UNIVERSIDAD AUTONOMA “JUAN MISAEL SARACHO”

FACULTAD DE CIENCIAS INTEGRADAS DEL GRAN CHACO

CARRERA DE INGENIERIA INFORMATICA

Trabajo de Investigación

Metodologías de auditoria informática

Materia: Auditoria Informática

Sigla: INF-521

Docente: Lic. Castillo Tapia Jhenny Rosmery

Universitario: Elvis Brandon Zenteno Martínez

Yacuiba 30/08/2021
Tarija - Bolivia
 Índice
1.- INTRODUCCIÓN..................................................................................................................3
2. METODOLOGÍAS PARA LLEVAR A CABO UNA AUDITORIA INFORMÁTICA..........3
2.1. PLANEACIÓN.-...............................................................................................................3
2.2. OBTENCIÓN DE LA INFORMACIÓN:.........................................................................4
2.3. ANÁLISIS, CLASIFICACIÓN Y EVALUACIÓN DE LA INFORMACIÓN.................4
2.4. INFORME, ELABORACIÓN Y PRESENTACIÓN DEL INFORME FINAL.................4
3. FASES BÁSICAS DE UN PROCESO DE REVISIÓN...........................................................4
4. ETAPAS DE LA METODOLOGÍA........................................................................................5
4.1. ALCANCE Y OBJETIVOS DE LA AUDITORIA INFORMÁTICA...............................5
4.2. ESTUDIO INICIAL DEL ENTORNO AUDITABLE......................................................6
4.3. DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA
AUDITORIA...........................................................................................................................8
4.4. ELABORACIÓN DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO......................8
4.5. ACTIVIDADES PROPIAMENTE DICHAS DE LA AUDITORIA INFORMÁTICA....9
4.6. CONFECCIÓN Y REDACCIÓN DEL INFORME FINAL............................................10
4.7. REDACCIÓN DE LA CARTA DE INTRODUCCIÓN O CARTA DE
PRESENTACIÓN DEL INFORME FINAL..........................................................................10
4. BIBLIOGRAFÍA................................................................................................................12
1.- INTRODUCCIÓN

Como auditor se debe recolectar toda la información general, que permita así mismo
definir un juicio global objetivo siempre amparadas en pruebas o hechos demostrables.
Dar como resultado un informe claro, conciso y a la vez preciso depende del análisis y
experiencia del auditor, frente a diferentes entornos a evaluar, dependiendo de las
debilidades y fortalezas encontradas en dicha empresa auditada. La recolección de
información, el análisis, la aplicación de diferentes normas de acuerdo al tipo de
auditoria, los hallazgos encontrados y pruebas que avalen estos resultados son
indispensables en la realización de una auditoria.

Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un

resultado. Generalmente existen diversas formas de obtener un resultado determinado, y
de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria
informática.

2. METODOLOGÍAS PARA LLEVAR A CABO UNA AUDITORIA

INFORMÁTICA.

2.1. PLANEACIÓN.-

Esta consiste en la elaboración de los programas de trabajo que se llevaran a cabo

durante la revisión a la entidad auditada.

 Trabajos preliminares.- Consisten básicamente, de una serie de entrevistas con

nuestro cliente, las cuales tienen como objetivo dejar en claro las características
básicas del trabajo que se va a realizar, que es lo que quiere el cliente y que hará,
en términos generales, el auditor.
 Diagnóstico Administrativo - El Diagnóstico Administrativo tiene por objetivo,
proporcionarnos una panorámica de cómo la empresa percibe y practica la
Administración.
 Investigación Previa.- Aquí conoceremos la empresa y de ser posible
validaremos la problemática que nos fue expuesta por el cliente. Después de esta
fase se estará en posibilidades de hacer una mejor estimación del tiempo y de los
honorarios, si es que no lo pudo hacer en la primera fase.
  Elaboración del programa de la AI.- Todo buen administrador debe planear sus
actividades y el auditor no debe ser la excepción, el programa señala las
actividades que han de realizarse, fechas de inicio y término, así como los
tiempos.

