Metodologa de la

Auditoria informtica
HEYDI VIRGINIA DIAZ LADRON DE GUEVARA

Edgar Josue Iglesias Hernndez

UNIVERSIDAD MEXICAN | 51521074-03
METODOLOGA DE AUDITORA INFORMTICA

Introduccin

Metodologa es una secuencia de pasos lgica y ordenada de proceder para llegar a un

resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto
se deriva la existencia de varias metodologas para llevar a cabo una auditoria informtica.

El contenido de este documento tratara en forma general las mismas, as como de manera
particular CRMR (Computer Resource Management Review)

El objetivo del trabajo prctico se divide en dos partes. En primer lugar, describir las metodologas
de auditora informtica en forma general. En segundo lugar profundizar sobre una metodologa
en particular, CRMR.

En la primera parte se darn a conocer los puntos o fases que toda auditora debe tener en
cuenta. En la segunda parte se har un estudio de la metodologa elegida para corroborar las
conclusiones obtenidas en la primera parte de la investigacin.
El trabajo constar con el anlisis detallado de tan solo una metodologa, la misma debe ser
usada extensamente y estar disponible para su estudio.

ETAPAS DE LA METODOLOGA

El mtodo de trabajo del auditor pasa por las siguientes etapas:

1. Alcance y Objetivos de la Auditora Informtica
2. Estudio inicial del entorno auditable
3. Determinacin de los recursos necesarios para realizar la auditora
4. Elaboracin del plan y de los Programas de Trabajo
5. Actividades propiamente dichas de la auditora
6. Confeccin y redaccin del Informe Final
7. Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final

FASE 1: DEFINICIN DE ALCANCE Y OBJETIVOS

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones no van
a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe
Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud posible los objetivos
a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma
que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales
y comunes de a toda auditora Informtica: La operatividad de los Sistemas y los Controles Generales
de Gestin Informtica.

FASE 2: ESTUDIO INICIAL

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la
informtica.
Para su realizacin el auditor debe conocer lo siguiente:

Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:
Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
 Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal
circunstancia.

Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El
equipo auditor describir brevemente las funciones de cada uno de ellos.

Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:

El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el
organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes.
Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el contrario,
indican relaciones no estrictamente subordinables.

Flujos de Informacin:
Adems de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera
que sea, produce corrientes de informacin horizontales y oblicuas extra departamentales.

Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente
gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama.

En ocasiones, las organizaciones crean espontneamente canales alternativos de informacin, sin

los cuales las funciones no podran ejercerse con eficacia; estos canales alternativos se producen
porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa.

Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades personales o

simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones en
la organizacin.

Nmero de Puestos de trabajo

El equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la
organizacin corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la
existencia de funciones operativas redundantes.

Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer tal
circunstancia y expresarn el nmero de puestos de trabajo verdaderamente diferentes.

Nmero de personas por Puesto de Trabajo

Es un parmetro que los auditores informticos deben considerar. La inadecuacin del personal
determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la
estructura oficial de la organizacin.

FASE 3: ENTORNO OPERACIONAL

El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que va
a desenvolverse.

Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

Situacin geogrfica de los Sistemas:

Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos en la

empresa. A continuacin, se verificar la existencia de responsables en cada unos de ellos, as como
el uso de los mismos estndares de trabajo.

Arquitectura y configuracin de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos,
ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuracin de los
sistemas esta muy ligada a las polticas de seguridad lgica de las compaas.

Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de los
equipos.
 Inventario de Hardware y Software:

El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos de
la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y remoto,
perifricos de todo tipo, etc.

El inventario de software debe contener todos los productos lgicos del Sistema, desde el software
bsico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual
clasificarlos en facturables y no facturables.

Comunicacin y Redes de Comunicacin:

En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas principales de
las lneas, as como de los accesos a la red pblica de comunicaciones.

Igualmente, poseern informacin de las Redes Locales de la Empresa.

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los
procesos informticos realizados en la empresa auditada. Para ello debern conocer lo siguiente:
a. Volumen, antigedad y complejidad de las Aplicaciones
b. Metodologa del Diseo

Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo de las

aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondr de manifiesto.

c. Documentacin

La existencia de una adecuada documentacin de las aplicaciones proporciona beneficios

tangibles e inmediatos muy importantes.

La documentacin de programas disminuye gravemente el mantenimiento de los mismos.

d. Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabar informacin de tamao y caractersticas de las Bases de Datos, clasificndolas

en relacin y jerarquas. Hallar un promedio de nmero de accesos a ellas por hora o das. Esta
operacin se repetir con los ficheros, as como la frecuencia de actualizaciones de los mismos. Estos
datos proporcionan una visin aceptable de las caractersticas de la carga informtica.

FASE 4: DETERMINACIN DE RECURSOS DE LA AUDITORA INFORMTICA

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos
y materiales que han de emplearse en la auditora.

- Recursos humanos
- Recursos materiales

Recursos materiales

Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el
cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema
auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y
cliente.

