Procesos de Auditoria

de Sistemas
Materia: Auditoria de Sistemas
Expositor: Taina Cortez Antunez
Proceso de auditoria: Concepto
 El proceso de auditoría es basado en una serie
de procedimientos. Nuestro trabajo como
auditor de SI es asegurar que los objetivos
sean logrados usando aplicaciones
profesionales de auditoría.


 Durante una auditoria es importante recordar

que todas las decisiones y opiniones
necesitan estar soportado por evidencia y
documentación. El auditor es responsable de
asegurar la consistencia de los procesos de
auditoría. Un control de calidad de auditoría
debe ser soportado por los siguientes
objetivos básicos de auditoría.
Proceso de auditoria: 10 ciclos
Estos son 10 siclos de auditoria:


1.Aprobación de la Carta de auditoría o carta de

compromiso
2.Planificación previa de la auditoría
3.Realizar una evaluación de riesgos
4.Determinar si la auditoria es posible.
5.Desarrollo de auditoria
6.Recopilación de auditoria
7.Realización de tests
8.Analizar resultados
9.Reportar resultados
10.Realización de actividades de seguimiento

Grafico de proceso de auditoria
1. APROBACION DE LA CARTA DE
AUDITORIA O COMPROMISO
 La carta de auditoría debe indicar
claramente la afirmación de la
administración, sus objetivos y
delegación de autoridad. Una carta de
auditoría esboza su responsabilidad,
autoridad y rendición de cuentas.

 2. PLANIFICACION PREVIA DE LA
AUDITORIA
 La mayor parte de la planificación previa ocurre al principio
de la auditoria con frecuencia en la oficina del cliente, en
la medida de lo posible. Implica decidir si se acepta o
continúa haciendo la auditoria para el cliente, evaluar
las razones del cliente para la auditoria, obtener
una carta de compromiso y selección al personal de la
auditoria.
 Dentro de este proceso se deben realizar los siguientes
pasos:
 Investigación de nuevos clientes:
 Clientes continuos:
 Razones del cliente para una auditoria:
 Obtención de antecedentes:
 Conocimiento de la industria y la empresa del cliente:
 Visita a la planta física y oficinas.
 Acta Constitutiva:
 Minutas de las juntas:
 Contratos:
 Papeles de trabajo:
 Base para la planificación de la auditoria:
 Registro de las evidencias acumuladas y resultados de
pruebas:

3. PLANIFICACION PREVIA DE LA
AUDITORIA
 DATOS PARA DETERMINAR EL TIPO
ADECUADO DE INFORME DE AUDITORIA:
 Base de análisis para supervisores y socios

 Archivos permanentes

 Archivos presentes

 Información general

 Balanza de comprobación de trabajo

 Asientos de ajustes y reclasificación

 Cedulas de apoyo

 Propiedad de los papeles de trabajo

3. PLANIFICACION PREVIA DE LA
AUDITORIA: FORMULARIO
 
 PLANIFICACIÓN DE LA AUDITORIA
CENTRO DE 
CÁLCULO___________________________________
OBJETIVO GENERAL DEL TRABAJO A 
REALIZAR__________
______________________________________________________
______________________________________________________
______________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (Áreas de Revisión)
Planificación y organización de sistemas.
Seguridad física y lógica
Plan de contingencias y documentación
Origen, captura y validación de datos
Procesamiento y actualización de datos
Salidas, utilización y control de resultados
Integridad y seguridad de los sistemas y de los datos
Terminales y comunicación de datos
 
AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________
Junior_________________________________________________
 
DURACION ESTIMADA______ Horas____ Días____ 
Semanas___
 4. EVALUACION DE LOS RIESGOS
 La evaluación de riesgos es utilizada para
identificar, medir y priorizar riesgos con el
fin de que el mayor esfuerzo sea realizado
para identificar las áreas auditables de
mayor relevancia.


 Por lo tanto, para poder evaluar objetivamente

la eficacia de los controles, primero
debemos identificar los riesgos que deben
prevenir, detectar o corregir.

