AUDITORIA FISICA

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales en un centro de procesamiento
de información.

La auditoría física no se debe limitar a comprobar la existencia de los medios físicos sino también su funcionalidad
racionalidad, y seguridad.

APLICABLE HA:

 Cualquier actividad en la que las personas hagan uso particular o profesional de entornos físicos.
 Ubicación del edificio
 Ubicación del CPD dentro del edificio.
 Compartimentación
 Elementos de construcción
 Potencia eléctrica
 Sistemas contra incendios
 Control de accesos
 Selección de personal
 Seguridad de los medios
 Medidas de protección
 Duplicación de medios

La revisión de la construcción y el estado de la infraestructura del edificio en sí mismo no es un objeto del que pueda
diagnosticar un auditor, sino que tendrá que apoyarse de peritos independientes que den respuesta a sus preguntas
para lograr la valoración.

LA AUDITORÍA OFIMÁTICA

Sistema automatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el
funcionamiento de la oficina.

El software de ofimática comprende una serie de aplicaciones que se distribuyen de forma conjunta para así mismo
ser empleadas simultáneamente en diversos sistemas.

APLICACIONES

 Determinar y evaluar el procedimiento de adquisición de equipos y aplicaciones.

 Determinar y evaluar la política de mantenimiento definida en la organización.
 Evaluar la calidad de las aplicaciones del entorno ofimático desarrollado por el propio personal de la
organización.
 Evaluar la corrección del procedimiento existente para la realización de cambios de versiones y aplicaciones.
 Determinar si los usuarios cuentan con suficiente información y la documentación de apoyo para la realización
de sus actividades de un modelo eficaz y eficiente.
 Determinar si el sistema existe y si realmente cumple con las necesidades de la organización.

LA AUDITORÍA DE LA DIRECCIÓN

Siempre en una organización se dice que esta es un reflejo de las características de su dirección, los modos y maneras
de actuar de aquella están influenciadas por la filosofía y personalidad del director.

ACCIONES DE UN DIRECTOR

 Planificar.
- Lectura y análisis de actas, acuerdos, etc.
- Lectura y análisis de informes gerenciales.
 - Entrevistas con el mismo director del departamento y con los directores de otras áreas.

 Organizar.
 Controlar.
 Coordinar.

PLANIFICAR

Si durante el proceso de planificación se toma en cuenta el plan estratégico de la empresa, se establecen mecanismos
de sincronización entre sus grandes hitos y los proyectos informáticos asociados y se tiene en cuenta aspectos de
cambios organizacionales, entorno legislativo, evolución tecnológica, organización informática, recursos, etc.

AUDITORIA DE LA DIRECCIÓN DE GESTIÓN

Comprobar que existan descripciones de funciones y responsabilidades documentadas y actualizadas del

Departamento de Informática.

Examinar la descripción de las funciones para evaluar si existe una adecuada separación de éstas, y observar las
actividades desempeñadas por el personal del departamento para analizar el grado de cumplimiento de las funciones
que están documentadas para cada puesto.

AUDITORIA DE LA EXPLOTACIÓN

La Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten
previamente a controles de integridad y calidad.

Esta auditoría se ocupa de evaluar los controles generales y de aplicaciones en la empresa.

Los controles generales son aquellos que están relacionados con todas o con la mayoría de las actividades contables
informatizadas, que generalmente incluyen controles del desarrollo de las modificaciones y del mantenimiento de
programas informáticos y controles de la utilización y modificación de los datos que se mantienen en archivos
informáticos.

1. Contrato o solicitud
2. Planificación estratégica
a. Estudio y evaluación de riesgos
b. Establecimiento de objetivos
3. Planificación técnica
a. Programa de trabajo
4. Actualización del programa de trabajo
5. Pruebas de cumplimiento
6. Pruebas sustantivas
7. Revisión del trabajo
8. Elaboración de informes
9. Distribución de informes
10. Archivar los papeles de trabajo

LA AUDITORÍA DEL DESARROLLO

La auditoría del desarrollo verifica la existencia y aplicación de procedimientos de control adecuados que permitan
garantizar que el desarrollo de Sistemas de Información cumple con los principios de ingeniería, o por el contrario
determinar las deficiencias.

Se deben establecer en forma clara las funciones del área de desarrollo, por lo que se debe comprobar que: existe un
documento que contiene las funciones que corresponden al área, aprobado por la dirección de informática y que se
respeta
APLICADA:

La auditoría se divide en dos grandes áreas:

 Auditoría de la organización y administración del área de desarrollo.

 Auditoría de proyectos de desarrollo de SI.

ISACA (Information Systems Audit and Control Asociación) propone una metodología basada en administración de
riesgos, y determina controles para minimizar éstos.

