Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TABLA DE CONTENIDO
1 JUSTIFICACIÓN 3
2 OBJETIVO 4
3 EVALUCION DE EQUIPOS Y TECNOLOGÍA 5
3.1 DEFINICIÓN..................................................................................................................5
3.2 ALCANCE.....................................................................................................................5
3.3 OBJETIVOS...................................................................................................................6
3.3.1 OBJETIVO GENERAL................................................................................................6
3.3.2 OBJETIVOS ESPECÍFICOS.........................................................................................6
3.4 NORMAS.......................................................................................................................6
3.4.1 NORMAS PERSONALES............................................................................................6
3.4.2 NORMAS PARA LA EJECUCIÓN DEL TRABAJO..........................................................7
3.4.3 NORMAS PARA LA PREPARACIÓN DEL INFORME......................................................7
4 PROCESO DE EVALUAION DE EQUIPOS Y TECNOLOGÍA 7
4.1 PLANEACIÓN DE LA AUDITORÍA.................................................................................7
4.2 CONOCIMIENTO GENERAL DE LA ENTIDAD...............................................................8
4.3 CONOCIMIENTO DEL ÁREA INFORMÁTICA................................................................8
4.4 MEMORANDO DE PLANEACIÓN..................................................................................8
4.5 EJECUCIÓN..................................................................................................................8
4.5.1 EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO...............................................8
4.5.1.1 Planeación y Organización...............................................................................9
4.5.1.2 Adquisición e implementación.......................................................................10
4.5.1.3 Entrega y soporte............................................................................................10
4.5.1.4 Monitoreo.......................................................................................................10
4.5.1.5 Controles de documentación..........................................................................10
4.5.1.6 Controles de monitoreo..................................................................................10
5 PROCEDIMIENTOS DE AUDITORÍA DE EQUIPOS Y TECNOLOGÍA 11
5.1 PRUEBAS DE CUMPLIMIENTO...................................................................................11
5.2 PRUEBAS SUSTANTIVAS.............................................................................................11
5.3 TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR........................................12
6 INDICADORES DE GESTIÓN 13
7 PAPELES DE TRABAJO 14
7.1 CONCEPTO.................................................................................................................14
7.2 JUSTIFICACIÓN..........................................................................................................14
7.3 OBJETIVOS.................................................................................................................14
7.4 IMPORTANCIA............................................................................................................14
7.5 ARCHIVO PERMANENTE............................................................................................15
7.5.1 OBJETIVO..............................................................................................................15
7.5.2 CARACTERÍSTICAS................................................................................................15
7.5.3 IMPORTANCIA........................................................................................................15
7.5.4 CONTENIDO BÁSICO..............................................................................................15
7.6 ARCHIVO CORRIENTE...............................................................................................15
7.6.1 OBJETIVO..............................................................................................................15
7.6.2 CARACTERÍSTICAS................................................................................................15
7.6.3 IMPORTANCIA........................................................................................................15
1 JUSTIFICACIÓN
2 OBJETIVO
El presente manual tiene como objetivo brindar una metodología para auditar los
procesos relacionados con la automatización o sistematización tecnológica de las
entidades vigiladas por la CONTRALORÍA DISTRITAL DE SANTA MARTA. Ilustra sobre
los aspectos que se han de tener en cuenta para realizar una Auditoría de Equipos y
Tecnología como son: la Planeación de la auditoría, la ejecución donde se determina la
forma de evaluar los procesos relacionados con la sistematización de las entidades
vigiladas por la CONTRALORÍA DISTRITAL DE SANTA MARTA mediante la
identificación de los controles y riesgos asociados; así mismo trata sobre la elaboración
del informe, los papeles de trabajo y las técnicas de Auditoría de Equipos y Tecnología.
2.1 Definición
La Auditoría de Equipos y Tecnología como parte integral del ejercicio del control fiscal
debe ser:
Objetiva, porque requiere un alto grado de independencia mental del auditor, con
relación a los funcionarios y actividades de las entidades auditadas.
Crítica, porque el auditor requiere de evidencias para poder emitir una opinión sobre
los procesos auditados.
2.2 Alcance
2.3 Objetivos
El examen y evaluación de la actividad, área o ente auditado, deberá llevarse a cabo por
una persona o grupo de personas que posean suficiente entrenamiento técnico y
formación académica, esto es, que sean profesionales idóneos en la materia.
El informe debe ser claro, preciso, conciso, veraz y objetivo, presentar hechos reales
debidamente sustentados.
3.5 Ejecución
Se debe identificar y evaluar que los controles implementados por la entidad permitan la
prevención y detección oportuna de acontecimientos que impidan el cabal cumplimiento
de las políticas, procedimientos, planes, y objetivos de la entidad y que tengan directa
relación con la información tecnológica y de sistemas.
