Fundamentos de Auditoria de Sistemas

1
UNIVERSIDAD CATOLICA DE COLOMBIA

Especializacin en Auditora de Sistemas

FUNDAMENTOS DE AUDITORIA DE
SISTEMAS

Profesor

LUCIO AUGUSTO MOLINA FOCAZZIO
Certified Information Systems Auditor - CISA
Lucio_molina@007mundo.com

Bogot, Ao 2004
2
INDICE
Introduccin........................................................................................................................ 4
Por una auditoria y control efectivos. ........................................................................... 5
Auditora de Sistemas, Definicin y Objetivos........................................................... 9
Metodologa Cobit .......................................................................................................11
Resumen Ejecutivo..........................................................................................................12
Marco Referencial (Framework) .....................................................................................12
Los Objetivos de Control................................................................................................13
Las Guas de Auditora....................................................................................................13
Dominios y Procesos de COBIT.....................................................................................13
Objetivos propuestos por William Emory............................................................................14
Administrativa .............................................................................................................15
Soluciones aplicativas y programacin.....................................................................15
Servicios.................................................................................................................15
LISTA DE ALGUNOS OBJETIVOS ............................................................................15
La Auditora a travs del Computador.......................................................................19
DEFINICION....................................................................................................................19
VENTAJAS Y DESVENTAJAS DE LA AUDITORIA A TRAVES DEL COMPUTADOR21
DATOS DE PRUEBA.......................................................................................................21
Enfoques y Tcnicas de Auditora para probar los sistemas de PED................28
TCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR.................................28
TIPOS DE PRUEBA DE AUDITORIA.........................................................................28
ALCANCE DE LAS PRUEBAS DE AUDITORIA.......................................................28
ENFOQUES PARA APLICAR PRUEBAS DE AUDITORIA......................................28
ENFOQUES DE AUDITORIA PARA LOS SISTEMAS DE APLICACIN...............30
CARTAS DE RECOMENDACIONES DE CONTROL INTERNO................41
ASPECTOS GENERALES:...............................................................................................41
ENFOQUE DE LAS CARTAS DE RECOMENDACIONES ...........................................41
Papeles de Trabajo...........................................................................................................46
1. ARCHIVO PERMANENTE:.....................................................................................46
1.1. OBJETIVO:.......................................................................................................46
1.2. CARACTERISTICAS: ......................................................................................46
1.3. IMPORTANCIA: ..............................................................................................46
1.4. CONTENIDO:..................................................................................................46
2. ARCHIVO CORRIENTE:.........................................................................................48
2.1. OBJETIVO:.......................................................................................................48
2.2. CARACTERISTICAS: ......................................................................................49
2.3. IMPORTANCIA: ..............................................................................................49
2.4. CONTENIDO:..................................................................................................49
3. ARCHIVO ADMINISTRATIVO:.........................................................................50
3
MODELO DE PAPELES DE TRABAJO UTILIZADOS DURANTE EL
DESARROLLO DE UNA AUDITORIA DE SISTEMAS...................................60
4
Introduccin

El presente documento ha sido elaborado como material de consulta para los estudiantes del
Postgrado en Revisora Fiscal y Auditora Interna.

Contiene artculos e informacin que pueden permitir al estudiante entender la importancia de la
Auditora de Sistemas y, adicionalmente conocer la forma como el Auditor de Sistemas realiza sus
funciones.

Este documento se ha venido actualizando con base en los lineamientos que peridicamente emite
ISACA (Information Systems audit. And Control Association) en el mbito mundial.

La intencin es que el estudiante tenga a su disposicin una variedad de objetivos de Auditora de
Sistemas as como modelos de los papeles de trabajo que utiliza el Auditor de Sistemas.

Incluimos adems informacin bsica sobre las Tcnicas de Auditora Asistidas por Computador
(TAAC'S) que puede utilizar un Auditor en del desarrollo de sus funciones.

5

Por una auditoria y control efectivos.
1

A pesar de su importancia, muchas organizaciones en nuestro medio carecen por completo
de auditora y control a los sistemas de procesamiento electrnico de datos. Puntos de
partida para su anlisis.

En su existencia, relativamente breve, el computador ha emergido vertiginosamente hasta
convertirse en parte integral de la vida de las organizaciones; ha logrado alterar en menos de dos
generaciones su estructura y funciones.

Muchos factores han contribuido para que las formas de control requeridas por este nuevo
ambiente no se hayan adoptado oportunamente. Los ms significativos tienen que ver con la
complejidad tcnica de los modernos sistemas de computo, verdaderas maravillas de la ingeniera,
veloces en el proceso y sofisticados tanto en el hardware como en el software.

Los sistemas son diseados, configurados y programados por autnticos especialistas quienes,
como es entendible, han estado mas comprometidos con la velocidad del proceso y la elegancia
tcnica que con la verificacin y control.

Desde 1976 se ha presentado un creciente inters en el tema de la auditoria y control a sistemas
de procesamiento electrnico de datos; sin embargo, muchas organizaciones en nuestro medio
carecen por completo de esta funcin o cuando existen no se ajusta a los requerimientos mnimos
generados por las capacidades actuales de proceso, los volmenes de datos, la diversidad de
programas y la cantidad de usuarios, que hacen ms complejos los sistemas de informacin.

Cada da se ampla el uso del computador en diferentes actividades de la empresa, se producen
nuevos programas y el usuario final tiene mayor acceso a la informacin.
Todo esto, sumado al vertiginoso desarrollo tecnolgico, nos hace pensar que se amplan las
barreras entre los complejos sistemas de informacin y la capacidad para ejercer una auditora y
control efectivos.

Es nuestro inters explorar diferentes aspectos relacionados con este tema, desde una definicin
comprensiva de la auditoria en informtica o de sistemas, hasta algunas tcnicas que permitan a
nuestros clientes evaluar su propia estrategia y el estado actual de esta actividad en sus
organizaciones.

Varios son los autores que han escrito sobre este tema y cuyas obras han llegado a nuestro
medio. Entre otros pueden destacarse: Elise Jancura, Donald Wuatne, Peter Turning, Gabriel

1
Tomado de la Revista ACTUALIDADES/17 publicada por IBM de Colombia
6
Rotherberg, Ron Weber, Leonard Krauss, Donn Parker, Keagle Davis, William Perry, Javier
Kuong, James Martin y F.J. Fitzgeral.

Los temas favoritos han sido El Control, La Auditoria, El Fraude, El Sistema de Informacin
Contable y La Seguridad.

Pero no hay duda que la base ms importante de toda esta literatura corresponde al estudio
preparado por el Instituto de Auditores Internos de los EE.UU., con datos recopilados por el
Stanford Research Institute y con el patrocinio de IBM.

Dada la trascendencia que ha tenido para el desarrollo de la Auditora de Sistemas vale la pena
comentar sus ms importantes conclusiones como punto de partida para un anlisis de tan vital
tema.

1. La responsabilidad primaria respecto al control interno corresponde a la Alta
Gerencia, en tanto que la responsabilidad operacional (exactitud, oportunidad y confiabilidad
de la informacin), corresponde al usuario.

No hay duda que la Gerencia de la empresa en el ejercicio de sus cuatro principales tareas
administrativas debe estar considerando como recurso importante la informacin,
inmediatamente despus del recurso humano. En este orden de ideas deber proyectar su
responsabilidad de control a travs de toda la organizacin a fin de que sea manejada,
divulgada y salvaguardada de acuerdo con el valor que tiene para la operacin y estabilidad
de la empresa. Desde el punto de vista las fallas parecen no ser mayores.

Sin embargo, no se puede estar tan seguro en cuanto a la parte operacional. Con frecuencia
no hay un entendimiento claro del valor de la informacin y por lo mismo de los niveles de
clasificacin que requiere por la administracin de su confidencialidad.

Se pierde entonces con facilidad el concepto de propiedad, el de autorizacin para el acceso
y uso de los datos, el control de almacenamiento y las normas para la divulgacin de la
informacin.
Control, auditabilidad, recuperacin, respaldo, seguridad y unos cuantos conceptos mas, con
mucha frecuencia, no son claves para el usuario, que en muchas ocasiones no esta en
capacidad de exigir y/o dar un tratamiento adecuado a datos, informacin, programas y
equipos.

2. Es necesario mejorar los controles, esto es, ampliar el cubrimiento de control interno
al ambiente de procesamiento de datos. Los conceptos continan siendo los mismos pero
la forma en que se debes aplicar es diferente. Se deben identificar y ejecutar programas de
control interno con objetivos claramente definidos para:

El desarrollo de nuevos sistemas.
7
Las operaciones de centros de computo.
Los cambios de tecnologa.
Garantizar huellas confiables de auditoria que permitan evaluar y verificar el proceso.
Establecer las relaciones entre las diferentes funciones de la organizacin.

3. Los auditores deben participar en el proceso de desarrollo e implantacin de nuevos
sistemas para garantizar el empleo de controles adecuados. Es demasiado tarde realizar
esta tarea cuando los sistemas ya han sido instalados, con los problemas adicionales causados
por las modificaciones que se reflejan tanto en costos como en tiempo. Adicionalmente facilita
la inclusin de herramienta para la auditoria como parte integral de los nuevos sistemas.

4. La verificacin de los controles debe hacerse antes y despus de la instalacin. De
aqu la importancia de las pruebas de preinstalacin que permitan comprobar el logro de los
requerimientos bsicos no solo del sistema en s, sino tambin la efectividad y operatividad de
los controles definidos. Posterior a la instalacin se requieren las revisiones peridicas que
deben incluir la verificacin de control y los resultados del proceso.

5. A medida que se incrementan y hacen ms complejos los sistemas de procesamiento de datos
se hace necesario que el auditor se involucre ms en todas las fases del proceso.

Bases de datos, procesamiento distribuido, comunicaciones, archivos electrnicos, sistemas
integrados, manejo de imgenes, control de proceso, transferencia electrnica de fondos, etc.,
hacen que la responsabilidad sea compartida por diferentes facilidades y por muchos usuarios
con mltiples fuentes de informacin y variedad de recursos tanto en hardware como en
software.

El auditor de sistemas debe hacer uso de las herramientas apropiadas, dentro de las cuales la
ms valiosa e importante es el computador mismo, y desarrollar habilidades que hacen de l
un especialista dentro de la organizacin de auditoria interna.

6. La sexta conclusin se refiere a la importancia de la funcin de Auditora de Sistemas
dentro de la organizacin.

Pocos auditores internos tienen tanto el conocimiento como la experiencia requeridos para
adelantar auditorias efectivas a los actuales sistemas electrnicos de procesamiento de datos.

Varias organizaciones estn preparando algunos de sus profesionales de sistemas en
disciplinas propias de la auditoria.

Otras estn transmitiendo a sus auditores internos conceptos y practicas relacionadas con el
procesamiento electrnico de datos.

8
Y finalmente algunas organizaciones mayores estn brindando entrenamiento a sus auditores y
reforzando grupos interdisciplinarios con especialistas de sistemas.

7. Se requieren nuevas herramientas y tcnicas de auditoria a medida que los sistemas de
informacin se vuelven lgica y tcnicamente ms complejos.

A pesar de que crece el numero de auditores que hacen uso del computador para el ejercicio
de su labor, muchos an continan con al concepto de auditoria alrededor o a travs
de....

Ya existe una variedad de programas especializados y muchos mtodos funcionales de
prueba que permiten satisfacer los objetivos bsicos. Sin embargo, el auditor debe
prepararse no solo para hacer uso de estas herramientas sino para desarrollar sus propias
ayudas.

8. Finalmente, se establece la necesidad de adelantar evaluaciones peridicas de los
programas de auditoria y control, los cuales deben ser iniciados por la alta Gerencia.

Estas revisiones deberan adelantarse en conjunto por parte de las Gerencias de auditoria
interna y procesamiento de datos. Con ello se pretende analizar objetivos de auditoria y
control, las guas para el control interno, el alcance de la auditoria, y la participacin en el
desarrollo e investigacin de nuevos sistemas y la educacin, entre otros.

Tres deberan ser los principales objetivos:

a) Evaluacin de las prcticas actuales de auditoria y control, y una revisin de las
capacidades de procesamiento de datos dentro de la funcin de auditoria.
b) Identificacin de las tendencias, tanto en el rea de desarrollo como en el uso de nuevas
tecnologas.
c) Formulacin de programas que permitan optimizar la efectividad de la auditoria con
ambiente de procesamiento de datos.

Para llevar a la prctica en forma completa estas condiciones, se requiere la funcin de
Auditora de Sistemas, con personal altamente calificado, el cual an es escaso, puesto que no
son muchas las instituciones educativas calificadas que ofrecen un programa completo para la
formacin de estos profesionales.

9

Auditora de Sistemas, Definicin y Objetivos.
2

En 1982 Ron Weber afirmaba que las metodologas para el control y la auditoria del
procesamiento Electrnico de Datos (PED) an estaban en la infancia.
A llegado el ao 2000 y deberamos preguntarnos cul es el nivel de madurez que ha adquirido en
el medio esta importante funcin.

Ello depende lgicamente del grado de concientizacin alcanzado por quienes tienen la
responsabilidad de velar por los activos (tangibles o intangibles) de las organizaciones. Sin
embargo, parece que sigue siendo cierto que la tecnologa ha avanzado a una velocidad mayor
que el desarrollo de metodologas viables para el ejercicio de la Auditora de Sistemas, para la
cual se pretende dar una definicin para tratar de entender en que realmente consiste.

ISACA define la Auditora a los sistemas de informacin como cualquier auditora que involucra
la revisin y evaluacin de todos los aspectos (o una porcin de ellos) de los sistemas de
informacin automatizados incluyendo procesos no automatizados y las interfases entre ellos.

El mismo Weber la define como: el proceso de recolectar y evaluar evidencias para determinar si
un sistema de PED protege los activos, mantiene la integridad de los datos, contribuye al logro de
los objetivos de la organizacin en forma efectiva y gasta los recursos eficientemente.

Es as como la Auditora de Sistemas soporta el logro de los objetivos de la auditoria tradicional
porque los conceptos bsicos se mantienen, en tanto que se da un cambio fundamental en la
forma.

