Normas, tcnicas y procedimientos de auditora

El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y procedim

ientos de auditora. Para nuestro caso, estudiaremos aquellas enfocadas a la audit
ora en informtica.
Es fundamental mencionar que para el auditor en informtica conocer los productos
de software que han sido creados para apoyar su funcin aparte de los componentes
de la propia computadora resulta esencial, esto por razones econmicas y para faci
litar el manejo de la informacin
Normas
Las normas de auditora son los requisitos mnimos de calidad relativos a la persona
lidad del auditor, al trabajo que desempea ya la informacin que rinde como resulta
do de este trabajo.
Las normas de auditora se clasifican en:
Normas personales: son cualidades que el auditor debe tener para ejercer sin dol
o una auditora, basados en un sus conocimientos profesionales as como en un entren
amiento tcnico, que le permita ser imparcial a la hora de dar sus sugerencias.
Normas de ejecucin del trabajo: son la planificacin de los mtodos y procedimientos,
tanto como papeles de trabajo a aplicar dentro de la auditora.
Normas de informacin: son el resultado que el auditor debe entregar a los interes
ados para que se den cuenta de su trabajo, tambin es conocido como informe o dict
amen.
Tcnicas
Son los mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener
la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo s
e basa en su criterio o juicio, segn las circunstancias .
PROCEDIMIENTOS
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunsta
ncias que nos sirven para fundamentar la opinin del auditor dentro de una auditora
, se les dan el nombre de procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditora, y al co
njunto de programas de auditora se le denomina plan de auditora, el cual servir al
auditor para llevar una estrategia y organizacin de la propia auditora.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinin
en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de
aplicacin simultnea
En General los procedimientos de auditora permiten
Obtener conocimientos del control interno.
Analizar loas caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedi
miento de auditora sern los mas indicados par obtener su opinin.
ANLISIS DE DATOS
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimiento
s de auditora, de los cuales destacan el anlisis de datos, ya que para las organiz
aciones el conjunto de datos o informacin son de tal importancia que es necesario
verificarlos y comprobarlos, as tambin tiene la misma importancia para el auditar
ya que debe de utilizar diversas tcnicas para el anlisis de datos
TCNICAS PARA EL ANLISIS DE DATOS
Comparacin de programas: esta tcnica se emplea para efectuar una comparacin de cdigo
(fuente, objeto o comandos de proceso) entre la versin de un programa en ejecucin
y la versin de un programa piloto que ha sido modificado en forma indebida, para
encontrar diferencias.

Mapeo y rastreo de programas: esta tcnica emplea un software especializado que pe

rmite analizar los programas en ejecucin, indicando el nmero de veces que cada lnea
de cdigo es procesada y las de las variables de memoria que estuvieron presentes
Anlisis de cdigo de programas: Se emplea para analizar los programas de una aplica
cin. El anlisis puede efectuarse en forma manual (en cuyo caso slo se podra analizar
el cdigo ejecutable).
Datos de prueba: Se emplea para verificar que los procedimientos de control incl
uidos los programas de una aplicacin funcionen correctamente. Los datos de prueba
consisten en la preparacin de una serie de transacciones que contienen tanto dat
os correctos como datos errneos predeterminados.
Datos de prueba integrados: Tcnica muy similar a la anterior, con la diferencia d
e que en sta se debe crear una entidad, falsa dentro de los sistemas de informacin
.
Anlisis de bitcoras: Existen varios tipos de bitcoras que pueden ser analizadas por
el auditor, ya sea en forma manual o por medio de programas especializados, tal
es como bitcoras de fallas del equipo, bitcoras de accesos no autorizados, bitcoras
de uso de recursos, bitcoras de procesos ejecutados
Simulacin paralela: Tcnica muy utilizada que consiste en desarrollar programas o md
ulos que simulen a los programas de un sistema en produccin. El objetivo es proce
sar los dos programas o mdulos de forma paralela e identificar diferencias entre
los resultados de ambos
MONITOREO
Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs d
el tiempo para verificar su calidad en cuanto a las necesidades de control, inte
gridad y confidencialidad, este es precisamente el mbito de esta tcnica, a continu
acin se muestran los procesos de monitoreo:
Monitoreo del proceso.
Evaluar lo adecuado del control Interno.
Obtencin de aseguramiento independiente.
Proveer auditora independiente
Monitoreo del proceso
Asegura el logro de los objetivos para los procesos, lo cual se logra definiendo
por parte de la gerencia reportes e indicadores de desempeo y la implementacin de
sistemas de soporte as como la atencin regular a los reportes emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y factores crtico
s de xito y compararlos con los niveles propuestos para evaluar el desempeo de los
procesos de la organizacin
Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los proce
sos, para ello se debe monitorear la efectividad de los controles internos a tra
vs de actividades administrativas, de supervisin, comparaciones, acciones rutinari
as, evaluar su efectividad y emitir reportes en forma regular
Obtencin de aseguramiento independiente
Incrementa los niveles de confianza entre la organizacin, clientes y proveedores,
este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente de
seguridad y control interno antes de implementar nuevos servicios de tecnologa d
e informacin que resulten crticos
Proveer auditora independiente
Incrementa los niveles de confianza de recomendaciones basadas en mejores prctica
s de su implementacin, lo que se logra con el uso de auditoras independientes desa
rrolladas a intervalos regulares de tiempo.
Para ello la gerencia deber establecer los estatutos para la funcin de auditora, de
stacando en este documento la responsabilidad, autoridad y obligaciones de la au
ditora.

