Ing.

Juan Manuel Lemus Ponciano

Libro Texto: Auditora en Informtica
Autor: Echenique Garca, Jos Antonio
U.M.G, Segundo Semestre 2013

Caso para anlisis:

El da anterior al cierre del mes, se present una incidencia en la

Divisin de Informtica: Uno de los equipos de comunicacin E1,

instalado por el proveedor
de acceso a internet, fall en forma
inesperada, por lo que se perdi la conectividad de los clientes al sitio
Web de la empresa, durante 4 horas, hasta que se pudo obtener el
soporte del mismo. Al revisar el equipo, se encontr que los
componentes electrnicos se daaron por la falla del fusible de un UPS
que haba sido reportado como daado 15 das antes. Al revisar en
bodega, se tena existencia de dicho fusible. Al consultar al personal
tcnico, informaron que por tratarse de equipos externos, no tenan
autorizacin para acceder o manipular el mismo, por lo que se limitaron
a reportarlo. Adicionalmente, por norma de la empresa, si un equipo no
est registrado en el inventario, no puede comprrsele ningn tipo de
repuesto o aplicarle servicio. Se le solicita:
Explique 3 implicaciones de tener equipo ajeno a la empresa en la
misma.
Los tcnicos que analizaron el equipo, procedieron adecuadamente? Por
Qu?
Proponga 2 probables mejoras para reducir o mitigar los efectos de este
tipo de falla en la empresa.

INTRODUCCIN
En el registro formal de datos, surgen las
interrogantes:
a)En dnde, cmo y para qu concentrar los datos
que se obtienen en la auditora de sistemas?
b)Los datos recopilados sirven para fundamentar
las observaciones y para emitir un dictamen?
c)En dnde, cundo y para qu se registra la
informacin que se obtiene en la auditora?
d)Qu medios se utilizan para concentrar, validar,
tabular e interpretar los datos obtenidos?

INTRODUCCIN, cont.
e) Quin es el responsable de registrar,
concentrar y controlar la informacin
recopilada durante la auditora?
f) En donde, cundo, por qu y cmo se registra
la informacin documental, la emitida por el
sistema computacional y la recopilada
directamente en el campo?
g) Qu tan vlido es guardar la informacin
recopilada del sistema computacional en
medios electromagnticos?

DEFINICIN
Conjunto de cdulas y documentacin

fehaciente que contiene los datos e

informacin por el auditor en su examen, as
como la descripcin de las pruebas realizadas,
las cuales sustenta para emitir un informe.

OBJETIVOS E
IMPORTANCIA
Respaldo y fundamento de:
Dictamen
Carta de observaciones

Informacin Posterior
Autoridades fiscales
Autoridades Judiciales
Otros auditores
Al cliente o entidad

OBJETIVOS E
IMPORTANCIA
EVIDENCIA
COMPROBAR LA CALIDAD
GUIA

PRINCIPIOS
Claridad
Exactitud
Significancia en los datos
Comprobacin de la informacin
Legibilidad
Organizacin

REQUISITOS

Nombre de la empresa a que se refieran

Fecha de realizacin
Ttulo o descripcin breve de su contenido
Nombre del evaluador
Fuentes o documentos objeto de evaluacin
de los datos
Descripcin del contendido
Resultados obtenidos o conclusiones

DEBEN CONTENER:

Hoja de identificacin.
ndice de contenido de los papeles de trabajo.
Dictamen preliminar (borrador)

Resumen de desviaciones encontradas (Las ms importantes).

Situaciones encontradas (situaciones, causas y soluciones)
Programa de trabajo de auditoria.
Gua de la auditoria.
Inventarios: Hardware, software, perifricos, instalaciones,

mobiliario, segn sea aplicable.

Manual de organizacin.
Descripcin de puestos.

DEBEN CONTENER: cont.

Reporte de pruebas y resultados.

Respaldos (backups) de datos y programas de aplicacin de la auditora.
Respaldos de las bases de datos y los sistemas.
Guas de claves para sealamiento de papeles de trabajo.
Cuadros y estadsticas concentradores de informacin.
Anexos de recopilacin de informacin.
Diagramas de flujo, de programacin y de desarrollo de sistemas.
Testimoniales, actas y documentos legales de comprobacin y

confirmacin.
Anlisis y estadsticas de resultados, datos y pruebas de comportamiento
del sistema.
Otros documentos de apoyo.