La informacin por si misma siempre ha sido un valioso activo pero ahora se obtiene y se
administra mediante sofisticados sistemas compuestos por otros activos tales como maquinas,
programas, archivos de datos, documentacin, suministros y el recurso humano, el ms
importante de todos los recursos.

La integridad de los datos es un concepto fundamental en auditoria y est directamente
relacionada con otros atributos o cualidades bsicas de la informacin tales como Confiabilidad,
oportunidad, confidencialidad, etc., las cuales se mantienen mediante sistemas de seguridad y que
lgicamente presentan un costo para la organizacin.

Por lo tanto los beneficios obtenidos debern exceder los costos correspondientes a los diferentes
niveles de control cuyo uso debe estar en relacin directa con su efectividad.

2
Tomado de la Revista ACTUALIDADES publicada por IBM de Colombia
10
Qu tantos controles, depende del valor de los datos y su contenido informativo, con lo cual se
define el grado de confidencialidad, mediante el cual el propietario de la informacin establece
quien o quienes pueden hacer uso de ella.

Mientras ms alto sea el nivel de confidencialidad, quiere decir que mayor es el valor de la
informacin para la toma de decisiones y que por lo tanto se hace mas critica la integridad de los
datos.

Que tan eficaz es el sistema PED. Esta en relacin con el cubrimiento de las necesidades y
requerimientos de los usuarios.

La accin de Auditora de Sistemas se enfoca normalmente hacia sistemas en operacin pero
deber ejercerse durante todo el ciclo del desarrollo especialmente para sistemas complejos o
muy costosos donde una evaluacin independiente garantice que se tendrn en cuenta todos los
requerimientos del usuario.

Finalmente qu tan eficiente es el sistema, depende de los recursos empleados parar el logro de
los objetivos.

Mquinas, sistemas operacionales, trabajos, etc., son recursos escasos requeridos por los
diferentes programas de aplicacin, los cuales no pueden considerarse en forma aislada y menos
aun si se tiene en cuenta la capacidad del sistema que tiende fcilmente a ser excedida. No es
posible optimizar una aplicacin en particular a expensas de otras.

El auditor de sistemas debe asistir a la Gerencia con sus recomendaciones en la racionalizacin
del uso y la adquisicin o ampliacin de los recursos dedicados al procesamiento de datos.

Hoy por hoy el auditor de sistemas, o mejor como debera llamarse, el auditor del sistema de
informacin, requiere de una formacin especial y de herramientas tcnicamente dispuestas para
el adecuado ejercicio de su actividad.

Con frecuencia muchos se han desanimado para regresar a sus tareas ya sean en el rea de
sistemas o de auditoria porque no reciben los recursos adecuados y en algunas ocasiones no
cuentan con el apoyo que la Gerencia debe darles para una labor productiva.

Por esta razn es tan importante hacer una evaluacin de los objetivos para que esta funcin no
se limite, como en el pasado, a la implantacin y evaluacin de controles.

El auditor de hoy debe tener a su alcance la tecnologa del computador como principal
herramienta: capacidad para el muestreo estadstico, programas de consulta, microcomputadores
con facilidad de procesamiento stand alone y en lnea, documentacin actualizada,
comunicaciones, facilidades integradas de prueba, etc. Es posible que se deba regresar a una
Auditoria alrededor de..., pero con una mentalidad diferente.
11

De todas maneras el xito de la funcin de auditoria depende del grado de participacin y su
contribucin para el logro de los ms importantes objetivos de la organizacin. Por lo tanto para
definir sus propios objetivos deber considerarse:

La estructura y los objetivos corporativos.
Las caractersticas del sistema de informacin.
Las necesidades y los objetivos de otras auditorias.
La capacidad y experiencia del auditor y los recursos con que cuenta.

Establecer objetivos de auditoria es la primera accin dentro de una metodologa que incluyen 13
pasos que sern comentados posteriormente.

Puesto que no existen organizaciones iguales, el auditor deber seleccionar de una amplia lista sus
propios objetivos pero por lo general corresponden a preocupaciones comunes de auditoria y
que pueden estar asociados con uno o ms riesgos.

Las cuatro preocupaciones son:

3 Suficiencia de control interno para garantizar la integridad de las transacciones, su
autorizacin, su exactitud, su registro apropiado y la calidad de los resultados.

3 Continuidad para garantizar la presencia de la organizacin en el negocio y la
recuperacin en caso de desastre. Los peligros asociados son la perdida o destruccin de
los datos y la interrupcin del negocio.

3 Posibilidad de fraude, irregularidades o actos ilegales.

3 Polticas de operacin y suficiencia de los procedimientos. As se garantiza que la
organizacin opere efectiva, econmica y eficientemente. Los peligros asociados son:
decisiones errneas, perdida de ganancias y desventaja competitiva.

Para ayudar al auditor en la preparacin de sus propios objetivos, ISACF creo la metodologa
Cobit (Governance, Control Objectives for Information and Related Technology).

Metodologa Cobit

Alrededor de los aos 90 la Fundacin de Auditora y Control en Sistemas de Informacin
(ISACF Information Systems audit. And Control Foundation) reconoci la importante que es la
administracin efectiva de la informacin y las tecnologas relacionadas para la supervivencia y
xito de las organizaciones. De acuerdo con esto, ISACF inici el proyecto de recopilar
12
informacin sobre auditora, control y seguridad en los sistemas de informacin y analizar sus
procesos. Producto de este estudio apareci Cobit en 1998

COBI T es en realidad un acrnimo formado por las siglas derivadas de Governance, Control
Objectives for I nformation and Related Technology (objetivos de control para tecnologa de
informacin y tecnologas relacionadas).

COBIT es una herramienta que rene normas y estndares de jure y de facto de la ISO, de
COSO, IFAC, IIA y AICPA entre otros.

COBIT encadena la tecnologa de la informacin con las prcticas de control y crea un recurso
vital para la Gerencia, los profesionales en control y los auditores.

COBIT aplica a todo lo largo de la organizacin incluyendo personal de sistemas, usuarios,
minicomputadores, mainframes y sistemas cliente servidor, entre otros. COBIT se basa en que
los recursos de tecnologa deben ser administrados y agrupados en procesos naturales con el
objeto de proveer informacin actualizada y confiable para que la organizacin logre sus
objetivos.

Los usuarios de COBIT son:

La alta Gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de
las mismas
Los usuarios de TI pueden obtener un aseguramiento sobre la seguridad y el control de
productos adquiridos en forma externa
Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la
empresa
Los responsables de TI pueden identificar los controles que requieren establecer en su rea

COBIT est compuesto por los siguientes productos:

Resumen Ejecutivo

El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y
la estructura bsica de COBIT. Hace una descripcin general de los procesos, los recursos y los
criterios de informacin que determinan la columna vertebral de COBIT.

Marco Referencial (Framework)

El marco referencial incluye la introduccin contenida en el resumen ejecutivo, presentando las
guas de navegacin que orientan al lector en la exploracin del material de COBIT.
El Marco Referencial hace una presentacin ms detallada de los 34 objetivos de control de alto
nivel (34 procesos) para los cuatro dominios
13

Los Objetivos de Control

Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco
referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto
nivel.
Se incluyen de 3 a 30 objetivos detallados por cada objetivo de control de alto nivel, totalizando
302.

Las Guas de Auditora

Las guas de Auditora tambin incorporan el resumen ejecutivo y el marco referencial.
Hacen una presentacin del proceso generalmente aceptado de Auditora (obtener entendimiento,
evaluar los controles, evaluar el cumplimiento y substanciar los riesgos). Este documento incluye
guas detalladas para auditar cada uno de los 34 objetivos de alto nivel.

Dominios y Procesos de COBIT

Dominio Planeacin y Organizacin
Definir un Plan Estratgico de Tecnologa de Informacin
Definir la Arquitectura de Informacin
Determinar la direccin tecnolgica
Definir la Organizacin y las Relaciones de TI
Manejar la Inversin en Tecnologa de Informacin
Comunicar la direccin y aspiraciones de la gerencia
Administrar Recursos Humanos
Asegurar el Cumplimiento de Requerimientos Externos
Evaluar Riesgos
Administrar proyectos
Administrar Calidad

Dominio Adquisicin e implementacin:
Identificar Soluciones
Adquirir y Mantener Software de Aplicacin
Adquirir y Mantener la Arquitectura de Tecnologa
Desarrollar y Mantener Procedimientos relacionados con Tecnologa de Informacin
Instalar y Acreditar Sistemas
Administrar Cambios

Dominio Prestacin de servicio y soporte:
Definir Niveles de Servicio
Administrar Servicios prestados por Terceros
14
Administrar Desempeo y Capacidad
Asegurar un Servicio Continuo
Garantizar la Seguridad de Sistemas
Identificar y Asignar Costos
Educar y Entrenar a Usuarios
Apoyar y Asesorar a los Clientes de Tecnologa de Informacin
Administrar la Configuracin
Administrar Problemas e Incidentes
Administrar Datos
Administrar Instalaciones
Administrar Operaciones

Dominio Monitoreo:
Monitoreo de los procesos
Evaluar qu tan adecuado es el Control Interno
Obtener aseguramiento independiente
Proporcionar Auditora Independiente.

Objetivos propuestos por William Emory

William Emory ha escrito una lista de 120 puntos que l denomin lista de lavandera. Se
pretende conteste ejercicio recolectar todos los posibles objetivos relacionados con el PED.

Muchos podran no ser calificados como objetivos sino mas bien como metas de desempeo o
pasos de un trabajo continuado.

Sin embargo se pretende mas bien, ayudar a definir los limites de responsabilidad del auditor y los
puntos de contacto con otros grupos de auditoria o de control.

Cuando el auditor elabore su propia lista, deber tener en mente uno o ms procedimientos
posibles para lograr cada objetivo y proceder a organizarla de tal manera que los procedimientos
sean paralelos a los objetivos y dispuestos de acuerdo a las reas funcionales de PED para que se
mantenga:

- La integridad de los datos.
- La prevencin contra accesos no autorizados a la informacin.
- La disponibilidad del uso de los recursos.

A manera de ejemplo podra usarse un esquema como este, por reas:

15

Administrativa

Organizacin y personal.
Planeacin.
Anlisis de costos.
Desarrollo de procedimiento y controles.
Aspectos legales.

Soluciones aplicativas y programacin

Desarrollo de aplicaciones.
Mantenimiento del software.

Operacin

Saln del computador.
Dispositivos de entrada y salida.
Comunicaciones.
Soporte tcnico.

Servicios

Soporte de auditoria

LISTA DE ALGUNOS OBJETIVOS

Para ayudar al auditor en la programacin de su propia lista, se incluyen algunos de los objetivos
propuestos por W. Emory.

1. Revisar la estructura organizacional para analizar la suficiencia, la separacin de tareas,
etc.
2. Probar el cumplimiento de la estructura actual frente a la organizacin definida.
3. Evaluar el desempeo del personal clave.
4. Revisar el programa de entrenamiento.
5. Establecer si los planes de PED estn de acuerdo con los planes corporativos.
6. Revisar los planes de PED.
7. Probar el cumplimiento contra el plan.
8. Verificar que la Gerencia y los usuarios participen en la elaboracin de los planes.
9. Participar en el proceso del plan para expresar las preocupaciones de auditoria.
16
10. Revisar y probar procedimientos de anlisis de costos.
11. Determinar si las cifras base se aplican uniformemente.
12. Revisar el presupuesto y los procedimientos para su aplicacin.
13. Verificar si se han desarrollado estndares para todas las reas de PED.
14. Verificar el cumplimiento de los estndares.
15. Participar en el desarrollo de los estndares.
16. Revisar contratos de hardware y de software.
17. Revisar contratos de servicio.
18. Verificar el cumplimiento de los contratos.
19. Revisar el cubrimiento de los seguros.
20. Revisar los planes para el desarrollo de aplicaciones.
21. Comprobar que existen y se aplican estndares para el diseo de sistemas y compra de
software.
22. Revisar la participacin del usuario en el desarrollo de sistemas.
23. Participar en el desarrollo de sistemas.
24. Revisar controles de nuevos sistemas antes de su implantacin.
25. Revisar planes para la implantacin de nuevos sistemas.
26. Revisar la seleccin y uso de lenguajes de programacin.
27. Participar en la prueba de sistemas.
28. Revisar los resultados de las pruebas antes de la implantacin de un nuevo sistema o de
los cambios a un sistema existente.
29. Conducir revisiones de post-implantacin.
30. Evaluar los estndares para el mantenimiento del software aplicativo.
31. Revisar y probar los procedimientos de control para verificar que estn acordes con los
sistemas en operacin.
32. Probar los procedimientos usados para actualizar la documentacin.
33. Probar los dispositivos de seguridad fsica para proteger la documentacin.
34. Probar la documentacin de respaldo (Back-up).
35. Revisar la seguridad lgica para archivos de datos y programas.
36. Revisar el uso por parte del programador, de libreras privadas o temporales.
37. Verificar el trabajo de mantenimiento contra requerimientos para mantenimiento o
modificaciones.
38. Revisar las normas para la operacin del computador y comprobar su cumplimiento.
39. Determinar si el hardware es usado eficientemente.
40. Revisar los reportes administrativos concernientes a la utilizacin del hardware.
41. Verificar que el equipo es usado solamente para trabajos autorizados.
42. Revisar los planes para adquisicin de equipo.
43. Revisar los procedimientos para organizacin de actividades.
44. Hacer inventarios de equipos de PED.
45. Revisar los procedimientos para el mantenimiento del hardware.
46. Revisar las condiciones ambientales.
47. Revisar los planes y programas de seguridad fsica.
48. Revisar los controles de acceso fsico.
17
49. Revisar el procedimiento de la proteccin contra y/o deteccin de desastres.
50. Revisar los procedimientos para la recuperacin en caso de desastre.
51. Probar los procedimientos de recuperacin.
52. Revisar la seguridad para medios que contengan archivos de datos o programas.
53. Probar los procedimientos para la toma de copias de respaldo (Back-up).
54. Revisar los procedimientos para la entrada de datos.
55. Revisar los procedimientos para la distribucin de informacin.
56. Revisar los estndares para el diseo de redes de comunicacin.
57. Participar en el planeamiento de la red.
58. Revisar la seguridad fsica para proteger los componentes de la red.
59. Revisar los dispositivos de seguridad lgica para acceder la red.
60. Revisar los controles para modificacin del software.
61. Revisar la documentacin.
62. Revisar los controles existentes sobre los utilitarios.
63. Revisar y probar los procedimientos para el mantenimiento de las libreras utilizadas en
produccin.
64. Determinar la naturaleza y el impacto de servicios recibidos de fuentes externas.
65. Conducir revisiones de auditoria para los servicios recibidos de terceros.
66. Verificar que los usuarios entienden los programas aplicativos.
67. Probar el conocimiento de los usuarios respecto a los dispositivos del control del sistema.
68. Revisar la documentacin del usuario.
69. Evaluar la satisfaccin de los usuarios con las diferentes aplicaciones y con el sistema en
general.
70. Probar los procedimientos para el control del flujo de los datos del usuario.
71. Revisar los procedimientos para la distribucin de reportes.
72. Verificar el contenido de los archivos magnticos.
73. Desarrollar programas de computador para asistir a los auditores financieros.
74. Servir de enlace entre los auditores financieros y el departamento de procesamiento de
datos.
75. Asistir a los auditores financieros en la interpretacin y evaluacin de los reportes
generales por el PED.
76. Proveer entrenamiento bsico a los auditores financieros.
77. Proveer entrenamiento a la gente de PED relacionados con los objetivos de auditoria.