El auditor deber ser independiente del auditado, esto significa que los auditores
no debern estar relacionados con la seccin o departamento que est siendo auditado
y en lo posible deber ser independiente de la propia empresa; esta auditora deber r
espetar la tica y los estndares profesionales, seleccionando para ello auditores q
ue sean tcnicamente competentes, es decir que cuenten con habilidades y conocimie
ntos que aseguren tareas efectivas y eficientes de auditora informtica.
La funcin de la auditora informtica deber proporcionar un reporte que muestre los ob
jetivos, perodo de cobertura, naturaleza y trabajo de auditora realizado, as como t
ambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de au
ditora informtica llevado a cabo
Anlisis de bitcoras
Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el
sistema que la genera los cuales pueden ser:
Fecha y hora.
Direcciones IP origen y destino.
Direccin IP que genera la bitcora.
Usuarios.
Errores.
La importancia de las bitcoras es la de recuperar informacin ante incidentes de se
guridad, deteccin de comportamiento inusual, informacin para resolver problemas, e
videncia legal, es de gran ayuda en las tareas de cmputo forense
Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes:
Para UNIX, Logcheck, SWATCH.
Para Windows, LogAgent
Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya q
ue estn teniendo mucha relevancia, como evidencia en aspectos legales
PAPELES DE TRABAJO PARA LA AUDITORA DE SISTEMAS
Objetivos de los papeles de trabajo
- Servir como evidencia del trabajo realizado y de soporte de las conclusiones d
el mismo.
- Presentar informes a las partes interesadas.
- Facilitar los medios para organizar, controlar, administrar y supervisar el tr
abajo ejecutado en las oficinas del cliente
- Facilitar la continuidad del trabajo en el caso de que un rea deba ser terminad
a por persona distinta de la que la inici.
- Facilitar la labor de revisiones posteriores y servir para la informacin y eval
uacin personal.
Tipos de papeles de trabajo
En funcin de la fuente de la que procedan los papeles de trabajo, stos se podrn cla
sificar en tres grupos:
a) Preparados por la entidad auditada. Se trata de toda aquella documentacin que
la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo:
estados financieros, memoria, escritura, contratos, acuerdos.
b) Confirmaciones de terceros. Una parte del trabajo de auditora consiste en la v
erificacin de los saldos que aparecen en el balance de situacin a auditar.
c) Preparados por el auditor. Este ltimo grupo estar formado por toda la documenta
cin elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestio
narios y programas, descripciones, detalles de los diferentes captulos de los est
ados financieros, cuentas, transacciones,
INSTRUMENTOS DE RECOPILACION DE INFORMACION EN AUDITORIA
Entrevista
Es la principal actividad de un auditor sin importar el tipo de auditoria que se
realice, es la recopilacin de conformacin sobre el aspecto que va auditar, pues c
oncentra y tabular esa conformacin en cuadros Y estadsticas analiza sus resultados
y emite un juicio sobre lo que evalu

Las preguntas para una entrevista Pueden ser:

