CASO DE AUDITORÍA No.

Una cadena de Supermercados (5 tiendas) ha recibido demasiadas quejas en cuanto al servicio de

caja, ya que por ser muy tardado los clientes se quejan, por las extensas colas, razón por la cual se
están perdiendo clientes. De parte del área de Informática han informado lo siguiente:

 “El sistema no presenta errores, y la red de computadoras está en buen estado,

posiblemente el usuario no realiza eficientemente sus funciones”.
 “Nunca han reportado errores al Departamento, para verlos y solucionarlos”
 “No hay registros de errores en nuestros sistemas”.

Por parte del usuario, se tienen los siguientes comentarios:

 “El sistema es demasiado lento en reconocer los productos”

 “Muchas veces, tarda en responder las consultas de productos”.
 “El sistema pierde la conexión, y hay que reiniciar los equipos”

Cómo auditor debe de investigar las posibles causas y determinar los controles o
soluciones necesarias.

P.1 Identificar el origen de la auditoría

.P.2 Realizar una visita preliminar al área que será evaluada

* Previo a realizar la auditoría y conocer a detalle el incidente, que acciones tomará.

P.3 Establecer los objetivos de la auditoría

P.4 Determinar los puntos que serán evaluados en la auditoría

P.5 Elaborar planes, programas y presupuestos para realizar la auditoría

P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios

para la auditoría.

Qué métodos o herramientas utilizará. Proporcione un ejemplo.

P.7 Asignar los recursos y sistemas computacionales para la auditoría.

Si es necesario algún recurso, agregarlo.

 RESOLUCIÓN DEL CASO

1. Origen de la Auditoría

Al tener en cuenta el problema que se tienen en cuanto al servicio de caja y las

quejas que tienen los usuarios (clientes); nos muestra el caso de la cadena de
Supermercados en el cual se debe llevar a cabo una auditoría, la cual consiste en
la evaluación de normas, controles, técnicas y procedimientos que se tienen
establecidos en el supermercado, para lograr confiabilidad, oportunidad, seguridad
y optimización de la información que se procesa a través del sistema que poseen
para el reconocimiento de productos, identificando los riesgos o la probabilidad
que se tiene de que se produzca un evento o consecuencias negativas como la
falta de conexión o los factores que la componen como las amenazas al reiniciar
los equipos o la vulnerabilidad a perder clientes por los problemas con el sistema
que posee el Supermercado.

El origen de la auditoría llevará a establecer medidas de control que deben ser

implementadas en el Supermercado con la finalidad de reducir los riesgos
existentes y proteger lo más importante (usuarios/clientes).

Al llevar a cabo la auditoria podremos emitir una opinión profesional sobre si el

área de informática que es el área sometido a análisis presenta adecuadamente la
realidad que pretende reflejar y cumple las condiciones que han sido prescritas
con anterioridad.

2. Visita Preliminar

Realizaremos la visita al supermercado para tener una perspectiva general, que

nos permita comprender las operaciones que se realizan, el sistema informático
que se tiene y establecer si el Área de Informática toma en cuenta algunos
aspectos entre los que podemos mencionar:
  Reconocer como están distribuidos los sistemas en las distintas áreas de
trabajo.

 Evaluar los equipos; cantidad y características de los equipos instalados.

 Cuál es el status general de los equipos instalados en el supermercado.

 Características de las conexiones de los equipos.

 Reacción de la primera impresión del personal ante la auditoría.

 Status visible de la seguridad de los sistemas informáticos.

 Posibles restricciones u oposición al trabajo de la auditoría.

Hacer una exploración personal o por entrevistas informales, ya que con estas
entrevistas también puede obtener datos importantes que ayuden a calcular las
necesidades de recursos aplicables en la auditoría de sistemas que se utilizan en
el Supermercado.

Tener el primer contacto con los encargados del área a auditar (Área Informática)
esto con la finalidad de, primero prestar atención a la conducta que toman los
empleados de manera que se vaya previendo las posibles restricciones y poca
colaboración hacia el trabajo de auditoría, y segundo tener ya la idea de con quien
avocarse en el trabajo de auditoría.

La primera visita es para visualizar en términos generales el ambiente generado

por el trabajo de auditoría y así diseñar una estrategia para poder obtener la
suficiente prueba para sustentar el dictamen.
3. Objetivos de la Auditoría

 Determinar si el problema del servicio de caja está presente en una tienda o

en las cinco tiendas de la cadena del supermercado.

 Indagar con los encargados del área de informática desde cuando se tienen
estos problemas con los productos y desde cuando las quejas de los
clientes se han dado.

 Establecer un perfil de tiempos para llevar un registro de cuáles son los

productos que se llevan más tiempo al ser leídos por el sistema, o si se
tienen problemas con todos los productos.

