UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERIA INDUSTRIAL

ESCUELA PROFESIONAL DE INGENIERIA
INFORMTICA





MDULO
AUDITORA INFORMTICA BAJO EL ENFOQUE
GUBERNAMENTAL

AUTOR
MBA. PERSI WILLIANSH CABRERA ANTN ING.



PIURA - PER
ENERO - 2013

INDICE

INTRODUCCIN
I. ASPECTOS GENERALES
1.1. Definicin de Auditora
1.2. Auditora Informtica
1.3. Auditor Informtico
1.4. Objetivos de la Auditora Informtica
1.5. Motivos para efectuar una Auditora Informtica
1.6. Problemas ms comunes en los Sistemas de Informacin
1.7. Perfil del Auditor Informtico o de Sistemas
1.8. reas de inters del Auditor Informtico

II. EL CONTROL BAJO EL ENFOQUE GUBERNAMENTAL
2.1. Controles (RC 152-98-CG)
2.2. Proceso de Control
2.3. Control Interno
2.4. Objetivos del Control Interno
2.5. Control Externo
2.6. La Accin de Control
2.7. Sistema Nacional de Control
2.8. Conformacin del Sistema Nacional de Control
2.9. rgano de Auditora Interna
2.10. Sociedades de Auditora
2.11. Por qu hay Riesgos en la Auditora?
2.12. Tipos de Riesgos en la Auditora

III. METODOLOGA DE AUDITORA INFORMTICA
3.1. Definicin de mbitos y Objetivos
3.2. Estudio Inicial
3.3. Determinacin de Perfiles
3.4. Elaboracin de Planes
3.5. Elaboracin de Programa
3.6. Realizacin de las Actividades
3.7. Elaboracin del Informe Final

IV. FASES DE LA AUDITORIA INFORMTICA - ENFOQUE
GUBERNAMENTAL
4.1. Fase I - Planeamiento de la Auditora
4.1.1. Planeamiento de la Auditora NAGU 2.20 - R-141-99-CG
4.1.2. Programa de Auditora NAGU 2.30 - R-141-99-CG
4.1.3. Objetivos de Control para Evaluar la Organizacin en el rea
de Sistemas
4.1.4. Objetivos de Control para Evaluacin de la Seguridad Fsica
y Planes de Contingencia de la Oficina de Sistemas
4.1.5. Objetivos de Control para Evaluacin de Bases de Datos,
Archivos y Datos
4.1.6. Objetivos de Control para Evaluacin de Operaciones en el
Centro de Procesamiento y rea de Atencin a Usuarios
4.1.7. Objetivos de Control para Evaluacin de Desarrollo y
Mantenimiento de Sistemas
4.1.8. Objetivos de Control para Evaluacin de Redes de
Comunicaciones
4.2. Fase II Ejecucin de la Auditora
4.2.1. Evidencia (RC 152-98-CG)
4.2.2. Tipos de Evidencia (NAGU 3.40)
4.2.3. Atributos de la evidencia (NAGU 3.40)
4.2.4. Tcnicas de Auditora (RC 152-98-CG)
4.2.5. Confiabilidad de la Evidencia proveniente de Sistemas
Computarizados (NAGU 3.40)
4.2.6. Tcnicas de Auditora para evaluar programas de cmputo
4.2.7. Hallazgos de Auditora
4.2.8. Papeles de Trabajo (NAGU 3.50)
4.2.9. Comunicacin de Hallazgos de Auditora (NAGU 3.60)
4.3. Fase III Informe de Auditora
4.3.1. El Informe
4.3.2. Elaboracin Del Informe (NAGU 4.10)
4.3.3. Oportunidad del Informe (NAGU 4.20)
4.3.4. Caractersticas del Informe (NAGU 4.30)
4.3.5. Contenido del Informe (NAGU 4.40)
4.4. Seguimiento

V. BIBLIOGRAFIA
VI. ANEXOS
Anexo 01 - Ejemplo de Plan de Auditora aplicado a la Oficina Central de
Admisin de la Universidad Nacional de Piura.
Anexo 02 - Ejemplo de Programa de Auditora aplicado a la Oficina
Central de Admisin de la Universidad Nacional de Piura.
Anexo 03 - Ejemplo de Plan de Trabajo de Auditora aplicado a la Oficina
Central de Admisin de la Universidad Nacional de Piura.

INTRODUCCIN
La Informtica hoy, est subsumida en la gestin integral de la empresa, y por
eso las normas y estndares propiamente informticos deben estar, por lo
tanto, sometidos a los generales de la misma. En consecuencia, las
organizaciones informticas forman parte de lo que se ha denominado el
management o gestin de la empresa. Cabe aclarar que la Informtica no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no
decide por s misma. Por ende, debido a su importancia en el funcionamiento
de una empresa, existe la Auditoria Informtica.
La Auditora Informtica como tcnica y herramienta de apoyo a la
Organizacin, ha facilitado en los ltimos aos el desarrollo en el rea de
Sistemas. La informacin cada vez va teniendo ms importancia, y, se le
considera como un activo intangible, invaluable e irrecuperable.
La Auditora Informtica tambin conocida como Auditora de Sistemas de
Informacin es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica, organizacin del rea de informtica, de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de la Organizacin
que participa en el procesamiento de la informacin, a fin de que por medio del
sealamiento de cursos alternativos se logre una utilizacin ms eficiente y
segura de la informacin que servir para una adecuada toma de decisiones.
La Auditora Informtica debe ser realizada por un auditor de sistemas o
informtico, miembro especialista del personal profesional designado para la
ejecucin de la auditora, para ello debe tener entrenamiento apropiado,
conocimiento amplio en temas relacionados, experiencia en ambientes
complejos de computacin, su actuacin est regulada por las normas ticas
existentes.
El presente mdulo es un aporte a la docencia universitaria, dirigido a los
profesionales en Ingeniera Informtica o de Sistemas, especialmente para los
estudiantes del curso de Sistemas de Control y Auditora Informtica de la
Facultad de Ingeniera Industrial - Escuela Profesional de Ingeniera
Informtica, de la Universidad Nacional de Piura.

I. ASPECTOS GENERALES

1.1. Definicin de Auditora

1.a.1. Es un proceso sistemtico para obtener y evaluar evidencias
de una manera objetiva respecto a las afirmaciones
correspondientes a actos econmicos y eventos para
determinar el grado de correspondencia entre estas
afirmaciones y criterios establecidos y comunicar los
resultados a los usuarios interesados.[Kell-Ziegler].

1.a.2. En el ambiente de sistemas, los exmenes de las
operaciones que realiza un sistema de cmputo con la
finalidad de evaluar la situacin del mismo. Los auditores
deben tener la capacidad de validar los reportes y de probar
la autenticidad y la precisin de los datos y la informacin
que se maneja. [Gonzlez].

1.a.3. En el ambiente contable, representa el examen de los
estados financieros de una entidad, con el objeto de que el
contador pblico independiente emita una opinin
profesional si dichos estados representan la situacin
financiera, los resultados de las operaciones, las variaciones
en el capital contable y los cambios en la situacin financiera
de una empresa, de acuerdo a los principios de la
contabilidad generalmente aceptados.

1.2. Auditora Informtica

Concepto 01
La auditora en informtica se desarrolla en funcin de normas,
procedimientos y tcnicas definidas por institutos establecidos a
nivel nacional e internacional; por lo tanto, nada ms se sealarn
algunos aspectos bsicos para su entendimiento.

As, la auditora en informtica es:
a. Un proceso formal ejecutado por especialistas del rea de
auditora y de informtica; se orienta a la verificacin y
aseguramiento de las polticas y procedimientos establecidos
para el manejo y uso adecuado de la tecnologa de informtica
en la organizacin se lleve a cabo de una manera oportuna y
eficiente.

b. Las actividades ejecutadas por los profesionales del rea de
Informtica y de auditora encaminadas a evaluar el grado de
cumplimiento de polticas, controles y procedimientos
correspondientes al uso de los recursos de informtica por el
personal de la empresa (usuarios, informtica, alta direcci6n,
etc.). Dicha evaluaci6n deber ser la pauta para la entrega del
informe de auditora en informtica, el cual ha de contener las
observaciones, recomendaciones y reas de oportunidad para
el mejoramiento y la optimizacin permanente de la tecnologa
de informtica en el negocio.

c. El conjunto de acciones" que realiza el personal especializado
en las reas de auditora y de informtica para el
aseguramiento continuo de que todos los recursos de
informtica operen en un ambiente de seguridad y control
eficientes, con la finalidad de proporcionar a la alta direccin o
niveles ejecutivos la certeza de que la informacin que pasa
por el rea se manejan con los conceptos bsicos de
integridad, totalidad, exactitud, confiabilidad, etc.

d. Proceso metodolgico que tiene el propsito principal de
evaluar todos los recursos (humanos, materiales, financieros,
tecnol6gicos, etc.) Relacionados con la funcin de informtica
para garantizar al negocio que dicho conjunto opera con un
criterio de integracin y desempeos de niveles altamente
satisfactorios para que apoyen la productividad y rentabilidad
de la organizacin.(Hernndez, 1997).

La auditora informtica es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema informatizado salvaguarda
los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organizacin y utiliza eficientemente los
recursos. De este modo la auditoria informtica sustenta y confirma
la consecucin de los objetivos tradicionales de la auditoria:

Objetivos de proteccin de activos e integridad de datos.
Objetivos de gestin que abarcan, no solamente los de
proteccin de activos, sino tambin los de eficacia y eficiencia.

Concepto 02
Es un examen metdico del servicio informtico, o de un sistema
informtico en particular, realizado de una forma puntual y objetiva, a
instancias de la direccin y con la intencin de ayudar a mejorar
conceptos como la seguridad, eficiencia y rentabilidad del servicio
informtico.

En esta definicin hay cuatro palabras que destacan: "examen",
"metdico", "puntual" y "objetivo":

La auditora informtica es un examen, pues se verifica o
comprueba el sistema informtico actualmente en uso.
Este examen es metdico, ya que sigue un plan de trabajo,
perfectamente diseado, que permite llegar a conclusiones
suficientemente fundamentadas.
Este examen es puntual, ya que se realiza en un momento
determinado y bajo peticin de la direccin.
Este examen es objetivo, ya que se realiza por un equipo
externo al servicio de informtica para buscar la objetividad
requerida.

El servicio de auditora cubre una serie de actividades (controles,
verificaciones, pruebas, etc.) para concluir elaborando un conjunto
de recomendaciones y un plan de accin. La elaboracin de este
plan de accin es una de las caractersticas que verdaderamente
diferencia la auditora informtica del resto de tipos de auditoras.

1.3. Auditor Informtico

El auditor evala y comprueba en determinados momentos del
tiempo los controles y procedimientos informticos ms complejos,
desarrollando y aplicando tcnicas mecanizadas de auditora,
incluyendo el uso del software. En muchos casos, ya no es posible
verificar manualmente los procedimientos informatizados que
resumen, calculan y clasifican datos, por lo que se deber emplear
software de auditora y otras tcnicas asistidas por ordenador.

El auditor es responsable de revisar e informar a la Direccin de la
Organizacin sobre el diseo y funcionamiento de los controles
implantados y sobre la fiabilidad de la informacin suministrada.

