AUDITORÍA INFORMÁTICA

SEMANA 5
Proceso de auditoría
informática

Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni 1
ESTE
utilizarDOCUMENTO
los contenidos paraCONTIENE LAdeSEMANA
fines comerciales 5
ninguna clase.
 2
ESTE DOCUMENTO CONTIENE LA SEMANA 5
ÍNDICE

PROCESO DE AUDITORÍA INFORMÁTICA ............................................................................................ 4

OBJETIVOS ESPECÍFICOS ........................................................................................................................... 4
INTRODUCCIÓN ...................................................................................................................................... 4
1. PROCESO DE AUDITORÍA INFORMÁTICA ............................................................................................. 5
1.1. CARACTERÍSTICAS................................................................................................................ 5
1.2. OBJETIVOS ........................................................................................................................... 6
1.3. PROCESOS AUDITABLES ...................................................................................................... 6
2. PROGRAMAS DE AUDITORÍA INFORMÁTICA........................................................................................ 7
3. METODOLOGÍA DE AUDITORÍA........................................................................................................ 13
COMENTARIO FINAL.......................................................................................................................... 15
REFERENCIAS........................................................................................................................................ 16

3
ESTE DOCUMENTO CONTIENE LA SEMANA 5
PROCESO DE AUDITORÍA INFORMÁTICA

OBJETIVOS ESPECÍFICOS
 Comprender el proceso de auditoría informática considerando sus características,
objetivos y procesos auditables.

 Reconocer los distintos pasos dentro de un programa de auditoría informática.

 Analizar la metodología utilizada para la realización de una auditoría informática.

INTRODUCCIÓN
Para realizar una auditoría se requieren varios pasos. Una planificación adecuada es el primero de
ellos si se quiere implementar una auditoría informática efectiva. Para usar adecuadamente los
recursos de auditoría informática, las organizaciones de auditoría deben evaluar todos los riesgos
de las áreas generales y sus servicios relacionados, y luego desarrollar un programa que
comprenda objetivos y procedimientos que satisfagan los objetivos de auditoría. El proceso
requiere que el auditor informático recolecte evidencia, evalúe las fortalezas y debilidades de los
controles basándose en la evidencia reunida a través de pruebas de auditoría, y prepare un
informe que presente a la gerencia en una forma objetiva dichos asuntos (debilidades de las áreas
de control con recomendaciones para su solución).

La gerencia de auditoría debe asegurarse de que haya disponibilidad de recursos adecuados y una
agenda para llevar a cabo las auditorías y, en el caso de una auditoría interna, realizar revisiones
de seguimiento respecto al avance de las acciones correctivas emprendidas por la gerencia. El
proceso incluye la definición del alcance, la formulación de los objetivos, la realización de los
procedimientos, la revisión y evaluación de la evidencia, la elaboración de conclusiones y
opiniones, y el reporte a la gerencia después de la discusión con los dueños clave del proceso.

4
ESTE DOCUMENTO CONTIENE LA SEMANA 5
 1. PROCESO DE AUDITORÍA INFORMÁTICA
1.1. CARACTERÍSTICAS
De acuerdo a Benítez (2013), el proceso de auditoría informática se basa tanto en el análisis de
riesgos, que sirve de insumo para evaluar y validar la calidad de los controles implementados por
el auditado, como en el marco legal y normativo de la organización. Es importante señalar que
durante el proceso se valora tanto la perspectiva del auditor como la del auditado; aspecto que
debe ser considerado por los profesionales de auditoría de tecnologías de información (TI) como
un punto a favor de la mejora continua.

La auditoría de TI no debe llevarse a cabo únicamente por una necesidad de cumplimiento sino
que también como parte de un proceso de optimización y mejora continua. Las organizaciones no
deben ver sus problemas como tal, sino como oportunidades que se pueden a orientar hacia
actividades que contribuyan al direccionamiento estratégico de la institución.