RECOMENDACIN

Empiece por dar respuesta a estas preguntas:

Estn formalmente definidos los objetivos de Auditora de Sistemas?

Estn claramente definidas las relaciones entre los auditores de sistemas y los auditores
financieros?

18
Si la respuesta es SI, felicitaciones y a cumplir con sus objetivos... pero si la respuesta es NO
entonces...

Elabore su propia lista de objetivos, somtala a revisin de diferentes niveles de su organizacin,
revise las recomendaciones y presente un plan definitivo a la Gerencia para obtener su aprobacin
y respaldo... y no olvide tener en mente los procedimientos para el logro de cada objetivo.
19

La Auditora a travs del Computador

A diferencia de la auditoria alrededor del computador, estas tcnicas permiten al auditor en la
medida en que conozca mas las operaciones en el computador, tener menos limitaciones para
trabajar.

DEFINICION

Esta tcnica da un gran nfasis a probar el sistema de computador que produce la salida en
cambio de probar la salida misma.

El auditor prueba y verifica:

- La efectividad de los procedimientos de control sobre las operaciones de computador y
en los programas del computador.
- Que el procesamiento interno sea correcto.

Esta tcnica de auditoria requiere dos tareas bsicas que son:

- La revisin y verificacin de las transacciones fuente.
- La prueba real de la lgica de los programas de computador y de los controles de
programa.

CMO ES LA AUDITORIA A TRAVES DEL COMPUTADOR?

En la figura 1 se ilustra como es la auditoria a travs del computador. Con esto, el auditor asume
que el computador es una herramienta y que cuando se programa apropiadamente, produce una
salida confiable.

20

Por consiguiente las pruebas de auditoria deben pensarse mas como pruebas lgicas de
programacin, que como pruebas de exactitud del computador.

Una de las herramientas clave en la aplicacin de esta tcnica de Auditoria es la preparacin de
una serie de transacciones de prueba, normalmente llamadas DATOS DE PRUEBA.

El lote de prueba se corre en el computador, en un ambiente de pruebas previamente instalado y
utilizando los mismos programas que fueron utilizados para procesar la aplicacin que esta
probando.

La prueba se disea para determinar la efectividad de los controles, exactitud y generalidad de los
programas.

21
VENTAJAS Y DESVENTAJAS DE LA AUDITORIA A TRAVES DEL
COMPUTADOR

Ventajas
1. Ayuda al auditor a involucrarse mas en el sistema; por consiguiente incrementa su
conocimiento y habilidad para realizar auditorias ms complejas en el futuro.
2. Trabaja como una ayuda para realizar pruebas de cumplimiento y en la evaluacin de
controles programados.
3. Incremento de servicios a los clientes porque los controles y las operaciones son
probadas o, por lo menos, observadas por el auditor.
4. Los resultados de las pruebas son fcilmente identificables y se pueden utilizar como
medidas de la confiabilidad del procesamiento interno.
5. Utiliza el computador como una herramienta para realizar las funciones de auditoria.

Las desventajas de esta tcnica son:

1. Requiere tiempo de computador.
2. Requiere conocimientos tcnicos de PED y personal de auditoria ms hbil.
3. Representa una prueba sobre lo hecho (sobre lo conocido) mas que una prueba
preventiva.
4. Representa solo una prueba limitada del sistema.

DATOS DE PRUEBA

Los datos de prueba son transacciones simuladas que incluyen idealmente todo tipo de
condiciones posibles, incluyendo aquellas que el sistema es incapaz de manejar, debido a la
carencia de controles apropiados. Quiere decir esto que la lista de transacciones simuladas
debera probar condiciones tanto validas como invalidas.

Los datos de prueba deben ser procesados con los programas regulares del sistema.

Propsito de los datos de prueba.

El auditor no puede ver fsicamente las operaciones y los controles dentro de la caja negra
(programas de aplicacin), pero puede ver un listado de los resultados de la prueba donde por
ejemplo, algunas transacciones que deberan ser rechazadas no lo fueron, o donde condiciones de
overflow causaron errores o donde transacciones fuera de limite fueron procesadas como si
fueran correctas (Ej. .transacciones de clientes que exceden el limite de crdito). El auditor
tambin puede determinar si la caja negra esta procesando apropiadamente las transacciones
validas.

El uso de los datos de prueba abre ventanas en la caja negra, porque las transacciones simuladas
se procesan en el sistema de computador y generan resultados que son comparados por el
22
auditor con resultados esperados manualmente con anterioridad. Es decir antes de ejecutar el lote
de prueba, el auditor calcula los resultados que debera obtener y luego los compara con los
obtenidos en la prueba.

Como preparar los datos de prueba

Generalmente, los datos de prueba se aplican de la siguiente manera:

1. Se debe revisar todo el sistema de controles.
2. Sobre la base de esta revisin se disean las transacciones para probar aspectos
seleccionados del sistema o todo el sistema.
3. Los datos de prueba se transcriben a los formatos de entrada al sistema.
4. Los datos se convierten (graban) a medios utilizables por el computador. El auditor debe
verificar la conversin mediante rutinas de balanceo o en listados de validacin que se
produzcan. Adems debe guardar el medio magntico que contiene la informacin hasta
cuando realice la prueba.
5. Los datos deben procesarse con los programas de la aplicacin que estn vigentes. El
auditor debera estar presente durante el proceso de los datos para asegurar que:
a) no se introduzca informacin adicional,
b) se utilizan los procedimientos de operacin estndar,
c) no ocurra alguna irregularidad cuando se efecta la prueba,
d) Todos los documentos impresos (hardcopy) que se produzcan sean retenidos por
el auditor.
6. Los resultados obtenidos en el punto 5, se deben comparar con los resultados
predeterminados.

Controles de auditoria sobre los programas de computador que estn siendo probados.

El principal objetivo del uso del lote de prueba es verificar la operacin de los programas de
computador de los clientes para ver si operan como se piensa (desea).

El auditor debe asegurarse que el programa que est probando es el mismo que est actualmente
en produccin. Esta seguridad se puede obtener mediante la verificacin previa de los
procedimientos de Control de Cambios a Programas y de la fecha de actualizacin del programa
o programas a probar, las cuales deben coincidir con la fecha de los programas en Produccin.

Aplicacin de los datos de prueba

El auditor debe tener el diseo de los registros de transacciones para preparar sus transacciones
de prueba. Este diseo debe contener el nombre de cada campo, el tamao y su configuracin
(numero o alfanumrico). El auditor incluye sus propios datos en los campos apropiados para
producir resultados predeterminados. Si los resultados de las pruebas no estn de acuerdo con
23
los resultados esperados se debe hacer una investigacin mas profunda para determinar la razn
para las variaciones.

Los siguientes son algunos tems que normalmente deberan ser incluidos en la aplicacin de datos
de prueba.

1. Verificar si se producen totales de control y se devuelven a la mesa de control. Por
ejemplo: si se procesan 100 registros de prueba, el total de control debe indicar 100.
2. Tratar de procesar una transaccin sensitiva sin la debida autorizacin y observar si el
sistema la rechaza (por ejemplo cambiar el limite de crdito).
3. Hacer chequeos numricos, alfabticos y caracteres especiales.
4. Entrar a un campo con signo negativo y observar si se procesa realmente con este signo.
En algunos sistemas sin controles apropiados, el signo negativo se convierte en positivo.
Hacer comprobaciones de validez. Por ejemplo entrar un cdigo invalido o un
departamento con cdigo equivocado.
5. Hacer pruebas de racionalidad y de limite.
Ejemplo: empleado que trabaja mas de 48 horas por semana; retiro por mas de $50.000
sin autorizacin apropiada.
6. Cuando las transacciones deben estar ordenadas por numero de secuencia, ingresar
transacciones en desorden.
7. Incluir un numero de cuenta dgito de chequeo predeterminado y ver si se procesa
normalmente.
8. Uso de diferentes unidades de medida. Ejemplo: pies por libras.
9. Incluir diversos campos con datos incompletos o inexistentes.
10. Insertar caracteres en campos que causen condiciones de overflow
11. Tratar de leer o escribir un archivo equivocado.

Los archivos que se van a probar, deben ser copiados al ambiente de pruebas como archivos
especiales de trabajo con el fin de permitir todo tipo de pruebas.

Ventajas y desventajas de los datos de prueba.

1. No se requiere que el auditor tenga grandes conocimientos tcnicos.
2. Tiene buena aplicacin donde son pocas las variaciones y combinaciones de
transacciones.
3. Da una evaluacin y verificacin objetiva de los controles de programa y de otras
operaciones que serian impracticables por otros medios.
4. Los datos de prueba se podran correr sorpresivamente para descubrir la posible
modificacin de programas sin autorizacin e incrementar la efectividad de otras pruebas
realizadas.

Las desventajas son:

24
1. Se requiere bastante tiempo y esfuerzo para preparar y mantener un lote de datos de
prueba representativo. Cualquier cambio en programas, diseo de registros y sistema,
implican cambiar los datos de prueba.
2. En algunos casos el auditor puede no probar el sistema que realmente esta en produccin.
3. En un sistema complejo con gran variedad de transacciones es difcil anticipar todas las
condiciones significativas y las variedades que deberan probarse.
4. El auditor debe estar bastante relacionado con la lgica de programacin que est
probando.
5. La prueba en si misma no detecta todos los errores. Cuando los programas son
complejos, pueden existir infinidad de rutas y es muy difcil seguirlas todas.
6. Hay una probabilidad muy alta que el lote no detecte manipulaciones inadecuadas de una
cuenta o cantidad especifica.

Sugerencias para desarrollar Datos de Prueba.

Para archivos maestros:

1. Duplicar registros.
2. Proceso de registros.
3. Cargar e intentar procesar archivos equivocados.

Para registros nuevos:

1. Crear un registro nuevo antes del primer registro existente en el maestro (test de low-
sequence).
2. Crear un registro nuevo despus del ultimo registro existente en el maestro (test de high-
sequence).
3. Crear tres o cuatro registros nuevos con llaves consecutivas dentro de registros que no
existen.
4. Crear un registro para una divisin inexistente, un departamento, una planta, un tem de
inventario, empleado, cliente, y as sucesivamente.
5. Crear dos o ms registros de cabecera, uno inmediatamente despus del otro.
6. Crear un registro nuevo con llaves ceros.
7. Crear un registro nuevo con llaves nueves.
8. Crear un registro nuevo, pero incompleto. (Por ejemplo: Solo uno o dos campos de diez
posibles)

Para transacciones:

1. Crear transacciones para el primer registro del archivo.
2. Crear transacciones para el ultimo registro del archivo.
3. Crear transacciones para otros registros diferentes al primero y el ultimo del archivo.
4. Crear transacciones para un registro nuevo creado en la misma corrida.
25
5. Crear transacciones para varios registros consecutivos.
6. Crear varios tipos de transacciones para un mismo registro.
7. Intentar crear transacciones para registros inexistentes que fueron menores en secuencia
que el menor registro existente; mayores en secuencia que el ultimo registro existente, y
entre registros existentes, as como para varios registros consecutivos no existentes.
8. Crear transacciones de tal manera que los totales se hagan negativos y verificar el efecto
en otros campos del registro.
9. Crear cantidades demasiado grandes para crear overflow. Examine los resultados.
10. Si se utiliza un registro de encabezado seguido por registros de detalle, cree registros
detallados para el primer registro del archivo, el ultimo registro, dos registros
consecutivos, un registro no existente y varios registros inexistentes.

Para borrar registros e inactivos:

1. Eliminar el primer registro de cada archivo.
2. Eliminar el ultimo registro de cada archivo.
3. Eliminar 3 o 4 registros consecutivos de cada archivo.
4. Intentar acceder un registrar inexistente.
5. Codificar un registro como inactivo e intentar grabar datos al mismo registro en la misma
corrida.
6. Volver activo un registro inactivo y crearle transacciones en la misma corrida.

Para Fechas:

1. Asegurarse que todos los campos de datos de fechas se han actualizado correctamente.
2. Crear fechas con meses 00 y 13, das 0 y 32 y un ao invalido.
3. Crear fechas que estn fuera de los intervalos de actualizacin. Ejemplo: en un periodo
mensual, hacer intervalos de mas de 30 das.
4. Hacer dos corridas de actualizacin con la misma fecha.

Para pruebas de lgica y proceso:

1. Verificar todos los clculos que producen promedios o porcentajes con pequeos,
medianos y grandes valores.
2. Crear una condicin para todas las rutinas de divisin con cero como denominador.
3. Crear datos de prueba para valores menores que el mnimo y mayores que el mximo
permitidos.
4. Crear datos para todas las excepciones y errores.
5. Crear datos que incluyan excepciones mltiples y errores en la misma transaccin.
6. Crear datos para los valores mnimos y mximos de cada campo.