METODOLOGÍAS DE AUDITORÍA INFORMÁTICA

 Auditoría Informática: Certifica la integridad de los datos informáticos que usan los auditores financieros para
que puedan utilizar los sistemas de información.
 Auditoría Financiera: Examina los estados financieros que generalmente utiliza herramientas de Software de
ayuda.
Las metodologías de auditoría informática son del tipo cualitativo/subjetivo.
 Existen dos metodologías de Auditoria Informática: Auditorias de Controles Generales y Metodologías de
Auditores Internos
 Auditorías de Controles Generales: Dan una opinión sobre la habilidad de los datos del computador para la
Auditoria financiera, cuyo resultado es un informe donde se destacan las vulnerabilidades encontradas.
 Auditorías Internas: Está formada por recomendaciones de Plan de trabajo; deberá realizar cuestionarios y
definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas
o aspectos que defina en el plan auditor.

LOS PASOS DE LA METODOLOGÍA SON LOS SIGUIENTES:

 Identificación de la información
 Inventario de entidades de información residente y operativa
 Identificación de propietarios
 Definición de jerarquías de información
 Definición de la matriz de clasificación
 Confección de la matriz de clasificación
 Realización del plan de acciones
 Implantación y mantenimiento

METODOLOGÍA DE LAS AI
ETAPAS:

- Planeación. - Ejecución. - Dictamen.

METODOLOGÍA DE LA AUDITORÍA

- Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría, diseñados

para alcanzar los objetivos de la auditoría.
- La metodología de la auditoría debe ser aprobada por la gerencia de auditoría, y debe ser comunicada a
todo el personal de auditoría.

FASES DE LA AUDITORÍA

Fases de Auditoría Descripción

Sujeto de la auditoría Identificar el área que será auditada

Objetivo de la auditoría Identificar el propósito de la auditoría. Por ejemplo, un objetivo podría ser que
los cambios al código fuente de los programas se realicen en un ambiente bien
definido y controlado.

Alcance de la auditoría Identificar los sistemas específicos, la función o la unidad de la organización a

ser incluida en la revisión. Por ejemplo, en el ejemplo de los cambios a un
programa, la declaración de alcance podría limitar la revisión a un solo sistema
de aplicación.

Planeación de auditoría • Identificar las habilidades y recursos técnicos que se necesitan.

• Identificar las fuentes de información, tales como organigramas
funcionales, políticas, estándares, procedimientos y documentos de trabajo de
auditorías previas.
• Identificar la ubicación o las instalaciones que serán auditadas.

Procedimientos de auditoría y
pasos para la recopilación de
datos
• Identificar y seleccionar el método de auditoría para verificar y probar los
controles.
• Identificar una lista de personas a entrevistar
• Identificar y obtener políticas, estándares, y directrices de los
departamentos para su revisión.
• Desarrollar herramientas y metodologías de auditoría para verificar y
comprobar los controles.

Procedimientos para evaluar la Específica de la organización

prueba o revisar los resultados

Procedimientos de Específica de la organización

comunicación con la gerencia

Elaboración del informe de • Identificar los procedimientos de la revisión de seguimiento

auditoría • Identificar los procedimientos para evaluar/probar la eficiencia y efectividad
operativa.
• Identificar los procedimientos para probar los controles.
• Revisar y evaluar la corrección de los documentos, las políticas y los
procedimientos.
EJECUCIÓN DE UNA AUDITORÍA

 Proceso de recolección y evaluación de evidencia para determinar si los SI y los recursos relacionados:
- Salvaguardan adecuadamente los activos,
- Mantienen la integridad de los datos y del sistema,
- Proveen información relevante y confiable,
- Alcanzan efectivamente los objetivos organizacionales,
- Consumen los recursos eficientemente, y
- Cuentan con controles internos que provean una seguridad razonable de que los objetivos
operacionales y de control serán satisfechos y de que los eventos no deseados serán prevenidos o
detectados y corregidos de manera oportuna.

 Procedimientos generales de auditoría

- Entendimiento del área u objeto a auditar
- Valoración de riesgos y plan general de auditoría
- Planeación detallada de la auditoría
- Revisión preliminar del área u objeto a auditar
- Evaluación del área u objeto a auditar
- Pruebas de cumplimiento
- Pruebas sustantivas
- Reporte (comunicación de resultados)
- Seguimiento

 Metodología/estrategia de auditoría
- Definición del alcance
- Definición de los objetivos de auditoría
- Definición del programa de trabajo
 Fases Típicas de una Auditoría

Identificar

- El área a auditar
- El propósito de la auditoría
- Los sistemas específicos, funciones o unidades de la organización a ser incluidas en la revisión.
- Las habilidades técnicas y recursos necesarios
- Las fuentes de información para pruebas o revisión tales como diagramas de flujo funcionales,
políticas, estándares, procedimientos y papeles de trabajo de auditorías anteriores.
- Ubicación de las instalaciones a auditar.
- Selección del enfoque de auditoría para verificar y probar los controles
- Lista de personas a entrevistar
- Obtener políticas departamentales, estándares y guías para revisión
- Procedimientos para revisiones de seguimiento
- Procedimientos para evaluar/probar la eficiencia y efectividad operacional
- Procedimientos para probar controles

 Fases Típicas de una Auditoría

Desarrollar

- Herramientas y metodología de auditoría para probar y verificar el control

- Procedimientos para evaluar los resultados de las pruebas o revisiones
- Procedimientos de comunicación con la gerencia
 Revisar y evaluar la solidez de los documentos, políticas y procedimientos.

