METODOLOGIA DE LA AUDITORIA INFORMATICA

Alcance y Objetivos de la Auditora Informtica

Estudio inicial del entorno auditable
Determinacin de los recursos necesarios para realizar la auditora
Elaboracin del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditora
Confeccin y redaccin del Informe Final
Redaccin de la Carta de Introduccin o Carta de Presentacin del
Informe final

Definicin de alcance y objetivos

El alcance de la auditora expresa los lmites de la misma. Debe existir un
acuerdo muy preciso entre auditores y clientes sobre las funciones, las
materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes
expresar las excepciones de alcance de la auditora, es decir cuales materias,
funciones u organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe
Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud
posible los objetivos a los que su tarea debe llegar. Deben comprender los
deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser
cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los
objetivos generales y comunes de a toda auditora Informtica: La operatividad
de los Sistemas y los Controles Generales de Gestin Informtica.

Estudio inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades
generales de la informtica. Para su realizacin el auditor debe conocer lo
siguiente:
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin
ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama: El organigrama expresa la estructura oficial de la organizacin
a auditar. Si se descubriera que existe un organigrama fctico diferente al
oficial, se pondr de manifiesto tal circunstancia.
2) Departamentos: Se entiende como departamento a los rganos que siguen
inmediatamente a la Direccin. El equipo auditor describir brevemente las
funciones de cada uno de ellos.

3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El

equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas
previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn
empleado tiene dos jefes. Las de Jerarqua implican la correspondiente
subordinacin. Las funcionales por el contrario, indican relaciones no
estrictamente subordinables.
4)
Flujos de Informacin: Adems de las corrientes verticales
intradepartamentales, la estructura organizativa cualquiera que sea, produce
corrientes de informacin horizontales y oblicuas extradepartamentales. Los
flujos de informacin entre los grupos de una organizacin son necesarios para
su eficiente gestin, siempre y cuando tales corrientes no distorsionen el
propio organigrama. En ocasiones, las organizaciones crean espontneamente
canales alternativos de informacin, sin los cuales las funciones no podran
ejercerse con eficacia; estos canales alternativos se producen porque hay
pequeos o grandes fallos en la estructura y en el organigrama que los
representa.
Otras veces, la aparicin de flujos de informacin no previstos obedece a
afinidades personales o simple comodidad. Estos flujos de informacin son
indeseables y producen graves perturbaciones en la organizacin.
5)
Nmero de Puestos de trabajo: El equipo auditor comprobar que los
nombres de los Puesto de los Puestos de Trabajo de la organizacin
corresponden a las funciones reales distintas. Es frecuente que bajo nombres
diferentes se realicen funciones idnticas, lo cual indica la existencia de
funciones operativas redundantes. Esta situacin pone de manifiesto
deficiencias estructurales; los auditores darn a conocer tal circunstancia y
expresarn el nmero de puestos de trabajo verdaderamente diferentes.
6)
Nmero de personas por Puesto de Trabajo: Es un parmetro que los
auditores informticos deben considerar. La inadecuacin del personal
determina que el nmero de personas que realizan las mismas funciones rara
vez coincida con la estructura oficial de la organizacin.

Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del
entorno en el que va a desenvolverse. Este conocimiento previo se logra
determinando, fundamentalmente, los siguientes extremos:
a.
Situacin geogrfica de los Sistemas: Se determinar la ubicacin
geogrfica de los distintos Centros de Proceso de Datos en la empresa. A
continuacin, se verificar la existencia de responsables en cada uno de ellos,
as como el uso de los mismos estndares de trabajo.
b.
Arquitectura y configuracin de Hardware y Software: Cuando existen
varios equipos, es fundamental la configuracin elegida para cada uno de ellos,
ya que los mismos deben constituir un sistema compatible e intercomunicado.
La configuracin de los sistemas est muy ligada a las polticas de seguridad

lgica de las compaas. Los auditores, en su estudio inicial, deben tener en su

poder la distribucin e interconexin de los equipos.
c. Inventario de Hardware y Software: El auditor recabar informacin escrita,
en donde figuren todos los elementos fsicos y lgicos de la instalacin. En
cuanto a Hardware figurarn las CPUs, unidades de control local y remoto,
perifricos de todo tipo, etc.

