ESTUDIANTE: Xiomara Becerra Inchima

Investigar en qué consisten los papeles de trabajo y cuáles

son los componentes que lo forman
Los papeles de trabajo son el conjunto de documentos, planillas o cedulas en las cuales el
auditor registra los datos y la información obtenida durante el proceso de Auditoría, así
como los resultados de los procedimientos y pruebas; con ellos se sustentan las
observaciones, recomendaciones, opiniones y conclusiones contenidas en el informe
correspondiente.
Al preparar el auditor los papeles de trabajo deben evitar acumular exceso de
documentación, (Calidad Vs Cantidad), esto se simplifica utilizando marcas de auditoria, es
decir, certificando o validando información o actuaciones físicas que se tuvo a la vista,
mediante marcas y referencias previamente definidas, tales como: Verificado y cruzado
contra registros contables, sumado, porcentaje observado, totalizado, cifras verificadas,
soportes originales vistos.
Sus componentes son:

 Información referente a la estructura orgánica de la entidad examinada.

 Extractos o copias de documentos legales importantes, convenios, y estatutos.
 Información concerniente al entorno económico y legislativo dentro de los que opera
la entidad.
 Evidencia del proceso de planeamiento
 Incluyendo programas de auditoría y cualquier cambio al respecto.
 Evidencia de la comprensión de los sistemas de contabilidad y de control interno.
 Evidencia de evaluaciones de los riesgos inherentes y de control.
 Evidencia sobre la evaluación del trabajo de auditores internos y las conclusiones
alcanzadas.
 Evidencia de que los trabajos realizados por los auxiliares fueron supervisados y
revisados.
 Análisis de transacciones y balances.
 Análisis de tendencias e índice importantes.
 Un registro de la naturaleza, tiempo y grado de los procedimientos de auditoría
desarrollados y de los resultados de dichos procedimientos.
 Una indicación sobre quien desarrolló los procedimientos de auditoría y cuando
fueron desarrollados.
 Copias de comunicaciones con otros auditores, expertos y otras terceras partes.
 Copias de cartas o notas referentes a asuntos de auditoría comunicados, o
discutidos con la entidad, incluyendo los términos del trabajo y las debilidades
sustanciales en control interno.
 Cartas de presentación recibidas de la entidad.
 Conclusiones alcanzadas por el auditor, concernientes a aspectos importantes de
la auditoría, incluyendo cómo se resolvieron los asuntos excepcionales o inusuales,
revelados por los procedimientos del auditor.
 Copias de los estados financieros, dictamen u otros informes del auditor, etcétera.
ESTUDIANTE: Xiomara Becerra Inchima

Ejemplo de una auditoría a un Datacenter, con una

problemática base de comunicación; los inconvenientes
ustedes lo plantean al menos 5 y deberán realizar los tres
pasos de la auditoria Planeación: utilizar levantamiento de
información mediante cuestionarios de 10 preguntas como
mínimo y las cuales serán respondidas y evaluadas y también
el uso de la técnica de inventarios para el levantamiento de
software y hardware del datacenter.
PLANEACIÓN DE LA AUDITORIA:

Origen de la auditoria:
El proceso de Gestión tecnológica se constituye en un soporte fundamental para la CUN,
porque gracias a ella, la comunidad universitaria está en constante comunicación no solo
internamente, sino también con el exterior, ofreciendo la oportunidad de ampliar los
conocimientos al estar en constante actualización con el mundo moderno que cada día nos
impone nuevos retos. Es por lo anterior que se hace necesario evaluar la gestión del
proceso para establecer oportunidades de mejora en el servicio que se presta.

Visita Preliminar:
Presenta problemas de conectividad, el servicio de Internet no es constante teniendo
innumerables perdidas de señal. Se observa que la infraestructura no es apta para alojar
los equipos instalados, se evidencia humedad en paredes y filtraciones en el techo con los
peligros que esto pueda conllevar. Igualmente, la planta eléctrica no está funcionando,
corriendo los riesgos de quedar sin fluido eléctrico debido a lo inestable de los servicios
energéticos en el país.
ESTUDIANTE: Xiomara Becerra Inchima

Inconvenientes del Datacenter:

 Los servicios de conectividad e internet aún no cubren la totalidad del campus

universitario.
 La infraestructura física de la sede donde funciona el datacenter no presenta las
mejores condiciones, debido a que se observa humedad en paredes y filtraciones
en techo que aún no han sido reparados.
 El espacio físico ya es insuficiente para la cantidad de equipos que están ubicados,
más si se tiene en proyección el ensanchamiento de estos servicios.
 La planta eléctrica no está prestando servicio en la actualidad.
 Hay mucho desorden en el datacenter, no se logra identificar a que corresponde
cada conexión.