Se pueden establecer tres grupos de funciones a realizar por un
auditor informtico:

Participar en las revisiones durante y despus del diseo,
realizacin, implantacin y explotacin de las aplicaciones
informticas, as como en las fases anlogas de realizacin de
cambios importantes.

Revisar y juzgar los controles implantados en los sistemas
informticos para verificar su adecuacin a las rdenes e
instrucciones de la Direccin, requisitos legales, proteccin de
confidencialidad y cobertura ante errores y fraudes.

Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y
seguridad de los equipos e informacin.

1.4. Objetivos de la Auditora Informtica

El propsito del trabajo de auditora est enmarcado en uno o ms
de los siguientes puntos:

a. Verificar el cumplimiento de polticas, normas y procedimientos
de orden gubernamental e institucional (adquisicin,
contratacin e instalacin de servicios para el desarrollo de la
funcin informtica).

b. Comprobar el adecuado uso y resguardo de los recursos
informticos de la entidad.

c. Verificar que se efecta el mantenimiento preventivo y
correctivo de los recursos informticos, para obtener la
confiabilidad e integridad de los sistemas.

d. Comprobar el grado de confiabilidad y privacidad del ambiente
informtico.

e. Garantizar la seguridad (personas, datos, programas y los
equipos).

f. Verificar controles de seguridad fsica y ambiental.

g. Evaluar controles establecidos para administrar la
infraestructura tecnolgica (servidores de datos, aplicaciones,
comunicaciones, terminales, impresoras, etc.).

h. Comprobar que los Sistemas de informacin correspondan a
los objetivos y requerimientos de la entidad.

i. Comprobar la consistencia y confiabilidad de los sistemas.

j. Verificar los controles involucrados en el software y en los
procedimientos manuales de las aplicaciones.

k. Verificar que las rutinas de clculo ejecutadas por las
aplicaciones se apliquen correctamente.

1.5. Motivos para efectuar una Auditora Informtica

Entre los principales justificativos o motivos de una auditora
informtica encontramos:

a. Aumento del presupuesto del Departamento de Sistemas.
b. Desconocimiento de la situacin informtica de la empresa.
c. Falta total o parcial de seguridades lgicas y fsicas que
garanticen la integridad del personal, equipos e informacin.
d. Descubrimientos de fraudes efectuados con el uso del
computador.
e. Falta de una planificacin informtica. Falta de visin.
f. Organizacin que no funciona correctamente, debido a falta de
polticas, objetivos, normas, metodologa, estndares,
delegacin de autoridad, asignacin de tareas y adecuada
administracin del recurso humano.
g. Descontento general de los usuarios, motivado generalmente,
por incumplimiento de plazos y mala calidad de resultados.
h. Falta de documentacin o documentacin incompleta de
sistemas.

1.6. Problemas ms comunes en los Sistemas de Informacin

a. Falta de estndares en el desarrollo, anlisis y la programacin.
b. Inadecuadas especificaciones tcnicas.
c. Diseo deficiente.
d. Problemas en la conversin e implementacin.
e. Control dbil en las fases de elaboracin del sistema.
f. Inexperiencia en el anlisis, diseo y la programacin.
g. Nueva tecnologa no usada o usada incorrectamente.

1.7. Perfil del Auditor Informtico o de Sistemas

Los cambios permanentes en la tecnologa informtica obligan a que
el auditor de sistemas se mantenga al da, capacitndose en
aspectos tales como bases de datos, redes y comunicaciones,
proyectos, tcnicas de programacin, metodologas de desarrollo de
sistemas.

Adems de los conocimientos tecnolgicos, debe tener una
despierta curiosidad intelectual, una mentalidad investigativa y
conservar un alto espritu de imparcialidad.

Cualidades Profesionales y ticas
Profesin Actividades y Conocimientos
Deseables
Informtico Generalista Con experiencia amplia en ramas
distintas. Deseable que su labor se
haya desarrollado en Explotacin y en
Desarrollo de Proyectos. Conocedor
de Sistemas.
Experto en desarrollo de
proyectos
Amplia experiencia como responsable
de proyectos. Experto analista.
Conocedor de las metodologas de
Desarrollo ms importantes.
Experto en Sistemas Experto en Sistemas Operativos y
Software Bsico. Conocedor de los
productos equivalentes en el
mercado. Amplios conocimientos de
Explotacin.
Experto en Bases de Datos
y Administracin de las
mismas
Con experiencia en el mantenimiento
de Bases de Datos. Conocimiento de
productos compatibles y equivalentes
Experto en software de
comunicacin
Alta especializacin dentro de la
tcnica de sistemas. Conocimientos
profundos de redes.
Experto en explotacin y
gestin de CPDs
Responsable de algn Centro de
Cmputo. Amplia experiencia en
Automatizacin de trabajos. Experto
en relaciones humanas. Buenos
conocimientos de los sistemas.
Experto en Organizacin Experto organizador y coordinador.
Especialista en el anlisis de flujos de
informacin.
Experto en Evaluacin de
Costes
Informtico con conocimiento de
Gestin de Costes.

1.8. reas de inters del Auditor Informtico

Si se tiene en cuenta que el objetivo bsico que se busca con la
adquisicin y utilizacin del computador es el de entregar
informacin confiable, til y oportuna, el mbito del auditor debe
abarcar reas donde hace presencia el computador y aqullas que
puedan afectar el cumplimiento de dicho objetivo, tales como:

La Gerencia de Sistemas.
La organizacin y el personal del rea de informtica.
El rea del computador.
Las aplicaciones.
Los estndares de documentacin y desarrollo de sistemas.
La operacin del computador.
La gerencia financiera.
Los planes de desarrollo informtico.
Los controles y la seguridad en general.
Los archivos maestros y de transacciones.
La Red de Comunicaciones y de Datos.
La Internet / Intranet.
Los microcomputadores.
La Transferencia Electrnica de Documentos.
La administracin de la base de datos
Otros.

II. EL CONTROL BAJO EL ENFOQUE GUBERNAMENTAL

2.1. Controles (RC 152-98-CG)

Se entiende por controles al conjunto de disposiciones metdicas,
cuyo fin es vigilar las funciones y actitudes de las empresas y para
ello permite verificar si todo se realiza conforme a los programas
adoptados, rdenes impartidas y principios admitidos.

Controles de Carcter General: Controles de Adquisicin,
Organizacin, Desarrollo, Administracin fsica y lgica,
Documentacin y de Seguridad.

Controles de Carcter Especfico: Controles de Aplicaciones
(Entrada, Proceso y Salida), Bases de Datos, de Procesamiento
Distribuido y de Microcomputadores.

2.2. Proceso de Control

Medir el estado real de los recursos despus de aplicar la accin
fruto de nuestras decisiones.
Determinar las variaciones entre lo real y lo presupuestado y
analizar las causas de dichas variaciones.
Emprender las acciones correctivas necesarias.

2.3. Control Interno
1


El control interno comprende las acciones de cautela previa,
simultnea y de verificacin posterior que realiza la entidad sujeta a
control, con la finalidad que la gestin de sus recursos, bienes y
operaciones se efecte correcta y eficientemente. Su ejercicio es
previo, simultneo y posterior.

2.4. Objetivos del Control Interno

Proteccin de Activos.
Obtencin de Informacin adecuada. (toma de decisiones)
Promocin de la eficiencia administrativa.
Estimular la adhesin a las polticas de la direccin o empresa.
(compromiso)

2.5. Control Externo
2


Conjunto de polticas, normas, mtodos y procedimientos tcnicos,
que compete aplicar a la Contralora General u otro rgano del
Sistema por encargo o designacin de sta, con el objeto de
supervisar, vigilar y verificar la gestin, la captacin y el uso de los
recursos y bienes del Estado. Se realiza fundamentalmente
mediante acciones de control con carcter selectivo y posterior.

2.6. La Accin de Control
3


La accin de control es la herramienta esencial del Sistema, por la
cual el personal tcnico de sus rganos conformantes, mediante la

1
Ley 27785. Art. 7
2
Ley 27785. Art. 8
3
Ley 27785. Art. 10
aplicacin de las normas, procedimientos y principios que regulan el
control gubernamental, efecta la verificacin y evaluacin, objetiva
y sistemtica, de los actos y resultados producidos por la entidad en
la gestin y ejecucin de los recursos, bienes y operaciones
institucionales.

2.7. Sistema Nacional de Control
4


Es el conjunto de rganos de control, normas, mtodos y
procedimientos, estructurados e integrados funcionalmente,
destinados a conducir y desarrollar el ejercicio del control
gubernamental en forma descentralizada. Su actuacin comprende
todas las actividades y acciones en los campos administrativo,
presupuestal, operativo y financiero de las entidades y alcanza al
personal que presta servicios en ellas, independientemente del
rgimen que las regule.

2.8. Conformacin del Sistema Nacional de Control
5


a. La Contralora General
b. Todas las unidades orgnicas responsables de la funcin de
control gubernamental de las entidades que se mencionan en el
Artculo 3 de la presente Ley,
c. Las sociedades de auditora externa independientes, designadas
por la Contralora General y contratadas, durante un perodo
determinado, para realizar servicios de auditora econmica,
financiera, de sistemas informticos, de medio ambiente y otros.

2.9. rgano de Auditora Interna
6



4
Ley 27785. Art. 12
5
Ley 27785. Art. 13
6
Ley 27785. Art. 17
Las entidades comprendidas en los incisos a), b), c) y d) del Artculo
3 de la presente Ley, as como las empresas en las que el Estado
tenga una participacin accionaria total o mayoritaria, tendrn
necesariamente un rgano de Auditora Interna ubicado en el mayor
nivel jerrquico de la estructura de la entidad, el cual constituye la
unidad especializada responsable de llevar a cabo el con-trol
gubernamental en la entidad.

2.10. Sociedades de Auditora
7


Son personas jurdicas calificadas e independientes en la realizacin
de labores de control posterior externo, designadas por la
Contralora General, previo Concurso Pblico de Mritos, y
contratadas por las entidades para examinar las actividades y
operaciones de las mismas, opinar sobre la razonabilidad de sus
estados financieros, as como evaluar la gestin, captacin y uso de
los recursos asignados.

2.11. Por qu hay Riesgos en la Auditora?

a. Probabilidad de un mal anlisis
b. Probabilidad de auditor inapropiado
c. Probabilidad que el auditor emita un diagnostico equivocado (mala
percepcin)

2.12. Tipos de Riesgos en la Auditora

a. Riesgo Inherente
Es la Probabilidad de que algunas de las afirmaciones estn
sujetas a errores, aunque la calidad del control interno sobre ellas
sea buena.

7
Ley 27785. Art. 20
Esta posibilidad exige especial cuidado en el alcance y
profundidad de las pruebas sustantivas que se apliquen a las
cuentas que involucran este riesgo.

b. Riesgo de Control
Esta dado por la probabilidad de que los procedimientos de
control establecidos en el sistema de control interno no eviten
realmente la posibilidad de errores, o que no los detecte
oportunamente.
Control sobre el Control.

c. Riesgo de Deteccin
Es la Probabilidad de que los auditores externos no detecten
errores importantes en la aplicacin de procedimientos de
auditora.