Para programas de validacin. Los datos de prueba para campos alfabticos incluirn:

26
1. Campo completamente lleno de letras.
2. Campo completamente en blanco.
3. nicamente nmeros
4. La primera posicin alfabtica
5. Primera posicin en blanco.
6. Mezcla de caracteres numricos

Datos de prueba para los campos de cantidad o valor incluirn:

1. Campo lleno de nueves.
2. Campo lleno de ceros.
3. Campo lleno de blancos.
4. Exacto el limite inferior, si lo hay.
5. Exacto limite superior, si lo hay.
6. Una cantidad o valor tpica entre los limites.
7. Valor superior al limite, si lo hay (diferente de nueves).
8. Valor inferior al limite, si lo hay (diferente de ceros).
9. Valor con signo errado (+ o -).
10. Datos alfabticos en cada campo.

Para programas de actualizacin:

1. Disear datos para crear varios registros maestros completos.
2. Crear datos para cambiar un registro maestro inexistente.
3. Disear datos para crear datos con la misma llave de otro existente.
4. Crear datos con un registro cuya llave sea ceros.
5. Crear datos con un registro cuya llave sea nueves.
6. Crear uno o dos tem para establecer un registro del archivo maestro nuevo pero
incompleto.
7. Disear datos para crear un nuevo registro en el archivo maestro y hacerle cambios
posteriormente en la misma corrida.

Para programas de proceso:

1. Entrar datos que produzcan resultados de clculos con valores pequeos, medianos y
muy grandes.
2. Entrar datos que creen condiciones de divisin o multiplicacin por cero.
3. Entrar datos que originen desbalanceo del registro de control de lote. Examinar
resultados.
4. Disear varias entradas contables ilgicas (ejemplo: Crdito a gastos de depreciacin y
debido a cuentas por cobrar)
5. Entrar datos que causen overflow.

27
Para programas de reportes:

1. Incluir datos de prueba con valores negativos para asegurar que se imprimen los signos
para cada campo, en cada lnea de detalle y en las lneas de total.
2. Crear datos con nueves en todo el campo para asegurar que se imprimen y que no se
ponen en otros.
3. Entrar datos de prueba con solo ceros para probar la supresin de ceros no significativos
en la impresin.
4. Verificar todas las sumas y resultados de los clculos.
28

Enfoques y Tcnicas de Auditora para probar los sistemas de PED

TCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR

TIPOS DE PRUEBA DE AUDITORIA

- Sustantivas
v con el computador
v sin el computador

- De cumplimiento

v con el computador
v sin el computador

ALCANCE DE LAS PRUEBAS DE AUDITORIA

- Comportamiento del sistema ante situaciones normales.

v de normal ocurrencia para la operacin o negocio
v previstas y establecidas para el funcionamiento normal del sistema

- Comportamiento del sistema ante situaciones fuera de lo normal.

v generalmente no consideradas ni previstas en el diseo del sistema por ser obvias,
de sentido comn
v exticas o extremas, como por ejemplo:

Fechas invalidas.
Insuficiencia de tamao en campos de valor.
Perdida de dgitos en cargue o traslado de acumuladores.
Validez de campos.
Valores negativos.
Inconsistencias entre diferentes campos de un mismo archivo.

ENFOQUES PARA APLICAR PRUEBAS DE AUDITORIA

1. HISTORICO / ESTATICO

Tiempo de la prueba posterior al tiempo de los eventos ( tp no pertenece te)
29
Auditoria a la informacin sobre hechos cumplidos.
Generalmente se limita a revisar lo conocido (por qu ha ocurrido?)
Auditoria detrs de lo conocido.
o Se cumplieron los controles establecidos?
o La informacin sobre las transacciones que ocurrieron durante un periodo de
tiempo se proceso en forma completa, exacta y oportuna?

Tcnicas aplicables en sistemas Batch y On-line.

o Datos de prueba.
o Sistemas de evaluacin de un caso base.
o Simulacin en Paralelo
o Software de auditoria (paquetes o software hecho a la medida):

Seleccin de transacciones.
Confirmacin de saldos.
Registros extendidos.
Examen de archivos.
Reportes de excepcin.
ACL, IDEA, SPSS, SAS

- Programas de utilidad (Utilities).
- Otras sin utilizar el computador.

2. ON-LINE / SIMULTANEO / SOBRE LA MARCHA

Tiempo de prueba = tiempo de los eventos (tp = te).
Auditoria en tiempo real, simultanea a los hechos que son objeto de la auditoria.
Permite un enfoque ms dinmico de la auditoria, porque la oportunidad de las pruebas
y el trabajo de la auditoria se ejecuta sobre informacin actual no histrica.

o La informacin cumple con los controles establecidos para su procesamiento?
o La informacin refleja un hecho econmico, normal y permisible?

La auditoria puede actuar mas oportunamente, anticiparse a los acontecimientos.
Tcnicas aplicables en sistemas On-line, tiempo real.

o ITF (Facilidad de la prueba integrada o enfoque de la mini compaa o entidad
ficticia).
o Mdulos de auditoria encajados en los programas de aplicacin (SARF y
SCARF).
o Simulacin paralela encajada en la aplicacin On-line.
o Segmento de base de datos del auditor.
30
o En general, requiere el uso de software de auditoria

Paquetes de software de auditoria.
Programas de computador hechos a la medida.
Uso de programas de utilidad (Utilities).

ENFOQUES DE AUDITORIA PARA LOS SISTEMAS DE APLICACIN

A. Para sistemas existentes (aplicaciones en produccin)

1. Si el auditor no estuvo involucrado en el desarrollo de la aplicacin.

- Uso de herramientas y tcnicas aplicables despus del evento. Paquetes, ITF, datos de
prueba, caso base, simulacin paralela, etc.
- Uso de manuales, generalmente anticuados, desactualizados.

2. El auditor estuvo involucrado (participo) en el desarrollo de la aplicacin.

- Emplea rutinas de auditora construidas como parte del sistema. Enfoque al momento,
On-line / simultaneo.
- Complementa con tcnicas aplicables para despus del evento.

B. Para nuevos sistemas

1. Plan de auditabilidad externa al sistema de aplicacin.

- Enfoque despus del evento.
- Tambin enfoque al momento, simulacin paralela no encajada, pero simultanea.-

2. Creacin de auditabilidad en el sistema con mdulos.

Incorporados y componentes dinmicos.

- Sistema de auditoria por computador.
- Mdulos incorporados, registros extendidos, ITF, sealizacin y rastreo (Snapshot y
Tracing), sistemas duales, etc.

31

32
PROCEDIMIENTOS DE AUDITORIA PARA APLICACIONES EN FUNCIONAMIENTO

AREAS DE EXPOSICION ALCANCE PUNTOS DE CONTROL (DE
EXPOSICIN)
METODOS DE AUDITORIA
1. Generacin de transacciones en la
fuente de informacin.
Preparacin manual y el procesamiento
de las transacciones antes de ser entradas
a computador.
1. Registro de datos en los documentos
fuente.
- Revisin de procedimientos
utilizados.
2. Autorizacin de transacciones. - Observacin en las reas del usuario.
3. Preparacin de entradas para el PED. - Rastreo manual de transacciones.
4. Retencin de documentos fuente. - Revisin del transporte de
documentos y registros.
5. Manejo de errores. - Revisin de reportes de errores en el
input, preparados por el computador.
6. Las personas: Identificacin,
autorizacin, autenticacin.
- Verificacin de documentos
fuente.
- Comparacin de datos fuente
con registros del computador.
- Software generalizado de
auditoria (para seleccionar
transacciones y lotes).
- Mdulos (subrutinas) de
auditoria encajadas dentro de
los programas de aplicacin,
para seleccionar
transacciones continuamente.
- Revisin a separacin de
funciones.

33


EXPOSICIN)
2. Transporte de documentos fuente al
centro de PD
Traslado de documentos desde la
fuente de la informacin al centro de
PD y viceversa.
1. Seguridades previstas para el
transporte fsico.
- Observaciones en las fuentes de la
informacin y en el rea de recepcin
de documentos en el PED.
2. Medidas para prevenir prdida o
extravi de documentos.
- Examen de registros y documentos de
control que se utilicen.
3. planeacin de transporte. - Revisin y anlisis de procedimientos
establecidos.
4. Medios de transporte.
5. Las personas.
3. entradas de transacciones a
procesamiento electrnico de datos
(Batch y On-line).
Grabacin (captura), entrada de datos
por terminal, validacin del input,
procedimientos para manejo y
correccin de errores en PD.
1. Entrada de datos On-line. - Revisin y evaluacin de
procedimientos escritos ( en las reas
del usuario y en PD).
2. Entrada de datos en forma batch. - Seleccin de transacciones, rastreo
manual y verificacin.
3. Validacin de datos de las
transacciones.
- Revisin a separacin de funciones.
4. Manejo de errores en los datos de
las transacciones.
- Observaciones y revisiones de hojas
de control de lote, hojas de ruta y
registros usados en el balanceo y
reconciliacin del procesamiento de
entradas.

5. Las personas. - Software generalizado de auditoria
para seleccionar transacciones y lotes o
paquetes.
- Mdulos de auditoria encajados para
34
seleccionar transacciones.
- Paquete de datos de prueba.
- Facilidad de la prueba integrada (mini
compaa).


EXPOSICIN)
4. Comunicacin de datos. El flujo de datos entre las terminales
remotas y el centro de procesamiento
de datos.
1. Entrada de mensajes. - Verificar mantenimiento preventivo a
los equipos y a la red de comunicacin
de datos.
2. Transmisin de mensajes.

- Revisar procedimientos de reporte de
fallas de operacin de la red.
3. Recepcin y contabilidad de
mensajes.
- Rastreo de log y reportes de errores.
4. Las personas. - Entrevistas con los usuarios da le red.
5. Las lneas de comunicacin. - Uso de la ITF o enfoque de mini
compaa. 6. Modems.
7. Software de comunicacin.
- Software generalizado de auditoria
para seleccionar transacciones.
8. Log de comunicaciones. - Revisin a separacin de funciones.
5. Procesamiento de las transacciones
en el computador.
Programas de computador que
procesan los datos despus de ser
validado el input.
1. Controles para prevenir errores y
omisiones (integridad del
procesamiento).
- Observaciones al rea de operacin
del computador.
2. Restauracin y recuperacin del
procesamiento.
- Revisin del log de consola.
3. Controles para asegurar exactitud y
confiabilidad de los clculos que se
efecten.
- Mtodo de datos de prueba.

4. El operador del computador. - Mtodo del caso base.
35
5. Controles para garantizar seguridad
y privacidad.
- ITF o mini compaa.
- Tagging, Mapping y Tracing.
- Programas de seleccin de
transacciones en listados o por
pantalla.


EXPOSICIN)
6. Manejo de errores. - Mdulos de auditoria incorporados
(subrutinas).
7. Las personas. - Software de auditoria generalizado
para examinar archivos y obtener
evidencias.
8. Mantenimiento y actualizacin de
archivos maestros.
- Simulacin paralela.
- Revisin a separacin de funciones. 9. Reorganizacin de archivos
maestros y cargue / actualizacin de
acumuladores en fechas de corte.
10. Transacciones generales
internamente.

6. Almacenamiento y recuperacin de
datos y de programas.
Almacenamiento de programas y de
archivos de datos (maestros y de
transacciones).
1. Identificacin, localizacin y
control de archivos de datos y de
programas.
- Software generalizado de auditoria
para extraer y rastrear registros.
2. procedimientos de respaldo
(backup) de archivos maestros y de
transacciones en fechas de corte.
- Examen de procedimientos de backup
y manejo de archivo en bibliotecas.
36
3. Acceso lgico y fsico a los archivos
y libreras de programas.
- Revisin de log de seguridad y de
registros de librera de medios.
4. Manejo de errores. - Revisin de salidas del SMF.
5. Las personas. - Revisin de separacin de funciones.
6. Las bibliotecas de medios
magnticos.
- Observacin e inspeccin de las reas
de biblioteca.
7. Procedimiento de transporte de
archivos a las bibliotecas.

PROCEDIMIENTOS DE AUDITORIA PARA CENTROS DE SERVICIOS DE COMPUTADOR

AREAS DE AUDITORIA PUNTOS DE CONTROL PROCEDIMIENTOS DE AUDITORIA

1. Control de entradas / salidas de informacin. 1. Mtodos de planeacin de la produccin.
2. Procedimientos de control de E / s.
3. Procedimientos de control de la produccin.
4. Procedimientos para el manejo de errores.
5. Distribucin de reportes.
6. Personas.
- Anlisis de procedimientos establecidos.
- Examen de log y registros que se mantengan.
- Observacin para determinar cumplimiento de
procedimientos establecidos.
- Rastreo del flujo de los datos a travs de la
funcin de control de E / s para probar si los
procedimientos son apropiados.
- Entrevista con los usuarios de PD.
2. Biblioteca de medios magnticos. 1. Seguridad fsica y controles de acceso.
2. Registro y control de inventario.
3. Backup y almacenamiento fuera de la
instalacin. (Off-site)
4. Retencin, limpieza y reciclaje.
5. Procedimientos establecidos.
6. Bibliotecarios.
- Uso de guas de control.
- Observacin.
- Revisin de registros y logs de inventario
- Rastreo de archivos de backup y de polticas
de retencin para una o ms aplicaciones
especificas.
- Uso de sistemas de inventario automatizado
37
que proporcionan listados.
3. Separacin de funciones Incompatibles. 1. En produccin.
2. En operacin del computador.
3. En biblioteca de medios magnticos.
4. En generacin de transacciones.
5. En desarrollo y mantenimiento de aplicaciones.
- Revisin del grafico de la organizacin.
- Entrevistas.
- Observacin.
- Rastreo de flujo de transacciones relacionadas.
- Examen de logs y de registros de control.
- Anlisis de registros del Job Accounting
(SMF).
4. Controles ambientales y de seguridad fsica. 1. Temperatura y humedad.
2. Fuente de potencia estable.
3. Fuente de potencia alternativa (UPSs).
4. Proteccin contra incendios.
5. Control de acceso fsico.
6. Procedimientos para liberacin de datos,
reportes y programas de computador.
7. Seguros contra accidente e interrupcin del
negocio.
- Examen de documentos relativos a provisiones
para contingencias.
- Simular un desastre.
- Examen de backups.
- Examen de procedimientos establecidos.
- Observacin.
- Entrevistas.