 Reconocer si el sistema es apropiado para la lectura y el reconocimiento de

productos y si está diseñado para el tamaño del supermercado.

 Investigar con cuanta afluencia se tienen problemas por parte de los

usuarios y a su vez reconocer por qué razón no se cuenta con reportes en
el departamento para darles solución.

 Adquirir información por parte del encargado del área de informática de la

empresa sobre los registros que se deberían de tener y no se tienen sobre
los problemas que han registrado los usuarios (clientes) del supermercado.

 Determinar si el problema está o no en el área informática o si el usuario

necesita una guía para el uso de los lectores de los productos.

 Calendarizar pruebas sobre los equipos que se tienen en la lectura de los

productos y verificar cada cuanto tiempo estos pierden la conexión o se
reinician las operaciones.
 4. Puntos a evaluar en la Auditoría

Evaluación de los Sistemas, equipos, instalaciones y

componentes informáticos

Evaluación de Seguridad de los Sistemas

Evaluación de la información, documentación y

registro de los sistemas.

Evaluación de funciones y actividades del personal del

área de informática

Evaluación de las áreas y unidades administrativas del

área de informática

El objetivo aquí es la evaluación del cumplimiento de funciones y tareas

específicamente establecidas para el personal que interactúa directamente con los
sistemas informáticos ya sea de los que integran el centro de cómputo así como
de los funcionarios usuarios y personal del área, verificando así, la existencia de
manuales de atribuciones para el personal y si están bien definidas y comunicadas
las responsabilidades de cada una de las tareas.

El propósito de este punto es examinar los aspectos administrativos que inciden

en el cumplimiento de las atribuciones y procedimientos de las actividades del
centro de cómputo.

La evaluación de este punto va a depender mucho de tipo de administración, y

particularidades tanto del equipo informático como de la división del trabajo de
dicha área.

La seguridad de los sistemas de información envuelve la protección de la

información, así como la de los sistemas computacionales usados para grabar,
procesar y almacenar la información, ya que la necesidad de salvaguardarla es
cada vez más exigente por tantas amenazas, se implementan tanto los accesos al
centro de cómputo, como el manejo y manipulación de los mismos sistemas de
información en la consulta y manipulación de los mismos.

a) Evaluación del recurso humano relacionado al área de informática

Para determinar el correcto desempeño de las acciones y atribuciones del

personal que labora directamente o indirectamente en el departamento de
sistemas informáticos.

b) Evaluación del hardware

Determinar en qué grado se están utilizando correctamente los equipos de

cómputo, (computadoras, accesorios, conexiones, entre otros.…). El resultado de
esta evaluación nos brindará una ayuda a la hora de emitir una opinión sobre la
satisfacción con la que contribuyen los equipos a cubrir las necesidades de
procesamiento de información.

c) Evaluación del software

Es evaluar la correcta utilización y funcionamiento de los programas informáticos

(software), evaluar todos los aspectos que envuelve un programa desde su
compra hasta su correcto funcionamiento.

d) Evaluación de la información y las bases de datos

Determinar aspectos como capacidad de almacenamiento, capacidad de

procesamiento, niveles de protección, oportunidad, utilidad y disponibilidad de la
información. En general si las necesidades de la empresa en lo referente a
información son las correctas.

e) Evaluación de otros recursos informáticos

Su objetivo es evaluar la eficiente utilización de los demás elementos que

componen el sistema, Ej. La telecomunicación, sistemas de video, sistemas de
salvaguarda de información, dispositivos de almacenamiento de información, entre
otros

f) Evaluación de equipos instalaciones y demás componentes

Realizar pruebas que respalden la opinión del auditor sobre el aprovechamiento

de los equipos, las instalaciones las conexiones eléctricas, si esta involucrados
con el bienestar del personal del área de sistemas o los usuarios del mismo.
 5. Planes, programas y presupuestos para la auditoría