Objetivos de la Auditoria:
Verificar que el Proceso de Gestión Tecnológica se encuentre cumpliendo con las normas
Legales. Comprobar el acatamiento de la normatividad legal vigente en sistemas de
informática.
Verificar los sistemas de seguridad en el Proceso de informática. Verificar los
procedimientos ejecutados en el proceso de informática.

Los puntos que serán evaluados en la auditoria

DESCRIPCION SI NO NO SABE
Conocimiento en los equipos del datacenter.
Mantenimiento a equipos
Back up de la información
Política de cero papel
Política de nivel de servicios
Identifican riesgos del datacenter
ESTUDIANTE: Xiomara Becerra Inchima

Herramientas de recopilación
Para realizar el proceso de levantamiento de información que se realizará el siguiente
cuestionario:
Con este cuestionario se busca identificar el nivel de conocimiento de los empleados de la
CUN, que trabajan en el área de TI e interactúan con el datacenter y que nivel de respuesta
tienen ante los problemas en base de comunicación:
1 ¿En la CUN conoce la ubicación, cantidad y la garantía de sus equipos?

2 ¿La CUN realiza mantenimiento preventivo y eficaz a sus equipos?

3 ¿Cuándo se producen problemas con los equipos, estos son atendidos con el fin de
minimizar los impactos que pueda ocasionar al negocio?

4 ¿Tiene posibilidades de recurrir a un back up en caso de situaciones de gran criticidad?

5 ¿La información impresa que generan sus sistemas es la mínima y necesaria para evitar
costos en papelería y distribución innecesaria, así como el riesgo por robo de información?

6 ¿Existen acuerdos formalizados y con métricas concretas para determinar el nivel de

servicio pactado entre su Data Center y las gerencias de su Negocio?

7 ¿La gente que maneja tanto la información como los equipos está al tanto de novedades
y en condiciones de responder a las exigencias del puesto?

8 ¿Ha identificado los riesgos en los cuales puede incurrir su Data Center?

9 ¿Las inversiones planeadas para el Data Center son acordes con las necesidades del
negocio?

10 ¿Realiza un mantenimiento preventivo y correctivo eficiente y eficaz?

Para realizar el proceso de levantamiento de información se aplicará la siguiente técnica

de inventarios para el levantamiento de software y hardware del datacenter:
Nombre Descripción Software Hardware Servicios Criticidad Criticidad Custodio Localización
del del activo de las del
Activo operaciones servicio
en
terceros
ESTUDIANTE: Xiomara Becerra Inchima

EJECUCIÓN DE LA AUDITORIA:

Resultado/
Pregunta / Verificación Hallazgo Observaciones
C OM OB N/A

Conforme
¿En la CUN conoce la
ubicación, cantidad y la
garantía de sus equipos?

Observación
¿La CUN realiza Se evidencia que los mantenimientos se
mantenimiento preventivo y realizan por un tercero el cual no tiene
eficaz a sus equipos? evidencia de tener una certificación
Oportunidad Mejora

¿Cuándo se producen
problemas con los equipos, La atención que se le brinda a los equipos en
estos son atendidos con el fin caso de problemas es eficiente en medio de
de minimizar los impactos su conocimiento, pero dependen del
que pueda ocasionar al proveedor para dar soporte
negocio?
Conforme

¿Tiene posibilidades de
recurrir a un back up en caso
de situaciones de gran
criticidad?
Oportunidad Mejora Oportunidad Mejora

¿La información impresa que

generan sus sistemas es la
mínima y necesaria para No se ha optimizado, al 100% la política de
evitar costos en papelería y cero papel en las áreas administrativas está
distribución innecesaria, así aún pendiente del proceso.
como el riesgo por robo de
información?