III. METODOLOGA DE AUDITORA INFORMTICA

3.1. Definicin de mbitos y Objetivos

Consiste en una serie de reuniones o entrevistas con el que solicita
la realizacin de la auditora y se le prepara un documento en el que
figuran las alternativas siguientes:

a. Desarrollo de la totalidad de la funcin de auditora en la empresa,
revisando incluso la utilidad para los usuarios finales, por medio
de muestreos o entrevistas.
b. Auditoria exclusiva de sistemas.
c. Auditoria de algn subsistema o aplicacin, su adecuacin,
utilizacin, eficacia, etc.
d. Auditoria de alguna funcin en particular como, por ejemplo, la
seguridad y privacidad.
e. Auditoria de la metodologa de anlisis y desarrollo de sistemas.

3.2. Estudio Inicial

Se deber realizar un estudio global que permita conocer volmenes
y complejidad de las tareas a realizar.
El trabajo se realiza a travs de entrevistas, cuestionarios y,
posiblemente, muestreos para obtener una idea de la dimensin y
complejidad del mbito de estudio, lo que permitir estimar
esfuerzos

3.3. Determinacin de Perfiles

Perfiles tcnicos precisos de las personas que habrn de colaborar
en la realizacin de la auditoria. Fundamentalmente se tratara de:
1. Expertos en comunicacin
2. Expertos en base de datos
3. Expertos en configuracin de hardware; adecuacin y medidas de
eficacia y rendimiento.
4. Expertos en organizacin y realizacin del trabajo administrativo
5. Tcnicos computacionales en general
6. Psiclogos

Del mismo modo se estimarn los recursos materiales necesarios en
cuanto a:
1. Software
a. Paquetes de auditoria
b. Compiladores
c. Lenguajes
d. Utilitarios
e. Informes contables
2. Hardware
f. Tiempo de uso de computadora
g. Equipos especficos

3.4. Elaboracin de Planes

Se llevar a cabo la elaboracin de un plan, en el que se indicar:
1. Listas de actividades a realizar, as como perfiles de las personas
para ejecutarlas e inventarios de medios necesarios.
2. Esfuerzos estimados para cada actividad por cada recurso.
3. Se deben basar en lo siguiente para la realizacin de la auditoria:
a. Personal tcnico y administrativo
b. Software (equipo, tiempo de mquina)
c. Presupuesto inicial
d. Contenido (aspectos) de los informes finales

3.5. Elaboracin de Programa

Un plan se convierte en programa cuando las actividades pasan de
estar asignadas a recurso tipo (perfiles) a ser asignadas a recursos
concretos (personas u organizaciones), con fechas de iniciacin y
terminacin previstas para la realizacin.
Como resultado de esta etapa se obtendr: el programa, el
calendario y el presupuesto.

3.6. Realizacin de las Actividades

Se puede comenzar la realizacin de la auditoria, teniendo en cuenta
que puede abordarse:
a. Por temas o funciones. Por ejemplo, realizando en primer lugar
todos los trabajos relacionados con seguridad; en segundo lugar,
todos los relacionados con estructura de datos, etc.
b. Por organizaciones auditadas, por ejemplo, se hace el estudio
completo de la seccin Anlisis y Diseo y luego de la seccin
Programacin etc.

3.7. Elaboracin del Informe Final

En cada fase del trabajo se entregan borradores de los informes, a
las personas implicadas, ya que puede haber existido algn error de
apreciacin, que en la crtica y validacin del borrador, debera
detectarse.
A partir de una sistematizacin de estos informes parciales, se
obtiene el informe final cuyo contenido consistir en:
1) Presentacin
2) Definicin de mbitos y objetivos.
3) Enumeracin de temas, componentes, aplicaciones, etc.,
Considerados.
4) Anlisis
Situacin prevista
Situacin real
Tendencias
Puntos dbiles y amenazas que suponen
Puntos fuertes y oportunidades
5) Recomendaciones
Descripcin
Plan de implantacin
Beneficios
Plan de seguimiento y control

El informe debe contener lo siguiente: (Otro Formato)
1) Motivos de la Auditoria
2) Objetivos
3) Alcance
4) Estructura Orgnico-Funcional del rea Informtica
5) Configuracin del Hardware y Software instalado
6) Control Interno
7) Resultados de la Auditoria

IV. FASES DE LA AUDITORIA INFORMTICA - ENFOQUE
GUBERNAMENTAL

4.1. Fase I - Planeamiento de la Auditora

Definir adecuadamente los objetivos y el alcance del trabajo, las
tcnicas y herramientas a utilizar, los recursos humanos y tcnicos
que se emplearn, as como los plazos para realizar el examen.

Proveer conocimiento sobre la importancia de los Sistemas de
Informacin en la organizacin, una evaluacin preliminar de sus
fortalezas y debilidades y una lista de materias relacionadas con el
rea, que sean de potencial significancia y que debern ser
examinadas en la fase de ejecucin.

La fase de planeacin se compone de actividades importantes tales
como:
a. Conocimiento General de la Entidad
b. Evaluacin del Sistema de Control Interno de la Gerencia de
Sistemas de Informacin
c. Programa de Auditora

a) Conocimiento General de la Entidad

Conocer y estudiar en forma general la entidad y la funcin
informtica: informacin relacionada con la organizacin, sus
objetivos, reglamentos, normas, funciones, estructura del rea de
Sistemas, sus equipos, aplicaciones, etc.

b) Evaluacin del Sistema de Control Interno del rea de
Sistemas

Evaluar los mtodos y procedimientos de administracin y
proteccin de recursos informticos, la confiabilidad de los
registros, la eficiencia de las operaciones y la adhesin a las
polticas informticas establecidas por la organizacin. Para lo
cual utilizamos los Controles de Carcter General y Controles de
Carcter Especfico. Se debe ir de lo general a lo particular.

c) Programa de Auditora

Toma en cuenta los aspectos a cubrir en la fase de ejecucin de
la Auditora y la disposicin en tiempo, modo y lugar de los
recursos necesarios para llevarla a cabo:

1) Evaluacin de Organizacin en el rea de Sistemas.
2) Evaluacin de la Seguridad Fsica y Planes de Contingencia de
la Oficina de Sistemas.
3) Evaluacin de Bases de Datos, Archivos y Datos.
4) Evaluacin de Operaciones (Centro de Procesamiento y rea
de atencin a usuarios).
5) Evaluacin de Desarrollo y Mantenimiento de Sistemas.
6) Evaluacin de Redes de Comunicaciones.

4.1.1. Planeamiento de la Auditora NAGU 2.20

El trabajo del auditor debe ser adecuadamente planeado a
fin de asegurar la realizacin de una auditora de calidad,
debe estar basado en el conocimiento de las actividades que
ejecuta la entidad a examinar, as como el anlisis del
entorno en que se desarrolla, el tipo de auditora a
efectuarse y las disposiciones legales vigentes y aplicables.

Implica la preparacin de una estrategia general con la
finalidad de que el auditor actualice su conocimiento y
comprensin del entorno en que se desarrolla la entidad, las
actividades que ejecuta y la estructura de control interno, as
como determinar las reas crticas, potenciales hallazgos y
programar la naturaleza, oportunidad y alcance de los
procedimientos a aplicar.

Debe incluir la revisin de la informacin relacionada con la
gestin de la entidad a examinar, con relacin a los
objetivos, metas y programas previstos en el perodo bajo
examen, as como el seguimiento de la implementacin de
las recomendaciones efectuadas como resultados de las
observaciones formuladas con anterioridad.

La informacin que necesita el auditor para el planeamiento
de la auditora vara de acuerdo con los objetivos de la
misma y con las reas de la entidad sujeta a examen.

El planeamiento se inicia a partir de la evaluacin de la
informacin que contiene el archivo permanente y debe
continuar con la ejecucin de un programa de actividades en
las instalaciones de las reas de la entidad que permita
completar la informacin necesaria para la mejor
comprensin y conocimiento de sus principales objetivos,
funciones, estructura de control interno, procesos, bienes y/o
servicios producidos, recursos utilizados y sistemas
administrativos.

Durante la ejecucin de esta etapa de la auditora, as como
al concluir la recoleccin y estudio de la informacin, el
auditor documentar su trabajo mediante:

a. La actualizacin del Archivo Permanente.
b. Emisin del plan y programas de auditora para ejecutar el
trabajo de campo, en el que se precisarn los objetivos de
la auditora, su alcance, criterios de materialidad,
cronograma de actividades, recursos necesarios y su
costo, informes a emitir, participacin de especialistas,
entre otros.

La responsabilidad por la preparacin, revisin y aprobacin
del Planeamiento corresponde a los niveles gerenciales
competentes, tomndose en cuenta las Normas
Internacionales de Auditora vigentes y aplicables para el
planeamiento de la auditora.

4.1.2. Programa de Auditora NAGU 2.30

Para cada auditora gubernamental se prepararn
programas especficos que incluyan los objetivos,
procedimientos que deben aplicarse, naturaleza, alcance y
oportunidad de su ejecucin, as como el personal
encargado de su desarrollo.

Los programas de auditora comprenden una relacin lgica,
secuencial y ordenada de los procedimientos a ejecutarse,
su
alcance, el personal y el momento en que debern ser
aplicados, a efectos de obtener evidencia competente,
suficiente y relevante, necesaria para alcanzar el logro de los
objetivos de auditora.

Deben ser lo suficientemente flexibles para permitir
modificaciones durante el proceso de la auditora que a juicio
del auditor encargado y supervisor, se consideren
pertinentes.

Los programas de auditora guan la accin del auditor,
sustentan la determinacin de los recursos necesarios para
efectuar la auditora, su costo y los plazos que demanda su
ejecucin; as mismo, permiten la evaluacin de su avance y
que los resultados estn de acuerdo con los objetivos
propuestos.

El programa de auditora debe ser lo suficientemente
detallado de manera que sirva de gua al auditor y como
medio para supervisar y controlar la adecuada ejecucin del
trabajo.

Un procedimiento de auditora es la instruccin detallada
para la recopilacin de evidencia que se ha de obtener
durante la ejecucin de la auditora, deben desarrollarse en
trminos especficos para que puedan ser utilizados por los
auditores a cargo de su ejecucin, su contenido debe
corresponder a la aplicacin de una tcnica de auditora.

Los cambios que se hagan a los programas de auditora,
deben ser evaluados adecuadamente en funcin de los
objetivos previstos y las circunstancias que pueden originar
su modificacin, debiendo documentarse apropiadamente.

La responsabilidad de la elaboracin y modificacin de los
programas de auditora, corresponde al auditor supervisor y
al nivel jerrquico superior.