Los recursos materiales del auditor son de dos tipos:

Recursos materiales Software

 Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las
ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica de
Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de
control deben efectuarse necesariamente en las Computadoras del auditado.
Para lo cual habr de convenir el, tiempo de mquina, espacio de disco, impresoras ocupadas,
etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal
seleccionado dependen de la materia auditable.
Es igualmente sealable que la auditora en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.

Perfiles Profesionales de los auditores informticos

Profesin Actividades y conocimientos deseables

Informtico en general Con experiencia amplia en ramas distintas. Es

deseable que su labor se haya desarrollado en
Explotacin y en Desarrollo de Proyectos.
Conocedor de Sistemas.

Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos.

Experto analista. Conocedor de las metodologas de
Desarrollo ms importantes.

Tcnico de Sistemas Experto en Sistemas Operativos y Software Bsico.

Conocedor de los productos equivalentes en el
mercado. Amplios conocimientos de Explotacin.

Experto en Bases de Datos y Con experiencia en el mantenimiento de Bases de

Administracin de las mismas. Datos. Conocimiento de productos compatibles y
equivalentes. Buenos conocimientos de explotacin

Experto en Software de Comunicacin Alta especializacin dentro de la tcnica de sistemas.

Conocimientos profundos de redes. Muy experto en
Subsistemas de teleproceso.
Experto en Explotacin y Gestin de Responsable de algn Centro de Computos. Amplia
CPDS experiencia en Automatizacin de trabajos. Experto
en relaciones humanas. Buenos conocimientos de
los sistemas.

Tcnico de Organizacin Experto organizador y coordinador. Especialista en

el anlisis de flujos de informacin.

Tcnico de evaluacin de Costes Economista con conocimiento de Informtica.

Gestin de costes.

Elaboracin del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un
plan de trabajo. Decidido ste, se procede a la programacin del mismo.

El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:

A. Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso,
la elaboracin es ms compleja y costosa.

B. Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no

solamente el nmero de auditores necesarios, sino las especialidades necesarias del
personal.

En el Plan no se consideran calendarios, porque se manejan recursos genricos y no

especficos
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios
En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con
las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisin.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo
suficientemente como para permitir modificaciones a lo largo del proyecto.

FASE 5: ACTIVIDADES DE LA AUDITORA INFORMTICA

Auditora por temas generales o por reas especficas:

La auditora Informtica general se realiza por reas generales o por reas especficas. Si se
examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y
mayores recursos.
 Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con
menor calidad.

Tcnicas de Trabajo:
o Anlisis de la informacin recabada del auditado
o Anlisis de la informacin propia
o Cruzamiento de las informaciones anteriores
o Entrevistas
o Simulacin
o Muestreos

Herramientas:
o Cuestionario general inicial
o Cuestionario Checklist
o Estndares
o Monitores
o Simuladores (Generadores de datos)
o Paquetes de auditora (Generadores de Programas)
o Matrices de riesgo

FASE 6: INFORME FINAL

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin

final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final,
los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir
fallos de apreciacin en el auditor.

Estructura del informe final

El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo.
Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con
indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.
o Definicin de objetivos y alcance de la auditora.
o Enumeracin de temas considerados:
o
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los
temas objeto de la auditora.

o Cuerpo expositivo:

Para cada tema, se seguir el siguiente orden a saber:

A. Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no
solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin
prevista y la situacin real
B. Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras.
C. Puntos dbiles y amenazas
D. Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos
dbiles, el verdadero objetivo de la auditora informtica.
E. Redaccin posterior de la Carta de Introduccin o Presentacin.
F.
Modelo conceptual de la exposicin del informe final:

El informe debe incluir solamente hechos importantes.

La inclusin de hechos poco relevantes o accesorios desva la atencin del lector.
El Informe debe consolidar los hechos que se describen en el mismo.
 El trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y de
estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer, al
menos los siguientes criterios:
1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la
situacin.
3. No deben existir alternativas viables que superen al cambio propuesto.
4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y
estndares existentes en la instalacin.
5.
La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una
debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

Hecho encontrado
o Ha de ser relevante para el auditor y pera el cliente
o Ha de ser exacto, y adems convincente.
o No deben existir hechos repetidos.
o
Consecuencias del hecho
o Las consecuencias deben redactarse de modo que sean directamente deducibles del
hecho.
Repercusin del hecho
o Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos
informticos u otros mbitos de la empresa.
Conclusin del hecho
o No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido
muy extensa o compleja.
Recomendacin del auditor informtico
o Deber entenderse por s sola, por simple lectura.
o Deber estar suficientemente soportada en el propio texto.
o Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementacin.
o La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o
personas que puedan implementarla.

FASE 7: CARTA DE INTRODUCCIN O PRESENTACIN DEL INFORME FINAL

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora

realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta
que encargo o contrato la auditora.

As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har
copias de la citada carta de Introduccin.

La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios
Incluir fecha, naturaleza, objetivos y alcance
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.