Abiertas: donde el entrevistado tiene libertad absoluta para responder.
Cerradas: su objetivo es centrar las respuestas donde el auditor quiera llegar s
in salirse del tema.
De sondeo: se utiliza para determinar el grado de cooperacin y colaboracin.
De Cierre: se hacen para terminar con el interrogatorio.
Mixta: es la combinacin de dos o ms de las preguntas anteriores
Encuesta
Los datos se obtienen a partir de realizar un conjunto de preguntas normalizadas
dirigidas a una muestra representativa o al conjunto total de la poblacin en est
udio.
La encuesta se realiza siempre en funcin de un cuestionario
Cuestionarios
Es la recopilacin de datos mediante preguntas impresas en la que el encuestado re
sponde mediante su criterio. Que luego el auditor convierte en informacin valiosa
para realizar su trabajo.
Documento bsico para obtener la informacin.
Observacin
Es la accin de observar y mirar detenidamente, esta tcnica es muy utilizada por lo
s auditores ya que les permite recolectar directamente la informacin necesaria.
La accin de observar es el hecho de examinar, analizar, advertir, o estudiar algo
en este caso el auditor observa todo lo relacionado con los sistemas de una emp
resa.
Inventario
Consiste en comprar las cantidades reales existentes con las que beberan haber pa
ra ver si son iguales o no.
Esta forma de recopilacin de informacin consiste en hacer un recuento fsico de lo q
ue se esta auditando a fin de saber la cantidad existente de algn producto en una
fecha determinada y comprarla con la que deba haber segn los documentos en esa mi
sma fecha.
Muestreo
Para emitir una opinin fundamentada sobre los funcionamientos de las operaciones
un auditor debe tener informacin segura pero se le hace imposible e inoperante re
visar todas las transacciones, razn por la cual debe tomar una muestra representa
tiva de cada una de las labores de la poblacin auditada
Inventario
Consiste en comprar las cantidades reales existentes con las que beberan haber pa
ra ver si son iguales o no.
Esta forma de recopilacin de informacin consiste en hacer un recuento fsico de lo q
ue se esta auditando a fin de saber la cantidad existente de algn producto en una
fecha determinada y comprarla con la que deba haber segn los documentos en esa mi
sma fecha
Experimentacin
Es un procedimiento mediante el cual se trata de comprobar, confirmar o verifica
r, una o varias hiptesis relacionadas Entre los tipos de experimentos que daremos
a conocer estn:
Experimentos exploratorios
Experimento confirmatorios
Experimento cruciales
TECNICAS DE EVALUACION APLICABLES EN UNA AUDITORIA DE SISTEMAS
EXAMEN
Consiste en analizar y poner a prueba o demostracin algn fenmeno o hecho relacionad
o con la gestin administrativa de un centro de cmputo, de sus componentes o de la

operacin del sistema procesados de informacin, con el propsito de evaluar el cumpli

miento de sus funciones, actividades y operaciones, as como el cumplimiento del p
rocesamiento de datos y la emisin de informacin que se requiere en la empresa o en
las reas que la integren
INSPECCION
La inspeccin es Sinnimo de supervisin, ya que trata de examinar la forma en que se
desarrollan las actividades de un rea de sistemas computacionales, a fin de evalu
ar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones
COMPARACION
(Determinar las semejanzas o diferencias que hay entre dos o mas elementos) Esta
debe ser aplicada de acuerdo a las necesidades y caractersticas especificas del r
ea de sistemas o del propio sistemas que va a se auditado.
Con la comparacin de informacin se pueden encontrar las similitudes y diferencias
entre ambas reas o empresa, con lo cual se pueden hacer conjeturas y deducciones
sobre las desviaciones encontradas
REVISION DOCUMENTAL
Es la forma mas importante de evaluar a las empresas;
La revisin documental avala los registros de operaciones y actividades de una emp
resa, principalmente en aquellos casos donde la evaluacin esta enfocada a los asp
ectos financieros, registros de los activos y a cualquier otro aspecto contable
y administrativo de la empresa. Esta tcnica se aplica verificando el registro cor
recto de datos en documentos formales de la empresa, con mucha frecuencia la emi
sin de sus resultados financieros. En los sistemas computacionales es utilizada p
ara evaluar el desarrollo de las operaciones y funcionamiento del sistema, revis
ar el uso y registro adecuado de los documentos del software, verificar la exist
encia y actualizacin de registros formales para la administracin y control de oper
acin del sistema.
ACTA TESTIMONIAL
Es un documento de carcter formal, que por su representatividad, importancia y po
sibles alcances de carcter legal y jurdico es uno de los documentos vitales. La im
portancia de este radica en que con su uso se pueden evidenciar pruebas fehacien
tes, circunstanciales, probatorias para comprobar desviaciones en el rea auditada
y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto r
elacionado con la desaparicin de algn bien de la empresa, para fincar responsabili
dades por deficiencia en las actividades de la empresa; auque puede ser levanta
da en cualquier otra incidencia de las actividades cotidiana de una empresa.
MATRIZ DE EVALUACION
MATRIZ DOFA
Es un acrnimo de Debilidades, Oportunidades, Fortalezas y amenazas de la empresa,
las cuales son analizadas cada una por separado en cuanto a su presencia intern
a y a la influencia que la empresa recibe del exterior.