Antes de dar inicio a los trabajos de auditoría es preciso entender y conocer la organización.
Puntos relevantes como el giro del negocio, misión, visión y su direccionamiento estratégico
deben ser conocidos por el auditor para priorizar el enfoque en concordancia con el negocio.

En lo que refiere al auditor de tecnologías, es importante que este conozca el nivel jerárquico que
ocupan los responsables de las políticas de tecnologías de información.
Un instrumento que facilita esto es el organigrama.

De acuerdo a Benítez (óp. cit.), los aspectos mínimos que se pueden incluir en este tópico son:

 Giro del negocio.

 Reseña histórica.

 Direccionamiento estratégico actual.

 Misión.

 Visión.

 Estrategias.

 Organigrama.

 Lugar geográfico de la empresa.

5
ESTE DOCUMENTO CONTIENE LA SEMANA 5
 1.2. OBJETIVOS
De acuerdo a Muñoz (2002), los objetivos principales de un proceso de auditoría de sistemas son:

 Realizar una evaluación con personal multidisciplinario y capacitado en el área de

sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de las
operaciones del sistema y la gestión administrativa del área informática.

 Hacer una evaluación sobre el uso de los recursos financieros en las áreas del centro de
información, así como del aprovechamiento del sistema computacional, sus equipos
periféricos e instalaciones.

 Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos,

instalaciones y mobiliario del centro de cómputo, así como el uso de sus recursos técnicos
y materiales para el procesamiento de información.

 Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos,

los lenguajes, programas y paqueterías de aplicación y desarrollo, así como el desarrollo e
instalación de nuevos sistemas.

 Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y

lineamientos que regulan las funciones y actividades de las áreas y de los sistemas de
procesamiento de información, así como de su personal y de los usuarios del centro de
información.

 Realizar la evaluación de las áreas, actividades y funciones de una compañía, contando con
el apoyo de los sistemas computacionales, de los programas especiales para auditoría y de
las herramientas de software que sirven de soporte para el desarrollo de auditorías por
medio de la computadora.

1.3. PROCESOS AUDITABLES

Uno de los primeros pasos para garantizar un proceso eficaz de planificación de auditorías de
sistemas es la creación del universo de procesos auditables.

De acuerdo a Davis y Schiller (2011), en primer lugar, se debe determinar qué funciones de TI
están centralizadas. Por ejemplo, si existe un área que administra el entorno de servidores Unix y
Linux, una posible auditoría podría ser la revisión de la gestión de esta área. Esto podría incluir
procesos administrativos tales como gestión de cuentas, gestión de cambios, gestión de
problemas, administración de parches, control de seguridad, entre otros. Otro ejemplo podría
incluir una revisión de seguridad de la línea base utilizada por esta área para la implementación de
nuevos servidores. Esta auditoría podría cubrir todos los procesos que se aplican a todo el entorno

6
ESTE DOCUMENTO CONTIENE LA SEMANA 5
de servidores Unix y Linux. Se debe comprender el entorno lo suficientemente bien como para
determinar qué funciones son centralizadas, y añadir esas funciones al universo de procesos
auditables.

De acuerdo a Davis y Schiller (óp. cit.), algunos ejemplos de procesos TI centralizados son:

 Administración de servidores Unix y Linux.

 Administración de servidores Windows.

 Seguridad de redes inalámbricas.

 Administración de routers y switch.

 Mesa de ayuda soporte interno.

 Administración de bases de datos.

 Administración de servicios móviles.

 Operaciones de mainframe.

Después de crear una lista de procesos de TI centralizados, se deben determinar los procesos
descentralizados de TI. Estas auditorías podrían consistir en la revisión de controles TI como la
seguridad física de los centros de datos, incluyendo los controles ambientales.

También es posible realizar una auditoría para cada aplicación empresarial. En estos casos, se
deben determinar los aspectos relevantes del sistema, tales como una revisión del servidor en el
que la aplicación reside, los controles de cambio de software del sistema, el sistema de plan de
recuperación ante desastres, entre otros.

