La auditoría de TI como proceso debe estar estructurada en un marco de trabajo que le permita al auditor realizar sus actividades en la misma línea de las políticas, normas y estándares establecidos por la organización. Este marco de trabajo o metodología le permitirá ejecutar sus procedimientos de forma estructurada, eficiente y eficaz.

El auditor de TI debe conocer, interiorizar y familiarizarse con la metodología establecida para el desarrollo de la auditoría, de manera que se le facilite la ejecución de sus actividades y pueda trabajar bajo los lineamientos ya establecidos en pro de la consecución de los objetivos del área de auditoría y del negocio.

Hoy en día las empresas tienen entre sus estrategias un ítem relacionado con el control del riesgo, pues la gestión de riesgos se considera un pilar que ayuda a la consecución de los objetivos del negocio. La auditoría no puede ser ajena a este trabajo y por lo tanto es recomendable realizar una auditoría basada en riesgos.

La auditoría basada en riesgos críticos evalúa y verifica que los procesos o sistemas auditados cuenten con los controles y la seguridad necesarios para mitigar los riesgos inherentes al nivel de aceptación del riesgo aprobado por la organización, de manera que pueda cumplir sus objetivos de negocio.

Propósito general

Conocer la metodología para el desarrollo de una auditoría de SI en los escenarios críticos de TI seleccionados.

Propósitos específicos

• Presentar los componentes establecidos para lograr el cumplimiento de los objetivos de una auditoría de TI.
• Conocer los tipos de pruebas que se pueden realizar en el desarrollo de una auditoría de TI.
• Conocer la estructura de los papeles de trabajo que se utilizan en la auditoría y su importancia como soporte al trabajo realizado por el auditor de TI.

En esta primera parte de la unidad abordaremos los principales aspectos de la planeación y la ejecución de la auditoría, así como del informe de resultados.

En primer lugar revisaremos el concepto de planeación de la auditoría y estudiaremos los pasos para realizar un plan de auditoría anual y uno particular.

Acto seguido explicaremos en qué consiste la ejecución de la auditoría y expondremos las actividades que suelen utilizarse para tal fin.

Finalmente hablaremos del procedimiento para realizar el informe de resultados y la estructura que debe caracterizarlo.

De acuerdo con Alzate (2003, p. 21), la planeación de la auditoría es el proceso que define el norte de una auditoría e indica…

Las pautas a seguir para lograr su desarrollo, por lo tanto, debe responder a los siguientes interrogantes: ¿qué se debe hacer?, ¿qué aspectos se van a auditar?, ¿cuándo se debe hacer?, ¿cómo se va a realizar?, ¿qué recursos demandará?, ¿de qué recursos se dispone?, cuestionamientos que, de ser respondidos adecuada y oportunamente, conducen a la optimización de recursos evitando la improvisación y desfases en la estimación.

El gerente de auditoría en conjunto con su equipo de trabajo es el responsable de realizar el plan general de auditoría. Este plan debe incluir el plan de trabajo de auditorías a realizarse durante el año, por lo que una vez finalizado se procede a definir el plan de auditoría para cada una de estas auditorías.

Le invitamos a profundizar en los detalles del plan de auditoría particular.

La ejecución de la auditoría es una etapa que se debe realizar en vivo y en directo, y se basa en comparar la información entregada por los auditados, la documentación existente y las evidencias y observaciones que recopile el auditor en su trabajo de campo.

Haga clic aquí para conocer algunas de las actividades que se realizan en la ejecución de una auditoría.

En la etapa de ejecución de la auditoría se realizan las pruebas de cumplimiento o sustantivas que se seleccionaron y establecieron en el plan de trabajo. De igual manera se usan las TAAC y otras herramientas como las simulaciones, los reportes de auditoría especiales generados, etc.

Antes de la reunión de socialización de resultados el auditor de TI debe discutir el informe con las personas auditadas, de manera que se llegue a un acuerdo en los hallazgos y recomendaciones y se puedan solventar las diferencias presentadas en este escenario y no en uno de alta gerencia.