NO DEBEN CONTENER:
NO SER COPIA DE LA CONTABILIDAD DE LA EMPRESA
NO SER LA COPIA DE LOS ESTADOS FINANCIEROS
NO SER COPIA DE LA AUDITORIA DEL AO PASADO

CLASIFICACIN
Por su uso
Continuo
Temporal

Por su Contenido
Hojas de trabajo
Cdulas Sumarias
Relaciones de
Cuentas
Cdulas de detalle o
analtica

Manejo de los papeles de

Trabajo
Marcas
ndices
Asientos de Ajustes
Reclasificacin

Consideraciones
Control
Confidencialidad
Propiedad

Procesamientos
Electrnico
de Datos
Conocimiento
Utilizacin
Apoyo
Complejidad

CEDULA DE ANLISIS DE NOMBRE DE LA EMPRESA

Fecha de Realizacin

Hora de Inicio

Nombre del Evaluador

Area Evaluada:
Documento Evaluado:
DOCUMENTO QUE SE ANALIZAN:
Nombre :
Objetivo:
Lugar de aplicacin:
Responsable del Documento:
Responsable de Realizacin:

DESCRIPCIN DEL CONTENIDO:

Accesos a Internet
Rutas de acceso (Niveles de restriccin)
Claves de acceso (procedimientos de alta, bajas, reportes)
Software de seguridad

RESULTADO DEL ANLISIS:

Instrumentos de recopilacin de Informacin

aplicables en la A.S.
Cuestionarios.

Preguntas abiertas.
Preguntas cerradas.
Preguntas dicotmicas.
Preguntas tricotmicas.
De opcin mltiple
De opcin de rangos o grupos.
Gradacin (Preguntas de grados opuestos)
Preguntas testigo.
Preguntas Matriz.

Instrumentos de recopilacin de Informacin

aplicables
en la A.S.
Entrevistas
Ciclo de la entrevista de auditora.
Tipos de entrevistas para una auditoria.
Entrevistas libres.
Entrevistas dirigidas.
Entrevistas de exploracin.
Entrevistas de comprobacin.
Entrevistas de informacin.
Entrevistas Informales.

Tipos de preguntas para en trevistas.

Abiertas.
Cerradas.
Sondeo
Cierre
Mixtas

Instrumentos de recopilacin de Informacin

aplicables en la A.S.

Formas de realizar las entrevistas.

Entrevistas tipo embudo. De lo general a lo concreto.
Entrevistas tipo pirmide. De lo Cerrado a lo General.
Entrevistas tipo diamante.
Entrevistas tipo reloj de arena.
Formas de recopilar la informacin en las entrevistas.
Entrevistas grabadas.
Tomar notas
Captar lo esencial sin notas.
Otras formas ( De segunda mano, ocultas, disfrazadas)

Instrumentos de recopilacin de Informacin

aplicables en la A.S.
Ventajas de los cuestionarios.
Facilitan la recopilacin de la informacin y no
necesitan muchas explicaciones ni una gran
preparacin para aplicarlos.
Permiten rpida tabulacin e interpretacin de los
datos, con la confiabilidad requerida.
Evitan la dispersin de la informacin, al centrarse
en preguntas de eleccin forzosa.
Rpidos de aplicar, recopilan mucha informacin en
poco tiempo.
Fcil de capturar, concentrar y obtener informacin
til usando la computador.
Hacer impersonal la aportacin de respuestas.

Instrumentos de recopilacin de Informacin

aplicables en la A.S.
Desventajas de los cuestionarios.
Falta de profundidad de las respuestas.

Se necesita buena eleccin del universo y las muestras

utilizadas.
Puede provocar la obtencin de datos equivocados si
se formulan mal las preguntas.
La Interpretacin y el anlisis puede ser muy simple, si
no se recopilan todos los puntos requeridos.
Limitan la participacin del auditado, si ste puede
evadir preguntas importantes.
Hace impersonal la participacin del personal auditado.
Si no est bien hecho, denota falta de experiencia y
pocos conocimientos del auditor.