5. Planes para recuperacin de desastres. 1. Asignacin de responsabilidades.
2. Planes de accin para emergencias.
3. Uso de instalaciones y archivo de backup.
4. Puntos y tcnicas de control para asegurar la
integridad de los datos y programas durante la
transicin.
5. Procedimientos para el transporte de backups
de datos, programas y documentacin desde el
sitio del almacenamiento hasta el centro de
procesamiento.
para contingencias.
para contingencias.
- Simular un desastre.
- Examen de backups.
- Examen de procedimientos establecidos.
- Observacin.
- Entrevistas.
6. Reportes de malfuncionamiento y
mantenimiento preventivo de los equipos.
1. Registro y reporte de fallas.
2. Planeacin de mantenimiento preventivo de
hardware y software.
- Examen de reportes de malfuncionamiento y de
las acciones correctivas utilizadas.
- Revisar el plan de mantenimiento preventivo.
38
3. Correccin del mal funcionamiento.
4. El personal tcnico de mantenimiento.
5. El personal de operacin de equipos.
- Examinar contratos de mantenimiento.
- Entrevistas con el personal de operacin y
mantenimiento.
7. Planeacin de la sistematizacin de la empresa. 1. Carga y proyecciones de utilizacin de
equipos.
2. Planes de trabajo y asignacin de recursos de
personal.
3. Planeacin estratgica de la sistematizacin
(Plan maestro).
4. Revisin peridica de planes y proyecciones.
5. Participacin de la direccin de la empresa
(comit de sistemas).
- Revisin y examen de los documentos de
planeacin anual preparada y aprobada por la
administracin de PD.
- Anlisis del plan estratgico.
- Revisin de planes de inversin de capitales,
equipos o de arrendamiento a largo plazo.
8. Procedimientos de cargos y facturacin de
costos de sistematizacin.
1. Job Acounting.
2. Algoritmos de facturacin.
3. Reconciliacin de la facturacin.
4. Declaraciones peridicas de facturacin al
usuario.
- Rastreo de la informacin generada por el
software de Job Accounting (SMF).
- Revisin del algoritmo de facturacin.
- Revisin de las tablas de porcentaje utilizadas.
- Rastreo de las cuentas hacia atrs, hasta los
registros de Job Accounting.
- Reconciliacin de los costos totales de PD con
los costos cargados mensualmente.
- Revisin de tendencias de facturacin para
algunas aplicaciones.



9. Seguridad lgica de los archivos de datos y de
programas.
1. Proteccin de archivos a travs del sistema.
2. Procedimientos de control y administracin de
passwords.
3. Software de control de acceso.
4. Categoras de clasificacin de la informacin.
5. Niveles de autorizacin de usuarios.
- Observacin.
- Entrevistas.
- Examen de proteccin lgica establecida para
archivos crticos.
- Comprobacin de la operacin de controles
proporcionados por el sistema operacional.
39
6. Administrador de seguridad.
7. Programas de utilidad de acceso restringido.
- Examen del procedimiento utilizado para control y
administracin de passwords.
- Examen del procedimiento establecido para el uso
de utilities.
- Examen de log de actividad del sistema.
10. Documentacin para el manejo de sistemas 1. Documentacin tcnica de las aplicaciones.
2. Documentacin tcnica de los programas.
3. Instrucciones para la operacin del computador.
4. Instrucciones para el manejo de la biblioteca de
medios magnticos.
5. Instrucciones para el control de entradas y
salidas de PD.
6. Documentacin tcnica del software del
sistema.
- Entrevistas.
- Examen de documentacin existente.
- Observacin de las operaciones.
- Elaboracin de inventario de documentacin.
- Confirmacin del nivel de actualizacin del
software del sistema.
11. Programa de control de cambios al software (de
aplicacin y el sistema)
1. Procedimiento y formas de solicitud y
autorizacin de cambios.
2. Procedimientos de aprobacin de acceso a
libreras de programas fuente.
3. Prueba y certificacin de los resultados de las
pruebas.
4. Procedimientos de reentrada de programas
modificados a las libreras de produccin
(objeto).
5. Registro y control de cambios no programados.
- Pruebas de cumplimiento: uso de informacin de
contabilidad (SMF por ejemplo), comparacin de
cdigos, rastreo y revisin de documentos de
autorizacin.
- Revis in de pistas existentes sobre documentos de
autorizacin de cambios.
- Anlisis de reportes sobre cambios de emergencia.
- Entrevistas
- Anlisis de procedimientos establecidos.



12. Estndares y guas de sistemas. 1. Normas para el desarrollo y mantenimiento de - Observacin.
40
aplicaciones.
2. Normas para elaboracin de manuales para el
personal de sistemas y del usuario.
3. Normas para la programacin de computadores.
4. Nomenclaturas para programas y archivos.
5. Lenguaje de procedimientos (JCL).
6. Normas para el diseo y mantenimiento de
controles.
- Entrevistas.
- Anlisis de procedimientos, normas y polticas
establecidas.
- Pruebas de cumplimiento.
- Uso de guas de sistemas.
- Uso de guas de control.
13. Otros controles administrativos y
organizacionales.
1. Organigrama.
2. Asignacin de funciones.
3. Planes de trabajo, vacaciones y capacitacin.
4. Registro y control de inventario de equipos.
- Entrevistas.
- Anlisis de informacin sobre el personal de
sistemas.
- Anlisis de informacin proporcionada por la
Gerencia de PD.
- Verificacin de inventarios y registros de
activos fijos.

CARTAS DE RECOMENDACIONES DE CONTROL INTERNO

Aspectos generales.

Enfoque de las cartas de recomendaciones.

Redaccin de la carta.

A quien debe ser dirigida la carta.

Seguimiento de la carta de recomendaciones.

ASPECTOS GENERALES:

La carta de recomendaciones de control interno (tambin llamada informe de visita) es un
documento elaborado por los auditores (revisores fiscales, auditores externos y auditores
internos) con base a la evaluacin del control interno que se lleva a cabo en cumplimiento de
las normas de auditoria generalmente aceptadas; a travs de dicho documento, los auditores
hacen llegar a los gerentes y administradores de la empresa, sus puntos de vista sobre el
control interno, los procedimientos y el sistema de contabilidad y las polticas de
administracin utilizadas por la compaa, con el propsito de que al aplicar las
recomendaciones y sugerencias de los auditores, se fortalezcan los controles y en
consecuencia se protejan mejor los intereses de la empresa.

Las cartas de control interno cubren bsicamente los siguientes aspectos:

1. Debilidades en los sistemas de control interno.
2. Desviaciones de los procedimientos y polticas establecidas.
3. Ausencias de control interno.
4. Falta de aplicacin o aplicacin incorrecta de los principios y practicas de contabilidad de
aceptacin general.
5. Procedimientos de administracin inadecuados.
6. Inobservancia de disposiciones legales que pongan en peligro el funcionamiento de la
empresa.

ENFOQUE DE LAS CARTAS DE RECOMENDACIONES

Debido a que las cartas de control interno contienen generalmente criticas que de alguna u
otra manera afectan a los empleados que intervienen en los procedimientos y transacciones
42
cuestionadas, es conveniente tener en cuenta los siguientes aspectos para lograr que tales
criticas sean bien recibidas:

Tener un conocimiento completo sobre la situacin cuestionada y haber hecho una
cuidadosa apreciacin de los hechos.

No debemos aventurarnos en casos que no dominemos perfectamente el tema. Ninguna
critica debe ser hecha, ni sugerencia alguna ofrecida, sin el completo conocimiento y la
cuidadosa apreciacin de los hechos.
Antes de la emisin de la carta final se considera invariablemente necesario discutir las criticas
y sugerencias propuestas con las personas responsables dentro de la organizacin, quien
tenga conocimiento de los hechos.

Nuestras conclusiones deben estar respaldadas con hecho concretos y evidentes. No
debemos referirnos a un hecho aislado, sino a situaciones que constituyan normas y
procedimientos generales.

No ser apasionados ni inclinarnos a favor de persona alguna.
No dejarnos influenciar por ejecutivos o empleados que tengan inters en sealar una
situacin determinada.

Evitar asuntos de poca importancia.

Es conveniente analizar con detenimiento cada deficiencia con el fin de incluir en la carta de
control interno solo los asuntos que por su importancia y valor practico contribuyan a que
dicho documento sea de inters para la empresa.

El incluir asuntos rutinarios y de poca importancia puede restar el efecto de inters y
trascendencia que deben tener todas las cartas de control interno.

Enfocar las observaciones de manera practica y flexible.

Las sugerencias sobre el control interno y sistemas de contabilidad deben ser practicas y estar
de acuerdo con las condiciones existentes. No debemos pretender hacer valer nuestros
gustos o preferencias personales.
Hay que ser flexible en todos aquellos puntos en que los argumentos expuestos por la
empresa ante una situacin dada, nos convenza de hacer una cosa en forma determinada,
siempre que estn de acuerdo con las buenas prcticas de contabilidad y de control interno.

Tener en cuenta el tamao y la magnitud de la empresa.

Hay que tener presente el tamao y la organizacin de la empresa u otras limitaciones
parecidas de forma tal que nuestras observaciones y criticas estn acordes con los volmenes
43
de transacciones. No debemos olvidar que un problema de las mismas caractersticas en una
empresa grande y en una empresa pequea puede requerir de soluciones diferentes. Algunos
ejemplos de estas situaciones se describen a continuacin:

v Cuando por falta de empleados no es posible establecer una divisin de funciones
para estrechar el control interno y que el contador no prepare conciliaciones
bancarias.

v Cuando el cajero no deposita inmediatamente el dinero sobrante en el pago de una
nomina por sueldos no reclamados, pero sin embargo, el contador mantiene un
control sobre los sueldos no reclamados.

En tales casos, debemos evaluar los procedimientos sustitutivos que la empresa tiene en
practica y recomendar los que puedan solucionar el problema sin contratiempos para el
negocio, aunque no sean estos los procedimientos clsicos, siempre que sean aceptables.

En pequeas empresas, negocios de un solo dueo, la intervencin directa de su propietario
en la administracin y el control que este ejerce sobre todas las fases del negocio, son
factores a considerar en la redaccin de una carta de recomendaciones.

Enfocar las criticas hacia soluciones que favorezcan a la empresa y no a los
auditores.

Algunas veces deseamos sugerir a la empresa un cambio, pero es para satisfacer un gusto o
una preferencia personal sobre la forma de hacer una cosa determinada.
Hay muchas formas de hacer un mismo trabajo y por eso no debemos empearnos en que se
haga segn nuestro criterio. Hay que tener presente que lo importante en una auditoria es el
resultado, no el sistema, o el medio de llegar a ese resultado.

A veces argumentamos que no podemos desarrollar un trabajo de auditoria con facilidad, por
que el sistema no se adapta a nuestros requerimientos desde el punto de vista de la auditoria.
Hay que pensar que el sistema, normas y procedimientos de trabajo son para el uso de los
empleados de la empresa durante todo el ao y es para ellos que se establecen esos
procedimientos, no para la facilidad de los auditores que intervienen durante un corto periodo.

Reflexionar sobre el enfoque de la carta de control interno.

Desafortunadamente algunos auditores restringen sus cartas de recomendaciones a
sugerencias de rutina como las que aparecen mecnicamente durante la revisin. Algunos
ejemplos son:

v Problema de caja chica.
v Omisin de sellar pagado fecha, en los documentos al momento de ser pagados.
44
v Cuentas bancarias no reconciliadas mensualmente.
v Estados de cuanta no enviados mensualmente a los clientes.
v Registros de archivos fijos detallados inadecuadamente.
v Controles deficientes sobre cuentas por pagar.
v Debilidades en los procedimientos de nomina de sueldos.
v Falta de limpieza en los libros de contabilidad.
v Carencia del libro oficial de inventarios.
v Seguros de manejo.

Los puntos antes mencionados son importantes y, en definitiva, deben ser incluidos en las
cartas de recomendaciones.
Sin embargo la carta no debe restringirse en si, a tales puntos, sino que tambin debe incluir
sugerencias que provengan de un estudio completo de los procedimientos de las empresas y
del uso de la reflexin. Unos pocos ejemplos de tales puntos son:

v Medios de reducir el trabajo de oficina.
v Posibilidad de un sistema mecanizado o automatizado para ahorrar tiempo y trabajo y la
implantacin de sistemas mas adecuados.
v Mejoramiento de los procedimientos o controles internos a travs de una mejor
distribucin del trabajo o reasignacin de funciones.
v Aceleracin del trabajo a travs de formularios mejor diseados o la combinacin de
formularios existentes.
v Mejoras en los procedimientos de inventario perpetuo y fsico.
v Posible eliminacin de ciertos datos contables no utilizados por la Gerencia.
v Mejoramiento de los informes y estados financieros internos. Proporcionar a la empresa
(cuando sea aplicable y no exista la posibilidad de obtener este trabajo adicional), formas
de impresos y de estados financieros para informes a la Gerencia.
v Mejoras en la contabilidad de costos.
v Utilidad de los presupuestos.
v Normas para preparar un manual de procedimientos o sealar cambios de importancia en
el cdigo de cuentas para que los estados financieros sean ms significativos.
v Cobertura de seguros insuficiente.

Estos y muchos otros asuntos podran incluirse en las cartas de recomendaciones. Sin dejar
de prestar atencin a los asuntos de pura rutina, debemos dirigir la atencin de la empresa a
aquellos asuntos que positivamente habrn de producirle una ventaja inmediata.

Conclusin sobre el enfoque de las cartas de recomendaciones.

