3.

Etapas de la Metodologa de Auditoria

de las Aplicaciones en Funcionamiento

1-Planear el trabajo a realizar

2-Comprension de la Aplicacin
3-Evaluar los controles existentes
4-Planeacion y diseo de pruebas de Auditoria
5-Ejecutar pruebas de auditoria
6-Evaluar resultados de pruebas de auditoria
7-Informar los resultados de las pruebas de
Auditoria.
8-Seguimiento y asesora para la implantacin
de recomendaciones

1-PLANEAR EL TRABAJO A
REALIZAR

Lo primero es definir una estrategia de auditoria

que conduzca al logro de unos objetivos concretos
para satisfacer las expectativas de la gerencia en el
menor tiempo posible. La mejor estrategia es
aquella que se disea de acuerdo con normas y
principios de auditoria de aceptacin general.
Para proyectar la estrategia se elabora un plan de
trabajo que consta de dos puntos:
1-El documento de la planeacin de la Auditoria
2-Un cronograma de Actividades (Grafico de Gantt)

1-PLANEAR EL TRABAJO A
REALIZAR

El documento de planeacin el cual se

entrega un modelo a continuacin y debe
ser diligenciado por el supervisor del trabajo
de la forma como se explica en paginas
anexas al modelo.

2-COMPRENSION DE LA
APLICACION

En esta etapa se determinan caractersticas

tcnicas y operativas de la aplicacin objeto de
auditoria y su importancia para los objetivos y
metas de la organizacin.
En formularios diseados para tal fin (el cual se
entrega modelo) se registra y organiza
informacin sobre:
1-Objetivos, alcance y tamao
2-Estructura y tecnologa
3-Satisfaccion de usuarios
4-Esfuerzo de auditoria necesario.
4

2-COMPRENSION DE LA
APLICACION

Cmo se obtiene esta informacin?

El auditor necesita entrevistar al personal de sistemas
encargado de la aplicacin y a los usuarios.
Los formatos pueden ser entregados con anticipacin
a los funcionarios, para que los diligencien y los
devuelvan al auditor antes de las entrevistas.
Que otra informacin se necesita?
El auditor debe obtener los grficos de la organizacin
de la empresa y de la direccin de informtica, para
precisar como estn distribuidas las funciones
y
responsabilidades para el manejo de la aplicacin en
cada centro de procesamiento donde este instalada.

2-COMPRENSION DE LA
APLICACION

Si es la primera vez que se audita la

aplicacin, la informacin obtenida se
organiza en un archivo de papeles de
trabajo denominado Archivo permanente o
expediente continuo de la aplicacin. En
caso contrario, el trabajo consiste en revisar
y actualizar el archivo existente con los
cambios que se han efectuado a la
aplicacin desde la ultima auditoria. Se
entrega una gua para elaborar este
archivo.
6

2-COMPRENSION DE LA
APLICACION

a.
b.
c.
d.

e.
f.

g.
h.
i.
j.

Adems se deber obtener la siguiente informacin:

Dependencias involucradas en el manejo de la aplicacin
Inventario de documentos fuentes
Inventario de documentos que produce
Normas legales e institucionales que rigen el
funcionamiento de la aplicacin
Interfaces de la aplicacin con otros sistemas
Procesos manuales y automatizados que realiza la
aplicacin
Perfil tcnico de la aplicacin
Personal clave para el manejo de la aplicacin
Inventario de manuales de documentacin existente
Informacin sobre fraudes que se haya presentado.
7

3.EVALUAR LOS CONTROLES

EXISTENTES

Esta etapa tiene como propsito evaluar los

procedimientos
y
practicas
de
control
establecidos por la organizacin, en los trece
(13) escenarios de riesgo de las aplicaciones en
funcionamiento.
En la practica, esta evaluacin se realiza a las
actividades de la aplicacin que se desarrollan
en los centros de procesamiento, la fuentes de la
informacin y las dependencias que utilizan los
resultados producidos por el computador y en los
enlaces entre estas unidades funcionales.

3.EVALUAR LOS CONTROLES

EXISTENTES

Evaluar
los controle existentes significa
emitir una opinin respecto a si estos son
suficientes y efectivos para reducir la
probabilidad de ocurrencia de situaciones
indeseables y/o minimizar el impacto de las
que no pueden evitarse. Por lo tanto esta
etapa se debe en primer lugar determinar
los riesgos inherentes a la aplicacin y
luego determinar si los controles son
apropiados.