Aunque cada organización es libre de establecer su propio procedimiento mientras cumpla los estándares de la Isaca, Muñoz Razo (2002), propuso un procedimiento para la elaboración del informe de resultados.

Los informes de auditoría son el resultado final de la auditoría realizada a un proceso o activo de TI y como ya lo hemos mencionado son la herramienta que usa el auditor para presentar los hallazgos y recomendaciones.

Debido a que no hay una estructura estandarizada para el desarrollo de este informe, las organizaciones deben apropiar uno que les sea útil, pero siempre deben considerar unos aspectos básicos.

Haga clic sobre en los Esquemas interactivos para conocer estos aspectos.

Material de apoyo

En esta segunda parte de la unidad abordaremos y explicaremos las técnicas que apoyan y orientan al auditor durante los procesos de planeación y ejecución de una auditoría.

Posteriormente abordaremos los tres tipos de pruebas de auditoría a las que puede recurrir el auditor para recopilar la información necesaria en el cumplimiento de su labor.

Primero hablaremos de las pruebas de cumplimiento y las pruebas sustantivas y finalmente dedicaremos un apartado especial para hablar del tercer tipo de pruebas que son las técnicas asistidas por computador.

En una auditoría informática se suele recurrir a varias técnicas y herramientas de la auditoría tradicional, las cuales ayudan al auditor y orientan su labor, de manera que el trabajo sea más fácil, eficiente y efectivo.

Algunas de estas técnicas son:

• Guías de evaluación.
• Ponderaciones.
• Evaluaciones.
• Listas de chequeo.
• Modelos de simulación.

Las pruebas de auditoría son herramientas que puede utilizar el auditor para recopilar las evidencias de sus hallazgos y, por ende, de su trabajo. Con esta información el auditor puede dar un concepto sobre al grado de seguridad y control que tiene el proceso o activo de TI auditado, sustentado en criterios objetivos y no solo en su percepción, juicios subjetivos o apreciación.

Estas pruebas deben desarrollarse durante la planeación de la auditoría y deben estar listas al momento de ejecutar el trabajo de campo, pues es entonces cuando se realizará la verificación, bien sea entrevistando al auditado e indagando la razón de la desviación o verificando los puntos o ítems de cumplimiento que debe tener una operación o una transacción.

Debido a su complejidad las pruebas asistidas por computador serán objeto de estudio más adelante. Por ahora profundicemos en las de cumplimiento y las sustantivas:

• Pruebas de cumplimiento.
• Pruebas sustantivas.

Material de apoyo

Los ambientes de procesamiento de información y los sistemas de información constituyen un gran desafío para el auditor de TI al momento de recopilar la evidencia requerida, dado que en una organización la información se encuentra estructurada de diferentes maneras; existen grandes volúmenes de información y una amplia variedad de sistemas de información, y un mismo dato puede tener diferente manejo de acuerdo con el sistema de información que lo procesa.

Por este motivo las técnicas de auditoría asistidas por computador (TAAC) son herramientas valiosas para recopilar información en ambientes de procesamiento informáticos y digitales, en hardware y en bases de datos. Los resultados que arrojan las TAAC le permiten al auditor confiar en los hallazgos, pues si la prueba quedó bien estructurada se reducen los errores de selección de muestras y la subjetividad a la hora de realizar los muestreos.

Las TAAC pueden consistir en software generalizado de auditoría (o GAS por sus siglas en inglés), software escrito para un propósito, software de utilería o software de administración del sistema. En todo caso, el auditor debe seleccionar el o los que mejor se ajusten a su objetivo de auditoría y debe garantizar que sean apropiados antes de usarlos.

Para finalizar el estudio de este apartado lo invitamos a leer la ampliación temática.

A continuación estudiaremos las diferentes técnicas que le permiten al auditor recopilar información durante la ejecución de la auditoría. Entre ellas se destacan la entrevista, el cuestionario y la encuesta.