Dependiendo de los servicios de negocio que la compañía ofrezca, se debe garantizar el

cumplimiento de ciertas normas o regulaciones. Los ejemplos más comunes incluyen la auditoría
al cumplimiento de la ley Sarbanes-Oxley y al consejo de estándares de seguridad (DSS, Data
Security Standard) de la industria de las tarjetas de pagos (PCI, Payment Card Industry).

2. PROGRAMAS DE AUDITORÍA INFORMÁTICA

Un programa de auditoría es un conjunto de procedimientos e instrucciones de auditoría, paso a
paso, que debe realizarse para completar una auditoría. Los programas de auditorías financieras,
operativas, integradas, administrativas y de sistemas de información se basan en el alcance y el
objetivo de la asignación en particular. Los auditores informáticos evalúan a menudo las funciones
y los sistemas de información desde perspectivas diferentes, tales como la seguridad
(confidencialidad, integridad y disponibilidad), la calidad (efectividad, eficiencia), fiduciaria

7
ESTE DOCUMENTO CONTIENE LA SEMANA 5
(cumplimiento, confiabilidad), el servicio y la capacidad. El programa de trabajo de auditoría es la
estrategia de auditoría y el plan de auditoría, en el que se identifica el alcance, los objetivos y los
procedimientos de auditoría para lograr evidencia suficiente, competente y confiable para obtener
y sustentar las conclusiones y opiniones de auditoría.
De acuerdo a Isaca (2014), los procedimientos generales de auditoría son los pasos básicos en la
ejecución y habitualmente incluyen lo siguiente:

 OBTENCIÓN Y DOCUMENTACIÓN DEL CONOCIMIENTO SOBRE EL ÁREA/OBJETO DE

LA AUDITORÍA
El propósito de esta etapa es realizar una actualización del conocimiento existente del
sujeto/entidad auditable que haya sido objeto de auditorías anteriores o, en su defecto,
cuando no hay conocimiento previo del sujeto, obtener un conocimiento general de este e
identificar aspectos o materias críticas que requieran un énfasis particular durante la ejecución
del trabajo. El sujeto/entidad auditable corresponde generalmente a un proceso de negocio,
proceso de apoyo, o a un proceso de tecnologías de la información susceptible de ser
auditado. No obstante, se puede dar el caso que esté referido a una materia y/o
requerimiento específico, que podría ser técnico, legal o normativo, fraudes y actividades
ilícitas o a una unidad o departamento.

 EVALUACIÓN DE RIESGOS
Esta actividad se enmarca en la identificación y evaluación preliminar de los riesgos
inherentes, es decir, sin considerar controles. De los objetivos de cada proceso, subproceso o
hito a revisar (sujeto/entidad auditable), se derivarán los riesgos relevantes que el auditor
debe determinar, esto es, identificar los hechos o acontecimientos no deseados que
provoquen incumplimiento de los objetivos y metas específicas del proceso, subproceso o hito
que está en revisión. Una consideración importante es que dado que se trata de una
evaluación preliminar de riesgo, es probable que en esta etapa no se cuente con información
suficiente del sujeto/entidad auditable que permita aplicar criterios cuantitativos.

 UNA PLANIFICACIÓN DE AUDITORÍA QUE INCLUYA LOS PASOS DE AUDITORÍA

NECESARIOS Y UN DESGLOSE DEL TRABAJO PLANIFICADO EN UN CRONOGRAMA
ANTICIPADO
Esta actividad tiene como finalidad la identificación de las actividades más relevantes del
trabajo de auditoría, de manera de llevar un control de cumplimiento de los tiempos
planificados y reales en la ejecución del trabajo. Para realizar esta actividad, el auditor a cargo
debe documentar el cronograma general de actividades con la identificación de, al menos, los
siguientes hitos y las fechas asociadas:
 Reunión de inicio.

 Entendimiento detallado del proceso o sujeto auditable.

 Desarrollo y ejecución de pruebas de control.

8
ESTE DOCUMENTO CONTIENE LA SEMANA 5
  Evaluación y documentación de resultados.
 Reunión de cierre.

 Elaboración de informe borrador.

