Fundamentos de Auditoria de Sistemas PDF

UNIVERSIDAD CATOLICA DE COLOMBIA
Especialización en Auditoría de Sistemas
FUNDAMENTOS DE AUDITORIA DE
SISTEMAS
Profesor
LUCIO AUGUSTO MOLINA FOCAZZIO

Certified Information Systems Auditor - CISA
Lucio_molina@007mundo.com
Bogotá, Año 2004
1
INDICE
Introducción ........................................................................................................................ 4
Por una auditoria y control efectivos. ........................................................................... 5
Auditoría de Sistemas, Definición y Objetivos........................................................... 9
Metodología Cobit .......................................................................................................11
Resumen Ejecutivo..........................................................................................................12
Marco Referencial (Framework) .....................................................................................12
Los Objetivos de Control................................................................................................13
Las Guías de Auditoría....................................................................................................13
Dominios y Procesos de COBIT .....................................................................................13
Objetivos propuestos por William Emory............................................................................14
ü Administrativa .............................................................................................................15
ü Soluciones aplicativas y programación.....................................................................15
ü Servicios.................................................................................................................15
LISTA DE ALGUNOS OBJETIVOS ............................................................................15
La Auditoría a través del Computador .......................................................................19
DEFINICION....................................................................................................................19
VENTAJAS Y DESVENTAJAS DE LA AUDITORIA A TRAVES DEL COMPUTADOR21
DATOS DE PRUEBA .......................................................................................................21
Enfoques y Técnicas de Auditoría para probar los sistemas de PED................28
TÉCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR.................................28
TIPOS DE PRUEBA DE AUDITORIA .........................................................................28
ALCANCE DE LAS PRUEBAS DE AUDITORIA.......................................................28
ENFOQUES PARA APLICAR PRUEBAS DE AUDITORIA ......................................28
ENFOQUES DE AUDITORIA PARA LOS SISTEMAS DE APLICACIÓN...............30
CARTAS DE RECOMENDACIONES DE CONTROL INTERNO ................41
ASPECTOS GENERALES:...............................................................................................41
ENFOQUE DE LAS CARTAS DE RECOMENDACIONES ...........................................41
Papeles de Trabajo ...........................................................................................................46
1. ARCHIVO PERMANENTE:.....................................................................................46
1.1. OBJETIVO:.......................................................................................................46
1.2. CARACTERISTICAS: ......................................................................................46
1.3. IMPORTANCIA: ..............................................................................................46
1.4. CONTENIDO:..................................................................................................46
2. ARCHIVO CORRIENTE:.........................................................................................48
2.1. OBJETIVO:.......................................................................................................48
2.2. CARACTERISTICAS: ......................................................................................49
2.3. IMPORTANCIA: ..............................................................................................49
2.4. CONTENIDO:..................................................................................................49
3. ARCHIVO ADMINISTRATIVO:.........................................................................50
2
MODELO DE PAPELES DE TRABAJO UTILIZADOS DURANTE EL
DESARROLLO DE UNA AUDITORIA DE SISTEMAS ...................................60
3
Introducción
El presente documento ha sido elaborado como material de consulta para los estudiantes del
Postgrado en Revisoría Fiscal y Auditoría Interna.
Contiene artículos e información que pueden permitir al estudiante entender la importancia de la

Auditoría de Sistemas y, adicionalmente conocer la forma como el Auditor de Sistemas realiza sus
funciones.
Este documento se ha venido actualizando con base en los lineamientos que periódicamente emite
ISACA (Information Systems audit. And Control Association) en el ámbito mundial.
La intención es que el estudiante tenga a su disposición una variedad de objetivos de Auditoría de

Sistemas así como modelos de los papeles de trabajo que utiliza el Auditor de Sistemas.
Incluimos además información básica sobre las Técnicas de Auditoría Asistidas por Computador
(TAAC'S) que puede utilizar un Auditor en del desarrollo de sus funciones.
4
Por una auditoria y control efectivos.1
A pesar de su importancia, muchas organizaciones en nuestro medio carecen por completo

de auditoría y control a los sistemas de procesamiento electrónico de datos. Puntos de
partida para su análisis.
En su existencia, relativamente breve, el computador ha emergido vertiginosamente hasta

convertirse en parte integral de la vida de las organizaciones; ha logrado alterar en menos de dos
generaciones su estructura y funciones.
Muchos factores han contribuido para que las formas de control requeridas por este nuevo
ambiente no se hayan adoptado oportunamente. Los más significativos tienen que ver con la
complejidad técnica de los modernos sistemas de computo, verdaderas maravillas de la ingeniería,
veloces en el proceso y sofisticados tanto en el hardware como en el software.
Los sistemas son diseñados, configurados y programados por auténticos especialistas quienes,
como es entendible, han estado mas comprometidos con la velocidad del proceso y la elegancia
técnica que con la verificación y control.
Desde 1976 se ha presentado un creciente interés en el tema de la auditoria y control a sistemas

de procesamiento electrónico de datos; sin embargo, muchas organizaciones en nuestro medio
carecen por completo de esta función o cuando existen no se ajusta a los requerimientos mínimos
generados por las capacidades actuales de proceso, los volúmenes de datos, la diversidad de
programas y la cantidad de usuarios, que hacen más complejos los sistemas de información.
Cada día se amplía el uso del computador en diferentes actividades de la empresa, se producen
nuevos programas y el usuario final tiene mayor acceso a la información.
Todo esto, sumado al vertiginoso desarrollo tecnológico, nos hace pensar que se amplían las
barreras entre los complejos sistemas de información y la capacidad para ejercer una auditoría y
control efectivos.
Es nuestro interés explorar diferentes aspectos relacionados con este tema, desde una definición
comprensiva de la auditoria en informática o de sistemas, hasta algunas técnicas que permitan a
nuestros clientes evaluar su propia estrategia y el estado actual de esta actividad en sus
organizaciones.
Varios son los autores que han escrito sobre este tema y cuyas obras han llegado a nuestro
medio. Entre otros pueden destacarse: Elise Jancura, Donald Wuatne, Peter Turning, Gabriel
1
Tomado de la Revista ACTUALIDADES/17 publicada por IBM de Colombia
5
Rotherberg, Ron Weber, Leonard Krauss, Donn Parker, Keagle Davis, William Perry, Javier
Kuong, James Martin y F.J. Fitzgeral.
Los temas favoritos han sido El Control, La Auditoria, El Fraude, El Sistema de Información
Contable y La Seguridad.
Pero no hay duda que la base más importante de toda esta literatura corresponde al estudio
preparado por el Instituto de Auditores Internos de los EE.UU., con datos recopilados por el
Stanford Research Institute y con el patrocinio de IBM.
Dada la trascendencia que ha tenido para el desarrollo de la Auditoría de Sistemas vale la pena
comentar sus más importantes conclusiones como punto de partida para un análisis de tan vital
tema.
1. La responsabilidad primaria respecto al control interno corresponde a la Alta