Plan de auditoría
1 Investigación Visita al supermercado para determinar el estado
preliminar actual de la organización, entrevistas con
administradores y usuarios de las redes para
determinar posibles fallas, entrevistas con
administrador y usuarios para determinar la opinión
frente al hardware existente y obsolescencia de
equipos.
2 Recolectar Diseño de formatos de entrevistas, diseño de formatos
información para listas de chequeo, diseño de formatos para
cuestionarios, diseño del plan de pruebas, selección
del estándar a aplicar, elaboración del programa de
auditoría, distribución de actividades para los
integrantes del grupo de trabajo.
3 Aplicación de Aplicar entrevistas al administrador y usuarios, aplicar
instrumentos listas de chequeo para verificar controles, aplicar
cuestionarios para descubrir nuevos riesgos y
conformar los que han sido detectados anteriormente.
4 Ejecución de las Ejecutar las pruebas para determinar la obsolescencia
pruebas del hardware, ejecutar pruebas sobre la red, ejecutar
pruebas para comprobar la correspondencia de los
inventarios con la realidad
5 Realizar el Elaborar el cuadro de vulnerabilidades y amenazas a
proceso de que se ven enfrentados, determinar los riesgos a que
análisis y se ven expuestos, hacer la evaluación de riesgos,
evaluación de elaborar el mapa o matriz de riesgos.
riesgos
6 Tratamiento de determinar el tratamiento de los riesgos de acuerdo a
riesgos la matriz de riesgos, proponer controles de acuerdo a
la norma de buenas práctica aplicada, definir las
posibles soluciones
7 Dictamen de la Determinar el grado de madurez de la empresa en el
auditoría manejo de cada uno de los procesos evaluados, medir
el grado de madurez de acuerdo a los hallazgos
detectados en cada proceso.
8 Informe final de Elaboración del borrador del informe técnico de
auditoría auditoría para confrontarlo con los auditados,
elaboración del informe técnico final, elaboración del
informe ejecutivo, organización de papeles de trabajo
para su entrega.
 Planeación de la Auditoría
Presupuesto de tiempo

Presupuesto General de Socio Sénior Junior Total

Tiempo

Administración de la Auditoría
Cuestionario de investigación 2 2
preliminar
Respuestas del Cuestionario de 1 1
Control Interno
Análisis de Efectividad del 1 3 4
Control Interno
Análisis de Variaciones en Ctas 5 8 13
de Activos
Revisión del Trabajo de Auditoria 12 12
Interna
Actualización de Archivos
permanentes
Preparación de programa de 1 1
Auditoría
Sub-total 33

Evaluación del Trabajo de

Auditoria
Cuestionario de Terminación de 8 10 18
la Auditoria
Revisión General de Socio 10 10
Sub-Total 28

Informe
Cartas de Recomendaciones 5 10 15
Ajustes y Reclasificaciones 6 6
Preparación de Estados 0
Financieros
Auditados y Dictamen 8 8
Sub-Total 29
Total de Tiempo 18 29 43 90
Costo de Hora Hombre Q. 250.00 150.00 100.00

Total Q. Q4,500.00 Q4,350.00 Q 4,300.00 Q13,150.00

 FASE ACTIVIDADES
 Identificar el origen de la auditoria.
Conocimient  Realizar visitas para conocer procesos, activos informáticos,
procesos y organización del área auditada.
o del sistema
 Determinar las vulnerabilidades, y amenazas informáticas a que
o área está expuesta la organización.
auditada  4.    Determinar el objetivo de la auditoría de acuerdo a las
vulnerabilidades, y amenazas informáticas encontradas.
 Elaborar el plan de auditoría
 Seleccionar los estándares a utilizar de acuerdo al objetivo
(CobIT, MAGERIT, ISO/IEC 27001, ISO/IEC 27002, otro)
 De acuerdo al estándar elegido, seleccionar los ítems que serán
evaluados que estén en relación directa con el objetivo y alcances
Planeación definidos en el plan.
de la  Seleccionar el equipo de trabajo y asignar tareas específicas
Auditoria de  Determinar las actividades que se llevarán a cabo y los tiempos
Sistemas en que serán llevadas a cabo en cada ítem evaluado. (Programa
de auditoría)
 Diseñar instrumentos para recolección de información (formatos
de entrevistas, formatos de listas de chequeo, formatos de
cuestionarios)
 Diseñar el plan de pruebas (formato pruebas)
 Aplicar los instrumentos de recolección de información diseñados
 Ejecutar las pruebas del plan de pruebas
 Levantar la información de activos informáticos de la organización
auditada
Ejecución de
 Determinar las vulnerabilidades y amenazas informáticas
la Auditoria aplicando una metodología (MAGERIT)
de Sistemas  Realizar la valoración de las amenazas y vulnerabilidades
encontradas y probadas
 Realizar el proceso de evaluación de riesgos
 Determinar el tratamiento de los riesgos
 Determinar las soluciones para los hallazgos encontrados
(controles)
Resultados  Elaborar el Dictamen para cada uno de los procesos evaluados.
de la  Elaborar el informe final de auditoría para su presentación y
Auditoria de sustentación
Sistemas  Integrar y organizar los papeles de trabajo de la auditoria
  Diseñar las políticas y procedimientos integrando los controles
definidos
 6. Métodos, herramientas, instrumentos y procedimientos necesarios
para la auditoría.