CEDULA DE ANALISIS DE SEGURIDAD

LGICA

CEDULA DE ANALISIS DE SEGURIDAD

FISICA

CEDULA DE ANALISIS DEL

PERSONAL

CEDULA DE ENTREVISTA

GUIA DE LA ENTREVISTA
Aspectos generales para todas las entrevistas

Persona evaluada
Nombre de puesto
Puesto del jefe inmediato
Puesto a los que reporta
Puestos de las personas que reportan al entrevistado
Nmero de personas
Descripcin de actividades diarias del puesto
Actividades Peridicas
Actividades Eventuales
Con qu manuales cuenta para el desempeo de su puesto?
Cules polticas se tienen establecidas para el puesto?
Seale alguna laguna en cuanto a su organizacin, puesto, o procesos
que realice:
Considera que tiene cargas en su trabajo?
Cmo las maneja o controla?
Con que frecuencia recibe capacitacin y de que tipo?
Cmo considera el ambiente de trabajo?

Especficos para seguridad lgica

Hay controles establecidos para el seguimiento de los procedimientos que realiza?
Quin los define?
Estn en funcionamiento?
Se actualizan?
Qu tipo de controles existen en su rea?
Es necesario modificarlos para que funcionen mejor?
Hacen falta mas controles en su rea?
Con qu frecuencia hay desviaciones?
Si existen desviaciones, se informan a los niveles?
Se toman las acciones correctivas si existen desviaciones?
Se revisan peridicamente los elementos del control interno?
La empresa cuenta con un manual general de sistemas y procedimientos?
Se actualizan peridicamente los manuales?
Existen sistemas y procedimientos formales y documentados para el control de su
rea por aplicaciones?
Estn actualizados?
Son adecuados y suficientes?
Se han elaborado sistemas y procedimientos en su rea?
Se dispone de infraestructura para el desarrollo de sistemas y procedimientos en su
rea?
Conoce los sistemas y procedimientos a realizar en su rea?
Cmo se les da a conocer?
Existen sistemas y procedimientos o sistemas automatizados?
Cules son?
Se ajustan el registro y control de los sistemas y procedimientos a las necesidades
de la empresa?

 Especficos para seguridad fsica

Existe algn procedimiento para autorizacin de ingreso de
personas externas (de otra rea o empresas)?
Formas de autenticacin que validan el ingreso?
Quines autorizan el ingreso al centro de cmputo?
Quines solicitan el ingreso?
Con cuanto tiempo de anticipacin se solicita el ingreso de
externos (de rea o empresas) al centro?
Se tiene algn formulario para la dicha solicitud?
Si no existe formulario de qu manera se hace la solicitud?
Qu datos se necesitan para la autorizacin del ingreso?
Existe una bitcora de registro de los visitantes?
Hay algn procedimiento de revisin de bitcoras?
De ser afirmativo quienes lo revisan?
Hay procedimiento que constata la salida del visitante?
Existe algn procedimiento para autorizacin de ingreso de
equipo al centro de cmputo?
Describa el procedimiento brevemente?
Existe algn procedimiento para autorizacin de egreso de
equipo?
Describa el procedimiento brevemente?

De el personal
Existen polticas para contratacin de familiares dentro

del centro de cmputo?

Cul es el nivel de escolaridad mnima requerida para
contratacin?
Cualidades requeridas del personal a contratar?
Existe un procedimiento definido para el requerimiento
de personal?
Si la respuesta es si descrbalo brevemente?
Se realizan evaluaciones de desempeo?
Con qu periodicidad?
Quin las realiza?
Criterios relevantes de la evaluacin?

Aplicacin

Aplicacin

Aplicacin

Aplicacin

INTRODUCCIN
La descentralizacin de los equipos de
cmputo y la centralizacin de la informacin.
Auditora a los procesos que involucran
tecnologa de informacin.
El Informe de Auditora es el producto final y
el exponente de calidad del trabajo de auditora.
En el informe de auditora solamente se
deben anotar las observaciones objetivas e
importantes.

