igualmente, poseerán información
de las Redes Locales de la
Empresa.
Aplicaciones bases de datos y
ficheros
El estudio inicial que han de realizar
los auditores se cierra y culmina con
una idea general de los procesos
informáticos realizados en la empresa
auditada. Para ello deberán conocer lo
siguiente:

a) Volumen, antigüedad y
complejidad de las Aplicaciones

b) Metodología del Diseño

Se clasificará globalmente la
existencia total o parcial de
metodología en el desarrollo de las
aplicaciones. Si se han utilizados
varias a lo largo del tiempo se
pondrá de manifiesto.

c) Documentación
La existencia de una adecuada
documentación de las aplicaciones
proporciona beneficios tangibles e
inmediatos muy importantes.
 La documentación de programas
disminuye gravemente el
mantenimiento de los mismos.

d) Cantidad y complejidad de Bases

de Datos y Ficheros.
El auditor recabará información de
tamaño y características de las
Bases de Datos, clasificándolas en
relación y jerarquías. Hallará un
promedio de número de accesos a
ellas por hora o días. Esta operación
se repetirá con los ficheros, así
como la frecuencia de
actualizaciones de los mismos.
Estos datos proporcionan una visión
aceptable de las características de
la carga informática.

Determinación de recursos de la
auditoría Informática
Mediante los resultados del estudio
inicial realizado se procede a determinar
los recursos humanos y materiales que
han de emplearse en la auditoría.
Recursos materiales
Es muy importante su determinación,
por cuanto la mayoría de ellos son
proporcionados por el cliente. Las
herramientas software propias del
equipo van a utilizarse igualmente en
el sistema auditado, por lo que han de
convenirse en lo posible las fechas y
horas de uso entre el auditor y cliente.
Los recursos materiales del auditor
son de dos tipos:

a) Recursos materiales Software

Programas propios de la auditoria:
Son muy potentes y Flexibles.
Habitualmente se añaden a las
ejecuciones de los procesos del
cliente para verificarlos.
Monitores: Se utilizan en función del
grado de desarrollo observado en la
actividad de Técnica de Sistemas
del auditado y de la cantidad y
calidad de los datos ya existentes.
 b) Recursos materiales Hardware
Los recursos hardware que el
auditor necesita son proporcionados
por el cliente. Los procesos de
control deben efectuarse
necesariamente en las
Computadoras del auditado.
Para lo cuál habrá de convenir,
tiempo de maquina, espacio de
disco, impresoras ocupadas, etc.

Recursos Humanos
La cantidad de recursos depende del
volumen auditable. Las características y
perfiles del personal seleccionado
depende de la materia auditable.
Es igualmente reseñable que la
auditoría en general suele ser ejercida
por profesionales universitarios y por
otras personas de probada experiencia
multidisciplinaria.
 Perfiles Profesionales de los
auditores informáticos

Profesión Actividades y conocimientos

deseables
Informático Generalista Con experiencia amplia en ramas
distintas. Deseable que su labor se haya
desarrollado en Explotación y en
Desarrollo de Proyectos. Conocedor de
Sistemas.
Experto en Desarrollo de Amplia experiencia como responsable
Proyectos de proyectos. Experto analista.
Conocedor de las metodologías de
Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y
Software Básico. Conocedor de los
productos equivalentes en el mercado.
Amplios conocimientos de Explotación.
Experto en Bases de Datos Con experiencia en el mantenimiento de
y Administración de las Bases de Datos. Conocimiento de
mismas. productos compatibles y equivalentes.
Buenos conocimientos de explotación
Experto en Software de Alta especialización dentro de la técnica
Comunicación de sistemas. Conocimientos profundos
de redes. Muy experto en Subsistemas
de teleproceso.
Experto en Explotación y Responsable de algún Centro de
Gestión de CPD´S Cálculo. Amplia experiencia en
Automatización de trabajos. Experto en
relaciones humanas. Buenos
conocimientos de los sistemas.
Técnico de Organización Experto organizador y coordinador.
Especialista en el análisis de flujos de
información.
Técnico de evaluación de Economista con conocimiento de
Costes Informática. Gestión de costes.
Elaboración del Plan y de los
programas de trabajo

Una vez asignados los recursos, el

responsable de la auditoría y sus
colaboradores establecen un plan de
trabajo. Decidido éste, se procede a la
programación del mismo.
El plan se elabora teniendo en cuenta,
entre otros criterios, los siguientes:

a) Si la Revisión debe realizarse por

áreas generales o áreas específicas.
En el primer caso, la elaboración es
más compleja y costosa.

b) Si la auditoría es global, de toda la

Informática, o parcial. El volumen
determina no solamente el número de
auditores necesarios, sino las
especialidades necesarias del
personal.
 En el plan no se consideran
calendarios, porque se manejan
recursos genéricos y no específicos.
 En el Plan se establecen los recursos
y esfuerzos globales que van a ser
necesarios.
 En el Plan se establecen las
prioridades de materias auditables, de
acuerdo siempre con las prioridades
del cliente.
 El Plan establece disponibilidad futura
de los recursos durante la revisión.
 El Plan estructura las tareas a realizar
por cada integrante del grupo.
 En el Plan se expresan todas las
ayudas que el auditor ha de recibir del
auditado.