Gerencia, en tanto que la responsabilidad operacional (exactitud, oportunidad y confiabilidad
de la información), corresponde al usuario.
No hay duda que la Gerencia de la empresa en el ejercicio de sus cuatro principales tareas
administrativas debe estar considerando como recurso importante la información,
inmediatamente después del recurso humano. En este orden de ideas deberá proyectar su
responsabilidad de control a través de toda la organización a fin de que sea manejada,
divulgada y salvaguardada de acuerdo con el valor que tiene para la operación y estabilidad
de la empresa. Desde el punto de vista las fallas parecen no ser mayores.
Sin embargo, no se puede estar tan seguro en cuanto a la parte operacional. Con frecuencia
no hay un entendimiento claro del valor de la información y por lo mismo de los niveles de
clasificación que requiere por la administración de su confidencialidad.
Se pierde entonces con facilidad el concepto de propiedad, el de autorización para el acceso

y uso de los datos, el control de almacenamiento y las normas para la divulgación de la
información.
Control, auditabilidad, recuperación, respaldo, seguridad y unos cuantos conceptos mas, con
mucha frecuencia, no son claves para el usuario, que en muchas ocasiones no esta en
capacidad de exigir y/o dar un tratamiento adecuado a datos, información, programas y
equipos.
2. Es necesario mejorar los controles, esto es, ampliar el cubrimiento de control interno
al ambiente de procesamiento de datos. Los conceptos continúan siendo los mismos pero
la forma en que se debes aplicar es diferente. Se deben identificar y ejecutar programas de
control interno con objetivos claramente definidos para:
• El desarrollo de nuevos sistemas.
6
• Las operaciones de centros de computo.
• Los cambios de tecnología.
• Garantizar huellas confiables de auditoria que permitan evaluar y verificar el proceso.
• Establecer las relaciones entre las diferentes funciones de la organización.
3. Los auditores deben participar en el proceso de desarrollo e implantación de nuevos

sistemas para garantizar el empleo de controles adecuados. Es demasiado tarde realizar
esta tarea cuando los sistemas ya han sido instalados, con los problemas adicionales causados
por las modificaciones que se reflejan tanto en costos como en tiempo. Adicionalmente facilita
la inclusión de herramienta para la auditoria como parte integral de los nuevos sistemas.
4. La verificación de los controles debe hacerse antes y después de la instalación. De

aquí la importancia de las pruebas de preinstalación que permitan comprobar el logro de los
requerimientos básicos no solo del sistema en sí, sino también la efectividad y operatividad de
los controles definidos. Posterior a la instalación se requieren las revisiones periódicas que
deben incluir la verificación de control y los resultados del proceso.
5. A medida que se incrementan y hacen más complejos los sistemas de procesamiento de datos
se hace necesario que el auditor se involucre más en todas las fases del proceso.
Bases de datos, procesamiento distribuido, comunicaciones, archivos electrónicos, sistemas

integrados, manejo de imágenes, control de proceso, transferencia electrónica de fondos, etc.,
hacen que la responsabilidad sea compartida por diferentes facilidades y por muchos usuarios
con múltiples fuentes de información y variedad de recursos tanto en hardware como en
software.
El auditor de sistemas debe hacer uso de las herramientas apropiadas, dentro de las cuales la
más valiosa e importante es el computador mismo, y desarrollar habilidades que hacen de él
un especialista dentro de la organización de auditoria interna.
6. La sexta conclusión se refiere a la importancia de la función de Auditoría de Sistemas

dentro de la organización.
Pocos auditores internos tienen tanto el conocimiento como la experiencia requeridos para
adelantar auditorias efectivas a los actuales sistemas electrónicos de procesamiento de datos.
Varias organizaciones están preparando algunos de sus profesionales de sistemas en

disciplinas propias de la auditoria.
Otras están transmitiendo a sus auditores internos conceptos y practicas relacionadas con el
procesamiento electrónico de datos.
7
Y finalmente algunas organizaciones mayores están brindando entrenamiento a sus auditores y
reforzando grupos interdisciplinarios con especialistas de sistemas.
7. Se requieren nuevas herramientas y técnicas de auditoria a medida que los sistemas de

información se vuelven lógica y técnicamente más complejos.
A pesar de que crece el numero de auditores que hacen uso del computador para el ejercicio
de su labor, muchos aún continúan con al concepto de auditoria “alrededor o a través
de...”.
Ya existe una variedad de programas especializados y muchos métodos funcionales de

prueba que permiten satisfacer los objetivos básicos. Sin embargo, el auditor debe
prepararse no solo para hacer uso de estas herramientas sino para desarrollar sus propias
ayudas.
8. Finalmente, se establece la necesidad de adelantar evaluaciones periódicas de los

programas de auditoria y control, los cuales deben ser iniciados por la alta Gerencia.
Estas revisiones deberían adelantarse en conjunto por parte de las Gerencias de auditoria
interna y procesamiento de datos. Con ello se pretende analizar objetivos de auditoria y
control, las guías para el control interno, el alcance de la auditoria, y la participación en el
desarrollo e investigación de nuevos sistemas y la educación, entre otros.
Tres deberían ser los principales objetivos:
a) Evaluación de las prácticas actuales de auditoria y control, y una revisión de las

capacidades de procesamiento de datos dentro de la función de auditoria.
b) Identificación de las tendencias, tanto en el área de desarrollo como en el uso de nuevas
tecnologías.
c) Formulación de programas que permitan optimizar la efectividad de la auditoria con
ambiente de procesamiento de datos.
Para llevar a la práctica en forma completa estas condiciones, se requiere la función de

Auditoría de Sistemas, con personal altamente calificado, el cual aún es escaso, puesto que no
son muchas las instituciones educativas calificadas que ofrecen un programa completo para la
formación de estos profesionales.
8
Auditoría de Sistemas, Definición y Objetivos. 2
En 1982 Ron Weber afirmaba que las metodologías para el control y la auditoria del
procesamiento Electrónico de Datos (PED) aún estaban en la infancia.
A llegado el año 2000 y deberíamos preguntarnos cuál es el nivel de madurez que ha adquirido en
el medio esta importante función.
Ello depende lógicamente del grado de concientización alcanzado por quienes tienen la
responsabilidad de velar por los activos (tangibles o intangibles) de las organizaciones. Sin
embargo, parece que sigue siendo cierto que la tecnología ha avanzado a una velocidad mayor
que el desarrollo de metodologías viables para el ejercicio de la Auditoría de Sistemas, para la
cual se pretende dar una definición para tratar de entender en que realmente consiste.
ISACA define la Auditoría a los sistemas de información como cualquier auditoría que involucra
la revisión y evaluación de todos los aspectos (o una porción de ellos) de los sistemas de
información automatizados incluyendo procesos no automatizados y las interfases entre ellos.
El mismo Weber la define como: “el proceso de recolectar y evaluar evidencias para determinar si
un sistema de PED protege los activos, mantiene la integridad de los datos, contribuye al logro de
los objetivos de la organización en forma efectiva y gasta los recursos eficientemente”.
Es así como la Auditoría de Sistemas soporta el logro de los objetivos de la auditoria tradicional
porque los conceptos básicos se mantienen, en tanto que se da un cambio fundamental en la
forma.
La información por si misma siempre ha sido un valioso activo pero ahora se obtiene y se
administra mediante sofisticados sistemas compuestos por otros activos tales como maquinas,
programas, archivos de datos, documentación, suministros y el recurso humano, el más
importante de todos los recursos.
La integridad de los datos es un concepto fundamental en auditoria y está directamente

relacionada con otros atributos o cualidades básicas de la información tales como Confiabilidad,
oportunidad, confidencialidad, etc., las cuales se mantienen mediante sistemas de seguridad y que
lógicamente presentan un costo para la organización.
Por lo tanto los beneficios obtenidos deberán exceder los costos correspondientes a los diferentes
niveles de control cuyo uso debe estar en relación directa con su efectividad.
2
Tomado de la Revista ACTUALIDADES publicada por IBM de Colombia
9
Qué tantos controles, depende del valor de los datos y su contenido informativo, con lo cual se
define el grado de confidencialidad, mediante el cual el propietario de la información establece
quien o quienes pueden hacer uso de ella.
Mientras más alto sea el nivel de confidencialidad, quiere decir que mayor es el valor de la
información para la toma de decisiones y que por lo tanto se hace mas critica la integridad de los
datos.
Que tan eficaz es el sistema PED. Esta en relación con el cubrimiento de las necesidades y
requerimientos de los usuarios.
La acción de Auditoría de Sistemas se enfoca normalmente hacia sistemas en operación pero