El inventario de software debe contener todos los productos lgicos del

Sistema, desde el software bsico hasta los programas de utilidad adquiridos o
desarrollados internamente. Suele ser habitual clasificarlos en facturables y no
facturables.
d. Comunicacin y Redes de Comunicacin: En el estudio inicial los auditores
dispondrn del nmero, situacin y caractersticas principales de las lneas, as
como de los accesos a la red pblica de comunicaciones.

Actividades de la auditoria informtica

La auditora Informtica general se realiza por reas generales o por reas
especficas. Si se examina por grandes temas, resulta evidente la mayor
calidad y el empleo de ms tiempo total y mayores recursos. Cuando la
auditora se realiza por reas especficas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene
ms rpidamente y con menor calidad.
Tcnicas de Trabajo:

Anlisis de la informacin recabada del auditado

Anlisis de la informacin propia

Cruzamiento de las informaciones anteriores

Entrevistas

Simulacin

Muestreos

Herramientas:

Cuestionario general inicial

Cuestionario Checklist

Estndares

Monitores

Simuladores (Generadores de datos)

Paquetes de auditora (Generadores de Programas)

Matrices de riesgo

Informe final
La funcin de la auditora se materializa exclusivamente por escrito. Por lo
tanto la elaboracin final es el exponente de su calidad. Resulta evidente la
necesidad de redactar borradores e informes parciales previos al informe final,
los que son elementos de contraste entre opinin entre auditor y auditado y
que pueden descubrir fallos de apreciacin en el auditor.

Estructura del informe final

El informe comienza con la fecha de comienzo de la auditora y la fecha de
redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres
de todas las personas entrevistadas, con indicacin de la jefatura,
responsabilidad y puesto de trabajo que ostente.

Definicin de objetivos y alcance de la auditora.

Enumeracin de temas considerados:

Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente

posible todos los temas objeto de la auditora.

Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a) Situacin actual. Cuando se trate de una revisin peridica, en la que
se analiza no solamente una situacin sino adems su evolucin en el
tiempo, se expondr la situacin prevista y la situacin real
b) Tendencias. Se tratarn de hallar parmetros que permitan establecer
tendencias futuras.
c) Puntos dbiles y amenazas
d) Recomendaciones y planes de accin. Constituyen junto con la
exposicin de puntos dbiles, el verdadero objetivo de la auditora
informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.

Modelo conceptual de la exposicin del informe final:

El informe debe incluir solamente hechos importantes.

La inclusin de hechos poco relevantes o accesorios desva la atencin

del lector.

El Informe debe consolidar los hechos que se describen en el mismo.

El trmino de "hechos consolidados" adquiere un especial significado de

verificacin objetiva y de estar documentalmente probados y soportados. La
consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:
1.

El hecho debe poder ser sometido a cambios.

2.
Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situacin.
3.

No deben existir alternativas viables que superen al cambio propuesto.

4.
La recomendacin del auditor sobre el hecho debe mantener o mejorar
las normas y estndares existentes en la instalacin.

La aparicin de un hecho en un informe de auditora implica necesariamente la

existencia de una debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1 Hecho encontrado

Ha de ser relevante para el auditor y pera el cliente

Ha de ser exacto, y adems convincente.

No deben existir hechos repetidos.

2 Consecuencias del hecho

Las consecuencias deben redactarse de modo que sean directamente

deducibles del hecho.
3 Repercusin del hecho

Se redactar las influencias directas que el hecho pueda tener sobre otros
aspectos informticos u otros mbitos de la empresa.
4 Conclusin del hecho

No deben redactarse conclusiones ms que en los casos en que la

exposicin haya sido muy extensa o compleja.
5 Recomendacin del auditor informtico

Deber entenderse por s sola, por simple lectura.