Los trminos generales, en las cartas de recomendaciones, se deben incluir aquellos aspectos
que los funcionarios y empleados de la empresa puedan palpar como beneficios positivos y
que al ponerlos en practica, van a ser vistos y sus consecuencias observadas.

45
Como ya se ha dicho, una carta de recomendaciones produce a veces resquemores y
malestar en las personas que se sienten aludidas con nuestras criticas. Por eso siempre
debemos sealar asuntos positivos y de verdadero valor.

Por otra parte si las practicas errneas que hemos sealado han sido corregidas de acuerdo
con nuestras sugerencias y se han conseguido los resultados deseados, es lgico que esas
personas se sientan halagadas si nosotros sealamos en otra carta lo que se ha hecho en
atencin a nuestras sugerencias y los resultados positivos que se han obtenido. Esto, como
poltica, dar mas importancia aun a las cartas de recomendaciones y producir el efecto de
mejorar nuestras relaciones con los funcionarios y empleados de la empresa, eliminado
cualquier aspereza que pudiera existir hacia nosotros. Este es el medio del cual nos podemos
valer para decirle a la empresa en una forma muy sutil, que las cartas de recomendaciones son
de un valor extraordinario y que por consiguiente siempre debern prestarles atencin.
46

Papeles de Trabajo

1. ARCHIVO PERMANENTE:

1.1. OBJETIVO:

Mantener organizada y disponible la informacin que refleja las caractersticas y el
funcionamiento de la entidad o de las reas objeto de estudio y evaluacin, para
consulta por parte de los auditores.

1.2. CARACTERISTICAS:

1.1.1 Contiene, segn los parmetros fijados por el director del departamento, la
informacin importante para comprender en forma exacta, rpida y sencilla las reas
objeto de auditoria.
1.1.2 Son de valor constante.
1.1.3 Se conforma completamente una sola vez (en la primera auditoria). Despus se le
efecta mantenimiento y actualizacin.
1.1.4 Se elabora uno por uno:

v Cada aplicacin.
v Centro de procesamiento (centro de computo)
v rea especifica evaluada.

1.3. IMPORTANCIA:

v Son de fuente de consulta permanente, gil y eficaz para atender las necesidades de
informacin de los auditores.
v Constituyen la base sobre la cual los auditores proyectan trabajos de revisin
especficos y resuelven dudas.

1.4. CONTENIDO:

1.4.1. CENTROS DE PROCESAMIENTO DE DATOS:

v ndice.

v Organigrama del departamento de sistemas.

v Funciones por cargo.

47
v Plano de la distribucin fsica del rea (electrnica, elctrica, hidrulica y seguridad
fsica y lgica)

v Informacin bsica sobre equipos PED utilizados

v Informacin bsica disponible.

v Configuracin de los equipos.

v Lista de aplicaciones en produccin.

v Lista de normas de seguridad establecidas para el centro de procesamiento.

v Plan de contingencia.

v Plan de mantenimiento de equipos.

v Plan estratgico de sistematizacin.

v Normas, estndares y procedimientos generales de sistemas.

1.4.2. APLICACIONES EN FUNCIONAMIENTO

v ndice.

v Macrodiagrama de los procesos manuales y automatizados de la aplicacin.

v Muestra de los documentos fuente.

v Muestra de los informes producidos por la aplicacin.

v Inventario de informes producidos.

v Lista de programas de computador.

v Diseos de captura o consulta.

v Descripcin de los diseos de registros de archivos maestros y de movimiento.

v Copia o referencia a normas legales y polticas de la compaa que rigen el
funcionamiento de la aplicacin.

48
v Diagrama de los procesos computarizados.

v Plan de ejecucin de procesos. Procesos alternos.

v Descripcin de clculos importantes efectuados por los programas de aplicacin.

v Clasificacin de los datos de los archivos maestros, diferenciando los reportados, de
los calculados por el sistema.

1.4.3. APLICACIONES EN DESARROLLO:

v ndice.

v Notas sobre el examen de los documentos que contienen el anlisis del sistema
actual.

v Copia de las especificaciones funcionales del proyecto en desarrollo.

v Diseo conceptual del nuevo sistema.

v Resultado de los anlisis de costo / beneficio.

v Copia del plan de trabajo para el desarrollo del proyecto.

v Diseo de archivos y reportes.

v Diseo de documentos fuente.

v Lista de programas de la aplicacin.

v Lista o copia de la documentacin de la aplicacin.

v Copia o referencia a normas legales y polticas de la compaa, que rigen el
funcionamiento de la aplicacin.

2. ARCHIVO CORRIENTE:

2.1. OBJETIVO:

Contener la documentacin detallada de cada trabajo de auditoria que se realice.

49

2.2.1. No es actualizable.

2.2.2. Debe elaborarse completamente cada vez que se realice una auditoria.

2.2.3. El de la ultima versin, es el de valor actual.

2.2.4. Se elabora uno por cada trabajo de auditoria.

2.3. IMPORTANCIA:

2.3.1. Sirven como evidencia de los objetivos y el alcance de cada trabajo realizado y
de los procedimientos de auditoria.

2.3.2. Constituyen el soporte de os informes que emite el auditor.

2.3.3. Sirve de ayuda para la discusin del informe con los responsables de las reas
auditadas.

2.3.4. Sirve de punto de partida para el seguimiento del trabajo y la ejecucin de la
siguiente auditoria.

2.3.5. Sirven de referencia y consulta mientras estn vigentes.

2.4. CONTENIDO:

2.4.1. CENTROS DE PROCESAMIENTO DE INFORMACIN:

v ndice.

v Memorando de planeacin de la auditoria.

v Programa de trabajo.

v Lista de comprobacin o planillas de anlisis de riesgos para evaluacin del control
interno.

v Programa de auditoria.

v Diseo de pruebas de auditoria.
50

v Resultados de las pruebas y anlisis de las mismas.

v Planillas de observaciones, para discusin con las reas afectadas y con la Gerencia.

v Informe con los resultados de la auditoria.

v Puntos de inters y sugerencias para las prximas revisiones.

2.4.2. APLICACIONES EN FUNCIONAMIENTO:

El archivo debe contener los mismos tem definidos para centros de procesamiento de
informacin.

2.4.3. APLICACIONES EN DESARROLLO:

v ndice.

v Memorando de planeacin de la auditoria.

v Programas de trabajo.

v Programas de auditoria.

v Lista de evaluaciones de controles.

v Planillas de observaciones, para discusin con la Gerencia.

v Informe con los resultados de la auditoria.

3. ARCHIVO ADMINISTRATIVO:

3.1. OBJETIVO:

Mantener un registro actualizado de los planes, herramientas, estndares de trabajo y
recursos disponibles para la administracin y el desarrollo continuado de la Auditora
de Sistemas.


51
3.2.1. Es el resultado de la planeacin y el desarrollo alcanzado por la Auditora de
Sistemas como funcin permanente dentro de la empresa.

3.2.2. Contiene los elementos necesarios para tomar las decisiones sobre que auditar,
con qu recursos, como adelantar el trabajo, donde y cuando.

3.2.3. Se mantiene y actualiza constantemente.

3.3. IMPORTANCIA:

3.3.1. Reflejan el grado de desarrollo alcanzado por la Auditora de Sistemas.

3.3.2. Es un archivo de uso y consulta permanente.

3.3.3. Sirven de referencia histrica del trabajo desarrollado a travs del tiempo.

3.3.4. Es una herramienta de organizacin para la direccin de la Auditora de Sistemas.

3.4. CONTENIDO:

- Estndares de trabajo (manual de Auditora de Sistemas):

Objetivos, funciones y responsabilidades del rea.
Metodologa para hacer trabajos de Auditora de Sistemas.
Normas para en diseo, elaboracin, organizacin, archivo y destruccin de
papeles de trabajo.
Guas sobre procedimientos de auditoria.
Guas para evaluacin del control interno.
Normas para el desarrollo, documentacin y mantenimiento del software de
auditoria.
Inventario y diseo de formas especiales para uso de Auditora de Sistemas.

- Planes de trabajo.

- Trabajos en que se debe dar soporte a otras reas de auditoria

- Inventario de programas de computador desarrolladas para fines de auditoria.

- Inventario de informes y memorandos emitidos por Auditora de Sistemas.

- Inventario y localizacin de archivos de papeles de trabajo.
52

- Registros de control de inventario de medios magnticos, administrados por la Auditora
de Sistemas.

- Inventario y localizacin de fuentes bibliografas disponibles en la biblioteca de la
Auditora de Sistemas.

PAPELES DE TRABAJO

LOS PAPELES DE TRABAJO SON LOS DOCUMENTOS QUE
PREPARA U OBTIENE EL AUDITOR PARA RESPALDAR SU
INFORME Y CUMPLIR ASI CON NORMAS DE AUDITORIA
GENERALMENTE ACEPTADAS

53

CONTENIDO DE LOS PAPELES DE TRABAJO

1. Documentacin de la planeacin y supervisin del
trabajo.
2. Documentacin que respalda la revisin y evaluacin del
control interno.
3. Documentacin de los procedimientos de auditoria aplicados.

Programas de auditoria.
Indicacin de los procedimientos.

4. Documentacin y evidencia de respaldo.

resmenes de saldos
clculos
revisiones analticas
excepciones encontradas
confirmaciones
memorandos

5. Documentacin de conclusiones

respecto al alcance del trabajo
respecto a excepciones encontradas
respecto a hechos poco comunes

54
6. Sugerencias para el prximo examen

QUE DEBEN INCLUIR UN PAPEL DE TRABAJO?

Todo papel de trabajo debe contener lo siguiente:

1. Nombre de la entidad.

2. Nombre de la cuenta bajo examen.

3. Fecha del informe.

4. Referencia (codificacin) del papel de trabajo.

5. Iniciales de las personas que lo prepararon y revisaron.

6. Fecha en que se prepar el papel de trabajo.

55
7. Las fuentes de informacin.

8. Indicaciones claras y concisas de los procedimientos de
auditoria realizados.

9. Conclusin del trabajo realizado.

CLASIFICACION

Los papeles de trabajo segn su naturaleza se clasifican en:

Archivo permanente
Archivo general del periodo examinado
Archivo detallado por reas de trabajo

56

PROPSITO DE LOS PAPELES DE TRABAJO

1. Proporcionar evidencia del examen efectuado por el auditor.

2. Proporcionar evidencia de la planeacin del trabajo.

3. Proporcionar evidencia del entendimiento y evaluacin del
control interno.

4. Proporcionar evidencia de la naturaleza del alcance de las
pruebas de auditoria.

5. Soportar el informe del auditor.

57
6. Proporcionar una base para la revisin del trabajo.

ARCHIVO PERMANENTE

CONJUNTO DE INFORMACIN UTILIZABLE POR VARIOS
AOS.

INFORMACIN QUE CONTIENE:

I. Estructura de la organizacin.

Escrituras de Constitucin.
Estatutos.
Organigrama general.

II. Contratos.

Convenios de prestamos
Contratos de arrendamiento
58
Contratos de servicios

III. Procedimientos contables.

Manual de contabilidad
Practicas contables

ARCHIVO PERMANENTE... Continuacin

IV. Informacin contable de uso continuo.

Detalle por aos del impuesto sobre renta.
Control de amortizaciones.
Detalle de obligaciones bancarias a largo plazo.

V. Otras informaciones.

Extractos o copias de las actas que sean importantes.

59

ARCHIVO GENERAL DEL PERIODO EXAMINADO

Informacin para el uso de la auditoria del periodo
corriente.

Informacin que contiene:

Planeacin.

Correspondencia.

Estados financieros de la compaa.

Balance clasificado por el auditor.

Detalle de los ajustes y reclasificaciones.

Las debilidades y recomendaciones sobre el control
60
interno.

Cartas de abogados.

Presupuesto y control del tiempo.

MODELO DE PAPELES DE TRABAJO UTILIZADOS DURANTE EL
DESARROLLO DE UNA AUDITORIA DE SISTEMAS

61

NOMBRE DE LA ENTIDAD
REFERENCIA: AP-000

AUDITORIA DE SISTEMAS HOJA______ DE______

AREA: ARCHIVO PERMANENTE

INDICE (1/2)

- A. HOJA INDICE. AP-000

- B. PAPELES DE TRABAJO. AP-100

- DECRETO, LEY DE CREACIN O ESCRITURA AP-101
- DESCRIPCIN DE RAZON SOCIAL Y OBJETIVOS AP-102
- LEYES Y REGLAMENTOS AP-103
- ESTATUTOS Y REGLAMENTOS INTERNOS AP-104
- ESTRUCTURA ORGANIZACIONAL, ORGANIGRAMAS, FUNCIONES
AP-105
- PLANES O PROYECTOS INSTITUCIONALES AP-106
- EVALUACIONES ANTERIORES DE CONTROL INTERNO AP-107
- INFORMES ESTADSTICOS DE LA ENTIDAD AP-108
- INFORME ANUAL DE LA GERENCIA AP-109
- INFORMES Y EVALUACIONES DE LA CONTRALORA AP-110
- OTROS AP-111

- C. PAPELES DE TRABAJO RELACIONADOS CON EL AREA DE
SISTEMAS AP-200
- ESTRUCTURA ORGANIZACIONAL Y FUNCIONES AP-201
- CONFORMACIN DEL COMIT DE INFORMATICA Y
FUNCIONES AP-202
- NORMAS Y REGLAMENTOS AP-203
- PLAN INFORMATIVO A CORTO, MEDIANO Y LARGO PLAZO AP-204
- LISTA DE PROGRAMAS OPERATIVOS Y APLICATIVOS AP-205
- ESTANDARES PARA ANLISIS, DISEO, DESARROLLO,
DOCUMENTACIN Y OPERACIONES DE APLICACIONES AP-206
- INVENTARIO DE EQUIPOS DE COMPUTO, CONFIGURACIN Y UBICACIN
AP-207
- PLAN GENERAL DE SEGURIDAD AP-208
- POLIZAS DE SEGURO AP-209
- CONVENIOS DE RESPALDO AP-210

REALIZO: FECHA: SUPERVISO: FECHA:

62
REFERENCIA: AP-000



INDICE (2/2)