deberá ejercerse durante todo el ciclo del desarrollo especialmente para sistemas complejos o
muy costosos donde una evaluación independiente garantice que se tendrán en cuenta todos los
requerimientos del usuario.
Finalmente qué tan eficiente es el sistema, depende de los recursos empleados parar el logro de
los objetivos.
Máquinas, sistemas operacionales, trabajos, etc., son recursos escasos requeridos por los
diferentes programas de aplicación, los cuales no pueden considerarse en forma aislada y menos
aun si se tiene en cuenta la capacidad del sistema que tiende fácilmente a ser excedida. No es
posible optimizar una aplicación en particular a expensas de otras.
El auditor de sistemas debe asistir a la Gerencia con sus recomendaciones en la racionalización

del uso y la adquisición o ampliación de los recursos dedicados al procesamiento de datos.
Hoy por hoy el auditor de sistemas, o mejor como debería llamarse, el auditor del sistema de
información, requiere de una formación especial y de herramientas técnicamente dispuestas para
el adecuado ejercicio de su actividad.
Con frecuencia muchos se han desanimado para regresar a sus tareas ya sean en el área de
sistemas o de auditoria porque no reciben los recursos adecuados y en algunas ocasiones no
cuentan con el apoyo que la Gerencia debe darles para una labor productiva.
Por esta razón es tan importante hacer una evaluación de los objetivos para que esta función no
se limite, como en el pasado, a la implantación y evaluación de controles.
El auditor de hoy debe tener a su alcance la tecnología del computador como principal
herramienta: capacidad para el muestreo estadístico, programas de consulta, microcomputadores
con facilidad de procesamiento stand alone y en línea, documentación actualizada,
comunicaciones, facilidades integradas de prueba, etc. Es posible que se deba regresar a una
“Auditoria alrededor de...”, pero con una mentalidad diferente.
10
De todas maneras el éxito de la función de auditoria depende del grado de participación y su
contribución para el logro de los más importantes objetivos de la organización. Por lo tanto para
definir sus propios objetivos deberá considerarse:
Ø La estructura y los objetivos corporativos.

Ø Las características del sistema de información.
Ø Las necesidades y los objetivos de otras auditorias.
Ø La capacidad y experiencia del auditor y los recursos con que cuenta.
Establecer objetivos de auditoria es la primera acción dentro de una metodología que incluyen 13
pasos que serán comentados posteriormente.
Puesto que no existen organizaciones iguales, el auditor deberá seleccionar de una amplia lista sus
propios objetivos pero por lo general corresponden a preocupaciones comunes de auditoria y
que pueden estar asociados con uno o más riesgos.
Las cuatro preocupaciones son:
3 Suficiencia de control interno para garantizar la integridad de las transacciones, su

autorización, su exactitud, su registro apropiado y la calidad de los resultados.
3 Continuidad para garantizar la presencia de la organización en el negocio y la

recuperación en caso de desastre. Los peligros asociados son la perdida o destrucción de
los datos y la interrupción del negocio.
3 Posibilidad de fraude, irregularidades o actos ilegales.
3 Políticas de operación y suficiencia de los procedimientos. Así se garantiza que la

organización opere efectiva, económica y eficientemente. Los peligros asociados son:
decisiones erróneas, perdida de ganancias y desventaja competitiva.
Para ayudar al auditor en la preparación de sus propios objetivos, ISACF creo la metodología
Cobit (Governance, Control Objectives for Information and Related Technology).
Metodología Cobit
Alrededor de los años 90 la Fundación de Auditoría y Control en Sistemas de Información

(ISACF Information Systems audit. And Control Foundation) reconoció la importante que es la
administración efectiva de la información y las tecnologías relacionadas para la supervivencia y
éxito de las organizaciones. De acuerdo con esto, ISACF inició el proyecto de recopilar
11
información sobre auditoría, control y seguridad en los sistemas de información y analizar sus
procesos. Producto de este estudio apareció Cobit en 1998
COBIT es en realidad un acrónimo formado por las siglas derivadas de Governance, Control
Objectives for Information and Related Technology (objetivos de control para tecnología de
información y tecnologías relacionadas).
COBIT es una herramienta que reúne normas y estándares de jure y de facto de la ISO, de
COSO, IFAC, IIA y AICPA entre otros.
COBIT encadena la tecnología de la información con las prácticas de control y crea un recurso
vital para la Gerencia, los profesionales en control y los auditores.
COBIT aplica a todo lo largo de la organización incluyendo personal de sistemas, usuarios,

minicomputadores, mainframes y sistemas cliente servidor, entre otros. COBIT se basa en que
los recursos de tecnología deben ser administrados y agrupados en procesos naturales con el
objeto de proveer información actualizada y confiable para que la organización logre sus
objetivos.
Los usuarios de COBIT son:
• La alta Gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de

las mismas
• Los usuarios de TI pueden obtener un aseguramiento sobre la seguridad y el control de
productos adquiridos en forma externa
• Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la
empresa
• Los responsables de TI pueden identificar los controles que requieren establecer en su área
COBIT está compuesto por los siguientes productos:
Resumen Ejecutivo
El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y
la estructura básica de COBIT. Hace una descripción general de los procesos, los recursos y los
criterios de información que determinan la “columna vertebral” de COBIT.
Marco Referencial (Framework)
El marco referencial incluye la introducción contenida en el resumen ejecutivo, presentando las

“guías de navegación” que orientan al lector en la exploración del material de COBIT.
El Marco Referencial hace una presentación más detallada de los 34 objetivos de control de alto
nivel (34 procesos) para los cuatro dominios
12
Los Objetivos de Control
Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco
referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto
nivel.
Se incluyen de 3 a 30 objetivos detallados por cada objetivo de control de alto nivel, totalizando
302.
Las Guías de Auditoría
Las guías de Auditoría también incorporan el resumen ejecutivo y el marco referencial.

Hacen una presentación del proceso generalmente aceptado de Auditoría (obtener entendimiento,
evaluar los controles, evaluar el cumplimiento y substanciar los riesgos). Este documento incluye
guías detalladas para auditar cada uno de los 34 objetivos de alto nivel.
Dominios y Procesos de COBIT
Dominio Planeación y Organización

• Definir un Plan Estratégico de Tecnología de Información
• Definir la Arquitectura de Información
• Determinar la dirección tecnológica
• Definir la Organización y las Relaciones de TI
• Manejar la Inversión en Tecnología de Información
• Comunicar la dirección y aspiraciones de la gerencia
• Administrar Recursos Humanos
• Asegurar el Cumplimiento de Requerimientos Externos
• Evaluar Riesgos
• Administrar proyectos
• Administrar Calidad
Dominio Adquisición e implementación:

• Identificar Soluciones
• Adquirir y Mantener Software de Aplicación
• Adquirir y Mantener la Arquitectura de Tecnología
• Desarrollar y Mantener Procedimientos relacionados con Tecnología de Información
• Instalar y Acreditar Sistemas
• Administrar Cambios
Dominio Prestación de servicio y soporte:

• Definir Niveles de Servicio
• Administrar Servicios prestados por Terceros
13
• Administrar Desempeño y Capacidad
• Asegurar un Servicio Continuo
• Garantizar la Seguridad de Sistemas
• Identificar y Asignar Costos
• Educar y Entrenar a Usuarios
• Apoyar y Asesorar a los Clientes de Tecnología de Información
• Administrar la Configuración
• Administrar Problemas e Incidentes
• Administrar Datos
• Administrar Instalaciones
• Administrar Operaciones
Dominio Monitoreo:
• Monitoreo de los procesos
• Evaluar qué tan adecuado es el Control Interno
• Obtener aseguramiento independiente
• Proporcionar Auditoría Independiente.
Objetivos propuestos por William Emory
William Emory ha escrito una lista de 120 puntos que él denominó lista de lavandería. Se
pretende conteste ejercicio recolectar todos los posibles objetivos relacionados con el PED.
Muchos podrían no ser calificados como objetivos sino mas bien como metas de desempeño o
pasos de un trabajo continuado.
Sin embargo se pretende mas bien, ayudar a definir los limites de responsabilidad del auditor y los
puntos de contacto con otros grupos de auditoria o de control.
Cuando el auditor elabore su propia lista, deberá tener en mente uno o más procedimientos
posibles para lograr cada objetivo y proceder a organizarla de tal manera que los procedimientos
sean paralelos a los objetivos y dispuestos de acuerdo a las áreas funcionales de PED para que se
mantenga:
- La integridad de los datos.