2.2. OBTENCIÓN DE LA INFORMACIÓN:

 En esta fase se obtendrá toda la información pertinente sobre el caso estudiado,

pudiendo recurrir a herramientas como: entrevistas, encuestas, observación, etc.,
dependiendo el tipo de información que necesite.

2.3. ANÁLISIS, CLASIFICACIÓN Y EVALUACIÓN DE LA INFORMACIÓN

 El análisis y clasificación de la información podrá realizarse por métodos

estadísticos
 Evaluación es aquí en donde se pone a prueba el talento del auditor, porque para
entender e interpretar la información y continuar con el siguiente paso.

2.4. INFORME, ELABORACIÓN Y PRESENTACIÓN DEL INFORME FINAL.

 En él se informará de manera clara y concisa, sobre los resultados de la AI. No

debemos olvidar que a los ojos de nuestro cliente él paga por recibir un informe,
y en él debe encontrar valiosas recomendaciones que habrán de mejorar su
administración., el informe aunque es escrito, debe presentarse apoyado en una
exposición verbal.
 Implementación y seguimiento: Algunos autores consideran esta fase como
opcional, que no corresponde al auditor realizarla, sino a la empresa, yo
considero que el auditor debe participar, para que se interpreten correctamente
sus recomendaciones y no haya lugar a desvíos en las mismas.

3. FASES BÁSICAS DE UN PROCESO DE REVISIÓN

Existen diversas metodologías de Auditorias Informáticas y todas dependen de lo que se

pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de
un proceso de revisión:

 Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria,

efectuar visitas a la unidad informática para conocer detalles de la misma,
elaborar un cuestionario para la obtención de información para evaluar
preliminarmente el control interno, solicitud de plan de actividades, Manuales de
 política, reglamentos, Entrevistas con los principales funcionarios de la
Organización y de la Departamento de Informática.
 Revisión y evaluación de controles y seguridades: Consiste de la revisión de los
diagramas de flujo de procesos, realización de pruebas de cumplimiento de las
seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos
históricos (backups), revisión de documentación y archivos, entre otras
actividades.
 Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre
las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que
definirá concretamente su grupo de trabajo y la distribución de carga del mismo,
establecerá los motivos, objetivos, alcance y recursos que usará, definirá la
metodología de trabajo, la duración de la auditoria, presentará el plan de trabajo
y analizará detalladamente cada problema encontrado con todo lo anteriormente
analizado.
 Comunicación de resultados: Se elaborará el borrador del informe a ser discutido
con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se
presentará esquemáticamente en forma de matriz, cuadros o redacción simple y
concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditoria.
El informe debe contener lo siguiente: 
o Motivos de la auditoria
o Objetivos
o Alcance
o Estructura Orgánico-Funcional del área Informática
o Configuración del Hardware y Software instalado
o Control Interno
o Resultados de la Auditoria

4. ETAPAS DE LA METODOLOGÍA

4.1. ALCANCE Y OBJETIVOS DE LA AUDITORIA INFORMÁTICA

El alcance de la auditoria expresa los límites de la misma. Debe existir un acuerdo muy
preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a
auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes
expresar las excepciones de alcance de la auditoria, es decir cuales materias, funciones u
organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben
figurar al comienzo del informe final.

4.2. ESTUDIO INICIAL DEL ENTORNO AUDITABLE

Esta etapa es una de las más importantes en el desarrollo de la auditoria, ya que el

auditor debe conocer todos los procesos desarrollados, relacionado con el área tomada
como caso de estudio. Para realizar dicho estudio ha de examinarse las funciones y
actividades generales de la informática. Para su realización el auditor debe conocer lo
siguiente:

Organización: para el auditor, el conocimiento de quién ordena, quién diseña y quién

ejecuta es fundamental. Para realizarlo el auditor deberá fijarse en:

