Auditoría Informática

Auditoría Informática

Instituto IACC

25-11-2019
 Desarrollo

1. Considere el siguiente enunciado: “se le ha solicitado que pueda identificar riesgos y

controles asociados a estos, en el proceso de otorgamientos de créditos de una compañía
de la industria financiera, el cual es soportado por un sistema de información desarrollado
internamente. Interesa en particular detectar el riesgo asociado al cumplimiento
normativo, el cual establece que la tasa otorgada no debe superar la tasa máxima
convencional que es publicada periódicamente en la página de la Superintendencia de
Bancos e Instituciones Financieras”.

En base a lo anterior, indique los pasos que debe seguir esta auditoría para cumplir con
los parámetros de la técnica de prueba de recorrido.

Consiste en reproducir y documentar, a través del sistema, en este caso, sistema de información
desarrollado internamente, las etapas manuales y automáticas del proceso de gestión o de
transacción, desde inicio a fin, empleando para ello una transacción simulada con datos y
proceso real. Entonces, el auditor debe comprender el proceso antes de aplicar cualquier
investigación. Una vez realizado este paso por parte del auditor, se realiza una prueba de
otorgamiento de crédito a una entidad ficticia para poder así chequear el procedimiento de esta.
Esta prueba debe hacerse paso a paso para poder verificar que cada procedimiento del proceso
sea el correcto o detectar fallas o falencias.

2. Traselec, compañía dedicada a la transmisión de energía eléctrica en el Sistema

Interconectado Central, desea realizar una auditoría a los proveedores de tecnologías de
información. Se necesita identificar si los contratos especifican acuerdos de niveles de
servicio y si éstos son monitoreados. A través de las técnicas de revisión de
documentación y entrevistas, indique cuál sería la secuencia de pasos necesarios para
cubrir esta necesidad. Fundamente su respuesta.

La técnica más adecuada es la de recopilación de información, pues esta es la clave en una

auditoría, por lo que se realiza una revisión de documentos y entrevistas, con el objetivo de
obtener evidencia suficiente que respalde dicha auditoria. Con esta técnica, se desea tener los
datos de la estructura organizacional del área, de la o las empresas proveedoras auditadas, en
cuanto a sus políticas y los procedimientos de estas, y de los sistemas utilizados por estos
proveedores. Además, podemos definir o entender los roles de las personas a cargo, la jerarquía
de estos y si cuenta con suficiente personal para cumplir dichos roles. Al revisar las políticas y
procedimientos, podemos ver las áreas cubiertas y el tiempo que se dedica a estas para su
monitoreo o mantención de ser necesaria, en cuanto a la separación y segregación de funciones.
La seguridad que se emplea en cuanto al análisis de datos de los solicitantes. Y la actualización
de los datos de los solicitantes. Con respaldos de la información. Y privilegios de quienes
manejan la información. Al realizar el chequeo de la información genera, podemos tener datos
como: el inicio de contrato, tipo de contrato, acuerdo y tipo de los servicios contratados,
informes de pruebas de la implementación del servicio, manuales de usuario, manuales de
sistemas, protocolos, reportes varios, entre otros. Y todo esto contrastado con entrevistas a
personal supervisor de empresa proveedora.
 3. Considere los siguientes enunciados:

 “El auditor informático necesita determinar si la gerencia de tecnologías de la información ha

definido un control anual de revisión y actualización de todos sus procedimientos y políticas”.

La revisión y actualización de procedimientos y políticas emplearemos la técnica de revisión de

documentación, revisión de políticas y procedimientos del área de tecnología informática.
Precisamente esta se encarga de revisar si existen políticas y procedimientos adecuados, además
de verificar que la gerencia asuma la responsabilidad por la formulación, desarrollo,
documentación, publicación y control de estas políticas o procedimientos. La frecuencia con que
estas son revisadas.

 “El auditor informático necesita corroborar la secuencia de respaldos periódicos a los datos:
tiempo de realización, lugar de almacenamientos y tarea programada que ejecuta”.

Utilizaremos una prueba de recorrido, puesto que esto se enfoca en el entendimiento de los
procesos y de los controles. Por lo cual realizaremos una simulación para chequear y si es
necesario modificar los horarios o fechas, para saber si se cumplen las formas y lugar de los
respaldos.

 “El auditor informático necesita realizar una conciliación entre las tablas documentadas y las
tablas creadas en la base de datos para determinar la suficiencia de la documentación”.

Revisión de documentación general de los sistemas de información, perteneciente a revisión de

documentos, sería lo indicado, ya que a través de esta técnica podemos identificar la información
existente vigente con que cuenta la empresa ya sea físicamente o en forma digital. Acá podremos
realizar dicha comparación y verificar su precisión o falencia con que se detalla las tablas de las
bases de datos en documentos y la configuración real con que se manejan estas.