PROCEDIMIENTO PARA ELABORAR

EL INFORME DE AUDITORIA DE SISTEMAS

Aplicarinstrumentosderecopilacin

Registrarlasdesviacioneshalladasdurantela
revisinenelformatodesituacionesencontradas
Comentarlassituacionesencontradas
conlosauditados

Encontrar las causas de las desviaciones

y sus posibles soluciones con los auditados
Analizar,depurarycorregirlas
desviacionesencontradas

Jerarquizarlasdesviacionesencontradas
msrelevantessituacionesrelevantes

Comentarsituacionesrelevantesconlosdirectivos
confirmandolascausasysoluciones
8

Concentrar,depuraryelaborarel
informefinalyeldictamendelauditor

Presentacindelinformeydictamen
finalalosdirectivosdelaempresa

CARACTERSTICAS DEL INFORME DE

AUDITORIA DE SISTEMAS

Caractersticas de fondo
Caractersticas de forma

Caractersticas de la
presentacin del informe
Claridad
Confiabilidad
Propiedad
Concisin
Sencillez
Acertividad
Ilacin
Tono y fuerza
Sintaxis

Oportunidad
Precisin
Exactitud
Imparcialidad
Objetividad
Congruencia
Familiaridad
Veracidad
Efectividad

Estructura del informe de

auditoria de sistemas
computacionales
OficiodePresentacin
Introduccin
DictamendelaAuditoria
SituacionesEncontradas
SituacionesRelevantes
Anexos
ConfirmacionesenPapelesdeTrabajo

TIPOS DE DICTAMEN
Existen cuatro tipos de Dictamen en

auditora:

A. DICTAMEN FAVORABLE.
B. DICTAMEN CON SALVEDADES.
C. DICTAMEN DESFAVORABLE.
D. DICTAMEN DENEGADA.

DICTAMEN FAVORABLE
Una Dictamen favorable, limpia, positiva o sin

salvedades, expresa que el auditor ha

quedado satisfecho, en todos los aspectos
importantes, de que los estados financieros
objeto de la auditora renen los requisitos
necesarios.

DICTAMEN CON
SALVEDADES
Este tipo de Dictamen es aplicable cuando el
auditor concluye que existen una o varias
circunstancias en relacin con las cuentas
anuales tomadas en su conjunto, que
pudieran ser significativas.

DICTAMEN CON
SALVEDADES
Las distintas circunstancias que pueden
originar una Dictamen con salvedades son:
Limitaciones al alcance
Incertidumbres
Errores o incumplimientos de los
principios y normas contables
generalmente aceptados

DICTAMEN
DESFAVORABLE
Una Dictamen desfavorable supone

manifestarse en el sentido de que las cuentas

anuales tomadas en su conjunto no presentan
la imagen fiel del patrimonio, de la situacin
financiera, del resultado de las operaciones o
de los cambios en la situacin financiera de la
entidad auditada, de conformidad con los
principios y normas generalmente aceptados.

DICTAMEN DENEGADO
Tambien llamado Abstencion de Dictamen
Cuando el auditor no ha obtenido la

evidencia necesaria para formarse una

Dictamen sobre las cuentas anuales tomadas
en su conjunto, debe manifestar en su
informe que no le es posible expresar una
Dictamen sobre las mismas.
La necesidad de denegar la Dictamen puede
originarse exclusivamente por:
- Limitaciones al alcance de auditora y/o
- Incertidumbres.

APLICACION

APLICACION
DICTAMEN

SITUACIONESENCONTRADAS

SITUACIONESRELEVANTES

CONCLUSIONES
El auditor informtico ha de velar por la correcta
utilizacin de los recursos de T.I.
Para la realizacin de una auditora informtica
eficaz, se debe entender a la empresa en su ms
amplio sentido.
Para poder evaluar un sistema de cmputo hay
que conocerlo desde el inicio hasta el final.
El prrafo de opinin debe
claramente el juicio final del auditor.

de

mostrar

RECOMENDACIONES
Contar en todo momento, con el apoyo de la gerencia
o el alto mando.
El prrafo introductorio debe contener un amplio
resumen de la auditora, y un enfoque a las personas
responsables en la organizacin.
El informe de auditora solamente debe contener
hechos importantes.
Los hechos encontrados por el auditor implican la
existencia de debilidades que deben ser corregidas.