 Evidencia

Es un requerimiento que las conclusiones del auditor deben basarse en evidencia suficiente y competente

- Independencia del proveedor de la evidencia

- Calificación de la persona que provee la información o evidencia
- Objetividad de la evidencia
- Oportunidad de la evidencia

 Técnicas para obtener evidencia:

- Revisar las estructuras organizacionales de SI
- Revisar las políticas, procedimientos y estándares de SI
- Revisar documentación de SI
- Entrevistar al personal apropiado
- Observar el desempeño de los procesos y de los empleados
 Funciones Reales
 Procesos/Procedimientos Reales
 Concientización sobre Seguridad

 Muestreo

Enfoques generales de muestreo en auditoría:

- Muestreo estadístico:
 Es un enfoque objetivo para determinar el tamaño y los criterios de selección de la muestra.
 Usa las leyes de las probabilidades para: calcular el tamaño de la muestra, seleccionar los objetos
de la muestra, y evaluar los resultados de la muestra y hacer inferencias.
 Para que una muestra sea estadística, cada elemento de la población debe tener igual
probabilidad de ser seleccionado.

- Muestreo no-estadístico
 El método de muestreo, el número de elementos que serán examinados en una población
(tamaño de una muestra), y cuales elementos seleccionar son determinados en base al juicio del
auditor.

Tanto el muestreo estadístico como el no-estadístico exigen que el auditor utilice su propio juicio al definir
características del muestreo, y por lo tanto sufren del riesgo de que el auditor llegue a una conclusión errónea a partir
de la muestra (riesgo de muestreo).

- Métodos de muestreo utilizados por los auditores:

 Muestreo de atributos: también denominado muestreo estimativo, es la técnica utilizada para
estimar el valor de ocurrencia de un control.
 Muestreo de variables: también denominado estimación dólar o muestreo de estimación media,
es la técnica que se utiliza para estimar el valor del dólar u alguna otra unidad de medida.

- Muestreo de atributos
 Muestreo parar-o-seguir: Es un modelo de muestreo que ayuda a prevenir el muestreo excesivo
de un atributo permitiendo que una prueba de auditoría sea detenida lo antes posible. Se usa
cuando el auditor considera que se encontrarán pocos errores.
  Muestreo por descubrimiento: Es un modelo de muestreo que puede usarse cuando la tasa de
ocurrencia que se espera es extremadamente baja. Se utiliza cuando el objetivo de la auditoría es
encontrar fraudes u otras irregularidades.

- Muestreo de variables
 Media estratificada por unidad: Es un modelo estadístico en la cual la población está dividida en
grupos y se extraen muestras de los diferentes grupos.
 Media no-estratificada por unidad: Es un modelo estadístico por el cual el promedio de la muestra
es calculado y proyectado como un total estimado.

- Términos de muestreo estadístico:

 Coeficiente de confianza: Cuanto más grande es el nivel de confiabilidad, mayor es el tamaño de
la muestra.
 Nivel de riesgo: esta cifra es 1 menos el nivel de confiabilidad (si el nivel de confiabilidad es 95%
el nivel de riesgo es del 5% 1-0.95=0.05)
 Precisión: la precisión la fija el auditor y representa el rango de diferencia entre la muestra y el
universo real de la muestra.
 Tasa de error esperada: se expresa como un porcentaje y es el valor estimado de los errores que
pueden presentarse.
 Media de la muestra: es la suma de todos los valores de la muestra dividido por el tamaño de la
muestra
 Desviación estándar de la muestra: calcula la varianza de los valores de la muestra respecto de la
mediana de la muestra.
 Tasa de error tolerable: describe el valor máximo de error o el número de errores que puede
existir sin que una cuenta esta materialmente equivocada.

- Pasos claves en la selección de la muestra

 Determinar los objetivos de la prueba
 Definir la población a ser muestreada
 Determinar el método de muestreo, tales como el muestreo de atributos versus el muestreo de
variables.
 Calcular el tamaño de la muestra
 Seleccionar la muestra
 Evaluar la muestra desde una perspectiva de auditoría.

 Técnicas de auditoría asistidas por computador

- Las herramientas CAAT (Computer Assisted Audit Tools and Techniques ) son muy importantes para
los auditores de SI en la recolección independiente de información.

 Utilización de técnicas CAAT

- Generador de datos de prueba: para preparar un lote de prueba para verificar la lógica de los
programas de aplicación.
- Sistemas expertos: aplicaciones desarrolladas a fin de contener una base de conocimiento experto y
lógica provista por expertos en determinado campo.
- Utilitarios estándares.
- Paquetes de biblioteca de software: para verificar la integridad y corrección de cambios a programas.
 Utilización de técnicas CAAT
- Instalaciones de prueba integradas: consiste en crear entidades en un sistema de aplicación y
procesar datos de prueba o producción sobre la entidad a fin de verificar la exactitud de
procesamiento.
- Instantánea: consiste en tomar fotografías de una transacción a medida que recorre el sistema
computadorizado
- Archivo de revisión de auditoría de control del sistema: consiste en integrar módulos de auditoría en
un sistema de aplicación para realizar un monitoreo continuo de las transacciones del sistema.
- Software especializado de auditoría: para que el auditor realice diversa tareas tales como muestreo
y comparaciones.