- CONTRATOS DE ADQUISICIN Y MANTENIMIENTO DE EQUIPOS
Y PROGRAMAS AP-211

- PROCEDIMIENTOS DE PROTECCIN DE PROGRAMAS, ARCHIVOS
DE DATOS Y EQUIPOS AP-212

- DESCRIPCIN DE UNA APLICACIN EN PARTICULAR AP-213

- CONTRATOS CON SERVICIOS EXTERNOS DE PROCESAMIENTO
DE DATOS AP-214

- ACTA DE INFORMES DEL DESARROLLO INFORMATIVO AP-215

- OTROS

63

REFERENCIA: AC-000


ENTIDAD: ARCHIVO CORRIENTE

64

INDICE

__A. HOJA INDICE AC-
000

__B. PLAN DE TRABAJO AC-050

__C. PROGRAMAS Y CRONOGRAMA DE TRABAJO AC-100

__D. DISTRIBUCION DE TAREAS POR INTEGRANTE AC-150

__E. CORRESPONDENCIA ENVIADA Y RECIBIDA AC-
200

__F. EVALUACIN DE CONTROL INTERNO DE SISTEMAS AC-250

__G. DISEO DE PRUEBAS DE AUDITORIA AC-
300

__H. DOCUMENTACIN, RESULTADO Y ANALISIS
DE PRUEBAS AC-350

__I. PRUEBAS, PLANILLAS, REPORTES, ETC.
ALMACENADOS EN MEDIOS MAGNETICOS AC-400

__J. RESULTADO DE LA SUPERVISIN (ESTADO DEL
TRABAJO, DIFICULTADES Y SOLUCIONES PLANTEADAS) AC-450

__K. INFORME DE AUDITORIA AC-
500

__L. OTROS AC-
550

65


AREA: ARCHIVO CORRIENTE

PLAN DE TRABAJO DE AUDITORIA

2. DESCRIPCIN DEL AREA A AUDITAR

- OBJETIVOS
- ESTRUCTURA
- SISTEMAS
- TAMAO DE LAS OPERACIONES
- OTROS

3. OBJETIVOS DE LA AUDITORIA

- OBJETIVOS
- ENFOQUE DE LA AUDITORIA
- ALCANCE DEL TRABAJO
- OTROS

4. DESCRIPCIN DE AREAS CRITICAS

5. PROGRAMAS DE AUDITORIA

- OBJETIVOS POR AREA DE CONTROL
- PROCEDIMIENTOS POR AREA DE CONTROL
- CRONOGRAMA DE ACTIVIDADES

6. RECURSOS NECESARIOS

- PERSONAL
- ESPECIALISTAS
- PRESUPUESTO DE TIEMPO
- COMPUTADOR CENTRAL / MICROS, SOFTWARE, ETC.
- OTROS

66


REFERENCIA: AC-



PROGRAMA DE AUDITORIA

OBJETIVOS Y PROCEDIMIENTOS

REF. P / T

67


REFERENCIA: AC-



68

ASPECTOS DE LA ENTIDAD QUE DEBEN CONOCERSE

- 1. LA GERENCIA DE SISTEMAS LA OFICINA DE SISTEMAS

- 2. LA ORGANIZACIN EN GENERAL

- 3. EL AREA DEL COMPUTADOR

- 4. LOS EQUIPOS DE COMPUTO Y MICROCOMPUTADORES
REGLAMENTACIN

- 5. LAS APLICACIONES EN PRODUCCIN

- 6. LAS APLICACIONES EN DESARROLLO

- 7. LOS ESTANDARES EN DESARROLLO

- 8. LA OPERACIN DEL COMPUTADOR

- 9. LOS CONTROLES Y EL AMBIENTE DE SEGURIDAD EN
GENERAL

- 10. LOS PLANES DE DESARROLLO

- PLAN ESTRATGICO A LARGO PLAZO

- PLAN TACTICO A CORTO PLAZO

- 11. ARCHIVOS MAGNETICOS POLTICAS DE RETENCION DE
DATOS PROCEDIMIENTOS DE BACK-UP

- 12. DOCUMENTACIN DE SISTEMAS

- 13. REGLAMENTACIN DE SISTEMAS

- 14. OTROS (DETALLAR)


NOMBRE DE LA ENTIDAD REFERENCIA: AC-

69


LISTA DE CHEQUEO DE LA INFORMACIN REQUERIDA
(1/2)

1. PLAN ESTRATGICO PED
2. PLAN TACTICO PED
3. POLTICAS DEL AREA PED
4. REPORTES DE AUDITORIA
5. INVENTARIO DE EQUIPOS DE COMPUTO
6. INVENTARIO DE APLICACIONES
7. PROCEDIMIENTOS DE PLANEACION PED
8. REPORTES DE SEGUIMIENTO:
- DE OPERACIONES PED
- DE PERSONAL PED
9. REVISIN POST-IMPLANTACION DE RECURSOS Y SERVICIOS PED
10. REPORTES DE AUDITORIA SOBRE RECURSOS Y SERVICIOS PED
11. DOCUMENTACIN DE ESTANDARES DE OPERACIN
12. DOCUMENTACIN DE ESTANDARES DE DESARROLLO
13. DOCUMENTACIN SOBRE PLANES DE ENTRENAMIENTO
14. ACTAS DEL COMIT DE SISTEMAS
15. COMPARACIN DE COSTOS CON OTROS SECTORES
16. ESTUDIOS DE REQUERIMIENTOS DE EQUIPOS
17. ESTUDIOS DE REQUERIMIENTOS DE APLICACIONES
18. ANLISIS COSTO-BENEFICIO
19. ESTUDIOS DE FACTIBILIDAD
20. CRITERIOS DE SELECCIN DE PERSONAL
21. ACTAS DEL COMIT DE SISTEMAS SOBRE ADQUISICIN
22. CONTRATOS DE SERVICIOS PED
23. CONTRATOS DE MANTENIMIENTO
24. EVALUACIN DE ADQUISICIONES
25. PROCEDIMIENTOS DE OPERACIN PED
26. DOCUMENTACIN DE PRODUCCIN
27. PROCEDIMIENTOS DE LIBRERIAS
28. CRONOGRAMAS DE PRODUCCIN
29. TIEMPOS DE USO DE EQUIPOS PED
30. REPORTES DE PROBLEMAS OPERACIONALES
31. PROCEDIMIENTOS DE MANTENIMIENTO Y APLICACIONES
32. PROCEDIMIENTOS DE RECUPERACIN Y BACK-UP
REF. P / T


REFERENCIA: AC-

70


LISTA DE CHEQUEO DE LA INFORMACIN REQUERIDA
(2/2)

33. PROPUESTAS DE USUARIOS PARA NUEVOS PROYECTOS
34. REPORTES DE AUDITORIA SOBRE DESARROLLO DE SISTEMAS
35. METODOLOGIA PARA DESARROLLO DE SISTEMAS
36. METODOLOGA PARA ADMINISTRACIN DE PROYECTOS DE SISTEMAS
37. PLAN DE SISTEMAS A CORTO PLAZO EN RELACION CON EL DESARROLLO
38. ESTANDARES DE DOCUMENTACIN
39. ESTANDARES DE DISEO Y PROGRAMACIN
40. REPORTES DE SEGUIMIENTO SOBRE PROYECTOS
41. ANLISIS DE LAS NECESIDADES DE LOS USUARIOS
42. DOCUMENTACIN SOBRE LA INICIACIN Y ESTADO ACTUAL DE LOS
PROYECTOS
43. PLANES DE IMPLEMENTACION
44. REVISIONES POST-IMPLEMENTACION
45. EVALUACIONES DEL AREA DE SISTEMAS
46. PLAN DE CONTINGENCIAS
47. MANUALES DE SISTEMAS
48. DOCUMENTACIN SOBRE FUNCIONAMIENTO DE BASES DE DATOS,
SISTEMAS DE REDES, TRANSMISIONES DE DATOS, ETC.
49. OTROS (DETALLAR)

REF . P / T


71

REFERENCIA: AP-



72
73

REFERENCIA: AC-


AREA:
ARCHIVO CORRIENTE

CUESTIONARIO PARA LA AUDITORIA INTERNA

1. EXISTE UN GRUPO DE AUDITORIA INTERNA EN LA ENTIDAD?

2. LA AUDITORIA INTERNA REALIZA AUDITORIA A LA FUNCION PED?

3. LA AUDITORIA INTERNA TIENE UN PLAN ANUAL PARA REVISAR EL
AREA PED?

4. USA LA AUDITORIA INTERNA TCNICAS DE AUDITORIA ASISTIDAS
POR COMPUTADOR (TAACS) U OTRA TCNICA ESPECIAL EN EL
TRANSCURSO DE SU AUDITORIA PED?.

CONSIDERAR:

PAQUETES DE AUDITORIA
CUESTIONARIOS ESPECIALES
TEST DE RECURSOS INTEGRADO
PRUEBAS DE ESCRITORIO
GENERADORES DE REPORTES
PROGRAMAS ESCRITOS ESPECIALMENTE
OTROS (DETALLAR)

5. LA AUDITORIA INTERNA PARTICIPA EN LAS ETAPAS DE DESARROLLO
DE NUEVAS APLICACIONES? CMO?

CONSIDERAR:

- REVISIN DEL DISEO DEL SISTEMA
- PARTICIPACIN EN LOS COMITES DE REVISIN DEL DISEO
- AUDITORIA POST-IMPLEMENTACION
- AUDITORIA DE SEGURIDAD AL PROCESAMIENTO DE LOS DATOS
- OTROS (DETALLAR)

6. LA AUDITORIA INTERNA REVISA Y EVALUA LOS PROCEDIMIENTOS
PARA EL CAMBIO DE PROGRAMAS Y APLICACIONES PED? CMO?

7. EXISTE ALGUN OTRO GRUPO QUE REALIZA AUDITORIA PED ADEMAS
DEL GRUPO INTERNO DE AUDITORIA? CUL?

8. OTRA.

REF. P/TR

74

REFERENCIA: AC-



DESCRIPCIN DEL PAPEL DE TRABAJO:

75

REFERENCIA: AC-




INVENTARIO DE RECURSOS INFORMATICOS
(1/2)

1. LOCALIZACIN DEL CENTRO DE COMPUTO:

2. SERVICIOS EXTERNOS UTILIZADOS (Si los hay):
Nombre:
Costo Anual Aproximado:

3. DESCRIPCIN EQUIPO PRINCIPAL:
Marca-Modelo:
CPU:
Tamao de Memoria:
Precio de Compra o Arriendo Anual:

4. TIPO DE PROCESAMIENTO:
SI NO COMENTARIOS
---- ---- ------------------------

Batch

En Lnea

Procesamiento Distribuido

Procesamiento Compartido

5. DESCRIPCIN DEL SISTEMA OPERATIVO:

6. PRINCIPAL SOFTWARE UTILITARIO:

76

77

REFERENCIA: AC-




INVENTARIO DE RECURSOS INFORMATICOS
(2/2)

7. LENGUAJES DE PROGRAMACIN UTILIZADOS (Indique el % de utilizacin
aprox.):

8. UTILIZACIN DEL COMPUTADOR (En que se usa , con % aprox.):

9. PERIFRICOS:

Tipos y modelos de unidades de cinta:

Tipos de discos y cantidad de almacenamiento:

Tipo y numero de terminales remotas:

Tipo y numero de impresoras:

Otros:

(incluya si es factible, diagramas de configuracin del equipo principal y de redes)

78
80
REFERENCIA: AC-

AUDITORIA DE SISTEMAS
HOJA___ DE ___

AREA:
ARCHIVO CORRIENTE

COSTOS DE APLICACIONES EN DESARROLLO

NOMBRE DE
LA
APLICACION

PROBLEMA QUE
RESUELVE / PROYECTO O
ACTIVIDAD

TIPO DE
SISTEMA

IMPORTANCI
A
COSTO
TOTAL DE
ADQUISI-
CIN O
DESARROLL
O

COSTO ANUAL DE
OPERACIN EST.

TOTALES

81

PARA CADA APLICACIN PRINCIPAL, ESTIMAR EL COSTO DE ADQUISICIN E IMPLEMENTACION Y
MOSTRAR LOS COSTOS OPERACIONALES POR AO.

EN LA COLUMNA TIPO DE SISTEMA ESCRIBA LA ORIENTACIN GENERAL DEL SISTEMA. ESTE BIEN
PUEDE SER OPERACIONAL, FINANCIERA, ADMINISTRATIVA, GENERAL, TCNICA, ETC.

EN LA COLUMNA IMPORTANCIA COLOCAR: C SI ES CRITICA, S SI ES SIGNIFICANTE, O U SI ES
UTIL. PERO LOS USUARIOS PUEDEN CONTINUAR SIN ELLA POR UN PERIODO CONSIDERABLE.

REFERENCIA: AC-

AUDITORIA DE SISTEMAS
HOJA___ DE ___

AREA:
ARCHIVO CORRIENTE

COSTOS DE APLICACIONES EN PRODUCCIN

NOMBRE DE
LA
APLICACION

PROBLEMA QUE
RESUELVE / PROYECTO O
ACTIVIDAD

TIPO DE
SISTEMA

IMPORTANCI
A
COSTO
TOTAL DE
ADQUISICI
N O
DESARROLL
O

COSTO ANUAL DE
OPERACIN

82

TOTALES

PARA CADA APLICACIN PRINCIPAL, ESTIMAR EL COSTO DE ADQUISICIN E IMPLEMENTACI ON Y
MOSTRAR LOS COSTOS OPERACIONALES POR AO.

EN LA COLUMNA TIPO DE SISTEMA ESCRIBA LA ORIENTACIN GENERAL DEL SISTEMA. ESTE BIEN
PUEDE SER OPERACIONAL, FINANCIERA, ADMINISTRATIVA, GENERAL, TCNICA, ETC.

EN LA COLUMNA IMPORTANCIA COLOCAR: C SI ES CRITICA, S SI ES SIGNIFICANTE, O U SI ES
UTIL. PERO LOS USUARIOS PUEDEN CONTINUAR SIN ELLA POR UN PERIODO CONSIDERABLE.


