1 Definición del trabajo de auditorio alcance y sus

objetivos……………………………………………………………

1.1. Alcance…………………………………………………..

1.2. Enfoque de trabajo……………………………………

1.3. Objetivo general…………………………………..

1.4. Objetivos específicos………………………………..

1.5. Acuerdo de realización de auditoria………………………………………

2 Conocimiento del negocio……………………………………………….…….

2.1. Evaluar de las debilidades encontradas y el efecto que tienen en el

enfoque de auditoria…………………………………………………………..

3 Estudio y evaluación del sistema de control interno…………………………

3.1.Planificación de la evaluación del control interno

4 Plan de ejecución de auditoria ………………………………………………..

4.1.Opiniones sobre los estados financieros

4.2.Programas de auditoria

4.3.Flujograma o diagrama de flujo

4.4.Cuestionario de control

4.5.Elaboración de evidencias

4.6.Medición de riesgos

4.7.Ambiente de control

4.8.Riesgos de aplicación

5 Evidencia y procedimientos de auditoria …………………………………….

5.1.Procedimientos de cumplimiento

5.2.Pruebas de sustantivas
 5.3.Técnicas de auditoria a realizar

6 Visitas de trabajo……………………………………………………………… 68
6.1.Preliminar e interina

7 Presupuesto de tiempo………………………………………………………… 69
7.1.Cronograma

7.2.Personal asignado

7.3.Horas asignadas

8 Fechas de reuniones para discutir los informes……………………………… 71

8.1.Fecha de reuniones

8.2.Fecha de informes

8.3.Compromiso para la implementación de las recomendaciones

8.4.Acta de comunicación de resultados

2. Conocimiento del negocio
2.1. Evaluar de las debilidades encontradas y el efecto que tienen en el enfoque de
auditoria
- Áreas críticas
Factores primarios que Ponderación Argumento
serán ponderados
1. Hardware 30% Conocer sobre el inventario y
mantenimiento.
2. Software 24% Verificar funcionamiento y licencias.
3. Seguridad física y 18% Verificar si el centro de cómputo cumple
lógica con los aspectos fundamentales de
seguridad física y lógica.
4. Dirección informática 15% No cuentan con el organigrama
detallado.
5. Planes de 13% No están documentados adecuadamente.
contingencia
Porcentaje total 100%
3. Estudio y evaluación del sistema de control interno
3.1. Planificación de la evaluación del control interno
Partiendo del conocimiento previo de la empresa y de las entrevistas organizadas con los
administradores se analizará el control interno de la empresa. En primer lugar,
elaboraremos un cuestionario que nos proporcionará el primer acercamiento al entorno
de control que reina en la empresa.
A continuación, se describirán y evaluaran los procesos de medición de riesgo que están
presentes y se detallarán las medidas de control interno usadas en sus procesos
principales.
Además, se llevará a cabo una revisión del entorno y los controles generales de los
Sistemas de Información de la empresa, observaremos las medidas de seguimiento
aplicadas para asegurar que los controles son efectivos y se finalizará la revisión del
control interno concluyendo si se puede confiar en los mismos o no.
4. Plan de ejecución de la auditoría
4.1. Programas de auditoría
4.1.1. Programa de auditoría de Hardware
No. Y procedimientos de auditoría Herramientas/Tiempo estimado
1. Inventario 4 horas
2. Solicitar el listado del inventario Entrevista
3. Seleccionar la muestra para la Muestreo Simple
verificación de los inventarios
4. Evaluar las características del Inspección Software
hardware de los equipos informáticos.
(RAM, procesador y disco duro)
5. Revisar la codificación de los equipos Inspección
de hardware
6. Verificar que el inventario descrito Inspección
cumpla con las mismas características del
existente
7. Verificar el cableado de red Inspección
8. Verificar que existan contratos de Entrevista
mantenimiento preventivo y correctivo
para el equipo informático
9. Verificar si existe personal con los Entrevista
conocimientos para dar mantenimiento a
los dispositivos de hardware
10. Verificar si cuentan con los Inspección
materiales o instrumentos adecuados para
brindar el mantenimiento de los
dispositivos
11. Realizar una revisión de las Inspección
instalaciones eléctricas a fin de garantizar
que las mismas son adecuadas para
 garantizar el buen funcionamiento y
protección de los equipos de cómputo
12. Verificar que los equipos no sufran Inspección
sobrecalentamientos
13. Verificación de la utilización del 3 horas
hardware
14. Verificar si existe un presupuesto Entrevista
operativo anual para la adquisición de
equipo informático
15. Verificar cual es el proceso de Entrevista
notificación de fallas del equipo
informático y como se documenta dicho
proceso
16. Verificar el cableado de red Inspección