 Solicitud de respuestas a la contraparte auditada.

 Emisión del informe final.

 Cierre de auditoría (papeles de trabajo, incluyendo electrónicos y no electrónicos).

 REVISIÓN PRELIMINAR DEL ÁREA/OBJETO DE LA AUDITORIA

Cualquier información adicional que no haya sido conseguida en la etapa de obtención y
documentación del conocimiento sobre el área/objeto de la auditoría debe ser considerada
como parte del requerimiento inicial de información, en especial, cuando las materias se
relacionan con:
 Políticas, planes estratégicos, procedimientos, leyes, regulaciones y/o contratos que
pudieran tener relación con el sujeto o proceso auditable.
 Estructura organizacional y descripción de funciones y responsabilidades.
 Matrices de riesgo y controles.
 Diagramas de proceso y subprocesos asociados al sujeto o proceso auditable.
 Diagramas de arquitectura tecnológica, modelos entidad relación, modelos lógicos de
sistemas, u otros antecedentes que permitan un conocimiento adicional del ámbito de
las tecnologías de la información.
 Conclusiones de otros trabajos, incluyendo el trabajo de los auditores externos.
 Actas de sesiones de comités, reuniones de la administración u otras relacionados con
el sujeto o proceso auditable, si existieren.

 Informes de gestión o de monitoreo.

 Papales de trabajo e informes de auditorías internas anteriores.

 VERIFICACIÓN Y EVALUACIÓN DE LA PERTINENCIA DE LOS CONTROLES DISEÑADOS

PARA CUMPLIR LOS OBJETIVOS DE CONTROL
Esta etapa consiste en identificar y evaluar los controles a nivel de diseño con el propósito de:

 Evaluar la efectividad/suficiencia (diseño) del modelo de controles para prevenir o

mitigar los riesgos de los procesos/subprocesos.

 Determinar qué controles deberán ser probados (para evaluar la eficacia operativa de
los controles).

9
ESTE DOCUMENTO CONTIENE LA SEMANA 5
  Identificar oportunidades de mejoras relacionadas con el modelo de controles (por
ejemplo: controles inefectivos, redundantes, vacíos de control, inadecuada
segregación de funciones, etc.).
Los controles evaluados a nivel de diseño como óptimos o buenos son aquellos que deben
ser posteriormente testeados y aquellos evaluados como regulares o deficientes en su
diseño deberán documentarse para ser incluidos directamente en el reporte de auditoría,
junto con el acuerdo y plan de acción correspondiente, esto dado que no se justifica
realizar pruebas sobre un control que no está diseñado de manera adecuada para mitigar
el riesgo relacionado.

 PRUEBAS DE CUMPLIMIENTO (PRUEBAS DE IMPLEMENTACIÓN DE CONTROLES Y DE

SU APLICACIÓN CONSISTENTE)
Teniendo en cuenta los resultados de la etapa anterior, se determina cómo se deben probar
los controles y, en consecuencia, se debe desarrollar y ejecutar el programa de prueba para
cada uno de los controles a ser testeados, con el objetivo de verificar si estos operan en el
sujeto o proceso bajo revisión según fueron diseñados. La ejecución de las pruebas requiere
en la mayoría de los casos contar con la información y documentación correspondiente, la que
deberá ser solicitada oportunamente a fin de cumplir con los tiempos y plazos estimados del
trabajo.
De acuerdo a Isaca (óp. cit.), las pruebas de cumplimiento consisten en recolectar evidencia
con el propósito de probar el cumplimiento de una organización con procedimientos de
control. Esto difiere de la prueba sustantiva, en la que la evidencia se recoge para evaluar la
integridad de transacciones individuales, datos u otra información.
Una prueba de cumplimiento determina si los controles están siendo aplicados de manera que
cumplan con las políticas y procedimientos de gestión. Por ejemplo, si al auditor informático le
preocupa si los controles de las bibliotecas de programas de producción están funcionando
correctamente, puede seleccionar una muestra de programas para determinar si las versiones
fuente y objeto son las mismas. El objetivo amplio de cualquier prueba de cumplimiento es
proveer a los auditores informáticos una certeza razonable de que un control en particular
sobre el cual el auditor planifica poner confianza está operando como el auditor lo percibió en
la evaluación preliminar.