Posteriormente estudiaremos la evidencia y los diferentes tipos de evidencias que existen, así como las características que estas deben tener para ajustarse a la normatividad vigente. Para complementar este apartado revisaremos las técnicas de recopilación de evidencias.

Para finalizar revisaremos los conceptos relacionados con los papeles de trabajo, los cuales le permiten al auditor documentar todo lo acontecido durante la ejecución de la auditoría.

Un auditor de TI debe estar en capacidad de identificar cuál de las técnicas conocidas para recopilar información puede usar en el desarrollo de su auditoría. Estas mismas técnicas son las que se usan para recopilar la información de los requerimientos y necesidades que tienen los usuarios al momento de desarrollar una aplicación.

Algunas de las técnicas más utilizadas son:

• Entrevista.
• Cuestionario.
• Encuesta.
• Observación.
• Muestreo.

La evidencia es toda información usada por el auditor de TI para establecer si el objeto auditado cumple con los criterios y las normas establecidas. La evidencia soporta y apoya las conclusiones y decisiones del auditor, por lo que identificarlas y revisarlas hace parte fundamental de su tarea.

Es imprescindible que todas las decisiones y juicios que emita el auditor de TI estén soportados en evidencia suficiente, relevante y competente.

Tras revisar los diferentes tipos de evidencias que pueden usarse en una auditoría de TI consulte la siguiente interactividad para conocer las características que deben tener las evidencias.

Para finalizar, le invitamos a consultar los Esquemas interactivos en el que encontrará algunas de las técnicas de recolección de evidencias que más se utilizan en auditorías de TI.

En el ejercicio de su labor el auditor de TI debe recopilar la información necesaria y suficiente para respaldar sus decisiones y los resultados presentados en el informe final. Al conjunto de documentos reunidos durante la auditoría se le conoce como papeles de trabajo y su importancia radica en que son el soporte de los hallazgos encontrados durante la auditoría.

Existen muchas formas de elaborar y utilizar los papeles de trabajo de una auditoría. Esto depende de la experiencia, del conocimiento y de las habilidades del auditor, así como del requerimiento para documentar las evidencias y de los estándares que tenga la organización.

Para que estos papeles de trabajo sean válidos y sirvan como soporte documental del trabajo realizado por el auditor deben reunir ciertas características y requisitos determinados por el área de auditoría o por la empresa encargada de realizar la auditoría.

A continuación veremos los requisitos básicos que deben tener los papeles de trabajo:

• Contenido de los papeles de trabajo.
• Marcas de auditoría.

Material de apoyo

El trabajo del auditor se ve materializado en el informe de auditoría, pues es allí donde plasma los hallazgos encontrados durante su labor y dictamina qué tan seguro o expuesto se encuentra el proceso o activo de TI evaluado. Este informe debe cumplir con unas características de forma y de fondo para cumplir las normas y estándares mundiales establecidos.

Para realizar un informe con el que la organización se sienta segura del trabajo del área de auditoría por la calidad y eficiencia de sus resultados, el auditor de TI debe conocer muy bien el área, proceso o activo de TI a evaluar. Esto le permitirá diseñar y ejecutar de manera apropiada las técnicas que le permitirán recopilar la evidencia (pruebas de recorrido, guías de auditoría, listas de chequeo) y de manera consecuente presentar su dictamen ante los auditados.

El proceso de documentación permite presentar las evidencias en el informe final. En tal sentido, los papeles de trabajo son de obligatorio cumplimiento, pues en ellos queda plasmada toda la metodología de auditoría aplicada, las técnicas usadas para recopilar evidencias y las diferentes pruebas, guías, simulaciones y muestreos que usó y aplicó el auditor.

Tras formalizar el informe final y habiendo ordenado todos los papeles de trabajo finaliza el trabajo del auditor de TI sobre el proceso o activo evaluado. Por último, el archivo físico o digital se deberá almacenar según los procedimientos establecidos por la organización.

Actividad de aprendizaje

Para finalizar el estudio de esta unidad y antes de proceder con la autoevaluación te invitamos a repasar lo aprendido con esta actividad sobre los pasos para realizar una auditoría.