 5. DETERMINAR SI LA AUDITORIA
ES POSIBLE
 Un buen auditor recuerda que la opción de
prioridad es su responsabilidad. Usted va a
tener que asumir el riesgo de auditar y
asegurar que las prioridades tuvieron que
estar cumplidos. Si no esta en condiciones
de realizar las funciones necesarias de
auditoria, es esencial que esa información
sea comunicado con el encargado y el
comité de auditoria. Un auditor sin una
evidencia significativa seria inservible.

 6. DESARROLLO AUDITORIA
 Se debe seguir los siguientes pasos de
desarrollo de auditoria:
 DESARROLLO AUDITORIA
 Control de calidad de auditoria

 Revisar los controles existentes

 Clasificación general de los controles

  Principales Controles físicos y lógicos


5. DESARROLLO AUDITORIA:
Controles físicos y lógicos
 Controles fisicos: Ejemplos:
Autenticidad
Permiten verificar la identidad

 Passwords

 Firmas digitales
Exactitud

Aseguran la coherencia de los datos

 Validación de campos

 Validación de excesos
5. DESARROLLO AUDITORIA:
Controles lógicos
 Controles logicos: Ejemplos:

 Periodicidad de cambio de claves de acceso
Los cambios de las claves de acceso a los programas se deben

realizar periódicamente.


 Combinación de alfanuméricos en claves de acceso

No es conveniente que la clave este compuesta por códigos de

empleados, ya que una persona no autorizada a través de

pruebas simples o de deducciones puede dar con dicha clave.

 Individuales
Pertenecen a un solo usuario, por tanto es individual y personal.

 No significativas
Las claves no deben corresponder a números secuenciales ni a

nombres o fechas.

 6. IDENTIFICAR EVIDENCIA DE
AUDITORIA
 El auditor deberá hacer la recolección y
evaluación de evidencia que le permite
establecer si un sistema de información
cumple de manera eficiente con los
estándares de auditoria, objetivos
organizacionales y salvaguarda información
y mantiene la integridad de los sistemas.

7. REALIZACION DE TESTS
 En la realización de una auditoría informática el auditor puede
realizar las siguientes pruebas:
 Pruebas sustantivas: Verifican el grado de confiabilidad del SI
del organismo. Se suelen obtener mediante observación,
cálculos, muestreos, entrevistas, técnicas de examen analítico,
revisiones y conciliaciones. Verifican asimismo la exactitud,
integridad y validez de la información.
 Pruebas de cumplimiento: Verifican el grado de cumplimiento
de lo revelado mediante el análisis de la muestra. Proporciona
evidencias de que los controles claves existen y que son
aplicables efectiva y uniformemente.
 Las principales herramientas de las que dispone un auditor
informático son:
 Observación
 Realización de cuestionarios
 Entrevistas a auditados y no auditados
 Muestreo estadístico
 Flujogramas
 Listas de chequeo
 Mapas conceptuales
8. ANALISIS DE RESULTADOS
 La auditoría no es un simple examen de cómo
se llevan a cabo las actividades, analizar los
resultados, evaluando, basando en éstos la
efectividad de las actuaciones preventivas
realizadas, como consecuencia de la
evaluación de riesgos.
Dicho de otra forma, evalúa si las acciones

preventivas tendentes al control de los riesgos

detectados en la empresa, su sistema de
implantación y de gestión son eficaces o no,
en función de los resultados obtenido.

9. INFORME DE AUDITORIA
 Los informes de auditoria son el producto final
del trabajo del auditor de sistemas,
este informe es utilizado para indicar las
observaciones y recomendaciones a la
gerencia, aquí también se expone la opinión
sobre lo adecuado o lo inadecuado de los
controles o procedimientos revisados
durante la auditoria.
10. REALIZACION DE ACTIVIDADES
DE SEGUIMIENTO
 El trabajo de auditoría es un proceso continuo,
se debe entender que no serviría de nada el
trabajo de auditoría si no se comprueba que
las acciones correctivas tomadas por la
gerencia, se están realizando, para esto se
debe tener un programa de seguimiento, la
oportunidad de seguimiento dependerá
del carácter crítico de las observaciones de
auditoría
 FIN