Es importante que el auditor informático entienda el objetivo específico de una prueba de

cumplimiento y del control que se está probando. Las pruebas de cumplimiento pueden
usarse para probar la existencia y efectividad de un proceso definido, el cual puede incluir una
pista de evidencia documental y/o automatizada, por ejemplo, para proveer la certeza de que
solo se realizan modificaciones autorizadas a los programas de producción.

10
ESTE DOCUMENTO CONTIENE LA SEMANA 5
Algunos ejemplos de pruebas de cumplimiento de controles en las cuales se pueden
considerar las muestras incluyen derechos de acceso de usuarios, procedimiento de control de
cambio de programas, procedimientos de documentación, documentación de programas,
excepciones de seguimiento, revisión de registros (logs), auditoría de licencia de software, etc.

 PRUEBAS SUSTANTIVAS (QUE CONFIRMEN LA EXACTITUD DE LA

INFORMACIÓN)

Este tipo de pruebas permite verificar el grado de confiabilidad de los sistemas de información
que apoyan al sujeto o proceso auditado. Se suelen realizar mediante observación, cálculos,
muestreo, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la
exactitud, integridad y validez de la información.

De acuerdo a Isaca (óp. cit.), una prueba sustantiva fundamenta la integridad de un

procesamiento real. Provee evidencia de la validez e integridad de los saldos en los estados
financieros y de las transacciones que respaldan dichos saldos. Los auditores informáticos
pueden usar pruebas sustantivas para comprobar si hay errores monetarios que afecten
directamente a los saldos de los estados financieros u otros datos relevantes de la
organización. Adicionalmente, un auditor informático puede desarrollar una prueba sustantiva
para determinar si los registros del inventario de la biblioteca de cintas son correctos. Para
realizar esta prueba, el auditor puede realizar un inventario completo o usar una muestra
estadística que le permita llegar a una conclusión respecto de la exactitud de todo el
inventario.

Existe una correlación directa entre el nivel de los controles internos y la cantidad de pruebas
sustantivas requeridas. Si los resultados de las pruebas a los controles (pruebas de
cumplimiento) revelaran la presencia de controles internos adecuados, entonces el auditor
informático tiene una justificación para minimizar los procedimientos sustantivos. Por el
contrario, si la prueba a los controles revelara debilidades en los controles que podrían
generar dudas sobre la completitud, exactitud o validez de las cuentas, las pruebas sustantivas
pueden responder esas dudas. El auditor puede también decidir, durante la evaluación
preliminar de los controles, incluir algunas pruebas sustantivas si los resultados de esta
evaluación preliminar indican que los controles implementados no son confiables o no existen.

Algunos ejemplos de pruebas sustantivas en las cuales se pueden considerar las muestras
incluyen el desempeño de un cálculo complejo (por ejemplo, interés) en una muestra de
cuentas o una muestra de transacciones para garantizar una documentación de respaldo, etc.

11
ESTE DOCUMENTO CONTIENE LA SEMANA 5
  REPORTE (COMUNICACIÓN DE RESULTADOS)
Esta etapa permite concluir el efecto de las inexistencias o vacíos de control en el sujeto o
proceso bajo revisión, debilidades a nivel de diseño y de operación de los controles evaluados
durante la ejecución de la auditoría. Los resultados deben ser discutidos con el dueño o
principal responsable del sujeto o proceso auditado, con el propósito de asegurar un
entendimiento común y que permitan efectuar las mejoras y entregar acuerdos consistentes
con los objetivos del trabajo. El auditor a cargo debe estar lo suficientemente preparado al
momento de presentar los hallazgos y contar con la evidencia suficiente, con el propósito de
evitar discrepancias o cualquier interacción que evite llegar con fluidez a los acuerdos. Como
resultado de la reunión, el auditor a cargo puede recabar antecedentes que impliquen la
aplicación de procedimientos adicionales para profundizar la revisión de una materia
determinada y de esta manera, ratificar o descartar un hallazgo.