4.1.3. Objetivos de Control para Evaluar la Organizacin en el
rea de Sistemas

a) Verificar que la estructura organizacional considere la
separacin de funciones entre el personal del rea de
informtica y el personal de las reas usuarias en lo que
respecta a:
Responsabilidad por la generacin de las
transacciones enviadas a proceso.
Mantenimiento de los manuales y custodia de bienes.
Controles sobre la exactitud los datos de entrada y
salida.
Responsabilidad de definir y aprobar especificaciones
para el desarrollo de sistemas nuevos, como para las
modificaciones de sistemas en explotacin.
b) Comprobar la eficiencia del rea de informtica y que sus
recursos sean tambin administrados apropiadamente.

c) Confirmar la existencia de una buena planificacin,
organizacin, control, estandarizacin, etc., dentro del
rea; que todos los proyectos sean abordados por medio
de un estudio de factibilidad previo, y que no se decidan
por la MODA que impera en el mercado o que traten de
imponer proveedores de equipos.

d) Verificar que la eficiencia siempre se tiene en cuenta
dentro del rea de informtica, ya que se trata de un rea
costosa, debido a factores tales como:
Tecnologa costosa
Especialistas escasos y de altas remuneraciones.
Cambios tecnolgicos y rpidos.
Obsolescencia de los sistemas en corto plazo (3 aos
max)
Insumos de alto costo.
Desarrollo lento de sistemas de informacin.

e) Verificar la segregacin adecuada de funciones dentro del
rea de Informtica, de tal manera que se garantice la
compatibilidad en la ejecucin de las mismas.

f) Confirmar que existe un Comit Directivo y un Comit de
Usuarios de Sistemas de Informacin integrado por
representantes de las diferentes reas. Estos comits
tendrn como funcin elaborar y controlar el Plan
Estratgico de Sistemas.

g) Comprobar que la Oficina de Informtica considera los
siguientes elementos de planificacin que contribuyan a
mejorar el control:
Cronogramas de actividades.
Informacin individual de las actividades.
Racionalizacin en el uso de los recursos y sucesos
operacionales.
Informe mensual sobre el cumplimiento y estado de los
proyectos.

h) Verificar la existencia de una planificacin y de una
metodologa de Desarrollo, Mantenimiento y Control, con
el fin de evitar las siguientes fallas:
Dificultades en el desarrollo y mantenimiento de
sistemas.
Incentivo para el surgimiento de personas
"imprescindibles" dentro de la organizacin.
Exceso de tiempo o injustificacin de atrasos en el
desarrollo de sistemas.
Problemas en el cumplimiento de la entrega de
resultados a las reas usuarias.
Garantizar que estn descritos los procedimientos de
planificacin, desarrollo, mantenimiento y operacin de
sistemas y que estn controlados con mtodos simples
y funcionales.

4.1.4. Objetivos de Control para Evaluacin de la Seguridad
Fsica y Planes de Contingencia de la Oficina de
Sistemas

a) Establecer la continuidad de operaciones de negocio que
se apoyan en la OFICINA DE SISTEMAS, mediante la
verificacin de los planes para la "Prevencin y
Recuperacin de Desastres", as como la seguridad fsica
de las instalaciones, equipos, programas y medios de
almacenamiento del rea de informtica.

b) Comprobar el diseo y la implantacin de un plan de
contingencia para garantizar a los usuarios la continua
prestacin del servicio, an en circunstancias de
emergencia en las que por problemas tcnicos no se
pueda prestar el servicio con la misma eficiencia que en
circunstancias normales.

c) Verificar la existencia de controles sobre el acceso fsico y
de procedimientos de respaldo, los cuales permiten
minimizar los riesgos derivados de:
Utilizacin no autorizada de los elementos
computacionales.
Robo de informacin, programas, equipos archivos
de la entidad.
Destruccin, modificacin revelacin premeditada o
accidental de informacin, programas equipos.
Prdida de grandes cantidades de informacin
histrica o del perodo corriente, de difcil recuperacin
o elevado costo.

4.1.5. Objetivos de Control para Evaluacin de Bases de
Datos, Archivos y Datos

a) Verificar que la informacin almacenada en las bases de
datos y que es de gran valor para la entidad, est
protegida contra su prdida o robo.

b) Comprobar la seguridad para la proteccin de los datos
contra el acceso accidental o intencional por parte de
individuos no autorizados y contra su indebida destruccin
o alteracin.

c) Identificar las medidas de seguridad empleadas para
conservar correctos los datos en la base de datos, con el
fin de mantener su integridad.

d) Confirmar las medidas implementadas para conservar
ms de una copia de seguridad de cada archivo en
prevencin de posibles fallos.

e) Examinar los procedimientos con los que cuenta el
sistema de base de datos para evitar la inconsistencia de
los datos, reduciendo al mnimo la redundancia y
preservando en todo momento la integridad de los datos

4.1.6. Objetivos de Control para Evaluacin de Operaciones en
el Centro de Procesamiento y rea de Atencin a
Usuarios

a) Verificar el control del rea de operaciones de los centros
de procesamiento de datos y las reas de atencin a
usuarios, dado que son puntos claves y hay que tenerlos
presentes en la OFICINA DE SISTEMAS.

b) Controlar que estas reas sean eficientes y eficaces, es
fundamental, ya que tiene consecuencias inmediatas en el
mantenimiento de la continuidad de las operaciones de la
OFICINA DE SISTEMAS.

4.1.7. Objetivos de Control para Evaluacin de Desarrollo y
Mantenimiento de Sistemas

a) Verificar los procedimientos establecidos por el rea de
Sistemas y que permiten al Grupo de desarrollo garantizar
que los sistemas sean eficientes, eficaces, y confiables,
cuando entren en produccin normal (explotacin).

b) Comprobar que los procedimientos incluyen pistas de
Auditora y Control en los sistemas. Por otra parte, cabe
sealar que los recursos de esta rea son los que ms
inciden en los costos del procesamiento de la informacin.
Es fundamental, que el rea cumpla con los plazos
estipulados en el desarrollo de los sistemas, para
garantizar buenos resultados, ya que entregar informacin
correcta y oportuna es fundamental para la toma de
decisiones.

4.1.8. Objetivos de Control para Evaluacin de Redes de
Comunicaciones

a) Evaluar la forma de comunicacin entre los usuarios y
sistemas basados en el computador.

b) Evaluar cmo se afecta globalmente la seguridad de los
datos, a medida en que las comunicaciones y
procesamiento de datos continan expandindose,
teniendo en cuenta el incremento en la proliferacin de
computadores personales, terminales porttiles que
acceden sistemas por redes.

4.2. Fase II Ejecucin de la Auditora

Los procedimientos de auditora son operaciones especificas que se
aplican en una auditoria e incluyen tcnicas y practicas consideradas
necesarias de acuerdo con las circunstancias.

4.2.1. Evidencia (RC 152-98-CG)

Se denomina evidencia al conjunto de hechos comprobados,
suficientes, competentes y pertinentes que sustentan las
conclusiones del auditor.
Es la informacin especfica obtenida durante la labor de
auditora| a travs de observacin, inspeccin, entrevistas y
examen de los registros.
El termino evidencia incluye documentos, fotografas,
anlisis de hechos efectuados por el auditor y en general,
todo material usado para determinar si los criterios de
auditora son alcanzados.
El equipo de auditora se aboca a la obtencin de evidencias
y realizar pruebas sobre las mismas aplica procedimientos y
tcnicas de auditora, desarrolla hallazgos, observaciones,
conclusiones y recomendaciones.

4.2.2. Tipos de Evidencia (NAGU 3.40)

En trminos generales la evidencia de auditora puede
clasificarse en cuatro tipos:

a) Evidencia Fsica
b) Evidencia Testimonial
c) Evidencia Documental
d) Evidencia Analtica

a) Evidencia Fsica
Se da por medio de una inspeccin u observacin directa
de:
Actividades ejecutadas por las personas.
Documentos y registros.
Hechos relativos al objetivo del examen.

La evidencia fsica se documenta en un memorndum que
resume los asuntos revisados, papeles de trabajo que
muestran la naturaleza y alcance de la verificacin
practicada pudiendo ser el resultado de una inspeccin y
estar representadas por fotografas, cuadros, mapas u
otras representaciones grficas.
Ejemplo en la verificacin de saldos y/o cruces de
informacin (magntico versus fsico).

b) Evidencia Testimonial
Es la informacin obtenida de otros a travs de cartas o
declaraciones recibidas en respuesta a indagaciones o
por medio de entrevistas. El resultado de las entrevistas
pueden expresarse en un memorndum basado en notas
tomadas durante ellas. Las declaraciones de funcionarios
de la entidad son fuentes valiosas de informacin y
proporcionas elementos de juicio que no sern fciles de
obtener a travs de una prueba de auditora.

c) Evidencia Documental
Es la informacin obtenida de la entidad bajo auditora e
incluye, comprobantes de pago, facturas, contratos,
cheques y, en el caso de empresas estatales, acuerdos
de Directorio. La confiabilidad del documento depende de
la forma como fue creado y su propia naturaleza.

Los documentos se clasifican en:
Externos: Aquellos que se originan fuera de la entidad
(facturas de vendedores y correspondencia que se
recibe).
Internos: Aquellos que se originan dentro de la entidad
(registros contables, correspondencia que se enva,
guas de recepcin y comunicacin interna).

d) Evidencia Analtica
Se obtiene al analizar o verificar la informacin.
La confiabilidad de evidencia analtica depende en gran
parte de la importancia de la informacin comparable.
Puede originarse de:
Computaciones
Comparaciones con:
Normas establecidas.
Operaciones anteriores.
Otras operaciones, transacciones o rendimiento.
Leyes o reglamentos.
Raciocinio
Anlisis de la informacin dividida en sus componentes.

4.2.3. Atributos de la evidencia (NAGU 3.40)

El auditor debe obtener evidencia suficiente, competente y
relevante mediante la aplicacin de pruebas de control y
procedimientos sustantivos que le permitan fundamentar
razonablemente los juicios y conclusiones que formule
respecto al organismo, programa, actividad o funcin que
sea objeto de auditora.
La evidencia deber someterse a revisin para asegurarse
que cumpla con los requisitos bsicos de suficiencia,
competencia y relevancia. Los papeles de trabajo debern
mostrar los detalles de la evidencia y revelar la forma en que
se obtuvo. Caractersticas de la Evidencia:

a) Suficiencia.
Es suficiente la evidencia objetiva y convincente que
basta para sustentar los hallazgos, conclusiones y
recomendaciones expresadas en el Informe. La evidencia
ser suficiente cuando por los resultados de la aplicacin
de procedimientos de auditora se comprueben
razonablemente los hechos revelados. Para determinar si
la evidencia es suficiente se requiere aplicar el criterio
profesional. Cuando sea conveniente, se podrn emplear
mtodos estadsticos con ese propsito.

b) Competencia.
Para que sea competente, la evidencia debe ser vlida y
confiable. A fin de evaluar la competencia de la evidencia,
se deber considerar cuidadosamente si existen razones
para dudar de su validez o de su integridad. De ser as,
deber obtener evidencia adicional o revelar esa situacin
en su informe.
Los siguientes supuestos constituyen algunos criterios
tiles
para juzgar si la evidencia es competente:

La evidencia que se obtiene de fuentes independientes
es ms confiable que la obtenida del propio organismo
auditado.
La evidencia que se obtiene cuando se ha establecido
un sistema de control interno apropiado es ms
confiable que aquella que se obtiene cuando el sistema
de control interno es deficiente, no es satisfactorio o no
se ha establecido.
Los documentos originales son ms confiables que sus
copias.
La evidencia testimonial que se obtiene en
circunstancias que permite a los informantes
expresarse libremente merece ms crdito que aquella
que se obtiene en circunstancias comprometedoras
(por ejemplo, cuando los informantes pueden sentirse
intimidados).

c) Relevancia.
Se refiere a la relacin que existe entre la evidencia y su
uso. La informacin que se utilice para demostrar o refutar
un hecho ser relevante si guarda relacin lgica y
patente con ese hecho. Si no lo hace, ser irrelevante y,
por consiguiente, no podr incluirse como evidencia.
Cuando se estime conveniente, el auditor deber obtener
de los funcionarios de la entidad auditada declaraciones
por escrito respecto a la relevancia y competencia de la
evidencia que haya obtenido.