Deber estar suficientemente soportada en el propio texto.

Deber ser concreta y exacta en el tiempo, para que pueda ser verificada
su implementacin.

La recomendacin se redactar de forma que vaya dirigida expresamente

a la persona o personas que puedan implementarla.

HERRAMIENTAS Y TECNICAS PARA LA AUDITORIA

Cuestionarios
Las auditoras informticas se materializan recabando informacin y
documentacin de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la
informacin necesaria para la emisin de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados tambin evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de

cuestionarios impresos que se envan a las personas concretas que el auditor
cree adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones
distintas, sino diferentes y muy especficos para cada situacin, y muy
cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que
tal anlisis determine a su vez la informacin que deber elaborar el propio
auditor. El cruzamiento de ambos tipos de informacin es una de las bases
fundamentales de la auditora.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan
adquirido por otro medios la informacin que aquellos impresos hubieran
proporcionado.

Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado.
Lo hace de tres formas:
1.
Mediante la peticin de documentacin concreta sobre alguna materia
de su responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor;
en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada
por medios propios puramente tcnicos o por las respuestas escritas a
cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y
auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que

hace un auditor, interroga y se interroga a s mismo. El auditor informtico

experto entrevista al auditado siguiendo un cuidadoso sistema previamente
establecido, consistente en que bajo la forma de una conversacin correcta y lo
menos tensa posible, el auditado conteste sencillamente y con pulcritud a una
serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es
solo aparente. Tras ella debe existir una preparacin muy elaborada y
sistematizada, y que es diferente para cada caso particular.

Checklist
El auditor profesional y experto es aqul que reelabora muchas veces sus
cuestionarios en funcin de los escenarios auditados. Tiene claro lo que
necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de
anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de
someter al auditado a unas preguntas estereotipadas que no conducen a nada.
Muy por el contrario, el auditor conversar y har preguntas "normales", que
en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios,
de sus Checklists.
Hay opiniones que descalifican el uso de los Checklists, ya que consideran que
leerle una pila de preguntas recitadas de memoria o ledas en voz alta
descalifica al auditor informtico. Pero esto no es usar Checklists, es una
evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de informacin a fin de obtener respuestas coherentes
que permitan una correcta descripcin de puntos dbiles y fuertes. El
profesionalismo pasa por poseer preguntas muy estudiadas que han de
formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo
excepciones, las Checklists deben ser contestadas oralmente, ya que superan
en riqueza y generalizacin a cualquier otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado
responder desde posiciones muy distintas y con disposicin muy variable. El
auditado, habitualmente informtico de profesin, percibe con cierta facilidad
el perfil tcnico y los conocimientos del auditor, precisamente a travs de las
preguntas que ste le formula. Esta percepcin configura el principio de
autoridad y prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el
modo y el orden de su formulacin. Las empresas externas de Auditora
Informtica guardan sus Checklists, pero de poco sirven si el auditor no las
utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora
se ejerce sobre bases de autoridad, prestigio y tica.
El auditor deber aplicar la Checklist de modo que el auditado responda clara y
escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en
los casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor

amplitud un tema concreto, y en cualquier caso, se deber evitar

absolutamente la presin sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben
ser repetidas. En efecto, bajo apariencia distinta, el auditor formular
preguntas equivalentes a las mismas o a distintas personas, en las mismas
fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor
facilidad los puntos contradictorios; el auditor deber analizar los matices de
las respuestas y reelaborar preguntas complementarias cuando hayan existido
contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe
percibir un excesivo formalismo en las preguntas. El auditor, por su parte,
tomar las notas imprescindibles en presencia del auditado, y nunca escribir
cruces ni marcar cuestionarios en su presencia.