 Ventajas de las técnicas CAAT:

- Reducen el nivel de riesgo de auditoría.
- Mayor independencia respecto del auditado.
- Cobertura más amplia y coherente de la auditoría.
- Mayor disponibilidad de información.
- Mejor identificación de excepciones.
- Mayor flexibilidad de tiempos de ejecución.
- Mayores oportunidades de cuantificar las debilidades de control interno.
- Mejor muestreo.
- Ahorro de tiempo con el transcurso del tiempo.

 El auditor debe sopesar los costos y beneficios de las técnicas CAAT. Ha de tener en cuenta:
- Facilidad de utilización.
- Requisitos de capacitación.
- Complejidad de codificación y mantenimiento.
- Flexibilidad de uso.
- Requisitos de instalación.
- Eficiencia de procesamiento.
- Esfuerzo que se requiere para llevar a la información fuente al CAAT para su auditoría.

 Cuando se desarrolla un CAAT debe conservarse la siguiente documentación:

- Listados de los programas.
- Flujogramas, tanto detallados como generales.
- Informes de muestras.
- Diseños de registros y archivos.
- Definiciones de campos.
- Instrucciones de operación.
- Descripción de los documentos fuentes.

 Evaluación de fortalezas y debilidades de auditoría

- Luego de desarrollar un programa de auditoría y recopilar la evidencia de auditoría, el siguiente paso
es evaluar la información recopilada a fin de desarrollar una opinión de auditoría.
- Lo anterior le exige al auditor de sistemas que tenga en cuenta una serie de fortalezas y debilidades y
que luego desarrolle opiniones y recomendaciones de auditoría.

 Evaluación de requerimientos de control

- El auditor debe evaluar los resultados de la evidencia recopilada para el cumplimiento de los
requerimientos de control.
 - A menudo se utiliza una matriz de control para evaluar el nivel correcto de controles.
- Utilizando un método de ranking se llena la matriz con las medidas correctas.
- Una vez completada, la matriz muestra las áreas en las que los controles son débiles o inexistentes.

 Información pertinente y periférica

- Debe aplicarse el juicio para determinar qué material es directamente apropiado para los objetivos
perseguidos en la auditoría y que material no es específicamente pertinente.

 Consideración de controles compensatorios y redundantes

- Un control fuerte puede compensar un control débil en otra área.
- Una situación de control compensatorio se presenta cuando un control más fuerte respalda a uno más
débil, los controles redundantes son dos controles fuertes.

 Determinación de materialidad de hallazgos

- Este es un tema clave en el momento de decidir cuáles hallazgos presentar en un informe de auditoría
a la gerencia.

 Informes de auditoría
- Los informes de auditoría son el producto final del auditor de sistemas.
- Ese es el vehículo que el auditor utiliza para informar sus observaciones y recomendaciones a la
gerencia.
- El formato exacto del informe variará según la organización

 Estructura y contenido del informe

- Los informes de auditoría tienen la siguiente estructura y contenido:
 Introducción, incluyendo los objetivos y alcance de la auditoría, el período cubierto y un resumen
sobre la naturaleza y extensión de los procedimientos de auditoría realizados
 Conclusión global del auditor de sistemas expresando una opinión sobre la adecuación de los
controles o procedimientos revisados durante la auditoría
 Observaciones y recomendaciones detalladas de auditoría
 Respuestas de la gerencia a las observaciones con las acciones correctivas a llevar a cabo y la
oportunidad de implementación de tales acciones correctivas

 Restricciones sobre la implementación de recomendaciones

- El auditor de sistemas debe reconocer que tal vez la gerencia no esté en condiciones de implementar
todas las recomendaciones de auditoría en forma inmediata.
- El auditor de sistemas debe tratar las recomendaciones y las posibles fechas de implementación
durante el proceso de divulgación del informe de auditoría.
- Debe darse cuenta que diversas restricciones, tales como limitaciones de personal, presupuestos, u
otro proyecto, pueden limitar la implementación inmediata.
- La gerencia debe desarrollar un programa sólido de acción correctiva.

 Comunicación de resultados a la gerencia y al comité de auditoría

- El auditor debe tener presente que su responsabilidad final es la gerencia superior y el comité de
auditoría del directorio.

 Conclusiones y opiniones
- El informe de auditoría debe incluir una sección con la opinión respecto de las observaciones de
auditoría.
 - Puede exponerse como que los controles o procedimientos examinados son adecuados o no.
- El resto del informe de auditoría debe respaldar esa conclusión, y la evidencia global recopilada
durante la auditoría debe brindar un nivel mayor de respaldo.