La adecuada recopilacin u obtencin de evidencia que
cumpla con los requisitos de suficiencia, competencia y
relevancia, debe permitir identificar y sustentar
apropiadamente las presuntas responsabilidades que se
establezcan como resultado del trabajo auditor, as como
las infracciones graves, muy graves y leves incurridas; por
lo que se deber cuidar especialmente su correspondiente
acreditacin.

4.2.4. Tcnicas de Auditora (RC 152-98-CG)

Las tcnicas de auditora son mtodos prcticos de
investigacin y prueba que utiliza el auditor para obtener
evidencia necesaria que fundamenta su opinin. Las
tcnicas ms utilizadas al realizar al realizar pruebas de
transacciones y saldos son:
1. Tcnicas de Verificacin Ocular
2. Tcnicas de Verificacin Oral
3. Tcnicas de Verificacin Escrita
4. Tcnicas de Verificacin Documental
5. Tcnicas de Verificacin Fsica

1. Tcnicas de Verificacin Ocular

a) Comparacin.- Es el acto de observar la similitud o
diferencia existente entre dos o ms elementos. Dentro
de la fase de ejecucin se efectan la comparacin de
resultados contra criterios aceptables facilitando de esa
forma la evaluacin por el auditor y la elaboracin de
observaciones, conclusiones y recomendaciones.

b) Observacin.- Es el examen ocular realizado para
cerciorarse como se ejecutan las operaciones. Esta
tcnica es de utilidad en todas las fases de la auditoria
por cuyo intermedio el auditor se cerciorara de ciertos
hechos y circunstancias en especial las relacionadas
con la forma de ejecucin de las operaciones
apreciando personalmente de manera abierta o directa.

2. Tcnicas de Verificacin Oral

a) Indagacin.- Es el acto de obtener informacin verbal
sobre un asunto mediante averiguaciones directas o
conversaciones con los funcionarios de la entidad. Es
de especial utilidad la indagacin en la auditoria cuando
se examinan reas especificas no documentadas, sin
embargo, sus resultados por si solos no constituyen
evidencia suficiente.

b) Entrevista.- Pueden ser efectuadas al personal de la
entidad auditada o personas beneficiarias de los
programas o proyectos. Para obtener mejores
resultados debe prepararse apropiadamente,
especificar quienes sern entrevistados, definir las
preguntas a formular, alertar al entrevistado acerca del
propsito y puntos hacer abordados.

c) Encuesta.- Pueden ser tiles para recopilar
informacin de un gran universo de datos o grupos de
personas. Pueden ser enviadas por correo u otro
mtodo a las personas. Su ventaja principal radica en
la economa en trminos de costo y tiempo sin
embrago su desventaja se manifiesta en su
inflexibilidad al no obtener ms de lo que se pide, lo
cual en ciertos casos puede ser muy costoso.

3. Tcnica de Verificacin Escrita

a) Analizar.- Consiste en la separacin y evaluacin
critica, objetiva y minuciosa de los elementos o partes
que conforman una operacin, actividad, transaccin o
proceso con el fin de establecer su naturaleza, su
relacin y conformidad con los criterios normativos y
tcnicos existentes. Los procedimientos de anlisis
estn referidos a la comparacin de cantidades,
porcentajes y otros.

b) Confirmacin.- Permite comprobar la autenticidad de
los registros y documentos analizados a travs de
informacin directa y por escrito, otorgada por
funcionarios que participan o realizan las operaciones
sujetas a examen por lo que estn a disposicin de
opinar e informar en forma vlida y veraz sobre ellas.

c) Tabulacin.- Consiste en agrupar los resultados
obtenidos en reas, segmentos o elementos
examinados de manera que se facilite la elaboracin de
conclusiones.

d) Conciliacin.- Implica hacer que concuerden dos
conjuntos de datos relacionados, separados o
independientes. Esta tcnica consiste en analizar la
informacin producida por diferentes unidades
operativas o entidades, respecto de una misma
operacin o actividad.

4. Tcnicas de Verificacin Documental

a) Comprobacin.- Se aplica en el curso de un examen
con el objetivo de verificar la existencia, legalidad,
autenticidad y legitimidad de las operaciones
efectuadas por una entidad mediante la verificacin de
los documentos que las justifican.

b) Computacin.- se utiliza para verificar la exactitud y
correccin aritmtica de una operacin o resultado. Se
prueba solamente la exactitud de un clculo, por lo
tanto, se requiere de otras pruebas adicionales para
establecer la validez de los datos que forman parte de
una operacin.

c) Rastreo.- Se utiliza para dar seguimiento y controlar
una operacin de manera progresiva de un punto a otro
de un proceso interno determinado o de un proceso a
otro realizado por una unidad operativa dada. Se
dividen en dos:
Rastreo progresivo
Rastreo regresivo

d) Revisin selectiva.- Consiste en el examen ocular
rpido de una parte de los datos o partidas que
conforman un universo homogneo en ciertas reas,
actividades o documentos elaborados.

5. Tcnicas de Verificacin Fsica

a) Inspeccin.- Es el examen fsico y ocular de activos,
obras, documentos y valores con el objetivo de
establecer su existencia y autenticidad. La aplicacin
de esta tcnica es de mucha utilidad, especialmente en
cuanto a la constatacin de efectivo, valores, activo
fsico y otros equivalentes.

4.2.5. Confiabilidad de la Evidencia proveniente de Sistemas
Computarizados (NAGU 3.40)

Cuando la informacin procesada por medios electrnicos,
constituya una parte importante o integral de la auditora y su
confiabilidad sea esencial para cumplir los objetivos del
examen, se deber tener certeza de la importancia y de la
confiabilidad de esa informacin. Para determinar la
confiabilidad de la informacin, el auditor:

a) Podr efectuar una revisin de los controles generales
de los sistemas computarizados y de los relacionados
especficamente con sus aplicaciones, que incluya
todas las pruebas que sean permitidas; o
b) Si no se revisa los controles generales y los
relacionados con las aplicaciones o comprueba que
esos controles no son confiables, podr practicar
pruebas adicionales o emplear otros procedimientos.

Cuando el auditor utilice los datos procesados por medios
electrnicos o los incluya en su informe a manera de
antecedentes o con fines informativos, por no ser
significativos para los resultados de la auditora, bastar
generalmente que en el informe se cite la fuente de esos
datos para cumplir las normas relacionadas con la exactitud
e integridad de su informe.

4.2.6. Tcnicas de Auditora para evaluar programas de
cmputo

a) Pruebas de Recorrido.
b) Comparacin de cifras en el sistema.
c) Evaluacin operativa y funcional de los Sistemas de
Informacin.
d) Evaluacin de la calidad de la informacin.
e) Control de datos rechazados.
f) Dgito de verificacin.
g) Evaluacin de entradas preprocesadas al sistema.
h) Evaluacin de transacciones ficticias.
i) Evaluacin de controles internos en aplicaciones crticas.
j) Pistas de auditora
k) Evaluacin de la oportunidad, razonabilidad, privacidad y
seguridad de la informacin.

4.2.7. Hallazgos de Auditora

Los hallazgos de auditora se refieren a presuntas
deficiencias o irregularidades identificadas como resultado
de la aplicacin de los criterios de auditora.
El objetivo es permitir identificar hechos o circunstancias
importantes que inciden en la gestin de recursos en la
entidad, programa o proyecto bajo examen que merecen ser
comunicados en el informe.
El auditor debe estar capacitado en las tcnicas para
desarrollar hallazgos en forma objetiva y realista. Al realizar
su trabajo debe considerar los factores siguientes:

1. Situacin.- Los hechos encontrados en la auditora
indicativos de que no se cumpli con uno o ms criterios.
2. Criterio.- El marco de referencia para evaluar la situacin.
Es principalmente una ley, reglamento, carta circular,
memorando, procedimiento, norma de control interno, norma
de sana administracin, principio de contabilidad
generalmente aceptado, opinin de un experto o juicio del
auditor.

3. Efecto.- Lo que significa, real o potencialmente, no
cumplir con el criterio.

4. Causa.- La razn fundamental por la cual ocurri la
situacin.

Al final de cada hallazgo se hace referencia a las
recomendaciones que se incluyen en el informe para que se
tomen las medidas necesarias sobre los errores,
irregularidades o actos ilegales sealados.

Los hallazgos se pueden categorizar de la siguiente manera:

1. No Conformidad.- Incumplimiento de un requisito, que
puede ser del Sistema de Gestin de Calidad de la
Organizacin, de una norma estndar, de una norma
institucional y/o gubernamental. Este tipo de desviacin
afecta la conformidad del producto o servicio y deben ser
resueltas de manera inmediata.

2. Desviacin.- Son incumplimientos como los anteriores
pero que no afectan la calidad del producto o servicio. Se
trata de fallos no sistemticos.

3. Observacin.- Se trata de un hallazgo que no incumple
ningn requisito de la norma, o del que no se tiene una
evidencia objetiva.

4.2.8. Papeles de Trabajo (NAGU 3.50)

El auditor gubernamental debe organizar un registro
completo y detallado de la labor efectuada y las
conclusiones alcanzadas, en forma de papeles de trabajo.
Los papeles de trabajo constituyen el vnculo entre el trabajo
de planeamiento y ejecucin de auditora. Por tanto, debern
contener la evidencia necesaria para fundamentar los
hallazgos, opiniones y conclusiones que se presenten en el
informe. Podrn incluir medios de almacenamiento
magnticos, electrnicos, informticos y otros.
No hay nada que sustituya a una comprensin adecuada de
los objetivos de la auditora, las razones por las cuales se
emprender determinada tarea y la forma en que esa tarea
contribuir al cumplimiento de los objetivos. Esa
comprensin se logra cuando el auditor dispone de papeles
de trabajo debidamente planificados y organizados y, recibe
instrucciones idneas de sus supervisores. La prctica de
indicar claramente en los papeles de trabajo los fines que se
persigan, ser muy til para asegurarse de que la
informacin obtenida estar relacionada directamente con
los objetivos de la auditora y del informe correspondiente.

PROPSITO DE LOS PAPELES DE TRABAJO
a. Contribuir a la planeacin y realizacin de la auditora.
b. Proporcionar el principal sustento del informe del auditor.
c. Permitir una adecuada ejecucin, revisin y supervisin
del trabajo de auditora.
d. Constituir la evidencia del trabajo realizado y el soporte de
las conclusiones, comentarios y recomendaciones
incluidas en el informe y como prueba preconstituida para
los procesos judiciales, de ser el caso.
e. Permitir las revisiones de calidad de la auditora.