Los recursos que deben ser evaluados en el cumplimiento de los anteriores principios
se han identificado como:
Una vez finalice la fase de evaluación del Sistema de Control Interno, debe ser revisado
el memorando de planeación de manera que puedan incluirse ajustes a las siguientes
fases de la ejecución de la auditoría, de ser necesario para incluir otras áreas críticas
identificadas.
Se evalúa los controles que tiene la entidad para garantizar que se cumpla con el objeto
de los contratos de outsourcing y servicios prestados.
3.5.1.4 Monitoreo
La Entidad debe tener políticas claras y por escrito sobre la documentación del área de
sistemas y el Plan estratégico de sistemas de información. Los sistemas de aplicación, los
programas del sistema operativo, los equipos de cómputo, las redes de datos, los
periféricos, las funciones y responsabilidades, la operación del centro de cómputo, las
decisiones de cambios de equipos y aplicaciones, los estándares para el diseño y
desarrollo, entre otras, deben estar suficientemente documentadas para la comprensión
completa y exacta de las actividades de sistemas de información automatizados y su
impacto en los usuarios.
Las pruebas de auditoría constituyen la base con que el auditor obtiene evidencias
adecuadas que le permiten estructurar los hallazgos, los cuales fundamentan las
conclusiones de la ejecución de la auditoria.
Es de destacar que los conocimientos y las herramientas que el auditor moderno utiliza
deben estar acordes con el avance tecnológico que en materia informática, cada día
evolucionan, tanto a nivel de software como hardware, disponibles en el mercado. Es por
eso que el auditor debe mantenerse en una permanente tarea de actualización.
Las pruebas que se pueden realizar sobre los sistemas son pruebas sustantivas y
pruebas de cumplimiento.
Se usan para determinar que existe una seguridad razonable sobre la validez de la
información producida.
Analizar registros.
Hacer operaciones.
Comparar archivos.
Estratificar archivos.
Seleccionar una muestra aleatoria.
Resumir información.
Generar reportes.
Construir archivos de prueba.
Extraer información de un archivo.
Realizar análisis estadísticos.
Simular parte del sistema o el sistema completo.
Unas de las herramientas más útiles para adelantar tanto pruebas de cumplimiento
como pruebas sustantivas son las que se conocen como técnicas de auditoría asistidas
por computador (TAAC's), las cuales se orientan hacia los datos, las aplicaciones, los
equipos y programas, y permiten seleccionar y procesar la información necesaria para
fines específicos de la auditoría facilitando la aplicación de métodos de muestreo
estadístico, aumentar el alcance de las pruebas y verificar la integridad de los datos en
la población auditada.
Las técnicas asistidas por computador (TAAC) sirven para probar controles en
aplicaciones, seleccionar y monitorear transacciones, verificar datos, analizar programas
de las aplicaciones, auditar centros de procesamiento de información, auditar el
desarrollo de aplicaciones.
Son utilizados para evaluar los controles en aplicaciones sistematizadas y para probar el
cumplimiento de los controles existentes en las aplicaciones.
Evaluación del caso base: Elaborar archivo de prueba y verificar la exactitud de los
procesos. Se realiza la prueba en todo el ciclo del sistema.
Prueba integrada: Esta técnica implica tener como mínimo la misma capacidad
tecnológica en la cual está la aplicación en producción. Se debe procesar archivos de
prueba en aplicaciones en producción y comparar los resultados reales vs. los
esperados.
Simulación paralela: Codificar rutinas que simulen la lógica del programa real, se
debe considerar el porcentaje de error en los resultados de la simulación. Se emplea
generalmente software generalizado de auditoría y programas a la medida.
Para realizar estas pruebas se debe realizar con transacciones de entrada, verificar la
existencia de módulos de auditoría para evaluarlos.
Se debe hacer un análisis de datos del JOB accounting, verificar si existe un plan de
contingencia y si existen las suficientes medidas de seguridad para salvaguardar y
proteger los recursos tecnológicos de informática.
5 INDICADORES DE GESTIÓN
6 PAPELES DE TRABAJO
6.1 Concepto
6.2 Justificación
6.3 Objetivos
6.4 Importancia
Para la realización de las pruebas con el fin de obtener evidencia suficiente sobre el objeto
auditado, el auditor diseñará los papeles de trabajo que estime convenientes y con el
criterio que le exija cada una de las circunstancias. Los papeles de trabajo generalmente
se organizan en el archivo permanente, el archivo corriente y el archivo administrativo.
6.5.1 Objetivo
6.5.2 Características
6.5.3 Importancia
6.6.1 Objetivo: Contar con documentación detallada de cada trabajo de auditoría que se
realice.
6.6.2 Características
6.6.3 Importancia
7.6.4 Contenido
6.7.1 Objetivo
6.7.2 Características
6.7.3 Importancia
6.7.4 Contenido