- La prevención contra accesos no autorizados a la información.
- La disponibilidad del uso de los recursos.
A manera de ejemplo podría usarse un esquema como este, por áreas:
14
ü Administrativa
• Organización y personal.
• Planeación.
• Análisis de costos.
• Desarrollo de procedimiento y controles.
• Aspectos legales.
ü Soluciones aplicativas y programación
• Desarrollo de aplicaciones.
• Mantenimiento del software.
ü Operación
• Salón del computador.

• Dispositivos de entrada y salida.
• Comunicaciones.
• Soporte técnico.
ü Servicios
ü Soporte de auditoria
LISTA DE ALGUNOS OBJETIVOS
Para ayudar al auditor en la programación de su propia lista, se incluyen algunos de los objetivos
propuestos por W. Emory.
1. Revisar la estructura organizacional para analizar la suficiencia, la separación de tareas,

etc.
2. Probar el cumplimiento de la estructura actual frente a la organización definida.
3. Evaluar el desempeño del personal clave.
4. Revisar el programa de entrenamiento.
5. Establecer si los planes de PED están de acuerdo con los planes corporativos.
6. Revisar los planes de PED.
7. Probar el cumplimiento contra el plan.
8. Verificar que la Gerencia y los usuarios participen en la elaboración de los planes.
9. Participar en el proceso del plan para expresar las preocupaciones de auditoria.
15
10. Revisar y probar procedimientos de análisis de costos.
11. Determinar si las cifras base se aplican uniformemente.
12. Revisar el presupuesto y los procedimientos para su aplicación.
13. Verificar si se han desarrollado estándares para todas las áreas de PED.
14. Verificar el cumplimiento de los estándares.
15. Participar en el desarrollo de los estándares.
16. Revisar contratos de hardware y de software.
17. Revisar contratos de servicio.
18. Verificar el cumplimiento de los contratos.
19. Revisar el cubrimiento de los seguros.
20. Revisar los planes para el desarrollo de aplicaciones.
21. Comprobar que existen y se aplican estándares para el diseño de sistemas y compra de
software.
22. Revisar la participación del usuario en el desarrollo de sistemas.
23. Participar en el desarrollo de sistemas.
24. Revisar controles de nuevos sistemas antes de su implantación.
25. Revisar planes para la implantación de nuevos sistemas.
26. Revisar la selección y uso de lenguajes de programación.
27. Participar en la prueba de sistemas.
28. Revisar los resultados de las pruebas antes de la implantación de un nuevo sistema o de
los cambios a un sistema existente.
29. Conducir revisiones de post-implantación.
30. Evaluar los estándares para el mantenimiento del software aplicativo.
31. Revisar y probar los procedimientos de control para verificar que están acordes con los
sistemas en operación.
32. Probar los procedimientos usados para actualizar la documentación.
33. Probar los dispositivos de seguridad física para proteger la documentación.
34. Probar la documentación de respaldo (Back-up).
35. Revisar la seguridad lógica para archivos de datos y programas.
36. Revisar el uso por parte del programador, de librerías privadas o temporales.
37. Verificar el trabajo de mantenimiento contra requerimientos para mantenimiento o
modificaciones.
38. Revisar las normas para la operación del computador y comprobar su cumplimiento.
39. Determinar si el hardware es usado eficientemente.
40. Revisar los reportes administrativos concernientes a la utilización del hardware.
41. Verificar que el equipo es usado solamente para trabajos autorizados.
42. Revisar los planes para adquisición de equipo.
43. Revisar los procedimientos para organización de actividades.
44. Hacer inventarios de equipos de PED.
45. Revisar los procedimientos para el mantenimiento del hardware.
46. Revisar las condiciones ambientales.
47. Revisar los planes y programas de seguridad física.
48. Revisar los controles de acceso físico.
16
49. Revisar el procedimiento de la protección contra y/o detección de desastres.
50. Revisar los procedimientos para la recuperación en caso de desastre.
51. Probar los procedimientos de recuperación.
52. Revisar la seguridad para medios que contengan archivos de datos o programas.
53. Probar los procedimientos para la toma de copias de respaldo (Back-up).
54. Revisar los procedimientos para la entrada de datos.
55. Revisar los procedimientos para la distribución de información.
56. Revisar los estándares para el diseño de redes de comunicación.
57. Participar en el planeamiento de la red.
58. Revisar la seguridad física para proteger los componentes de la red.
59. Revisar los dispositivos de seguridad lógica para acceder la red.
60. Revisar los controles para modificación del software.
61. Revisar la documentación.
62. Revisar los controles existentes sobre los utilitarios.
63. Revisar y probar los procedimientos para el mantenimiento de las librerías utilizadas en
producción.
64. Determinar la naturaleza y el impacto de servicios recibidos de fuentes externas.
65. Conducir revisiones de auditoria para los servicios recibidos de terceros.
66. Verificar que los usuarios entienden los programas aplicativos.
67. Probar el conocimiento de los usuarios respecto a los dispositivos del control del sistema.
68. Revisar la documentación del usuario.
69. Evaluar la satisfacción de los usuarios con las diferentes aplicaciones y con el sistema en
general.
70. Probar los procedimientos para el control del flujo de los datos del usuario.
71. Revisar los procedimientos para la distribución de reportes.
72. Verificar el contenido de los archivos magnéticos.
73. Desarrollar programas de computador para asistir a los auditores financieros.
74. Servir de enlace entre los auditores financieros y el departamento de procesamiento de
datos.
75. Asistir a los auditores financieros en la interpretación y evaluación de los reportes
generales por el PED.
76. Proveer entrenamiento básico a los auditores financieros.
77. Proveer entrenamiento a la gente de PED relacionados con los objetivos de auditoria.
RECOMENDACIÓN
Empiece por dar respuesta a estas preguntas:
ü ¿ Están formalmente definidos los objetivos de Auditoría de Sistemas?
ü ¿ Están claramente definidas las relaciones entre los auditores de sistemas y los auditores
financieros?
17
Si la respuesta es SI, felicitaciones y a cumplir con sus objetivos... pero si la respuesta es NO
entonces...
Elabore su propia lista de objetivos, sométala a revisión de diferentes niveles de su organización,

revise las recomendaciones y presente un plan definitivo a la Gerencia para obtener su aprobación
y respaldo... y no olvide tener en mente los procedimientos para el logro de cada objetivo.
18
La Auditoría a través del Computador
A diferencia de la auditoria alrededor del computador, estas técnicas permiten al auditor en la

medida en que conozca mas las operaciones en el computador, tener menos limitaciones para
trabajar.
DEFINICION
Esta técnica da un gran énfasis a probar el sistema de computador que produce la salida en
cambio de probar la salida misma.
El auditor prueba y verifica:
- La efectividad de los procedimientos de control sobre las operaciones de computador y

en los programas del computador.
- Que el procesamiento interno sea correcto.
Esta técnica de auditoria requiere dos tareas básicas que son:
- La revisión y verificación de las transacciones fuente.