PROPIEDAD Y CUSTODIA DE LOS PAPELES DE
TRABAJO
Los papeles de trabajo son propiedad de los rganos
conformantes del Sistema Nacional de Control, y de las
sociedades de Auditora, cuyos exmenes practicados
contaron con la autorizacin de la Contralora General,
destacndose que en el caso de auditoras practicadas por
Sociedades de Auditora contratadas directamente por el
organismo rector del Sistema, los papeles de trabajo sern
de propiedad de la Contralora General de la Repblica.

4.2.9. Comunicacin de Hallazgos de Auditora (NAGU 3.60)

Durante el proceso de la auditora en la entidad examinada,
se deben comunicar oportunamente los hallazgos a las
personas comprometidas en los mismos, a fin que en un
plazo fijado, presenten sus aclaraciones o comentarios
sustentados documentadamente para su evaluacin
oportuna y consideracin en el informe correspondiente.

Para los efectos de esta norma, los hallazgos de auditora se
refieren a presuntas deficiencias o irregularidades
identificadas
como resultado de la aplicacin de los procedimientos de
auditora.
Los hallazgos de auditora con criterios de materialidad o
significacin econmica debidamente desarrollados,
referenciados y documentados constarn en los papeles de
trabajo.
En los hallazgos de auditora a ser comunicados, se
considerarn los atributos: Condicin, Criterio, Causa y
Efecto del hallazgo; estos ltimos dos elementos podrn ser
excluidos de la comunicacin cuando la naturaleza del
hallazgo y el tipo de auditora gubernamental lo exija.
La comunicacin de los hallazgos de auditora durante el
desarrollo del trabajo de campo, es el proceso mediante el
cual, una vez evidenciadas las presuntas deficiencias o
irregularidades, se cumple con hacer de conocimiento a las
personas comprendidas en los mismos, estn o no
prestando servicios en la entidad examinada, para brindarles
la oportunidad de presentar sus aclaraciones o comentarios
debidamente documentados.
En la redaccin de los hallazgos de auditora, se debe
utilizar lenguaje sencillo y fcilmente entendible, tratando los
asuntos en forma objetiva, concreta y concisa.
La comunicacin se efecta por escrito en forma personal y
reservada, a la persona directamente vinculada con el
hallazgo, debiendo acreditarse su recepcin. En caso de no
ser ubicadas las personas comprendidas en los hallazgos
materia de comunicacin, sern citados a travs del Diario
Oficial El Peruano u otro de mayor circulacin de la localidad
en que se encuentra la entidad auditada. El plazo para la
entrega de las aclaraciones o descargos debidamente
documentados ser establecido de acuerdo con las
disposiciones correspondientes.

EXCEPCIN
A fin de no poner en riesgo los resultados de la investigacin
del Ministerio Pblico y Poder Judicial a iniciarse y en
resguardo de un ejercicio efectivo del derecho de defensa
ante las autoridades competentes, se excepta de la
comunicacin de hallazgos a quienes se encuentren
comprendidos en los indicios razonables de comisin de
delito o de responsabilidad civil determinados, emitindose
directamente el Informe Especial Legal y remitindolo a los
organismos legales competentes.

4.3. Fase III Informe de Auditora

4.3.1. El Informe

Es la culminacin de una auditora o revisin. Representa el
aspecto crtico del proceso porque es la representacin
fidedigna, visible en que terceros pueden confiar. As pues,
debe mostrar claramente el alcance del trabajo realizado y la
responsabilidad que se asume en cuanto a la razonabilidad
de los Sistemas.
Una vez reunida la evidencia, el auditor debe depurar y
juzgar con el mayor celo profesional a fin de obtener las
conclusiones adecuadas. Al emitir su opinin, terceras
personas depositan su confianza en l.

Los informes que se emitan deben tener en
consideracin los siguientes criterios (Segn el MAGU)

Claridad: los informes deben ser fciles de entender y
estar libres de ambigedades o vaguedades.

Objetividad: los informes deben estar libres de prejuicios.

Precisin: los informes no deben ser ms largos de lo
necesario. No deben existir prrafos o secciones
demasiado detalladas que no se adecuen con claridad al
contenido del informe. Muchos detalles quitan mrito al
informe y pueden desvirtuar y confundir al usuario de
este.

Equidad: los informes deben ser equilibrados y reflejar un
adecuado conocimiento de los problemas significativos
sobre la habilidad de la entidad auditada, para administrar
sus operaciones.

4.3.2. Elaboracin Del Informe (NAGU 4.10)

Como producto final del trabajo de campo, la comisin
auditora proceder a la elaboracin del informe
correspondiente, considerando las caractersticas y
estructura sealadas en las Normas de Auditoria
Gubernamental.

El informe es el documento escrito mediante el cual la
Comisin de Auditora expone el resultado final de su
trabajo, a travs de juicios fundamentados en las
evidencias obtenidas durante la fase de ejecucin, con la
finalidad de brindar suficiente informacin a los
funcionarios de la entidad auditada y estamentos
pertinentes, sobre las deficiencias o desviaciones ms
significativas, e incluir las recomendaciones que permitan
promover mejoras en la conduccin de las actividades u
operaciones del rea o reas examinadas. Las deficiencias
referidas a aspectos de control interno, se revelaran en el
Memorndum de Control Interno, de acuerdo a lo prescrito
en la norma correspondiente.

Con el propsito de adelantar el inicio oportuno del
procedimiento sancionador, la adopcin de
recomendaciones que lo ameriten o para atender
requerimientos de organismos autnomos cuando
corresponda, la comisin auditora podr elaborar, asimismo,
informes que expongan el resultado final que, en relacin a
determinada deficiencia o desviacin significativa u otro
objetivo de control, hubiera obtenido previamente a la
culminacin de la etapa de ejecucin de la auditora. En tal
caso, deber dejarse constancia de su emisin en la seccin
Introduccin, pargrafo Otros aspectos de importancia, del
informe que exponga el resultado integral de la
accin de control.

Las caractersticas y estructura especficas del informe,
segn el tipo de auditora, que deben ser materia de
cumplimiento, se encuentran establecidas en las NAGU
4.20, 4.30, 4.40, as como en la NAGU 4.50 Informe
Especial, en su caso.

4.3.3. Oportunidad del Informe (NAGU 4.20)

La comisin auditora deber adecuarse a los plazos
estipulados en el programa correspondiente, a fin que el
informe pueda emitirse en el tiempo previsto, permitiendo
que la informacin en l revelada sea utilizada
oportunamente por el titular de la entidad y/o autoridades de
los niveles apropiados del Estado.
En tal sentido, la Comisin Auditora debe prever que la
elaboracin del informe concluya en el plazo otorgado, a fin
de permitir su emisin oportuna y tener presente ese
propsito al ejecutar la accin de control.

4.3.4. Caractersticas del Informe (NAGU 4.30)

Los informes que se emitan deben caracterizarse por su alta
calidad, para lo cual se deber tener especial cuidado en la
redaccin, as como en la concisin, exactitud y objetividad
al exponer los hechos.
El informe debe redactarse en forma narrativa, de manera
ordenada, sistemtica y lgica, empleando un tono
constructivo; cuidando de utilizar un lenguaje sencillo y
fcilmente entendible a fin de permitir su comprensin
incluso por los usuarios que no tengan conocimientos
detallados sobre los temas incluidos en el mismo. De
considerarse pertinente, se incluirn grficos, fotos y/o
cuadros que apoyen a la exposicin.
La exactitud requiere que la evidencia presentada fluya de
los papeles de trabajo y que las observaciones sean
correctamente expuestas. Se basa en la necesidad de
asegurarse que la informacin que se presenta sea confiable
a fin de evitar errores en la presentacin de los hechos o en
el significado de los mismos, que podran restar credibilidad
y generar cuestionamiento a la validez sustancial del
informe.

4.3.5. Contenido del Informe (NAGU 4.40)

El contenido del informe expondr ordenada y
apropiadamente los resultados de la accin de control,
sealando que se realiz de acuerdo a las Normas de
Auditoria Gubernamental y mostrando los beneficios que
reportar a la entidad.

Esta norma tiene por finalidad regular el contenido del
Informe de la accin de control, trtese sta de una auditora
financiera (informe largo), auditora de gestin o examen
especial segn sea el caso, con el objeto de asegurar que su
denominacin, estructura y el desarrollo de sus resultados
guarden la debida uniformidad, ordenamiento, consistencia y
calidad, para fines de su mxima utilidad por la entidad
examinada.

Adicionalmente se emitir una "Sntesis Gerencial" del
Informe. El informe debe presentar la siguiente estructura.

ESTRUCTURA
I. INTRODUCCIN
Informacin general concerniente a la accin de control y
a la entidad examinada.

1. Origen del examen
Antecedentes o razones que motivaron la realizacin
de la accin de control; debindose hacer mencin al
documento y fecha de acreditacin.

2. Naturaleza y Objetivos del Examen
Naturaleza o tipo de la accin de control practicada
(auditora financiera, auditora de gestin o examen
especial), as como los objetivos previstos respecto de
la misma.
Los objetivos estn referidos a lo que espera lograrse
como resultado del examen. Al exponerlos se darn a
conocer los lmites de la auditora, a fin de evitar
interpretaciones errneas en los casos en que los
objetivos hayan sido particularmente limitados o
puntuales sobre determinados aspectos de la gestin.

3. Alcance del examen
Cobertura y profundidad del trabajo realizado para el
logro de los objetivos de la accin de control,
precisando el periodo y reas de la entidad
examinadas, mbito geogrfico donde se realiz el
examen y, asimismo, dejndose constancia que ste se
llev a cabo de acuerdo con las Normas de Auditora
Gubernamental.
De ser el caso, el auditor revelar las limitaciones al
alcance del examen que se presenten en el proceso del
trabajo. Si se emplean datos que no hayan sido
verificados, ese hecho deber manifestarse. Tambin
debern revelarse las modificaciones efectuadas al
enfoque de la auditora como consecuencia de las
limitaciones de la informacin o del alcance de la
auditora.
Asimismo, debe revelarse que las irregularidades con
dao econmico y/o indicios razonables de comisin de
delito, son materia de un informe especial legal.

4. Antecedentes y base legal de la entidad
Aspectos de mayor relevancia que guarden vinculacin
directa con la accin de control realizada, as como las
principales normas legales que le(s) sean de
aplicacin.

5. Comunicacin de hallazgos
Se deber indicar haberse dado cumplimiento a la
comunicacin oportuna de los hallazgos efectuada al
personal que labora o haya laborado en la entidad
comprendido en ellos.

6. Memorndum de Control Interno
Se indicar que durante la accin de control se ha
emitido el Memorndum de Control Interno, en el cual
se inform al titular sobre la efectividad de los controles
internos implantados en la entidad. Dicho documento
as como el reporte de las acciones correctivas que en
virtud del mismo se hayan adoptado, se deber
adjuntar como anexo del informe.