3.1.Conceptos sobre riesgos, causas

del riesgo, situaciones de riesgo y
efecto de las causas del riesgo

Este tema ya se vio en clases

anteriores

10

3.1.1.Metodologia para evaluar

los controles existentes
Se

hace para cada uno de los

escenarios de riesgo de la aplicacin
objeto de la auditoria, empleando
una
de
las
dos
alternativas
siguientes:
1-Utilizando el mtodo de anlisis de
riesgo, y
2-Con base en Cheklists

11

3.1.1.1 Por el mtodo de

anlisis de riesgo
Pasos a seguir:
1. Identificar universo de transacciones de la
aplicacin
2. Identificar actividades sujetas a control.
3. Identificar
controles
existentes,
debilidades. de control y situaciones de
riesgo.
4. Elaborar planillas de anlisis de riesgo
5. Emitir diagnostico y recomendaciones de
emergencia.

12

1.Identificar universo de transacciones de la aplicacin

Consiste en identificar los tipos de

operaciones que se realizan para actualizar
y /o dar mantenimiento a los archivos de la
aplicacin, en el departamento de sistemas
y en las reas que generan la informacin.
Por
Ejemplo para una aplicacin del
departamento de personal que genera,
entre otras, las siguientes transacciones
para el sistema: Ingresos, retiros, aumento
de sueldos y horas extras.

13

2.Identificar actividades sujetas

a control

Consiste en elaborar una lista de las actividades

manuales y automatizadas que se realizan con las
transacciones de actualizacin y/o mantenimiento
en los trece (13) escenarios de riesgo de la
aplicacin (o en los que apliquen para la
aplicacin). Para evitar la omisin de actividades
importantes, es necesario revisar el recorrido o
flujo de la transaccin, desde su origen hasta la
utilizacin, archivo y reemplazo de los resultados
del procesamiento. Para cada una de las
transacciones debe identificarse ASC en la entrada,
el procesamiento y las salidas de la aplicacin.

14

2.Identificar actividades sujetas

a control

Esta lista se elabora en un formulario como

el siguiente:

IDENTIFICACION DE ACTIVIDADES SUJETAS A CONTROL (ASC)

APLICACIN:_____________________________________________
TRANSACCION___________________________________________
ACTIVIDADESSUJETAS A CONTROL________________________
1.
2.
3.
4.
5.

15

3.Identificar Controles existentes,

Situaciones de riesgo y debilidades
de control

Para cada una de las transacciones de

actualizacin
y/o
mantenimiento
se
elaboran flujogramas de control en los
centros para mostrar el flujo de la
transaccin, se combinan las reas y las
dependencias
involucradas
y
los
documentos, archivos de datos de
computador y lneas de comunicacin
portadoras de la informacin.

16

3.Identificar Controles existentes,

Situaciones de riesgo y debilidades
de control
Sobre
a)

b)

c)

los flujogramas se identifican:

Los controles existentes con un
triangulo sin sombrear y un cdigo
numrico.
Las debilidades de control, con un
triangulo sombreado y un cdigo
numrico.
Las situaciones de riesgo con un
rectngulo y un cdigo numrico
17

3.Identificar Controles existentes,

Situaciones de riesgo y debilidades
de control
En hojas separadas del flujograma, como
las que se indican a continuacin se
describen los controles existentes, las
debilidades de control y las situaciones de
riesgo identificadas.
A cada una de estas variables se le asigna
el numero secuencial que ser la referencia
cruzada con el flujograma.

18

3.Identificar Controles existentes,

Situaciones de riesgo y debilidades
de control
IDENTIFICACION DE CONTROLES
EXISTENTES
APLICACIN:___________________________________
TRANSACCION________________________________
CONTROLES EXISTENTES:
1.
2.
3.
4.
5.
19

3.Identificar Controles existentes,

Situaciones de riesgo y debilidades
de control
IDENTIFICACION DE DEBILIDADES DE
CONTROL
APLICACIN:____________________________
TRANSACCION________________________________
DEBILIDADES EXISTENTES:
1.
2.
3.
4.
5.

20

3.Identificar Controles existentes,

Situaciones de riesgo y debilidades
de control
IDENTIFICACION DE SITUACIONES DE
RIESGO
APLICACIN:____________________________
TRANSACCION____________________________
SITUACIONES DE RIESGO:
1.
2.
3.
4.
5.
21