- La prueba real de la lógica de los programas de computador y de los controles de
programa.
¿CÓMO ES LA AUDITORIA A TRAVES DEL COMPUTADOR?
En la figura 1 se ilustra como es la auditoria a través del computador. Con esto, el auditor asume
que el computador es una herramienta y que cuando se programa apropiadamente, produce una
salida confiable.
19
Por consiguiente las pruebas de auditoria deben pensarse mas como pruebas lógicas de
programación, que como pruebas de exactitud del computador.
Una de las herramientas clave en la aplicación de esta técnica de Auditoria es la preparación de

una serie de transacciones de prueba, normalmente llamadas DATOS DE PRUEBA.
El lote de prueba se corre en el computador, en un ambiente de pruebas previamente instalado y

utilizando los mismos programas que fueron utilizados para procesar la aplicación que esta
probando.
La prueba se diseña para determinar la efectividad de los controles, exactitud y generalidad de los
programas.
20
VENTAJAS Y DESVENTAJAS DE LA AUDITORIA A TRAVES DEL
COMPUTADOR
Ventajas
1. Ayuda al auditor a involucrarse mas en el sistema; por consiguiente incrementa su
conocimiento y habilidad para realizar auditorias más complejas en el futuro.
2. Trabaja como una ayuda para realizar pruebas de cumplimiento y en la evaluación de
controles programados.
3. Incremento de servicios a los clientes porque los controles y las operaciones son
probadas o, por lo menos, observadas por el auditor.
4. Los resultados de las pruebas son fácilmente identificables y se pueden utilizar como
medidas de la confiabilidad del procesamiento interno.
5. Utiliza el computador como una herramienta para realizar las funciones de auditoria.
Las desventajas de esta técnica son:
1. Requiere tiempo de computador.

2. Requiere conocimientos técnicos de PED y personal de auditoria más hábil.
3. Representa una prueba “sobre lo hecho” (sobre lo conocido) mas que una prueba
preventiva.
4. Representa solo una prueba limitada del sistema.
DATOS DE PRUEBA
Los datos de prueba son transacciones simuladas que incluyen idealmente todo tipo de
condiciones posibles, incluyendo aquellas que el sistema es incapaz de manejar, debido a la
carencia de controles apropiados. Quiere decir esto que la lista de transacciones simuladas
debería probar condiciones tanto validas como invalidas.
Los datos de prueba deben ser procesados con los programas regulares del sistema.
Propósito de los datos de prueba.
El auditor no puede ver físicamente las operaciones y los controles dentro de la caja negra
(programas de aplicación), pero puede ver un listado de los resultados de la prueba donde por
ejemplo, algunas transacciones que deberían ser rechazadas no lo fueron, o donde condiciones de
overflow causaron errores o donde transacciones fuera de limite fueron procesadas como si
fueran correctas (Ej. .transacciones de clientes que exceden el limite de crédito). El auditor
también puede determinar si la caja negra esta procesando apropiadamente las transacciones
validas.
El uso de los datos de prueba abre ventanas en la caja negra, porque las transacciones simuladas
se procesan en el sistema de computador y generan resultados que son comparados por el
21
auditor con resultados esperados manualmente con anterioridad. Es decir antes de ejecutar el lote
de prueba, el auditor calcula los resultados que debería obtener y luego los compara con los
obtenidos en la prueba.
Como preparar los datos de prueba
Generalmente, los datos de prueba se aplican de la siguiente manera:
1. Se debe revisar todo el sistema de controles.

2. Sobre la base de esta revisión se diseñan las transacciones para probar aspectos
seleccionados del sistema o todo el sistema.
3. Los datos de prueba se transcriben a los formatos de entrada al sistema.
4. Los datos se convierten (graban) a medios utilizables por el computador. El auditor debe
verificar la conversión mediante rutinas de balanceo o en listados de validación que se
produzcan. Además debe guardar el medio magnético que contiene la información hasta
cuando realice la prueba.
5. Los datos deben procesarse con los programas de la aplicación que están vigentes. El
auditor debería estar presente durante el proceso de los datos para asegurar que:
a) no se introduzca información adicional,
b) se utilizan los procedimientos de operación estándar,
c) no ocurra alguna irregularidad cuando se efectúa la prueba,
d) Todos los documentos impresos (hardcopy) que se produzcan sean retenidos por
el auditor.
6. Los resultados obtenidos en el punto 5º, se deben comparar con los resultados
predeterminados.
Controles de auditoria sobre los programas de computador que estén siendo probados.
El principal objetivo del uso del lote de prueba es verificar la operación de los programas de
computador de los clientes para ver si operan como se piensa (desea).
El auditor debe asegurarse que el programa que está probando es el mismo que está actualmente
en producción. Esta seguridad se puede obtener mediante la verificación previa de los
procedimientos de Control de Cambios a Programas y de la fecha de actualización del programa
o programas a probar, las cuales deben coincidir con la fecha de los programas en Producción.
Aplicación de los datos de prueba
El auditor debe tener el diseño de los registros de transacciones para preparar sus transacciones
de prueba. Este diseño debe contener el nombre de cada campo, el tamaño y su configuración
(numero o alfanumérico). El auditor incluye sus propios datos en los campos apropiados para
producir resultados predeterminados. Si los resultados de las pruebas no están de acuerdo con
22
los resultados esperados se debe hacer una investigación mas profunda para determinar la razón
para las variaciones.
Los siguientes son algunos ítems que normalmente deberían ser incluidos en la aplicación de datos
de prueba.
1. Verificar si se producen totales de control y se devuelven a la mesa de control. Por

ejemplo: si se procesan 100 registros de prueba, el total de control debe indicar 100.
2. Tratar de procesar una transacción sensitiva sin la debida autorización y observar si el
sistema la rechaza (por ejemplo cambiar el limite de crédito).
3. Hacer chequeos numéricos, alfabéticos y caracteres especiales.
4. Entrar a un campo con signo negativo y observar si se procesa realmente con este signo.
En algunos sistemas sin controles apropiados, el signo negativo se convierte en positivo.
Hacer comprobaciones de validez. Por ejemplo entrar un código invalido o un
departamento con código equivocado.
5. Hacer pruebas de racionalidad y de limite.
Ejemplo: empleado que trabaja mas de 48 horas por semana; retiro por mas de $50.000
sin autorización apropiada.
6. Cuando las transacciones deben estar ordenadas por numero de secuencia, ingresar
transacciones en desorden.
7. Incluir un numero de cuenta dígito de chequeo predeterminado y ver si se procesa
normalmente.
8. Uso de diferentes unidades de medida. Ejemplo: pies por libras.
9. Incluir diversos campos con datos incompletos o inexistentes.
10. Insertar caracteres en campos que causen condiciones de overflow
11. Tratar de leer o escribir un archivo equivocado.
Los archivos que se van a probar, deben ser copiados al ambiente de pruebas como archivos
especiales de trabajo con el fin de permitir todo tipo de pruebas.
Ventajas y desventajas de los datos de prueba.
1. No se requiere que el auditor tenga grandes conocimientos técnicos.