7. Otros Aspectos de Importancia
Podr referirse informacin verificada que la Comisin
Auditora, basada en su opinin profesional competente,
considere de importancia o significacin, cuya
revelacin permita mostrar la objetividad e
imparcialidad del trabajo desarrollado por la Comisin;
tal como:

a. El reconocimiento de las dificultades o limitaciones,
de carcter excepcional, en las que se desenvolvi
la gestin realizada por los responsables de la
entidad o rea examinada,

b. El reconocimiento de logros significativos alcanzados
durante la gestin examinada,

c. La adopcin de correctivos por la propia
administracin, durante la ejecucin de la accin de
control, que hayan permitido superar hechos
observables,

d. Informar de aquellos asuntos importantes que
requieran un trabajo adicional, siempre que no se
encuentren directamente comprendidos en los
objetivos de la accin de control,

e. Eventos posteriores a la ejecucin del trabajo de
campo que hayan sido de conocimiento de la
comisin auditora y que afecten o modifiquen el
funcionamiento de la entidad o de las reas
examinadas.

f. La indicacin de los informes que se hubieran
emitido previamente a la culminacin de la etapa de
ejecucin de la auditora, de ser tal el caso.

Si alguno de los aspectos considerados en este punto
por la comisin auditora, demandara una exposicin o
desarrollo extenso, ser incluido como anexo del
Informe.
Dichos aspectos, asimismo, podrn dar lugar a la
formulacin de conclusiones y/o recomendaciones, si
hubiere mrito para ello.

II. OBSERVACIONES
En esta parte del Informe, la Comisin Auditora
desarrollar las observaciones que, como consecuencia
del trabajo de campo realizado y la aplicacin de los
procedimientos de control gubernamental, hayan sido
determinadas como tales.
Las observaciones, para su mejor comprensin, se
presentarn de manera ordenada, sistemtica, lgica y
numerada correlativamente, evitando el uso de
calificativos innecesarios y describiendo apropiadamente
sus elementos o atributos caractersticos. Dicha
presentacin considerar los siguientes aspectos:

1. Sumilla
Es el ttulo o encabezamiento que identifica el asunto
materia de la observacin.
2. Elementos de la observacin (condicin, criterio,
efecto y causa)
Son los atributos propios de toda observacin, los
cuales deben ser desarrollados objetiva y
consistentemente.

3. Comentarios y/o aclaraciones del personal
comprendido en las observaciones
Son las respuestas brindadas a la comunicacin de los
hallazgos respectivos, por el personal comprendido
finalmente en la observacin.

4. Evaluacin de los comentarios y/o aclaraciones
presentados
Es el resultado del anlisis realizado por la Comisin
Auditora sobre los comentarios y/o aclaraciones y
documentacin presentada por el personal
comprendido en la observacin, debiendo sustentarse
los argumentos invocados y consignarse la opinin
resultante de dicha evaluacin.

La mencionada opinin incluir, al trmino del
desarrollo de cada observacin, la identificacin de las
presuntas responsabilidades administrativas
funcionales por la comisin de infracciones graves y
muy graves a que hubiera lugar, de acuerdo con lo
establecido por el Titulo II Infracciones por
responsabilidad administrativa funcional del
Reglamento de la Ley N 29622, con indicacin del
artculo e inciso aplicable en cada caso. Asimismo, se
identificar separadamente la existencia de presuntas
infracciones leves, indicndose en este caso que las
mismas corresponden ser derivadas a los titulares de
las entidades auditadas para su procesamiento y
sancin correspondiente.

La identificacin de responsabilidad administrativa
funcional se efectuar por cada persona comprendida
en la observacin, describiendo los hechos y criterios
que sustentan la presunta comisin de la infraccin,
cualquiera sea su tipo. Si los hechos dieran lugar a la
identificacin de ms de una infraccin, todas stas
deben ser necesariamente consignadas y sustentadas,
en cada caso.

De considerarse la existencia de indicios razonables de
la comisin de delito o de perjuicio econmico, se
dejar constancia expresa que tal aspecto es tratado
en el Informe Especial correspondiente.

III. CONCLUSIONES
En este rubro la Comisin Auditora deber expresar las
conclusiones del Informe de la accin de control,
entendindose como tales los juicios de carcter
profesional, basados en las observaciones establecidas,
que se formulan como consecuencia del examen
practicado a la entidad auditada.

IV. RECOMENDACIONES
Las recomendaciones constituyen las medidas
especficas indicadas a la administracin de la entidad,
orientadas a promover la superacin de las causas y las
observaciones evidenciadas durante el examen. Sern
dirigidas al Titular o en su caso a los funcionarios pblicos
que tengan competencia para disponer su aplicacin.

Las recomendaciones se formularn con orientacin
constructiva para propiciar el mejoramiento de la gestin
de la entidad y el desempeo de los funcionarios y
servidores pblicos a su servicio, con nfasis en contribuir
al logro de los objetivos institucionales dentro de
parmetros de economa, eficiencia y eficacia; aplicando
criterios de oportunidad de acuerdo a la naturaleza de las
observaciones y de costo proporcional a los beneficios
esperados.

Para efecto de su presentacin, las recomendaciones se
realizarn siguiendo el orden jerrquico de los
funcionarios responsables a quienes va dirigida,
referencindolas en su caso a las conclusiones, o
aspectos distintos a stas, que las han originado.

Tambin se incluir como recomendacin, cuando
existiera mrito de acuerdo a los hechos revelados en las
observaciones, el procesamiento de las presuntas
responsabilidades administrativas que se hubiesen
identificado en el Informe, conforme a las disposiciones
contenidas en la Ley N 29622, su reglamento y la
normativa que la Contralora General apruebe sobre la
materia, teniendo en cuenta las consideraciones
siguientes:

a) De haberse identificado presuntas responsabilidades
administrativas funcionales por la comisin de
infracciones graves y muy graves se recomendar que el
informe con los recaudos y evidencias documentales
correspondientes, sea de conocimiento del rgano
Instructor de la Contralora General de la Repblica a
travs del nivel gerencial competente, para fines del inicio
del procedimiento sancionador; debiendo sealarse
expresamente la competencia legal exclusiva que al
respecto concierne al citado rgano Instructor y el
impedimento subsecuente de la entidad para disponer el
deslinde de responsabilidad por los mismos hechos, lo
que deber ser puesto de conocimiento del titular de la
entidad auditada.

b) De haberse identificado presuntas responsabilidades
administrativas funcionales por la comisin de
infracciones leves, se recomendar al titular de la entidad
auditada que disponga su procesamiento y la aplicacin
de las sanciones correspondientes, conforme al marco
legal aplicable.

V. ANEXOS
A fin de lograr el mximo de concisin y claridad en el
informe, se presentarn como anexos cuando sean
necesarios, los informes emitidos por profesionales y/o
especialistas debido a su importancia que complementen
o amplen las observaciones significativas contenidas en
el mismo.
Asimismo se incluir un Cuadro como anexo, en el que se
consignen a los responsables con indicacin del nombre y
nmero de observacin.
En lo que respecta a las observaciones con
responsabilidad administrativa, nicamente se incluirn
como anexos aquellos documentos que no obran en la
entidad examinada.

FIRMA
El informe deber ser firmado por el auditor encargado, el
supervisor y los niveles gerenciales correspondientes de
la Contralora General de la Repblica. En el caso de los
rganos de auditora interna, por el auditor encargado, el
supervisor y el jefe del respectivo rgano.

Los Informes emitidos por las Sociedades de Auditora
sern suscritos por el socio participante y auditor
responsable de la auditora. De ameritarlo por la
naturaleza y contenido del Informe, tambin ser suscrito
por el abogado u otro profesional y/o especialista
participante en la accin de control.

SNTESIS GERENCIAL
Adicionalmente al Informe de la accin de control, podr
emitirse una Sntesis Gerencial del Informe, de
contenido necesariamente breve y preciso. La Alta
Direccin de la Contralora General de la Repblica y el
Titular del rgano de Auditora Interna, podr eximir a la
Comisin Auditora de la emisin de dicha Sntesis.

4.4. Fase IV Seguimiento

Esta fase cierra el ciclo del proceso de auditora, en la cual se
efectuar el anlisis y evaluacin del acatamiento de las entidades
del estado a las recomendaciones formuladas por la Contralora
General de la Repblica.
Para su ejecucin se debe cumplir todo el ciclo de auditora.

V. BIBLIOGRAFA

1. Gonzlez, Gonzalo. "Informtica 11 Coleccin Ciencia Educativa".
Nueva Imagen.
2. Hernndez, Enrique. 1997. "Auditoria Informtica: Un Enfoque
Metodolgico y Prctico. Continental. Mxico.
3. Kell, Walter y Ziegler, Richard. "Auditoria Moderna" Continental.
4. Piattini, Mario G. y Del Peso, Emilio. 1998. "Auditoria Informtica: Un
Enfoque Prctico". Computec RAMA. Madrid, Espaa.
5. http://www.oocities.org/mx/acadentorno/aui1.pdf

REFERENCIAS NORMAS LEGALES

1. Ley Orgnica del Sistema Nacional de Control y de la Contralora
General de la Repblica. Ley 27785.
2. Manual de Auditora Gubernamental. Resolucin Contralora N 152-
98-CG
3. Normas de Auditora Gubernamental. Resolucin Contralora N
162-95-CG y sus modificatorias por Resoluciones de Contralora N
246-95, 112-97-CG, 141-99-CG, 259-2000-CG, 012-2002-CG, 089-
2002-CG y 309-2011-CG
4. Ley de Control Interno de las Entidades del Estado. Ley 28716.
5. Ley que incorpora al Cdigo Penal los Delitos Informticos. Ley
27309.
6. Normas de Control Interno. Resolucin de Contralora General N
320-2006-CG
7. Gua para la Implementacin del Sistema de Control Interno de las
entidades del Estado. Resolucin de Contralora General N 458-
2008-CG.
8. Norma Tcnica Peruana NTP - ISO / IEC 17799.
9. Gestin de la Continuidad del Negocio. CIRCULAR N G- 139 -2009
10. Gestin de la Seguridad de la Informacin. CIRCULAR N G- 140 -
2009

REFERENCIAS WEB PARA CONSULTAS

1. Instituto Nacional de Estadstica e Informtica "Plan de
Contingencias y Seguridad de la Informacin".
http://www.inei.gob.pe/web/metodologias/attach/lib611/0300.htm
2. Jos Alfredo Jimnez "Evaluacin de la Seguridad de un Sistema de
Informacin.
http://www.ilustrados.com/publicaciones/EpyppFyEAyLgAPFJNN.ph
p
3. Horacio Quinn Eduardo. La Auditoria informatica dentro de las
etapas de Anlisis de Sistemas Administrativos.
http://www.monografias.com/trabajos5/audi/audi.shtml#redes
4. D' Sousa Carmen. Auditora de Sistemas.
http://www.monografias.com/trabajos11/siste/siste.shtml#eva
5. CAIB. 21/01/2002. Auditora Informtica.
http://dmi.uib.es/~bbuades/auditoria/index.htm

VI. ANEXOS


ANEXO 01
ACCION DE CONTROL N 001-2013-OFICINA CENTRAL DE
ADMISION DE LA UNIVERSIDAD NACIONAL DE PIURA

PLAN DE EXAMEN ESPECIAL

I. ORIGEN DEL EXAMEN:
Este examen se efecta en cumplimiento de las acciones de control
programadas en el Plan Anual de Control 2013 de la Universidad Nacional
de Piura.