 SEGUIMIENTOS EN CASOS EN LOS QUE HAY UNA FUNCIÓN DE AUDITORÍA

INTERNA
Se debe solicitar información al área auditada a través de mails, entrevistas, conversación o
visitas al área auditada, si fuera necesario. Con la información obtenida, se debe actualizar el
estatus de los acuerdos de la administración (plan de acción), el cual será documentado en un
reporte de seguimiento de auditoría. Se debe comprobar que los responsables que asumieron
los compromisos de implementación de las recomendaciones, según lo indicado en los
respectivos informes de auditoría, hayan adoptado las acciones comprometidas en el informe.
Luego de esta comprobación, se debe definir si solicitar documentación adicional, realizar una
auditoría de seguimiento o priorizar este proceso para la planificación del siguiente año.

El auditor informático debe entender los procedimientos para la prueba y evaluación de los
controles de los sistemas de información. Estos procedimientos pueden incluir lo siguiente:

 Uso de software generalizado de auditoría para examinar el contenido de los archivos de

datos (incluyendo los log de los sistemas).

 Uso de software especializado para evaluar el contenido de los archivos de parámetros de

la base de datos y del sistema operativo (o detectar deficiencias en el establecimiento de
parámetros del sistema).

 Técnicas de elaboración de diagramas de flujo para la documentación de aplicaciones

automatizadas y del proceso de negocio.

 Uso de registros (logs) o informes de auditoría disponibles en los sistemas operativos o en

los aplicativos.
 Revisión de la documentación.

12
ESTE DOCUMENTO CONTIENE LA SEMANA 5
  Observación y consultas.
 Inspección y verificación.

 Revisión del rendimiento de controles.

El auditor informático debe tener una comprensión suficiente de estos procedimientos que le
permitan planificar pruebas apropiadas de auditoría.

3. METODOLOGÍA DE AUDITORÍA
De acuerdo a Isaca (2014), una metodología de auditoría es un conjunto de procedimientos
documentados de auditoría diseñados para alcanzar los objetivos de auditoría planificados. Sus
componentes son una declaración de alcance, una declaración de los objetivos de la auditoría y
una declaración de los programas de auditoría.

La metodología de auditoría debe ser establecida y aprobada por la gerencia de auditoría para
lograr consistencia en el enfoque. Esta metodología debe ser formalizada y comunicada a todo el
personal de auditoría.

Un producto inicial y crítico del proceso de auditoría debe ser un programa de auditoría que sea
una guía para la ejecución y documentación de todos los pasos siguientes y la extensión y tipo de
evidencia revisada.

A pesar de que un programa de auditoría no sigue necesariamente un conjunto específico de

pasos, el auditor informático generalmente debe seguir, como un mínimo curso de acción, pasos
secuenciales del programa para obtener una comprensión de la entidad que se está auditando,
evaluar la estructura de control y probar los controles.

Cada departamento de auditoría debe diseñar y aprobar una metodología, así como también los
pasos mínimos a ser observados en cualquier asignación.

Según Isaca (óp. cit.), las fases típicas de una auditoría son las siguientes:

Fase de la auditoría Descripción

Sujeto de la auditoría  Identificar el área que será auditada.
Objetivo de la auditoría  Identificar el propósito de la auditoría. Por
ejemplo, un objetivo puede ser determinar si
los cambios del código fuente del programa
ocurren en un ambiente bien definido y
controlado.
Alcance de la auditoría  Identificar los sistemas, funciones o unidades
específicas de la organización que serán
incluidos en la revisión. En el ejemplo de