2. Tiene buena aplicación donde son pocas las variaciones y combinaciones de
transacciones.
3. Da una evaluación y verificación objetiva de los controles de programa y de otras
operaciones que serian impracticables por otros medios.
4. Los datos de prueba se podrían correr sorpresivamente para descubrir la posible
modificación de programas sin autorización e incrementar la efectividad de otras pruebas
realizadas.
Las desventajas son:
23
1. Se requiere bastante tiempo y esfuerzo para preparar y mantener un lote de datos de
prueba representativo. Cualquier cambio en programas, diseño de registros y sistema,
implican cambiar los datos de prueba.
2. En algunos casos el auditor puede no probar el sistema que realmente esta en producción.
3. En un sistema complejo con gran variedad de transacciones es difícil anticipar todas las
condiciones significativas y las variedades que deberían probarse.
4. El auditor debe estar bastante relacionado con la lógica de programación que está
probando.
5. La prueba en si misma no detecta todos los errores. Cuando los programas son
complejos, pueden existir infinidad de rutas y es muy difícil seguirlas todas.
6. Hay una probabilidad muy alta que el lote no detecte manipulaciones inadecuadas de una
cuenta o cantidad especifica.
Sugerencias para desarrollar Datos de Prueba.
Para archivos maestros:
1. Duplicar registros.
2. Proceso de registros.
3. Cargar e intentar procesar archivos equivocados.
Para registros nuevos:
1. Crear un registro nuevo antes del primer registro existente en el maestro (test de low-
sequence).
2. Crear un registro nuevo después del ultimo registro existente en el maestro (test de high-
sequence).
3. Crear tres o cuatro registros nuevos con llaves consecutivas dentro de registros que no
existen.
4. Crear un registro para una división inexistente, un departamento, una planta, un ítem de
inventario, empleado, cliente, y así sucesivamente.
5. Crear dos o más registros de cabecera, uno inmediatamente después del otro.
6. Crear un registro nuevo con llaves ceros.
7. Crear un registro nuevo con llaves nueves.
8. Crear un registro nuevo, pero incompleto. (Por ejemplo: Solo uno o dos campos de diez
posibles)
Para transacciones:
1. Crear transacciones para el primer registro del archivo.

2. Crear transacciones para el ultimo registro del archivo.
3. Crear transacciones para otros registros diferentes al primero y el ultimo del archivo.
4. Crear transacciones para un registro nuevo creado en la misma corrida.
24
5. Crear transacciones para varios registros consecutivos.
6. Crear varios tipos de transacciones para un mismo registro.
7. Intentar crear transacciones para registros inexistentes que fueron menores en secuencia
que el menor registro existente; mayores en secuencia que el ultimo registro existente, y
entre registros existentes, así como para varios registros consecutivos no existentes.
8. Crear transacciones de tal manera que los totales se hagan negativos y verificar el efecto
en otros campos del registro.
9. Crear cantidades demasiado grandes para crear overflow. Examine los resultados.
10. Si se utiliza un registro de encabezado seguido por registros de detalle, cree registros
detallados para el primer registro del archivo, el ultimo registro, dos registros
consecutivos, un registro no existente y varios registros inexistentes.
Para borrar registros e inactivos:
1. Eliminar el primer registro de cada archivo.

2. Eliminar el ultimo registro de cada archivo.
3. Eliminar 3 o 4 registros consecutivos de cada archivo.
4. Intentar acceder un registrar inexistente.
5. Codificar un registro como inactivo e intentar grabar datos al mismo registro en la misma
corrida.
6. Volver activo un registro inactivo y crearle transacciones en la misma corrida.
Para Fechas:
1. Asegurarse que todos los campos de datos de fechas se han actualizado correctamente.
2. Crear fechas con meses 00 y 13, días 0 y 32 y un año invalido.
3. Crear fechas que estén fuera de los intervalos de actualización. Ejemplo: en un periodo
mensual, hacer intervalos de mas de 30 días.
4. Hacer dos corridas de actualización con la misma fecha.
Para pruebas de lógica y proceso:
1. Verificar todos los cálculos que producen promedios o porcentajes con pequeños,
medianos y grandes valores.
2. Crear una condición para todas las rutinas de división con cero como denominador.
3. Crear datos de prueba para valores menores que el mínimo y mayores que el máximo
permitidos.
4. Crear datos para todas las excepciones y errores.
5. Crear datos que incluyan excepciones múltiples y errores en la misma transacción.
6. Crear datos para los valores mínimos y máximos de cada campo.
Para programas de validación. Los datos de prueba para campos alfabéticos incluirán:
25
1. Campo completamente lleno de letras.
2. Campo completamente en blanco.
3. Únicamente números
4. La primera posición alfabética
5. Primera posición en blanco.
6. Mezcla de caracteres numéricos
Datos de prueba para los campos de cantidad o valor incluirán:
1. Campo lleno de nueves.

2. Campo lleno de ceros.
3. Campo lleno de blancos.
4. Exacto el limite inferior, si lo hay.
5. Exacto limite superior, si lo hay.
6. Una cantidad o valor típica entre los limites.
7. Valor superior al limite, si lo hay (diferente de nueves).
8. Valor inferior al limite, si lo hay (diferente de ceros).
9. Valor con signo errado (+ o -).
10. Datos alfabéticos en cada campo.
Para programas de actualización:
1. Diseñar datos para crear varios registros maestros completos.

2. Crear datos para cambiar un registro maestro inexistente.
3. Diseñar datos para crear datos con la misma llave de otro existente.
4. Crear datos con un registro cuya llave sea ceros.
5. Crear datos con un registro cuya llave sea nueves.
6. Crear uno o dos ítem para establecer un registro del archivo maestro nuevo pero
incompleto.
7. Diseñar datos para crear un nuevo registro en el archivo maestro y hacerle cambios
posteriormente en la misma corrida.
Para programas de proceso:
1. Entrar datos que produzcan resultados de cálculos con valores pequeños, medianos y
muy grandes.
2. Entrar datos que creen condiciones de división o multiplicación por cero.
3. Entrar datos que originen desbalanceo del registro de control de lote. Examinar
resultados.
4. Diseñar varias entradas contables ilógicas (ejemplo: Crédito a gastos de depreciación y
debido a cuentas por cobrar)
5. Entrar datos que causen overflow.
26
Para programas de reportes:
1. Incluir datos de prueba con valores negativos para asegurar que se imprimen los signos
para cada campo, en cada línea de detalle y en las líneas de total.
2. Crear datos con nueves en todo el campo para asegurar que se imprimen y que no se
ponen en otros.
3. Entrar datos de prueba con solo ceros para probar la supresión de ceros no significativos
en la impresión.
4. Verificar todas las sumas y resultados de los cálculos.
27
Enfoques y Técnicas de Auditoría para probar los sistemas de PED
TÉCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR
TIPOS DE PRUEBA DE AUDITORIA
- Sustantivas
v con el computador
v sin el computador
- De cumplimiento
v con el computador
v sin el computador
ALCANCE DE LAS PRUEBAS DE AUDITORIA
- Comportamiento del sistema ante situaciones normales.
v de normal ocurrencia para la operación o negocio

v previstas y establecidas para el funcionamiento normal del sistema
- Comportamiento del sistema ante situaciones “fuera de lo normal”.
v generalmente no consideradas ni previstas en el diseño del sistema por ser obvias,

de sentido común
v exóticas o extremas, como por ejemplo:
§ Fechas invalidas.
§ Insuficiencia de tamaño en campos de valor.
§ Perdida de dígitos en cargue o traslado de acumuladores.
§ Validez de campos.
§ Valores negativos.
§ Inconsistencias entre diferentes campos de un mismo archivo.
ENFOQUES PARA APLICAR PRUEBAS DE AUDITORIA
1. HISTORICO / ESTATICO
• Tiempo de la prueba posterior al tiempo de los eventos ( tp no pertenece te)
28
• Auditoria a la información sobre hechos cumplidos.
• Generalmente se limita a revisar “ lo conocido” (¿por qué ha ocurrido?)
• “Auditoria detrás de lo conocido”.
o ¿Se cumplieron los controles establecidos?
o ¿La información sobre las transacciones que ocurrieron durante un periodo de
tiempo se proceso en forma completa, exacta y oportuna?
• Técnicas aplicables en sistemas Batch y On-line.
o Datos de prueba.
o Sistemas de evaluación de un caso base.
o Simulación en Paralelo
o Software de auditoria (paquetes o software hecho a la medida):
§ Selección de transacciones.
§ Confirmación de saldos.
§ Registros extendidos.
§ Examen de archivos.
§ Reportes de excepción.
§ ACL, IDEA, SPSS, SAS
- Programas de utilidad (Utilities).