 Organigrama:
El organigrama expresa la estructura oficial de la organización a auditar. Permite
identificar las jerarquías, dependencias y direcciones entre las áreas existentes.
o Departamentos:
Se entiende como departamento a los órganos que siguen
inmediatamente a la Dirección. El equipo auditor describirá
brevemente las funciones de cada uno de ellos.
o Relaciones Jerárquicas y funcionales entre órganos de la
Organización:
El auditor verificará si se cumplen las relaciones funcionales y
jerárquicas previstas por el organigrama, o por el contrario detectará,
por ejemplo, si algún empleado tiene dos jefes. Las de jerarquía
implican la correspondiente subordinación. Las funcionales por el
contrario, indican relaciones no estrictamente subordinables.
o Flujos de información:
Además de las corrientes verticales intra-departamentales, la
estructura organizativa cualquiera que sea, produce corrientes de
información horizontales y oblicuas extra-departamentales.
 o Número de puestos de trabajo:
El equipo auditor comprobará que los nombres de los puestos de
trabajo de la organización corresponden a las funciones reales
distintas.
o Número de personas por puesto de trabajo:
Es un parámetro que los auditores informáticos deben tener en cuenta
ya que la inadecuación del personal determina que el número de
personas que realizan las mismas funciones rara vez coincida con la
estructura oficial de la organización.

 Entorno operacional:
El auditor informático debe tener una referencia del entorno en el que va a
desenvolverse y se obtiene determinando lo siguiente:
o Situación geográfica de los sistemas:
Se determinará la ubicación geográfica de los distintos centros de
proceso de datos en la empresa, continuando con la verificación de la
existencia de responsables en cada uno de ellos, así como el uso de los
mismos estándares de trabajo.
o Arquitectura y configuración de hardware y software:
Cuando existen varios equipos, es fundamental la configuración
elegida para cada uno de ellos, ya que los mismos deben constituir un
sistema compatible e intercomunicado. La configuración de los
sistemas está muy ligada a las políticas de seguridad lógica de las
compañías, para esto es importante que los auditores, en su estudio
inicial, tengan en su poder la distribución e interconexión de los
equipos.
o Inventario de hardware y software:
El auditor recabará información escrita, en donde figuren todos los
elementos físicos y lógicos de la instalación. En cuanto al hardware
figurarán las CPU’s, unidades de control local y remotas, perfiéricos
de todo tipo, etc. El inventario de software debe contener todos los
productos lógicos del sistema, desde el software básico hasta los
 programas de utilidad adquiridos o desarrollados internamente. Suele
ser habitual clasificarlos en facturables y no facturables.
o Comunicación y redes de comunicación:
Al realizar el estudio inicial los auditores dispondrán del número,
situación y características principales de las líneas, así como de los
accesos a la red pública de comunicaciones, igualmente, poseerán
información de las redes locales de la Empresa y todo lo que tenga
que ver con la red de comunicaciones.

4.3. DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA

AUDITORIA

Mediante los resultados del estudio inicial realizado se procede a determinar los
recursos humanos y materiales que han de emplearse en la auditoria.

Recursos humanos: la cantidad de recursos depende del volumen auditable. Las

características y perfiles del personal seleccionado dependen de la materia auditable. Es
igualmente señalable que la auditoria en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.

Recursos materiales: los recursos materiales del auditor son de dos tipos:

 Recursos software como son, cantidad y complejidad de BD y ficheros, que

son programas propios de la auditoria, son muy potentes y flexibles.
 Recursos materiales hardware: los recursos hardware que el auditor necesita
son proporcionados por el cliente. Los procesos de control deben efectuarse
necesariamente en las computadoras del auditado. Por lo cual habrá de
convenir, tiempo de máquina, espacio de disco, impresoras ocupadas,
scanner, etc.

4.4. ELABORACIÓN DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO

Una vez asignados los recursos, el responsable de la auditoria y sus colaboradores

establecen un plan de trabajo y así, se procede a la programación del mismo. El plan se
elabora teniendo en cuenta, entre otros criterios, los siguientes:

 Si la revisión debe realizarse por áreas generales o áreas específicas.