4.1.2. Programa de auditoría de software

No. Y procedimientos de auditoría Herramientas/Tiempo estimado
1.Verificar el uso de licencias 4 horas
2. Solicitar documentación que respalde Entrevista
el contrato de licencias
3. Evaluar las características del sistema 3 horas
operativo
4. Verificar que criterios técnicos se usan Inspección
para la selección del proveedor
5. Verificar si en el inventario de Inspección
software aplicativo se detalla la versión,
el proveedor y la vigencia de la licencia
6. Verificar e identificar quienes son los 1 hora
responsables de aprobar cualquier
proyecto de desarrollo, implementación o
modificación
7. Verificar si existen planes de Entrevista
capacitación para el uso y manejo del
distinto software y aplicaciones
8. Conocer la metodología de Entrevista
capacitación para el uso y manejo del
software y aplicaciones si existiera
9. Riesgo de dependencia tecnológica 1 hora
10. Verificación de actualizaciones 1 hora
11. Indagar con los usuarios sobre el Inspección
nivel de dominio que estos tienen del
sistema. Si es bajo, medio o avanzado
12. Verificar que exista un registro de la Inspección
fecha de proceso y la fecha de
transacción para las operaciones de
entrada
13. Verificar si existe un inventario de Entrevista
reportes que identifique: nombre del
 programa, nombre del módulo, unidad de
destino, frecuencia de emisión y medio
de emisión.
14. Verificar si los cambios al sistema Inspección
operacional o programas aplicativos, sus
pruebas y resultados son revisados por el
jefe de programación técnica o quien
hace sus funciones
15. Verificar cada cuanto se actualizan Inspección
los antivirus

4.1.3. Programa de auditoría de seguridad física y lógica

No. Y procedimientos de auditoría Herramientas/Tiempo estimado
1.Verificar la protección del centro de 1 hora
cómputo contra fuego y humedad
2. Identificar las medidas de protección Entrevista
contra el fuego que han sido adoptadas
(sensores de humo y fuego, extintores
suficientes y del tipo correcto).
3. Determinar cada cuánto tiempo son Entrevista
recargados los extintores de fuego
4. Verificar que criterios técnicos se usan 2 horas
para la selección del proveedor
5. Verificar si las instalaciones cumplen Inspección
con las normas de seguridad que tiene
establecidas para el centro informático
6. Examinar las normas de seguridad de Inspección
acceso al área de cómputo y darle
seguimiento al cumplimiento de las
mismas.
7. Verificar si existen normas donde se 1 hora
prohíbe, por ejemplo: fumar, comer o
beber dentro del centro de cómputo y si
se les está dando cumplimiento.
8. Comprobar si existen políticas que Entrevista
restrinjan el acceso al centro de computo
9. Determinar si existen los Entrevista
procedimientos pertinentes para prevenir
que personas no autorizadas accedan al
centro de cómputo (restricciones físicas,
autorización para ingresar, responsables
del ingreso al centro)
10. Verificar si los usuarios tienen Entrevista
habilitados los puertos USB de los
equipos para evitar transmisión de virus a
las computadoras.
11. Verificar si se ha instruido al personal 2 horas
de seguridad sobre las medidas a tomar
 en caso de que alguien pretenda entrar sin
autorización, al centro informático.
12. Verificar las medidas de seguridad Entrevista
para el control de acceso y salida de los
bienes informáticos del área de cómputo.
13. Verificar el medio ambiente del Inspección
centro de cómputo y cerciorarse que la
temperatura y humedad estén en rango
establecidos por las medidas de
seguridad.
14. Verificar la existencia de rótulos Inspección
como “salida de emergencia”, “Vía de
evacuación”
15. Verificar si la señalización esta Inspección
ubicada en un área adecuada, donde
cualquiera pueda verla.