- Otras sin utilizar el computador.
2. ON-LINE / SIMULTANEO / SOBRE LA MARCHA
• Tiempo de prueba = tiempo de los eventos (tp = te).

• Auditoria en tiempo real, simultanea a los hechos que son objeto de la auditoria.
• Permite un enfoque “más dinámico de la auditoria”, porque la oportunidad de las pruebas
y el trabajo de la auditoria se ejecuta sobre información “actual” no “histórica”.
o La información cumple con los controles establecidos para su procesamiento?

o La información refleja un hecho económico, normal y permisible?
• La auditoria puede actuar mas oportunamente, anticiparse a los acontecimientos.

• Técnicas aplicables en sistemas On-line, tiempo real.
o ITF (Facilidad de la prueba integrada o enfoque de la mini compañía o entidad

ficticia).
o Módulos de auditoria encajados en los programas de aplicación (SARF y
SCARF).
o Simulación paralela encajada en la aplicación On-line.
o Segmento de base de datos del auditor.
29
o En general, requiere el uso de software de auditoria
• Paquetes de software de auditoria.

• Programas de computador hechos a la medida.
• Uso de programas de utilidad (Utilities).
ENFOQUES DE AUDITORIA PARA LOS SISTEMAS DE APLICACIÓN
A. Para sistemas existentes (aplicaciones en producción)
1. Si el auditor no estuvo involucrado en el desarrollo de la aplicación.
- Uso de herramientas y técnicas aplicables “después del evento”. Paquetes, ITF, datos de
prueba, caso base, simulación paralela, etc.
- Uso de manuales, generalmente anticuados, desactualizados.
2. El auditor estuvo involucrado (participo) en el desarrollo de la aplicación.
- Emplea rutinas de auditoría construidas como parte del sistema. Enfoque al momento,
On-line / simultaneo.
- Complementa con técnicas aplicables para después del evento.
B. Para nuevos sistemas
1. Plan de auditabilidad externa al sistema de aplicación.
- Enfoque después del evento.

- También enfoque al momento, simulación paralela no encajada, pero simultanea.-
2. Creación de auditabilidad en el sistema con módulos.
Incorporados y componentes dinámicos.
- Sistema de auditoria por computador.

- Módulos incorporados, registros extendidos, ITF, señalización y rastreo (Snapshot y
Tracing), sistemas duales, etc.
30
31
PROCEDIMIENTOS DE AUDITORIA PARA APLICACIONES EN FUNCIONAMIENTO
AREAS DE EXPOSICION ALCANCE PUNTOS DE CONTROL (DE METODOS DE AUDITORIA

EXPOSICIÓN)
1. Generación de transacciones en la Preparación manual y el procesamiento 1. Registro de datos en los documentos - Revisión de procedimientos
fuente de información. de las transacciones antes de ser entradas fuente. utilizados.
a computador.
2. Autorización de transacciones. - Observación en las áreas del usuario.
3. Preparación de entradas para el PED. - Rastreo manual de transacciones.
4. Retención de documentos fuente. - Revisión del transporte de
documentos y registros.
5. Manejo de errores. - Revisión de reportes de errores en el
input, preparados por el computador.
6. Las personas: Identificación, - Verificación de documentos
autorización, autenticación. fuente.
- Comparación de datos fuente
con registros del computador.
- Software generalizado de
auditoria (para seleccionar
transacciones y lotes).
- Módulos (subrutinas) de
auditoria encajadas dentro de
los programas de aplicación,
para seleccionar
transacciones continuamente.
- Revisión a separación de
funciones.
32

EXPOSICIÓN)
2. Transporte de documentos fuente al Traslado de documentos desde la 1. Seguridades previstas para el - Observaciones en las fuentes de la
centro de PD fuente de la información al centro de transporte físico. información y en el área de recepción
PD y viceversa. de documentos en el PED.
2. Medidas para prevenir pérdida o - Examen de registros y documentos de
extravió de documentos. control que se utilicen.
3. planeación de transporte. - Revisión y análisis de procedimientos
establecidos.
4. Medios de transporte.
5. Las personas.
3. entradas de transacciones a Grabación (captura), entrada de datos 1. Entrada de datos On-line. - Revisión y evaluación de
procesamiento electrónico de datos por terminal, validación del input, procedimientos escritos ( en las áreas
(Batch y On-line). procedimientos para manejo y del usuario y en PD).
corrección de errores en PD.
2. Entrada de datos en forma batch. - Selección de transacciones, rastreo
manual y verificación.
3. Validación de datos de las - Revisión a separación de funciones.
transacciones.
4. Manejo de errores en los datos de - Observaciones y revisiones de hojas
las transacciones. de control de lote, hojas de ruta y
registros usados en el balanceo y
reconciliación del procesamiento de
entradas.
5. Las personas. - Software generalizado de auditoria
para seleccionar transacciones y lotes o
paquetes.
- Módulos de auditoria encajados para
33
seleccionar transacciones.
- Paquete de datos de prueba.
- Facilidad de la prueba integrada (mini
compañía).

EXPOSICIÓN)
4. Comunicación de datos. El flujo de datos entre las terminales 1. Entrada de mensajes. - Verificar mantenimiento preventivo a
remotas y el centro de procesamiento los equipos y a la red de comunicación
de datos. de datos.
2. Transmisión de mensajes. - Revisar procedimientos de reporte de
fallas de operación de la red.
3. Recepción y contabilidad de - Rastreo de log y reportes de errores.
mensajes.
4. Las personas. - Entrevistas con los usuarios da le red.
5. Las líneas de comunicación. - Uso de la ITF o enfoque de mini
6. Modems. compañía.
- Software generalizado de auditoria
7. Software de comunicación. para seleccionar transacciones.
8. Log de comunicaciones. - Revisión a separación de funciones.
5. Procesamiento de las transacciones Programas de computador que 1. Controles para prevenir errores y - Observaciones al área de operación
en el computador. procesan los datos después de ser omisiones (integridad del del computador.
validado el input. procesamiento).
2. Restauración y recuperación del - Revisión del log de consola.
procesamiento.
3. Controles para asegurar exactitud y - Método de datos de prueba.
confiabilidad de los cálculos que se
efectúen.
4. El operador del computador. - Método del caso base.
34
5. Controles para garantizar seguridad - ITF o mini compañía.
y privacidad.
- Tagging, Mapping y Tracing.
- Programas de selección de
transacciones en listados o por
pantalla.