II. ANTECEDENTES DE LA ENTIDAD Y DE LOS ASUNTOS A SER
EXAMINADOS

Las principales funciones de realiza la Oficina Central de Admisin (OCA)
son:
Dirigir, organizar, administrar y evaluar los concursos de admisin en
sus diferentes modalidades.
Preparar el presupuesto del concurso de admisin.
Preparar el prospecto de admisin.
Proponer un modelo de examen a la Comisin de Supervisin.
Proponer el cuadro de vacantes ofrecidas para los procesos de
admisin, previo anlisis de las demanda, por los servicios que brinda
la Universidad.
Controlar la inscripcin de postulantes a los procesos de admisin.
Publicar los resultados por cada examen.
Elaborar las estadsticas de resultados por cada examen.
Efectuar la publicacin de solucionarios.
Preparar el banco de preguntas.
Apoyar a la evaluacin de exmenes de IDEPUNP.

Los asuntos que sern examinados son los siguientes:

Evaluar el Sistema de Calificacin y Admisin con el cumplimiento de
los objetivos organizacionales.
Verificar que el Sistema de Calificacin y Admisin cumpla con las
normas establecidas por la Universidad Nacional de Piura.
Evaluar la base de datos del Sistema.
Verificar la existencia de planes de contingencias adecuados a las
necesidades de la Institucin.

FUENTE: REGLAMENTO GENERAL DE LA UNP ABROBADA BAJO RESOLUCION DE CONSEJO
UNIVERISTARIO N 887-CU-2006

III. OBJETIVOS Y ALCANCE DEL EXAMEN

Los objetivos planteados para la ejecucin del Examen Especial son:
1) Verificar que los requerimientos del Sistema sean acordes con los
objetivos de la Oficina Central de Admisin.

2) Evaluar la base de datos del Sistema de Calificacin y Admisin

3) Comprobar si existe una herramienta de prevencin, mitigacin, control
y respuesta ante posibles contingencias que puedan afectar el correcto
funcionamiento del Sistema.

IV. PROGRAMA DE PROCEDIMIENTOS A EJECUTAR EN EL EXAMEN

Objetivo N 01:
Verificar que los requerimientos del Sistema sean acordes con los
objetivos de la Oficina Central de Admisin.

Procedimientos de Auditoria:
1. Solicitar a la Jefatura de la Oficina Central de Admisin, la
documentacin funcional y tcnica del Sistema de Calificacin y
Admisin, el Plan Estratgico y el Plan Operativo Anual de la Oficina.

2. Recopilar y analizar los procedimientos administrativos de cada rea
que conforma la Oficina (flujo de informacin, formatos, reportes y
consultas)

3. Evaluar la informacin brindada por el sistema contra las necesidades y
requerimientos de los usuarios.

Objetivo N 02:
Evaluar la base de datos del Sistema de Calificacin y Admisin

Procedimientos de Auditoria:
1. Solicitar la documentacin sobre el anlisis, diseo lgico y fsico de la
base de datos.

2. Analizar las llaves, redundancias, control existente en la base de datos.

3. Evaluar la seguridad de la base de datos a nivel lgico y fsico.

4. Evaluar si existen procedimientos de respaldo y de recuperacin de
datos.

Objetivo N 03:
Comprobar si existe una herramienta de prevencin, mitigacin, control y
respuesta ante posibles contingencias que puedan afectar el correcto
funcionamiento del Sistema.

Procedimientos de Auditoria:
1. Determinar si existe un plan de contingencia donde se establezcan los
procedimientos a utilizarse para evitar interrupciones en las
operaciones de la Oficina.

2. Verificar que la documentacin relacionada al plan de contingencia se
encuentre actualizada.

3. Verificar si el plan de contingencia aprobado, se ha distribuido entre el
personal responsable y asimismo se tengan copias de dicho
documento por prevencin.

4. Determinar si se efectan revisiones y se realizan pruebas del plan de
contingencias cada vez que se produzcan cambios en la configuracin
de los equipos.

Nota: los procedimientos establecidos en ente programa, no son
limitativos durante la ejecucin de la Auditoria, pudiendo utilizarse
otros procedimientos que sean necesarios segn las circunstancias.

V. CRITERIOS DE AUDITORIA A UTILIZAR

Este examen se realizara de acuerdo a los documentos de gestin
administrativa: Plan Estratgico 2009 2013, Plan Operativo Anual, MOF,
ROF, CAP, Reglamento General de Admisin; y tambin con las normas
que nos brinda el estado: Gua de Control Interno, Norma BS 25999
(Normas de Continuidad del Negocio), MAGU (Manual de Auditoria
Gubernamental), NAGU (Normas de Auditoria Gubernamental), Norma
Tcnica Peruana NTP 17799. Leyes Internacionales como la Ley Cobit,
MAPROS de la Oficina Central de Admisin as como otras Normas y
Directivas que sean necesarias de acuerdo a las circunstancias.

VI. RECURSO DE PERSONAL Y ESPECIALISTAS

El personal del rgano de Auditoria Interna que participara en el examen
es el siguiente:
Kelly Tatiana Delgado Seminario Auditor
Luis Enrique Escobar Mogolln Supervisor
Juan Luis Guayanal Hurtado Especialista
Miguel Angel Atarama LaChira Especialista
Jimy Monja Ancajima Especialista

VII. INFORMES A EMITIR Y FECHA DE ENTREGA

Se emitir un informe en el cual se expondrn los resultados del examen
especial, la fecha de entrega del informe ser el 31/07/2013

VIII. FORMATO TENTATIVO DE INFORME

Sntesis Gerencial
Introduccin
Observaciones
Conclusiones
Recomendaciones
Anexos

IX. PROGRAMACION DE HORAS
GRUPO AUDITOR HORAS TOTALES
Kelly Tatiana Delgado Seminario 20
Luis Enrique Escobar Mogolln 20
Juan Luis Guayanal Hurtado 20
Miguel Angel Atarama LaChira 15
Jimy Monja Ancajima 15



------------------------------------------ ------------------------------------------
KELLY DELGADO SEMINARIO LUIS ESCOBAR MOGOLLON
Auditor Supervisor

ANEXO 02

PROGRAMA DETALLADO DE AUDITORIA

Nombre de la Entidad : UNIVERSIDAD NACIONAL DE PIURA - OFICINA
CENTRAL DE ADMISIN
Fecha de auditora :
.................................................................................................
PROGRAMADO AREA DE INFORMATICA TERMINADO
NOMBRE H/S Ref PT Hecho por H/S















MAL-KDS





KDS




MAL-KDS
LEM

























5





8




5
10










Objetivo N1:
Verificar que los requerimientos del Sistema
sean acordes con los objetivos de la Oficina
Central de Admisin.
Criterio:
- Reglamento de Organizacin y Funciones
(ROF)
- Plan Estratgico 2009 2013
- Plan Operativo 2012.
- Reglamento General UNP.
- Reglamento General de Admisin.
- Mapro OCA

Procedimientos de Auditoria:

1. Solicitar a la Jefatura de la Oficina Central de
Admisin, la documentacin funcional y
tcnica del Sistema de Calificacin y
Admisin, el Plan Estratgico y el Plan
Operativo Anual de la Oficina.

2. Recopilar y analizar los procedimientos
administrativos de cada rea que conforma la
Oficina (flujo de informacin, formatos,
reportes y consultas)

3. Evaluar la informacin brindada por el
sistema contra las necesidades y
requerimientos de los usuarios.

Objetivo N2:
Evaluar la base de datos del Sistema de
Calificacin y Admisin

Criterio:
- Norma Tcnica Peruana NTP 17799
- Normas de Control Interno
- Ley Cobit















PT001





PT002




PT003
PT004

























MAL-KDS





KDS




MAL-KDS
LEM

























3





10




3
12













JMA


LEM-JMA


LEM


LEM














JGH




JGH - JMA



JGH - JMA




JGH - JMA



5


10


15


10














8




10



5




5

Procedimientos de Auditoria:

1. Solicitar la documentacin sobre el anlisis,
diseo lgico y fsico de la base de datos.

2. Analizar las llaves, redundancias, control
existente en la base de datos.

3. Evaluar la seguridad de la base de datos a
nivel lgico y fsico.

4. Evaluar si existen procedimientos de respaldo
y de recuperacin de datos.

Objetivo N3:
Comprobar si existe una herramienta de
prevencin, mitigacin, control y respuesta
ante posibles contingencias que puedan
afectar el correcto funcionamiento del
Sistema.
Criterio:
- Ley Cobit
- Norma Tcnica Peruana
- Norma BS 25999

Procedimientos de Auditoria:
1. Determinar si existe un plan de contingencia
donde se establezcan los procedimientos a
utilizarse para evitar interrupciones en las
operaciones de la Oficina.

2. Verificar que la documentacin relacionada al
plan de contingencia se encuentre
actualizada.

3. Verificar si el plan de contingencia aprobado,
se ha distribuido entre el personal
responsable y asimismo se tengan copias de
dicho documento por prevencin.

4. Determinar si se efectan revisiones y se
realizan pruebas del plan de contingencias
cada vez que se produzcan cambios en la
configuracin de los equipos.





PT005






















PT006




PT007



PT007




PT008






JMA






















JGH




JGH - JMA



JGH - JMA




JGH - JMA





3






















5




5



6




5
ANEXO 03

PAPEL DE TRABAJO

Unidad Administrativa: Oficina Central de Admisin UNP (OCA)
Elabor: MAL
Referencia: PT001
Revis: KDS
Cdula: Sistema de Admisin y Calificacin


Objetivo de Control:
Verificar que los requerimientos del Sistema sean acordes con los objetivos de la
Oficina Central de Admisin.
Procedimiento:
Se envi una solicitud dirigida al Jefe de OCA, el Sr. Cesar Haro Diaz el da xx de
xx del 2013 solicitando la documentacin funcional y tcnica del Sistema de
Calificacin y Admisin, el Plan Estratgico y el Plan Operativo Anual de la Oficina.
Con aprobacin del jefe de la OCA se procedi al recojo de la informacin
necesaria para el proceso de auditora, posteriormente se prosigui con la firma del
acta respectiva por parte de los involucrados.

Informacin Obtenida:
- Plan Estratgico de la Oficina Central de Admisin 2009 - 2013
- Manual de Organizacin y Funciones OCA.
- Plan Operativo Institucional.

Observaciones:
Situacin: Parte de la informacin requerida no se encontraba disponible, La
informacin obtenida estaba sin aprobacin de los entes superiores de la
Universidad Nacional de Piura.

Criterio: No se cumple la norma 1.3 Administracin Estratgica
correspondiente a la Normas de Control Interno 320-2006-CG.

Causa: Falta de inters por parte de los miembros de OCA en presentar y elaborar
los documentos de Gestin pertinentes.

Efecto: Falta de eficiencia en la OCA lo que origina mayores costos y baja
productividad de la dependencia.

Conclusin:
- Falta de inters de los miembros de la Oficina en elaborar, actualizar y normar
los documentos de gestin para su debida aprobacin.

Recomendaciones:

- Elaborar y/o actualizar los documentos de gestin para su posterior
aprobacin y distribucin.

Anexos:
- Solicitud Aprobada por el Jefe de OCA.
- Acta de Apertura de Auditoria
- Acta de Entrega de Documentos de Gestin.


Elabor: MAL Supervis: KDS
Fecha: xx de xx de xxxx Fecha: xx de xx de xxxx