4.1.4. Programa de auditoria de sistema operativo

No. Y procedimientos de auditoría Herramientas/Tiempo estimado
1.Ver manuales de los sistemas 3 horas
operativos que se encuentran instalados.
2. Verificar si existen manuales de los Entrevista
procedimientos que realiza los sistemas
que están instalados
3. Verificar si llevan un control exacto de Inspección
los sistemas que ahí se encuentran
instalados, ejemplo: la fecha y su
vigencia.
4. Verificar si existen proyectos de Entrevista
instalación o adquisición de nuevos
sistemas
5. Verificar si están instalados los Inspección
sistemas operativos en el área informática
6. Verificar si cada sistema operativo 2 horas
instalado ya cuenta con su respectivo
antivirus actualizado
7. Verificar las características del sistema Inspección
operativo
8. Verificar si el sistema operativo Inspección
instalado tiene los recursos necesarios
para su utilización
9. Conocer la metodología de 1 hora
capacitación para el uso y manejo del
sistema operativo
10. Indagar sobre la existencia de una Entrevista
política para actualizaciones
 11. Entrevistar a una muestra de usuarios Muestreo simple
e indagar sobre el nivel de dificultad que
tienen los usuarios para usar el sistema.
12. Indagar con los usuarios sobre el Muestreo simple
nivel de dominio que estos tienen del
sistema. Si es bajo, medio o avanzado.
13. Verificar si se mantiene un registro de 2 horas
cambios en los programas del sistema
operativo.
14. Verificar si existen planes de Inspección
capacitación para el uso y manejo de los
sistemas operativos
15. Conocer la metodología de Inspección
capacitación para el uso y manejo de los
sistemas operativos

4.1.5. Programa de auditoria de dirección informática

No. Y procedimientos de auditoría Herramientas/Tiempo estimado
1.Verificación de la existencia de 2 horas
dirección informática.
2. Solicitar el organigrama actual Entrevista
3. Preguntar a la alta gerencia y a los Entrevista
empleados de informática si las
decisiones las toman en conjunto
4. Verificar que exista una persona que se Entrevista
encargue de crear perfiles
5. Evaluar el perfil de los empleados del Inspección
área de informático
6. Verificar que exista un manual por 1 hora
escrito, donde se detallen las
características, destrezas y habilidades
que deben de tener el personal de
informática.
7. Verificar si existe un plan estratégico Inspección
de informática
8. Comprobar si realmente existe un plan Inspección
estratégico
9. Comprobar si el plan estratégico está Entrevista
siendo implementado
10. Preguntar a los empleados si llevan a 1 hora
cabo el plan estratégico y cuáles son los
resultados
11. Verificar que las tareas y actividades Entrevista
tengan una adecuada asignación de
recursos
12. Preguntar al personal de informática Entrevista
sobre las actividades que llevan a cabo
 13. Revisar los planes de capacitación 1 hora
para los empleados de informática
14. Solicitar los documentos a la gerencia Entrevista
sobre las metas y misión organizacional
15. Verificar la existencia y Entrevista
cumplimiento de un manual de
actividades a realizar