 Existen cuatro tipo de informes:

- Informe sin salvedades: implica una auditoría limpia en la que no se hallan problemas materiales o
declaraciones erróneas.
- Informe con salvedades: los auditores externos utilizan un informe con salvedades para indicar que
la información contable de la organización auditada cumple con las normas de auditoría generalmente
aceptadas, salvo que por una excepción de condiciones o situaciones mencionadas expresamente.
- Opinión adversa; los auditores externos emiten una opinión adversa cuando consideran que los
estados contables de la organización auditada están mal expuestos o significativamente no cumplen
con los principios contables generalmente aceptados.
- Renuncia de opinión: se emite tal tipo de informe cuando los auditores externos consideran que la
situación financiera de la organización auditada es muy precaria y puede conllevar con la disolución
de la misma.

 Entrevista de finalización o salida

- La entrevista de finalización que se lleva a cabo al final de la auditoría, le brinda al auditor los medios
para discutir los hallazgos y recomendaciones con la gerencia.
- Durante esta entrevista, puede asegurarse que los hechos que se presentan en el informe son
correctos, asegurarse de que las recomendaciones son realistas y efectivas en términos de costos, y
de no ser así, buscar alternativas a través de la negociación con el área auditada, y tratar de obtener
fechas de implementación para las recomendaciones sobre las que se ha llegado a un acuerdo.

 Técnicas de exposición
- A menudo se le solicita al auditor de sistemas que exponga los resultados de las tareas de auditoría a
diversos niveles gerenciales. Las técnicas de exposición incluyen:
 Resumen ejecutivo: es un informe de fácil lectura, gramaticalmente correcto y breve que presenta
los hallazgos a la gerencia en forma comprensible.
 Presentaciones visuales: pueden incluir transparencias, diapositivas o gráficos.

 Acciones de la gerencia para implementar recomendaciones

- Los auditores deben darse cuenta que la auditoría es un proceso continuo.
- Los auditores deben tener un programa de seguimiento para determinar si se han tomado las acciones
correctivas prometidas según las recomendaciones de auditoría.
- Los resultados del seguimiento deben ser comunicados a los niveles gerenciales correspondientes.

INFORME FINAL

Auditoría de datos: Mejores prácticas

 Responsabilidad segregada
- El equipo responsable de auditar un sistema debe ser distinto a aquel que lo administra y lo utiliza.

 Mantener el Sistema de Auditoría de Datos Independiente

- Nada ni nadie debe ser capaz de alterar un log de auditoría.

 Hacerla Escalable, Ampliable y Eficiente

- La plataforma de auditoría de datos debe acomodarse al crecimiento y la adición de nuevas fuentes
de datos.
 Hacerla Flexible
- Los requerimientos de auditoría cambiarán; asegúrese que se pueda responder rápida y fácilmente a
esos cambios desplegando un marco de auditoría flexible.

 Gestión Centralizada
- Una plataforma de auditoría de datos debe ser capaz de auditar múltiples bases de datos en múltiples
servidores físicos.

 Asegurar la Plataforma de auditoría de Datos

- La plataforma de auditoría por sí misma no debe tener “puertas traseras de acceso” a sus propios
datos ni permitir el acceso por dichas puertas traseras a los datos de cualquiera de las bases de datos
que monitorea.

 Identificación de los Datos

- Se debe establecer y mantener un inventario de todos los datos, incluyendo aquellos provenientes de
fuentes externas.

 Análisis de los Datos

- Determine los roles, vulnerabilidades y responsabilidades relativas a todos los datos.

 Hacerla Completa
- La política de auditoría de datos necesita abarcar todos los datos dentro de una organización,
incluyendo todos los datos de aplicación, los datos de comunicaciones incluyendo los registros de
correos electrónicos y mensajes instantáneos, registros de transacciones y toda la información que
pasa hacia o alrededor de una organización tanto desde dentro como desde afuera.

 Habilitación de Reportes y Análisis

 Establecimiento de Patrones de Uso Normal

 Establecimiento de una Política de Documentación y Revisión

- La auditoría de datos implementada directamente para satisfacer mandatos de reguladores debe
referirse directamente a los elementos de las regulaciones que satisface: (Sarbanes-Oxley, HIPAA,
GLBA, etc.).

 Monitorear, Alertar, Reportar

- Dependiendo del riesgo, se deben atar los eventos o datos anormales a los sistemas de alerta y, en
algunos casos disparar alarmas en tiempo real.

 Incrementar y Complementar la Seguridad

- La auditoría de datos incrementa y complementa los niveles de la seguridad de los sistemas de IT.

 Respaldo y Archivo
- Los LOG de Auditoría, por si mismas, deben ser respaldadas y lo ideal, almacenadas en una sitio
remoto.

 Crear Procedimientos para la Operación y para la Recuperación ante Desastres

- Es necesario crear políticas y procedimientos que gobiernen cómo se accede a las pistas de auditoría
y cómo se recuperan los datos perdidos.
- Todas las operaciones de recuperación también deben ser auditadas.
DEFINICION

La elaboración del informe de auditoría sistemas es el punto final del proceso de captación y tratamiento de la
información obtenida del sistema auditado.