¿Existen acuerdos
Los funcionarios no conocen los acuerdos del
formalizados y con métricas
nivel de servicio que tiene el Datacenter, por
concretas para determinar el
lo tanto, en el momento de interrupciones del
nivel de servicio pactado
servicio no contemplan un tiempo de
entre su Data Center y las
respuesta.
gerencias de su Negocio?
ESTUDIANTE: Xiomara Becerra Inchima

¿La gente que maneja tanto

Conforme
la información como los
equipos está al tanto de
novedades y en condiciones
de responder a las
exigencias del puesto?

Oportunidad Mejora
Los funcionarios no son conscientes de los
¿Ha identificado los riesgos
riesgos que puede llegar a tener el
en los cuales puede incurrir
Datacenter en el caso, se apoyan en el
su Data Center?
proveedor.

Conforme

¿Las inversiones planeadas

para el Data Center son
acordes con las necesidades
del negocio?
Observación

Los funcionarios conocen y pueden hacer el

¿Realiza un mantenimiento mantenimiento sin necesidad del apoyo del
preventivo y correctivo proveedor por lo tanto es necesario permitir
eficiente y eficaz? que se realice este proceso a cargo de los
empleados de la CUN.
ESTUDIANTE: Xiomara Becerra Inchima

De la evolución de la información de los cuestionarios e

inventarios determinar que hallazgos o debilidades
encontraron en el datacenter

DEBILIDADES
Los servicios de conectividad e internet aún no cubren la totalidad del campus universitario.
La infraestructura física de la sede donde funciona el datacenter no presenta las mejores
condiciones, debido a que se observa humedad en paredes y filtraciones en techo que aún
no han sido reparados.
El espacio físico ya es insuficiente para la cantidad de equipos que están ubicados, más si
se tiene en proyección el ensanchamiento de estos servicios.
La planta eléctrica no está prestando servicio en la actualidad.
En esta auditoría se han podido constatar los esfuerzos que realiza el proceso de gestión
tecnológica, con todas la limitantes de orden económico, para llevar a cabo sus objetivos,
pero para ello necesita de la colaboración acertada de otras dependencias como
Planeación, Servicios Generales y otras, para que este proceso pueda salir avante con sus
propósitos y por ende prestar un mejor servicio.
ESTUDIANTE: Xiomara Becerra Inchima

Mediante los papeles de trabajo mostrar el informe final.

A continuación, presento el listado que se genero a la hora del levantamiento de información
del software y hardware del datacenter.
ESTUDIANTE: Xiomara Becerra Inchima
ESTUDIANTE: Xiomara Becerra Inchima

TOTAL, DE HALLAZGOS AUDITORÍA

Resultados Total %
Oportunidad Mejora 4 40%
Observación 2 20%
Conforme 4 40%
TOTAL DE HALLAZGOS 10 100%

TOTAL HALLAZGOS
40% 40%

20%

Oportunidad Mejora Observación Conforme

DESCRIPCION SI NO NO SABE
Conocimiento en los equipos del
80% 20% 0%
datacenter.
Mantenimiento a equipos 90% 10% 0%
Back up de la información 100% 0% 0%
Política de cero papel 25% 75% 0%
Política de nivel de servicios 5% 5% 90%
Identifican riesgos del datacenter 75% 15% 10%

120% 100%
100% 90% 90%
80% 75% 75%
80%
60%
40% 20% 25%
10% 15% 10%
20% 0% 0% 0% 0% 0% 5% 5%
0%
Conocimiento en Mantenimiento a Back up de la Politica de cero Politica de nivel Identifican riesgos
los equipos del equipos información papel de servicios del datacenter
datacenter.

SI NO NO SABE
ESTUDIANTE: Xiomara Becerra Inchima

RECOMENDACIONES:
Realizar las gestiones para la reparación de las filtraciones y humedad en las instalaciones
del data center y la reparación y/o mantenimiento de la planta eléctrica.
Adquirir o renovar la licencia de un antivirus acorde con las necesidades de la institución.
Ampliación para cubrimiento total de internet en la Universidad.
Realizar las acciones correctivas tendientes a la minimización de los impactos que generan
la materialización de los riesgos que generen la evaluación de la matriz de riesgos.