  Si la auditoria es global, de toda la informática, o parcial. El volumen
determina no solamente el número de auditores necesarios, sino las
especialidades necesarias del personal.
 En el Plan no se consideran calendarios, porque se manejan recursos
genéricos y no específicos.
 En el Plan se establecen los recursos y esfuerzos globales que van a ser
necesarios.
 En el Plan se establecen las prioridades de materias auditables, de acuerdo
siempre con las prioridades del cliente.
 El Plan establece disponibilidad futura de los recursos durante la revisión.
 El Plan estructura las tareas a realizar por cada integrante del grupo.
 En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado.

Una vez elaborado el plan, se procede a la programación de actividades, esta ha de ser

lo suficientemente flexible como para permitir modificaciones a lo largo del proyecto.

4.5. ACTIVIDADES PROPIAMENTE DICHAS DE LA AUDITORIA

INFORMÁTICA

La auditoría informática general se realiza por áreas generales o por áreas específicas. Si
se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más
tiempo total y mayores recursos. Cuando la auditoria se realiza por áreas específicas, se
abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el
resultado se obtiene más rápidamente y con menor calidad. Existen técnicas que hacen
que el auditor las aplique de acuerdo a su juicio y al tipo de auditoria a ejecutar son:

Técnicas de Trabajo:

 Análisis de la información obtenida del auditado.

 Análisis de la información propia.
 Cruzamiento de las informaciones anteriores.
 Entrevistas.
 Simulación.
 Muestreos.
 Inspección.
  Confirmación.
 Investigación.
 Certificación.
 Observación.

Herramientas:

 Cuestionario general inicial.

 Cuestionario Checklist.
 Estándares.
 Monitores.
 Simuladores (Generadores de datos).
 Paquetes de auditoria (Generadores de programas)
 Matrices de riesgo.

4.6. CONFECCIÓN Y REDACCIÓN DEL INFORME FINAL

La función de la auditoria se materializa exclusivamente por escrito. Por lo tanto, la

elaboración final es el exponente de su calidad. Resulta evidente la necesidad de
redactar borradores e informes parciales previos al informe final, los que son elementos
de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de
apreciación en el auditor.

4.7. REDACCIÓN DE LA CARTA DE INTRODUCCIÓN O CARTA DE

PRESENTACIÓN DEL INFORME FINAL

La carta de introducción tiene especial importancia porque en ella ha de resumirse la

auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a
la persona concreta que encargó o contrató la auditoria.

Así como pueden existir tantas copias del informe final como solicite el cliente, la
auditoria no hará copias de la citada carta de introducción. La carta de introducción
poseerá los siguientes atributos:

 Tendrá como máximo 4 folios.

 Incluirá fecha, naturaleza, objetivos y alcance.
 Cuantificará la importancia de las áreas analizadas.
  Proporcionará una conclusión general, concretando las áreas de gran
debilidad.
 Presentará las debilidades en orden de importancia y gravedad.

En la carta de introducción no se escribirán nunca recomendaciones.

Estructura del informe final: el informe comienza con la fecha de comienzo de la

auditoria y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor
y los nombres de todas las personas entrevistadas, con indicación de la jefatura,
responsabilidad y puesto de trabajo que ostente. Siguiendo los siguientes pasos:

 Definición de objetivos y alcance de la auditoria.

 Enumeración de temas considerados.
 Cuerpos expositivos.

Para cada tema, se seguirá el siguiente orden:

1. Situación actual. Cuando se trate de una revisión periódica, en la que se analiza

no solamente una situación sino además su evolución en el tiempo, se expondrá la
situación prevista y la situación real.

2. Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias

futuras.

3. Puntos débiles y amenazas.

4. Recomendaciones y planes de acción. Constituyen junto con la exposición de

puntos débiles, el verdadero objetivo de la auditoria informática.

5. Redacción posterior de la carta de introducción o presentación.

 4. BIBLIOGRAFÍA
GSITIC. (25 de enero de 2018). https://gsitic.wordpress.com/2018/01/25/bii11-auditoria-
informatica-objetivos-alcance-y-metodologia-tecnicas-y-herramientas-normas-y-
estandares/.

Lucero Gómez, A. J. (12 de abril de 2012).

http://dspace.ucuenca.edu.ec/handle/123456789/1342.