4.1.6. Programa de auditoría de plan de contingencia

No. Y procedimientos de auditoría Herramientas/Tiempo estimado
1.Comprobar la existencia de una política 3 horas
de planes de contingencia
2. Solicitar la documentación de planes Entrevista
de contingencias
3. Revisar con que planes cuentan en Entrevista
caso de un desastre natural
4. Verificar que medidas implementan a Entrevista
la hora que se presenten con una
catástrofe natural.
5. Verificar si los empleados conocen los Inspección
planos de contingencia
6. Preguntar si han realizado simulacros 1 hora
7. Preguntar o pedir manuales sobre Inspección
planes para conocer que hacen para
prevenir y minimizar daños en sus
recursos informáticos, y otros.
8. Verificar la existencia de una política Inspección
de actualización de los planes de
contingencia.
9. Solicitar a la gerencia el historial de Entrevista
incidencias o desastres
10. Verificar si los empleados conocen el 1 hora
historial de incidencias
11. Verificar la existencia de rótulos Inspección
como “Salida de emergencia”, “Vía de
evacuación”.
12. Verificar si la señalización está Inspección
ubicada en un área adecuada, donde
cualquiera pueda verla
13. Revisar la existencia de extintores 1 hora
14. Evaluar planes de migración Entrevista
15. Verificar si existe compatibilidad Entrevista
entre plataformas, sistema operativo o
base de datos.
4.2. Flujograma
Adquisición de computadora

INICIO

Se solicitan equipos de
cómputo al proveedor.

Proveedor entrega pedido

Se revisan los equipos

Están en buen No
estado y Devolver el pedido
completos

Si

No
Están bien los Solicitar al proveedor los
documentos documentos

Si
Se paga el pedido el día
correspondiente

Fin
4.4. Elaboración de evidencias
Para esta etapa se realizará la presentación de los papeles de trabajo que se utilizarán en
la auditoría a realizar, para lo cual se tendrá en cuenta las áreas criticas que se han
encontrado. Se tendrán en cuenta los siguientes aspectos:
 Área critica hardware
- Verificar y evaluar que las computadoras del área del centro de computo
cuenten con las características mencionadas y que se encuentren en perfecto
funcionamiento y correcta utilización de hardware.

- Se evaluarán todos los componentes de hardware que se utilizan en la

institución educativa, se verificara que estos están trabajando en excelentes
condiciones y que cuenten con todos los requisitos necesarios para un buen
desempeño, y que cumplan con las características que son mencionadas para
cada computadora.

 Área critica software

- Verificar y evaluar que los softwares estén funcionando correctamente, con
sus respectivas actualizaciones y licencias correspondientes.

- Se evaluarán y verificaran todo el software, verificando características y

operatividad del mismo, también se verificará la paquetería ofimática que
tiene el área.

 Área crítica seguridad física y lógica

- Verificar y evaluar que el área auditada como toda la institución educativa
cumplan con las políticas de seguridad de salvaguardar la integridad del
personal que labora, como la población estudiantil, también se verificara que
el centro de computo cumplan con las normas de seguridad para no causar
daños en la infraestructura, computadoras, alumnos y/o docentes.

- Se evaluarán todas las políticas de seguridad, verificaran que existen planes,

políticas y procedimientos relativos a la seguridad dentro de la organización,
así, como las correspondientes señales de las rutas de evacuación.

 Dirección informática
- Verificar y evaluar el plan de dirección informática.

- Se verificará y evaluaran la dirección informática para ver su estructuración y

los procedimientos que lo componen.

 Planes de contingencia
- Verificar y evaluar si existen planes de contingencias.
- Se procederá con la verificación de los planes de contingencias con los que
cuenta la institución y se evaluara su funcionalidad y el uso práctico que se
tiene.
4.5. Medición de riesgos
Plan de evaluación de riesgos
Probabilidad Impacto
N° Descripción
Baja Media Alta Leve Moderado Catastrófico
R1 No existe restricciones para
el acceso a personal externo
a los equipos de cómputo.
R2 Equipos con bajo
rendimiento para las
operaciones que se deben
desarrollar.
R3 Daño en los equipos por
caídas en el fluido eléctrico.
R4 Insatisfacción por parte de
los usuarios respecto al
servicio de internet.
R5 No se han levantado hojas
de vida de los equipos
existentes.
R6 La señal de los operadores
de internet presenta fallas
por la ubicación de la
empresa.
R7 Se presentan problemas de
conexión en la intranet y la
internet.
R8 Se han presentado hurtos y
robo de partes de los
equipos de cómputo.
R9 No existen controles y
responsables de los equipos
de cómputo.