REFERENCIA: AC-



83
GUIA PARA LLEVAR A CABO UNA ENTREVISTA

NOMBRE ___________________________________________________

POSICIN DENTRO DE LA ENTIDAD __________________________

GRUPO _____________________________________________________

DIVISIN ___________________________________________________

DIRECCIN _________________________________________________

REPORTA A: _______________________________________________

OTRAS PERSONAS PRESENTES:

OBJETIVOS / PROPSITOS DE LA ENTREVISTA:

RESULTADOS DE LA ENTREVISTA (resumen):


REFERENCIA: AC-


84

LISTA DE FUNCIONARIOS POR ENTREVISTAR

PERSONA O AREA FECHA REF. P / T

- GERENTE GENERAL

- COMITE ASESOR

- COMITE DE USUARIOS

- OTROS GERENTES

- JEFE DE SISTEMAS

- JEFE DE OPERACIONES PED

- JEFE DE DESARROLLO PED

- JEFE DEL CENTRO COMPUTO

- INGENIEROS DE SISTEMAS

- PROGRAMADORES PED

- OTRO PERSONAL PED

- JEFE CONTROL DE OPERACION

- AUDITOR INTERNO / SISTEMAS

- OFICIAL DE SEGURIDAD

- JEFE CONTABILIDAD

- JEFE MANTENIMIENTO PED

- USUARIOS DE APLICACIONES

- PROVEEDORES DE EQUIPOS

- OTROS


85

EJEMPLOS DE APLICACIN DEL METODO DE
SCORING PARA ESTABLECER PRIORIDADES Y
PREPARAR EL PLAN DE AUDITORA

86

MATRIZ No 1

APLICACIONES DE FUNCIONAMIENTO

P
A

FACTORES
APLICACIONES

MAQUIN
A

CANTIDAD
DE
REGISTROS

FECHA
ULTIM
A
AUDIT
OR

MODO
DE
PROCESAMIENTO

GENERA
INF. ENT.
EXTERNAS

INTER
FACES

IMPORTANCI
A
DE LA
INFORMAC.

RED/
STAND
ALONE

EDAD

TIEMPO
ESPERADO
DE VIDA

SISTEMA
OPERATIVO

No. DE
FACTOR
1 2 3 4 5 6 7 8 9 10 11

1
TARJETAS DE
CREDITO
1 2 0 0 2 0 2 1 0 0 0
2
CONTABILIDA
D
2 1 2 0 2 1 1 1 2 1 0
3
INVENTARIOS 2 1 2 1 0 1 0 1 1 1 0
4 CUENTAS
CORRIENTES
2 2 1 0 2 1 2 1 2 1 0
5
CARTERA 2 2 1 0 1 1 2 1 2 1 0
6
COMERCIO
EXTERIOR
2 1 1 0 1 1 2 1 2 1 0
7
CDTS 2 0 1 0 1 1 2 1 2 1 0
8
ACCIONISTAS 0 0 1 1 0 1 1 0 0 0 1
9
NOMINA 1 0 2 2 2 0 0 1 1 1 0

87

MATRIZ No 1

(CONTINUACION TABLA)

P
A

FACTORES
APLICACIONES
PERCEPCI
N DE
RIESGO

CONTROL
ACCESO
DOCUMENTACIO
N
ENTRADAS SALIDAS TOTAL

No DE FACTOR 12 13 14 15 16

1
TARJETAS DE
CREDITO
2 1 2 2 2 17
2
CONTABILIDAD 0 0 1 2 2 18
3
INVENTARIOS 0 0 2 1 1 14
4
CUENTAS
CORRIENTES
2 0 2 2 2 22
5
CARTERA 1 0 1 1 1 17
6
COMERCIO
EXTERIOR
2 0 1 1 1 17
7
CDTS 1 0 1 0 0 13
8
ACCIONISTAS 0 2 2 0 0 9
9
NOMINA 1 0 2 2 2 17

PUNTAJE ASIGNADO 0. BAJO RIESGO
1. MEDIANO RIESGO
2. ALTO RIESGO
FACTOR # 1 MAQUINA FACTOR # 9 EDAD DE LA APLICACION
88
FACTOR # 2 CANTIDAD DE REGISTROS FACTOR # 10 TIEMPO DE VIDA ESPERADO
FACTOR # 3 FECHA DE LA ULTIMA AUDITORIA FACTOR # 11 SISTEMA OPERACIONAL
FACTOR # 4 MODO DE PROCESAMIENTO FACTOR # 12 PERCEPCION DE RIESGO
FACTOR # 5 GENERA INFORMACIN A ENTIDADES EXTERNAS FACTOR # 13 CONTROL DE ACCESO
FACTOR # 6 INTERFASES FACTOR # 14 DOCUMENTACION
FACTOR # 7 IMPORTANCIA DE LA INFORMACIN FACTOR # 15 ENTRADAS
FACTOR # 8 RED O STAND ALONE FACTOR # 16 SALIDAS
89

FACTOR DE RIESGO

VALO
R
PESO
RELATIVO
(%)
I. MAQUINA DONDE CORRE LA APLICACIN
1. IBM
2. SUN
3. Microcomputador

0
1
2

8
II. CANTIDAD DE REGISTROS QUE MANEJA
1. Menos de 40.000
2. Entre 40.001 y 70.000
3. Mas de 70.000

0
1
2

6
III. TIEMPO DE LA ULTIMA AUDITORIA
1. Menos de 1 ao
2. Entre 2 y 3 aos
3. Mas de 3 aos

0
1
2

7
I. MODO DE PROCESAMIENTO
1. Batch
2. Linear
3. Bach y Linear

0
1
2

5
V. GENERA INFORMACIN PARA
ENTIDADES EXTERNAS
1. Ninguna
2. De 2 a 4 aplicaciones
3. Mas de 4 aplicaciones

0
1
2

8
VI. RELACION CON OTRAS APLICACIONES
(INTERFASES)
1. Ninguna
2. De 2 a 4 aplicaciones
3. Mas de 4 aplicaciones

0
1
2

10
VII. IMPORTANCIA DE LA INFORMACIN QUE
MANEJA
1. Sin valor comercial
2. Hasta 1.5 millones de dlares
3. Mas de 1.5 millones de dlares

0
1
2

7
VIII. FUNCION EN RED/STAND ALONE
1. Stand/alone
2. Red

0
1

5
IX. EDAD DE LA APLICACION
1. Menos de 1 ao
2. Mas de 1 ao
3. Entre 1 y 3 aos

0
1
2

10
X. TIEMPO ESPERADO DE VIDA
90
1. Entre 1 y 2 aos
2. Entre 2 y 3 aos
3. Mas de tres aos
0
1
2
6

FACTORES DE RIESGO

VALOR
PESO
RELATIV
O
%
XI. SISTEMA OPERATIVO SOBRE EL CUAL
FUNCIONA
1. Propietario
2. Windows / Dos

0
1

5
XII. PERCEPCIN DE RIESGO
1. Bajo
2. Mediano
3. Alto

0
1
2

8
XIII. CONTROL DE ACCESO
1. Dbil
2. Regular
3. Buena

0
1
2

7
XIV. DOCUMENTACIN
1. Existe actualizada
2. Existe desactualizada
3. No existe

0
1
2

8
XV. ENTRADAS
1. Entre 1 y 2 entradas
2. Entre 2 y 4 entradas
3. Mas de 4 entradas

0
1
2

5
XIV. SALIDAS
1. Entre 1 y 2 salidas
2. Entre 2 y 4 salidas
3. Mas de 4 salidas

0
1
2

5

El orden de los tem a auditar se puede observar en la matriz numero 2.

91

ORDEN DE PRIORIDAD DE LAS APLICACIONES EN FUNCIONAMIENTO QUE
SERAN AUDITADAS DURANTE EL AO XXXX

MATRIZ No 2

FACTORES
APLICADOS
FACTORES A REVISAR TIEMPO
ESTIMADO
NUMERO
DE
PERSONAS
CUENTAS
CORRIENTES
- Control de acceso
- Cambio de programas
- Procedimientos para Back-ups
- Entradas de datos

60 das

1
CONTABILIDAD
- Integridad de la informacin
- Procedimientos de respaldo
- Salidas de datos

60 das

1
CARTERA
- Integridad de la informacin
- Control de acceso
- Entrada de datos

60 das

1
COMERCIO
EXTERIOR
- Entradas al sistema
- Salidas del sistema
- Clculos

60 das

1
NOMINA
- Control de acceso
- Perfiles del usuario
- Copias de respaldo

60 das

1

TARJETAS DE
CREDITO
- Controles de acceso
- Procedimientos de Back-up
- Pistas de auditoria
- Control de mantenimiento a programas

60 das

1
CDTS
- Entrada de datos
- Clculos

60 das

1

ACCIONISTAS
- Liquidaciones
- Datos de entrada
- Datos de salida

60 das

1

92

NOTA:

- Todas las aplicaciones en funcionamiento son In-House por el cual no fue considerado
como factor evaluativo.
- Para todas las aplicaciones se evala los estndares de seguridad y las pistas de auditoria,
dado que son iguales para todas.
- Todas las aplicaciones tienen los mismos procedimientos de respaldo o back-up.

AUDITORIA ADMINISTRATIVA
MATRIZ No 3
AREA ASPECTOS A REVISAR TIEMPO
ESTIMADO
No DE AUDITORES
Procedimientos para
adquisicin de Hardware y
software
- Verificar la existencia de
procedimientos.
- Polticas de evaluacin de
las propuestas.

10 das

1
Estndares de desarrollo - Verificar la existencia de los
estndares.
- Evaluacin del
cumplimiento.

Permanente

1
Estndares de seguridad en el
desarrollo de aplicaciones
- Verificar si las aplicaciones
se desarrollan con
estndares de seguridad.

5 das

1
Procedimientos de backup - verificar la existencia de
procedimientos,
actualizacin y adecuacin
de los mismos

5 das

1
Procedimientos de cambio de
programas
- Conductos regulares para
cambio a programas y
liberacin de los mismos

Permanente

1
Manuales de funciones de
sistemas.
- Verificar la existencia de
manuales de funciones de
cada uno de los cargos y
distribucin de los mismos.

10 das

1
Estndares de documentacin
y actualizacin de
aplicaciones.
- Verificar si los manuales de
las aplicaciones existen y se
encuentran actualizados

10 das

1
93
- Evaluar los estndares de
documentacin.

Seguimientos de reclamos a
sistemas
- Evaluar las cusas de los
reclamos o fallas del sistema
y la oportunidad de la
solucin.

Permanente

1
Logro de objetivos propuestos - Evaluar si los objetivos
propuestos en el Dpto. se
cumplen y satisfacen las
necesidades del usuario

Permanente

1
Auditoria organizacional de
sistemas
- Verificar la segregacin de
funciones
- Planeacin de actividades.

10 das

1

AUDITORIA AL CENTRO DE COMPUTO
MATRIZ No 4

FACTORES ASPECTOS A REVISAR TIEMPO
ESTIMADO
NUMERO DE
PERSONAS
1. Plan de
contingencias
- Seguridad de equipos
- Seguridad de cintas
- Seguridad de cartuchos backup
- Estado UPS
- Plan contra incendio
- Plan contra inundaciones
- Plan contra robo

5 das

1
2. Seguridad de
acceso

- Sistema control de acceso
electrnico
- Estado Brazo mecnico
- Claves de acceso

1 da

1
3. Ubicacin fsica

- Nivel del piso
- Fuentes de calor
- Fuentes de agua
- Fuentes de polvo

1 da

1
4. Microcomputadore
s

- Procedimientos
- Mantenimientos preventivos y
correctivos
- Controles de acceso

1 da

1
94
- Software legal
5. Transmisin de
datos

- Controles fsicos y lgicos
- Procedimientos
- Estndares

1 da

1
6. Cintoteca

- Proteccin temperatura, polvo y
humedad
- Pruebas fsicas y de contenido a
las cintas
- Acceso a la cinto teca
- Cinto teca alterna

1 da

1
7. rea de produccin

- Reportes fallas de sistemas
- Log diario
- Bitcora
- Reportes diarios a auditoria

1 da

1

AUDITORIA COMUNICACIONES
MATRIZ No 5

ESTIMADO
No DE
AUDITORES
1. Instalacin de la
red

- Instalacin correcta del software del
servidor
- Hardware de comunicacin (cables,
mdems)
- Instalacin de software en las
estaciones de trabajo
2 das

3 das

3 das

1
2. Configuracin de
la red

- Asignaciones de usuarios de la red
- Organizacin de la estructura de disco
- Administracin de la seguridad de la
red

1 da
1 da

2 das

1
3. Operaciones con
la red

- Impresiones
- Adaptacin del software aplicativo a
la red
- Procesos en la red
- Produccin de salidas de la red

1 da
5 das

4 das
2 das

1
4. Plan de
contingencias
- Seguridad de la red
2 das
1 da

1
95
- Backup del equipo 1 da
5. Entorno de la red

- Ubicacin fsica
- Configuracin de los elementos de la
red
2 das

2 das

1

AUDITORIA NUEVOS PROYECTOS
MATRIZ No 6

ESTIMADO
No DE
AUDITORES
1. APLICACIONES

- Cumple trminos de referencia
- Fcil de actualizacin
- Estndares
- Reportes
- Portables
- Parametrizables

1 mes por
aplicacin

1
2. LENGUAJE O
HERRAMIENTAS
DE DESARROLLO

- Fcil de manejar
- Compatible
- Actualizable
- Asesora tcnica

1 mes por
aplicacin

1
3. MODULO DE
SEGURIDAD

- Seguridad de acceso
- Administracin de niveles de
seguridad

2 das

1
4. MANTENIMIENTO

- Contratos de mantenimiento
- Plan de mantenimiento

2 das

1
5. CONTRATOS

- Pliza de cumplimiento
- Contratos de actualizacin
- Plizas
- de calidad y buen funcionamiento

2 das

1
96
- Representacin en Colombia

Fundamentos de Auditoria de Sistemas

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fundamentos de Auditoria de Sistemas

Cargado por

Copyright:

Formatos disponibles

1

UNIVERSIDAD CATOLICA DE COLOMBIA

También podría gustarte