Las técnicas de auditoría son métodos prácticos de investigación y prueba que

utiliza el auditor para obtener la evidencia necesaria que sustente sus
observaciones y recomendaciones; su empleo se basa en su criterio, según las
circunstancias. Dentro de las técnicas utilizadas en una auditoría informática se
pueden mencionar:

 Cuestionarios: las auditorías informáticas se realizan recabando

información y documentación de todo tipo. Los informes finales dependen
de analizar las situaciones de debilidad o fortaleza de los diferentes
entornos. El trabajo de campo del consiste en lograr obtener toda la
información necesaria para la emisión de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados también evidencias. Estos
cuestionarios deben de ser muy específicos para cada situación, y se debe
de tener cuidado en su fondo y forma. Sobre esta base, se estudia y analiza
la documentación recibida, de modo que tal análisis determine a su vez la
información que deberá elaborar el propio auditor. El cruce de información
es una de las bases fundamentales de la auditoría.

 Entrevistas: es una de las actividades personales más importante que

realiza el auditor; en ellas, se acumula información, y mejor matizada, que
la proporcionada por medios propios puramente técnicos o por las
respuestas escritas en cuestionarios. La entrevista entre auditor y auditado
se basa fundamentalmente en el concepto interrogatorio. El auditor
informático experto entrevista al auditado siguiendo un cuidadoso sistema
previamente establecido, consistente en que bajo la forma de una
conversación correcta y lo menos tensa posible, el auditado conteste
sencillamente a una serie de preguntas sencillas y variadas. Sin embargo,
esta sencillez es solo aparente, tras ella debe existir una preparación muy
elaborada y sistematizada, y que es diferente para cada caso en particular.

 Lista de chequeo: el auditor deberá aplicar la técnica de la lista de

chequeo, de modo que el auditado responda claramente a las preguntas
que se tengan formuladas. Se deberá interrumpir lo menos posible a este,
solamente en los casos en que las respuestas se aparten sustancialmente
de la pregunta. En algunas ocasiones, se hará necesario para que
responda con amplitud un tema concreto.
  Trazas y/o huellas: con continuidad, el auditor informático debe verificar
que los programas, tanto de los sistemas como de usuario, realizan
exactamente las funciones previstas y no otras. Para ello se apoya en
productos de software, que entre otras funciones, rastrean los caminos que
siguen los datos a través del programa.

 Software para auditoría: se utilizan productos de software llamados

“paquetes de auditoría”, estos sirven para la obtención de muestreos
estadísticos que permitan la elaboración de una hipótesis de la situación
real. En la actualidad, los productos de Software especiales para la
auditoría informática, se orientan principalmente hacia la extracción de
datos de ficheros y bases de datos de la organización auditada.

 Peritaje informático: se conoce como peritaje informático a los estudios e

investigaciones orientados a la obtención de una prueba informática de
aplicación en un asunto judicial, para que sirva a un juez en la toma de
decisiones sobre la culpabilidad o inocencia del involucrado.

 Observación: esta técnica consiste en examinar los diferentes aspectos

que intervienen en el funcionamiento del área informática y los sistemas de
software.

Ejemplos:

 Evaluación
 Inspección
 Confirmación
 Comparación
 Revisión Documental
 Matriz de Evaluación
 Matriz DOFA
 7. Recursos y sistemas computacionales para la auditoría.

Las normas o estándares para la auditoría en sistemas que podemos utilizar,

haciendo un análisis de cuál es la que mejor se adapta según el tipo de empresa a
auditar. Podemos decir que es una especificación que reglamenta procesos y
productos; es un documento técnico que contiene especificaciones técnicas de
aplicación, la norma es una regla para actividades; mientras que estándar es la
redacción y aprobación de las normas aplicadas. En este caso ambos términos se
refieren a la gestión de calidad, al ciclo de vida de un software, a la auditoría en la
empresa.

Entre el listado de normas o estándares a seguir tenemos:

 Normas ISO que son un conjunto de normas que vela por la calidad y
gestión de la calidad, sus siglas se refieren a la Organización Internacional
de Normalización (ISO por sus siglas en inglés), estas normas se aplican a
cualquier tipo de actividad o entidad que produce bienes y servicios, tiene
clasificaciones especiales dependiendo del área que se maneje. También
está
 COBIT (Objetivos de Control de la Tecnología de Información); estos
conjuntos de normas son aplicados y aceptados para el control de la
Tecnología de Información, para sistemas de información de la
organización y están basados en los Objetivos de Control de ISACF
(Fundación de Auditoría y Control de Sistemas de Información).

Los Organismos de Normalización respecto a la Auditoría en Sistemas que son:

o Internacionales: ISO/IEC/UIT-T
o Europeos: CEN/CENELEC/ETSI
o Americano: COPANT
o Español: AENOR
o Guatemala: COGUANOR

En el proceso de la auditoría tenemos en cuenta que el elemento principal de

dicho proceso es el departamento de TI (Tecnología de Información) por lo que se
puede utilizar una de las siguientes guías para su evaluación:

 COBIT
 COSO
 ITIL
 ISO/IEC 17799:2005
 ISO/IEC TR 13335
 ISO/IEC 15408:2005
 PRINCE2
 PMBOK
 CMMI