CARATERISTICAS DEL INFORME DE AUDITORIA DE SISTEMAS

En la relación del informe, el auditor señala los resultados de su investigación, sus evaluaciones, hallazgos,
aportaciones y conclusiones sobre el trabajo realizado; también señala las técnicas, herramientas, métodos y
procedimientos para la obtención de datos.

CARACTERISTICAS FUNDAMENTALES

 Que la información que contiene el documento sea veraz, confiable y oportuna y sin distorsiones ni
tendencias que demeriten el trabajo realizado.
 Que el uso de la terminología sea exacto y objetivo, para que se entiendan e interpreten las desviaciones
reportadas tal y como se quisieron plasmar.
 Que el contenido del informe sea congruente con lo observado, sin inventar, distorsionar o modificar lo
encontrado en la evaluación.
 Que permita mostrar la situación real del área auditada, a fin de identificar y solucionar lo encontrado en la
evaluación.

CARACTERISTICAS DE LA PRESENTACION DEL INFORME

 Claridad
 Confiabilidad
 Propiedad
 Concisión
 Sencillez
 Asertividad
 Tono y fuerza
 Oportunidad
 Exactitud
 Imparcialidad
 Objetividad
 Congruencia
 Familiaridad
 Veracidad
 Efectividad
 Positividad

CATERISTICAS IMPORTANTES PARA LECTOR DE LA AUDITORIA

 Que el lector tenga familiaridad.

 Que el contenido del informe sea coloquial.
 Que el contenido del informe sea variado.
 Que se entregue y comente oportunamente.
 Que su lectura sea sencilla.
 Que su contenido este fundamentado.
 Que su redacción sea clara.
 Que la información contenida sea contundente.
 Que esté redactado en un estilo impersonal.
 Que su contenido sea amento y entendible.
PASOS PARA ELABORAR EL INFORME DE AUDITORIA DE SISTEMAS

APLICAR INSTRUMENTOS DE RECOPILACIÓN

- De acuerdo que en el programa para la auditoria de sistemas, el auditor aplica los instrumentos,
técnicas, procedimientos y herramientas que diseño en la etapa de planeación con el propósito de
realizar la evaluación a los sistemas, a las áreas de centros de cómputo o cualquier otro aspecto.

INSTRUMENTOS DE RECOPILACION

Este tiene como objetivo identificar los principales instrumentos técnicas, herramientas y métodos utilizados en la
recopilación de información.

Las cuales se detallan a continuación:

a) Entrevista
b) Cuestionarios
c) Encuestas
d) Observación
e) Inventarios
f) Muestreo
g) Experimentación

IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTARIZADAS EN LA AUDITORIA

Las herramientas computarizadas de apoyo a la auditoria se suelen clasificar en dos categorías genéricas, a saber:

 Técnicas: extracción y análisis de datos, detección de fraude, monitoreo continuo, valoración de la seguridad
de la red, control del comercio electrónico, evaluación del control interno y papeles de trabajo automatizados.
 Herramientas: procesadores de texto, hojas electrónicas, software especializado de auditoria, correo
electrónico, diagramas de flujo, bases de datos, administración de datos y groupware, administración de la
auditoria y administración de riesgos.

REGISTRAR EN EL FORMATO DE SITUACIONES ENCONTRADAS LAS DESVIACIONES HALLADAS DURANTE LA REVISION

Una vez hecho el análisis, entonces puede definir aquellas situaciones encontradas en su evaluación.

Las desviaciones que reporta el auditor tienen características especiales, las cuales debes plasmar por escrito en un
documento de carácter formal, al que llamaremos formato de situaciones encontradas.

COMENTAR LAS SITUACIONES ENCONTRADAS CON LOS AUDITADOS

Una vez identificadas las situaciones encontradas, es responsabilidad del encargado de la auditoria que el auditor o
supervisor comenten cada una de esas desviaciones con el personal responsable de la operación, sistema o función
auditada.

ENCONTRAR, CONJUNTAMENTE CON LOS AUDITADOS, LAS CAUSAS DE LAS DESVIACIONES Y SUS POSIBLES
SOLUCIONES

La necesidad de comentar las desviaciones con los responsables de la operación, también remarcaremos que se puede
obtener de manera más fidedigna y confiable las causas que generan cada una de las desviaciones.

ANALIZAR, DEPURAR Y CORREGIR LAS DESVIACIONES ENCONTRADAS

La redacción y presentación de estas desviaciones deben hacerse lo más correctamente posible sin admitir ni el más
mínimo error de ortografía, redacción tipográfica.

Esta es la principal responsabilidad del encargado de la auditoria de sistemas, vigilar el correcto reporte de las
situaciones encontradas.
JERARQUIZAR LAS DESVIACIONES ENCONTRADAS Y CONCENTRAR LAS MÁS IMPORTANTES EN EL FORMATO DE
SITUACIONES RELEVANTES

Una vez que se supervise el informe de desviaciones se analiza y se reportada; se escoge las que se considere mas
importante con el propósito de enfatizar lo que considera como lo más importante de a evaluación practicada a fin
que los directivos conozcan los aspectos más relevantes.