Una vez elaborado el Plan, se procede

a la Programación de actividades. Esta
ha de ser lo suficientemente como para
permitir modificaciones a lo largo del
proyecto.
Actividades de la Auditoría
Informática

Auditoría por temas generales o por

áreas específicas:
La auditoría Informática general se
realiza por áreas generales o por áreas
específicas. Si se examina por grandes
temas, resulta evidente la mayor calidad
y el empleo de más tiempo total y
mayores recursos.
Cuando la auditoría se realiza por
áreas específicas, se abarcan de una
vez todas las peculiaridades que
afectan a la misma, de forma que el
resultado se obtiene más rápidamente
y con menor calidad.
Técnicas de Trabajo:

- Análisis de la información recabada

del auditado.
- Análisis de la información propia.
- Cruzamiento de las informaciones
anteriores.
- Entrevistas.
- Simulación.
- Muestreos.

Herramientas:

- Cuestionario general inicial.

- Cuestionario Checklist.
- Estándares.
- Monitores.
- Simuladores (Generadores de
datos).
- Paquetes de auditoría (Generadores
de Programas).
- Matrices de riesgo.
Informe Final

La función de la auditoría se
materializa exclusivamente por escrito.
Por lo tanto la elaboración final es el
exponente de su calidad.
Resulta evidente la necesidad de
redactar borradores e informes
parciales previos al informe final, los que
son elementos de contraste entre
opinión entre auditor y auditado y que
pueden descubrir fallos de apreciación
en el auditor.

Estructura del informe final:

El informe comienza con la fecha de
comienzo de la auditoría y la fecha de
redacción del mismo. Se incluyen los
nombres del equipo auditor y los
nombres de todas las personas
entrevistadas, con indicación de la
jefatura, responsabilidad y puesto de
trabajo que ostente.
Definición de objetivos y alcance de la
auditoría.

Enumeración de temas considerados:

Antes de tratarlos con profundidad, se
enumerarán lo más exhaustivamente
posible todos los temas objeto de la
auditoría.

Cuerpo expositivo:
Para cada tema, se seguirá el
siguiente orden a saber:

a) Situación actual. Cuando se trate de

una revisión periódica, en la que se
analiza no solamente una situación
sino además su evolución en el tiempo,
se expondrá la situación prevista y la
situación real
b) Tendencias. Se tratarán de hallar
parámetros que permitan establecer
tendencias futuras.
c) Puntos débiles y amenazas.
d) Recomendaciones y planes de
acción. Constituyen junto con la
 exposición de puntos débiles, el
verdadero objetivo de la auditoría
informática.
e) Redacción posterior de la Carta de
Introducción o Presentación.

Modelo conceptual de la exposición

del informe final:

- El informe debe incluir solamente

hechos importantes.
La inclusión de hechos poco
relevantes o accesorios desvía la
atención del lector.
- El Informe debe consolidar los hechos
que se describen en el mismo.
El término de “hechos consolidados”
adquiere un especial significado de
verificación objetiva y de estar
documentalmente probados y
soportados. La consolidación de los
hechos debe satisfacer, al menos los
siguientes criterios:
 1. El hecho debe poder ser
sometido a cambios.
2. Las ventajas del cambio deben
superar los inconvenientes
derivados de mantener la situación.
3. No deben existir alternativas
viables que superen al cambio
propuesto.
4. La recomendación del auditor
sobre el hecho debe mantener o
mejorar las normas y estándares
existentes en la instalación.

La aparición de un hecho en un informe

de auditoría implica necesariamente la
existencia de una debilidad que ha de
ser corregida.
Flujo del hecho o debilidad:
1 – Hecho encontrado.
- Ha de ser relevante para el auditor
y para el cliente.
- Ha de ser exacto, y además
convincente.
- No deben existir hechos repetidos.

2 – Consecuencias del hecho

- Las consecuencias deben
redactarse de modo que sean
directamente deducibles del hecho.

3 – Repercusión del hecho

- Se redactará las influencias
directas que el hecho pueda tener
sobre otros aspectos informáticos
u otros ámbitos de la empresa.

4 – Conclusión del hecho

- No deben redactarse conclusiones
más que en los casos en que la
exposición haya sido muy extensa
o compleja.
 5 – Recomendación del auditor
informático
- Deberá entenderse por sí sola, por
simple lectura.
- Deberá estar suficientemente
soportada en el propio texto.
- Deberá ser concreta y exacta en el
tiempo, para que pueda ser
verificada su implementación.
- La recomendación se redactará de
forma que vaya dirigida
expresamente a la persona o
personas que puedan
implementarla.

Carta de introducción o presentación del

informe final:
La carta de introducción tiene especial
importancia porque en ella ha de
resumirse la auditoría realizada. Se
destina exclusivamente al responsable
máximo de la empresa, o a la persona
concreta que encargo o contrato la
auditoría.
 Así como pueden existir tantas copias
del informe Final como solicite el cliente,
la auditoría no hará copias de la citada
carta de Introducción.
La carta de introducción poseerá los
siguientes atributos:
- Tendrá como máximo 4 folios.
- Incluirá fecha, naturaleza, objetivos y
alcance.
- Cuantificará la importancia de las
áreas analizadas.
- Proporcionará una conclusión
general, concretando las áreas de
gran debilidad.
- Presentará las debilidades en orden
de importancia y gravedad.
- En la carta de Introducción no se
escribirán nunca recomendaciones.