13
ESTE DOCUMENTO CONTIENE LA SEMANA 5

Planificación de preauditoría
Procedimientos de auditoría y pasos para
recolección de datos
Procedimientos para evaluar
resultados de la prueba o revisión
Procedimientos para las comunicaciones Específico de la organización.
con la gerencia
Preparación del reporte de auditoría.
cambios de programa anterior, el enunciado
del alcance podría limitar la revisión a solo un
sistema de aplicación o a un periodo limitado.
 Identificar habilidades y recursos técnicos
necesarios.
 Identificar las fuentes de información para las
pruebas o exámenes, como diagramas de
flujo funcionales, políticas, normas,
procedimientos y papeles de trabajo
anteriores a la auditoría.
 Identificar las localidades o instalaciones que
serán auditadas.
 Identificar y seleccionar el enfoque de
auditoría para verificar y comprobar los
controles.
 Identificar una lista de individuos que serán
entrevistados.
 Identificar y obtener las políticas, estándares
y directrices departamentales para realizar la
revisión.
 Desarrollar herramientas y metodología de
auditoría para probar y verificar el control.
los Específico de la organización.
 Identificar los procedimientos de seguimiento
de la revisión.
 Identificar los procedimientos para
evaluar/probar la eficiencia y efectividad
operacional.
 Identificar los procedimientos para probar los
controles.
 Revisar y evaluar la calidad de los
documentos, políticas y procedimientos.

Todos los planes, programas, actividades, pruebas, hallazgos e incidentes de auditoría deben estar
debidamente documentados en papeles de trabajo.

El formato y medios de papeles de trabajo pueden variar, dependiendo de las necesidades

específicas del departamento. Los auditores informáticos deben en particular considerar cómo
mantener la integridad y la protección de la evidencia de prueba de auditoría para preservar su
valor de prueba en soporte de los resultados de auditoría.

Los papeles de trabajo se pueden considerar como los puentes o interfaces entre los objetivos y el
informe final de auditoría. Estos deben proporcionar una transición impecable, con trazabilidad y

14
ESTE DOCUMENTO CONTIENE LA SEMANA 5
respaldo del trabajo realizado, desde los objetivos hasta el informe y desde el informe hacia los
objetivos. El reporte de auditoría, en este contexto, puede ser visualizado como un papel de
trabajo particular.

COMENTARIO FINAL
En esta semana se revisó el concepto de proceso de auditoría de sistemas, identificando cuáles
son sus características y los distintos objetivos que pueden ser planteados, lo cual dependerá del
alcance que se le quiera dar. También se identifican los distintos procesos que pueden ser sujetos
de una auditoría, entre ellos: procesos descentralizados TI, procesos centralizados TI, aplicaciones
empresariales, o el cumplimiento de ciertas normas o regulaciones específicas.
También se revisaron los principales pasos que se deben cubrir en un programa de auditoría
informática, incluyendo la planificación de pruebas de cumplimiento y pruebas sustantivas.
Finalmente, se revisaron los principales componentes de una metodología de auditoría, lo cual
incluye la declaración de objetivo, alcance y programa específico de auditoría.
El programa de auditoría constituye una guía permanente para los auditores en el desarrollo y
supervisión del trabajo, y además provee información relacionada al contenido, la planificación y
los recursos que serán necesarios para el desarrollo del mismo.

15
ESTE DOCUMENTO CONTIENE LA SEMANA 5
REFERENCIAS
Benítez, G. (2013). Proceso de auditoría – Auditoría de sistemas. Recuperado de

http://www.ingenieriasystems.com/2013/01/auditoria-de-sistemas-proceso-de.html

Davis, C. & Schiller, M. (2011). IT Auditing, Using Controls to Protect Information Assets. Segunda

edición. EE. UU.: McGraw-Hill.

Isaca (2014). CISA Review Manual 2014. EE. UU.: Isaca.

Muñoz, C. (2002). Auditoría en sistemas computacionales. Primera edición. México: Pearson

Educación.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2015). Proceso de auditoría informática. Auditoría Informática. Semana 5.

16
ESTE DOCUMENTO CONTIENE LA SEMANA 5
 17
ESTE DOCUMENTO CONTIENE LA SEMANA 5