COMENTAR LAS SITUACIONES RELEVANTES CON LOS DIRECTIVOS DEL AREA DE SISTEMAS Y CONFIRMAR LAS
CAUSAS Y SOLUCIONES

El responsable de la auditoria debe encabezar la presentación de este informe al directivo de mayor jerarquía del área
de sistemas.

También es decisión del encargado que cada auditor aclare las dudas de los participantes en esta reunión.

CONCENTRAR, DEPURAR Y ELABORAR EL INFORME FINAL DE AUDITORIA, ASI COMO EL DICTAMEN DEL AUDITOR

El auditor responsable de la auditoria debe depurar cada una de las situaciones relevantes reportadas, con el fin de
concentrarlas en el llamado informe final de auditoría. Debido a que le informe es para el área directiva de la
empresa, no debe exceder de dos o tres hojas.

En este informe el auditor solo debe señalar lo más relevante de la evaluación, incluyendo su opinión.

La elaboración del informe es el verdadero trabajo del responsable de auditoria, debido que en el documento es donde
se muestra la importancia de su actividad.

PRESENTAR EL INFORME Y DICTAMEN FINAL A LOS DIRECTIVOS DE LA EMPRESA

Este es el informe final de la auditoría practicada y, por lo tanto, no se debe admitir ningún comentario adicional
que pudiera modificar lo ahí presentado; ya que es el producto final de la auditoria, y por lo tanto como crear
expectativas de duda sobre la veracidad y confiabilidad de su contenido.

Ejemplo de informe para auditoría

1. Identificación del informe

- Auditoria de la Ofimática

2. Identificación del Cliente

- El área de Informática

3. Identificación de la Entidad Auditada

- Municipalidad Provincial Mariscal Nieto

4. Objetivos
- Verificar si el hardware y software se adquieren siempre y cuando tengan la seguridad de que los
sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
- Verificar si la selección de equipos y sistemas de computación es adecuada
- Verificar la existencia de un plan de actividades previo a la instalación
- Verificar que los procesos de compra de Tecnología de Información, deben estar sustentados en
Políticas, Procedimientos, Reglamentos y Normatividad en general, que aseguren que todo el proceso
se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organización
para hoy y el futuro, sin caer en omisiones, excesos incumplimientos.
- Verificar si existen garantías para proteger la integridad de los recursos informáticos.
- Verificar la utilización adecuada de equipos acorde a planes y objetivos.
- Verificar si existen garantías para proteger la integridad de los recursos informáticos.
 - Verificar la utilización adecuada de equipos acorde a planes y objetivos.

5. Hallazgos Potenciales
- Falta de licencias de software.
- Falta de software de aplicaciones actualizados
- No existe un calendario de mantenimiento ofimático.
- Faltan material ofimática.
- Carece de seguridad en Acceso restringido de los equipos ofimáticos y software.

6. Alcance de la auditoria
- Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al
Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones aplicable al
efecto.
- El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria
Ofimática, se complementa con los objetivos de ésta.

7. Conclusiones
- Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de
los objetivos contenidos en el programa de auditoria.
- El Departamento de centro de cómputo presenta deficiencias sobre el debido cumplimiento de
Normas de seguridad.
- La escasez de personal debidamente capacitado.
- Cabe destacar que el sistema ofimático pudiera servir de gran apoyo a la organización, el cual no es
explotado en su totalidad por falta de personal capacitado.

8. Recomendaciones
- Se recomienda contar con sellos y firmas digitales
- Un de manual de funciones para cada puesto de trabajo dentro del área.
- Reactualización de datos.
- Implantación de equipos de última generación

9. Fecha de informe
- Planeamiento de ejecución
- 16-04-2012 al 05-02-2014

10. Identificación y firma del auditor

- Nombres, apellidos y cargo

WINAUDIT, SOFTWARE GRATUITO PARA AUDITORIA INFORMATICA

WinAudit es un software muy sencillo, liviano, gratuito y además portable, que de manera rápida nos ofrece un
completo análisis de cualquier computador que funcione bajo el sistema Windows.

DEFINICIONES GENERALES

 CRITERIO DE AUDITORIA

Políticas, prácticas, procedimientos o requerimientos contra los que el auditor compara la información recopilada

 EVIDENCIA DE AUDITORIA
- Información, registros o declaraciones de hecho verificables.
- Puede ser cualitativa o cuantitativa.
 - Sirve para determinar cuándo se cumple con el criterio de auditoria.
- Se basa en entrevistas, revisión de documentos, observación de actividades.

 RESULTADOS DE LA AUDITORIA
- Evaluación de la evidencia comparada contra los criterios de auditoria acordados.
- Proveen la base para el reporte final de la auditoria.

 EQUIPO AUDITOR
- Grupo de auditores, o un auditor individual
 Expertos técnicos
 Auditores auxiliares
 Auditor líder

 AUDITADO

Organización que se audita.

 AUDITORIA DE CALIDAD

Proceso sistemático, documentado y de verificación objetiva para:

- Evaluar la evidencia
- Determinar cuáles actividades, eventos, condiciones, cumplen con los criterios de auditoria.

PLAN DE AUDITORIA

Debe ser establecido y comunicado al cliente. El cliente debe revisar y aprobar dicho plan.

Debe incluir:

a) Los objetivos y alcance.

b) El criterio a ser usado.
c) La identificación de las unidades organizacionales y funcionales a ser auditadas.
d) La identificación de las funciones y/o individuos dentro de la organización del auditado.
e) Identificación de los aspectos de calidad que son de alta prioridad.
f) Identificación de los documentos de referencia.
g) El tiempo y duración esperados para las entrevistas e inspecciones.
h) Las fechas y lugares donde se va a realizar la auditoria.
i) El Cronograma de reuniones que se van a tener con la gerencia del auditado.
j) Requerimientos confidenciales.
k) El contenido, formato y estructura del informe.
EJEMPLO DEL PLAN DE AUDITORIA
INSTITUTO PARA LA PROTECCIÓN AL AHORRO BANCARIO

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE HARDWARE

Fecha: 10-07-2010
Elaborado por: Victor Manuel Bernal Garcia
Revisado por: Mario Rosales Franco

Documentación a
No. Procedimiento Responsable Fecha
examinar
1 Elaborar un listado de las máquinas y de los
programas más usados, usando el listado Victor Bernal 10/07/2010 Inventario
sugerido
2 Especificar y documentar las observaciones
especiales de las máquinas que requieran una
Victor Bernal 10/07/2010
apreciación exclusiva. Como el servidor, equipos
con componentes especiales, etc.
3 Elaborar un diagrama de la estructura y
conexiones de red con los correspondientes Victor Bernal 10/07/2010
equipos.
4 Realizar un análisis preliminar sobre el estado
Victor Bernal 10/07/2010
general del laboratorio.

Elaboro Reviso

---------------------------------------------- ----------------------------------------------
Nombre y Firma Nombre y Firma
 PROGRAMA DE AUDITORIA
Empresa: Instituto para la Protección al Ahorro Bancario Fecha: 10/07/2010 No. Hoja: 1
Fase Actividad Horas Programadas Encargados
Visita Preliminar
1.- Solicitud de Manuales y Documentaciones.
1 8 Horas Víctor Bernal
2.- Elaboración de los cuestionarios.
3.- Recopilación de la información.
Desarrollo de la Auditoria
1.- Aplicación del cuestionario al personal.
2.- Análisis de las claves de acceso, control,
2 seguridad, confiabilidad y respaldos. 36 horas Mario Rosales
3.- Evaluación de los sistemas: relevamiento de
Hardware y Software, evaluación del diseño
lógico y del desarrollo del sistema.
Revisión y Pre-Informe Víctor Bernal
3 1.- Revisión de los papeles de trabajo. 8 Horas y Mario
3.- Determinación del Diagnostico e Implicaciones. Rosales
Informe Víctor Bernal
4 4 Horas y Mario
1.- Elaboración y presentación del Informe.
Rosales

INFORME FINAL

 Título

Identificar con un nombre corto y referenciando al objetivo de la auditoria.

 Partes interesadas

El auditor dirigirá su informe al ejecutivo u órgano de la entidad del que recibió el encargo de la auditoría.

 Objetivo
- Especificar en forma muy puntual los procesos o áreas involucradas en la auditoria.
- Basada en objetivos definidos por el cliente.
- Indicar con qué propósito se realiza la auditoria

 Alcance
- Especificar la trascendencia de la auditoria y las áreas involucradas en la misma.
- El alcance describe la extensión y límites de la auditoría

 Resultados

Especificar cada uno de los descubrimientos encontrados en la auditoria.

 Observaciones

Se especifica las observaciones relevantes de la auditoria por parte del auditor.

 Recomendaciones

Se especifica las recomendaciones del auditor.

 Conclusiones

Especificar el cierre de la auditoria y el cumplimiento de los objetivos.

  Periodo de cobertura

Este periodo deberá contener la fecha de inicio y último día de trabajo en las oficinas de la entidad.

 Firmas

Nombre y firma del representante del área auditada, así como nombre y firma del auditor.
FORMATO DE OBSERVACIONES

INFORME DE AUDITORIA

Nombre de la Empresa:

Area auditada:

Fecha inicial de auditoria: Fecha final de auditoria: Auditor:

Punto en Categorización (impacto)

Secuencia Recomendación Responsable Riesgo
observación Critico Mayor Menor Sin Impacto

RECOMENDACIONES Y ACCIONES

CONCLUSIONES

 El informe de auditoría tiene que estar basado en una metodología, misma que debe estar soportada por
mejores prácticas administrativas y tecnológicas.

 El informe de auditoría debe contener cuando menos los puntos observados en la presentación y el formato
puede elaborarse de acuerdo a las necesidades del auditor, por lo que no existe un formato en específico.
 La información y observaciones vertido en el informe deben contener un sustento y no pueden ser en ningún
caso subjetivos.