EXPOSICIÓN)
6. Manejo de errores. - Módulos de auditoria incorporados
(subrutinas).
7. Las personas. - Software de auditoria generalizado
para examinar archivos y obtener
evidencias.
8. Mantenimiento y actualización de - Simulación paralela.
archivos maestros.
9. Reorganización de archivos - Revisión a separación de funciones.
maestros y cargue / actualización de
acumuladores en fechas de corte.
10. Transacciones generales
internamente.
6. Almacenamiento y recuperación de Almacenamiento de programas y de 1. Identificación, localización y - Software generalizado de auditoria
datos y de programas. archivos de datos (maestros y de control de archivos de datos y de para extraer y rastrear registros.
transacciones). programas.
2. procedimientos de respaldo - Examen de procedimientos de backup
(backup) de archivos maestros y de y manejo de archivo en bibliotecas.
transacciones en fechas de corte.
35
3. Acceso lógico y físico a los archivos - Revisión de log de seguridad y de
y librerías de programas. registros de librería de medios.
4. Manejo de errores. - Revisión de salidas del SMF.
5. Las personas. - Revisión de separación de funciones.
6. Las bibliotecas de medios - Observación e inspección de las áreas
magnéticos. de biblioteca.
7. Procedimiento de transporte de
archivos a las bibliotecas.
PROCEDIMIENTOS DE AUDITORIA PARA CENTROS DE SERVICIOS DE COMPUTADOR
AREAS DE AUDITORIA PUNTOS DE CONTROL PROCEDIMIENTOS DE AUDITORIA
1. Control de entradas / salidas de información. 1. Métodos de planeación de la producción. - Análisis de procedimientos establecidos.
2. Procedimientos de control de E / s. - Examen de log y registros que se mantengan.
3. Procedimientos de control de la producción. - Observación para determinar cumplimiento de
4. Procedimientos para el manejo de errores. procedimientos establecidos.
5. Distribución de reportes. - Rastreo del flujo de los datos a través de la
6. Personas. función de control de E / s para probar si los
procedimientos son apropiados.
- Entrevista con los usuarios de PD.
2. Biblioteca de medios magnéticos. 1. Seguridad física y controles de acceso. - Uso de guías de control.
2. Registro y control de inventario. - Observación.
3. Backup y almacenamiento fuera de la - Revisión de registros y logs de inventario
instalación. (Off-site) - Rastreo de archivos de backup y de políticas
4. Retención, limpieza y reciclaje. de retención para una o más aplicaciones
5. Procedimientos establecidos. especificas.
6. Bibliotecarios. - Uso de sistemas de inventario automatizado
36
que proporcionan listados.
3. Separación de funciones Incompatibles. 1. En producción. - Revisión del grafico de la organización.
2. En operación del computador. - Entrevistas.
3. En biblioteca de medios magnéticos. - Observación.
4. En generación de transacciones. - Rastreo de flujo de transacciones relacionadas.
5. En desarrollo y mantenimiento de aplicaciones. - Examen de logs y de registros de control.
- Análisis de registros del Job Accounting
(SMF).
4. Controles ambientales y de seguridad física. 1. Temperatura y humedad. - Examen de documentos relativos a provisiones
2. Fuente de potencia estable. para contingencias.
3. Fuente de potencia alternativa (UPS’s). - Simular un desastre.
4. Protección contra incendios. - Examen de backups.
5. Control de acceso físico. - Examen de procedimientos establecidos.
6. Procedimientos para liberación de datos, - Observación.
reportes y programas de computador. - Entrevistas.
7. Seguros contra accidente e interrupción del
negocio.
5. Planes para recuperación de desastres. 1. Asignación de responsabilidades. - Examen de documentos relativos a provisiones
2. Planes de acción para emergencias. para contingencias.
3. Uso de instalaciones y archivo de backup. - Examen de documentos relativos a provisiones
4. Puntos y técnicas de control para asegurar la para contingencias.
integridad de los datos y programas durante la - Simular un desastre.
transición. - Examen de backups.
5. Procedimientos para el transporte de backups - Examen de procedimientos establecidos.
de datos, programas y documentación desde el - Observación.
sitio del almacenamiento hasta el centro de - Entrevistas.
procesamiento.
6. Reportes de malfuncionamiento y 1. Registro y reporte de fallas. - Examen de reportes de malfuncionamiento y de
mantenimiento preventivo de los equipos. 2. Planeación de mantenimiento preventivo de las acciones correctivas utilizadas.
hardware y software. - Revisar el plan de mantenimiento preventivo.
37
3. Corrección del mal funcionamiento. - Examinar contratos de mantenimiento.
4. El personal técnico de mantenimiento. - Entrevistas con el personal de operación y
5. El personal de operación de equipos. mantenimiento.
7. Planeación de la sistematización de la empresa. 1. Carga y proyecciones de utilización de - Revisión y examen de los documentos de
equipos. planeación anual preparada y aprobada por la
2. Planes de trabajo y asignación de recursos de administración de PD.
personal. - Análisis del plan estratégico.
3. Planeación estratégica de la sistematización - Revisión de planes de inversión de capitales,
(Plan maestro). equipos o de arrendamiento a largo plazo.
4. Revisión periódica de planes y proyecciones.
5. Participación de la dirección de la empresa
(comité de sistemas).
8. Procedimientos de cargos y facturación de 1. Job Acounting. - Rastreo de la información generada por el
costos de sistematización. 2. Algoritmos de facturación. software de Job Accounting – (SMF).
3. Reconciliación de la facturación. - Revisión del algoritmo de facturación.
4. Declaraciones periódicas de facturación al - Revisión de las tablas de porcentaje utilizadas.
usuario. - Rastreo de las cuentas hacia atrás, hasta los
registros de Job Accounting.
- Reconciliación de los costos totales de PD con
los costos cargados mensualmente.
- Revisión de tendencias de facturación para
algunas aplicaciones.
9. Seguridad lógica de los archivos de datos y de 1. Protección de archivos a través del sistema. - Observación.
programas. 2. Procedimientos de control y administración de - Entrevistas.
passwords. - Examen de protección lógica establecida para
3. Software de control de acceso. archivos críticos.
4. Categorías de clasificación de la información. - Comprobación de la operación de controles
5. Niveles de autorización de usuarios. proporcionados por el sistema operacional.
38
6. Administrador de seguridad. - Examen del procedimiento utilizado para control y
7. Programas de utilidad de acceso restringido. administración de passwords.
- Examen del procedimiento establecido para el uso
de utilities.
- Examen de log de actividad del sistema.
10. Documentación para el manejo de sistemas 1. Documentación técnica de las aplicaciones. - Entrevistas.
2. Documentación técnica de los programas. - Examen de documentación existente.
3. Instrucciones para la operación del computador. - Observación de las operaciones.
4. Instrucciones para el manejo de la biblioteca de - Elaboración de inventario de documentación.
medios magnéticos. - Confirmación del nivel de actualización del
5. Instrucciones para el control de entradas y software del sistema.
salidas de PD.
6. Documentación técnica del software del
sistema.
11. Programa de control de cambios al software (de 1. Procedimiento y formas de solicitud y - Pruebas de cumplimiento: uso de información de
aplicación y el sistema) autorización de cambios. contabilidad (SMF por ejemplo), comparación de
2. Procedimientos de aprobación de acceso a códigos, rastreo y revisión de documentos de
librerías de programas fuente. autorización.
3. Prueba y certificación de los resultados de las - Revis ión de pistas existentes sobre documentos de
pruebas. autorización de cambios.
4. Procedimientos de reentrada de programas - Análisis de reportes sobre cambios de emergencia.
modificados a las librerías de producción - Entrevistas
(objeto). - Análisis de procedimientos establecidos.
5. Registro y control de cambios no programados.
12. Estándares y guías de sistemas. 1. Normas para el desarrollo y mantenimiento de - Observación.
39
aplicaciones. - Entrevistas.
2. Normas para elaboración de manuales para el - Análisis de procedimientos, normas y políticas
personal de sistemas y del usuario. establecidas.
3. Normas para la programación de computadores. - Pruebas de cumplimiento.
4. Nomenclaturas para programas y archivos. - Uso de guías de sistemas.
5. Lenguaje de procedimientos (JCL). - Uso de guías de control.
6. Normas para el diseño y mantenimiento de
controles.
13. Otros controles administrativos y 1. Organigrama. - Entrevistas.
organizacionales. 2. Asignación de funciones. - Análisis de información sobre el personal de
3. Planes de trabajo, vacaciones y capacitación. sistemas.
4. Registro y control de inventario de equipos. - Análisis de información proporcionada por la
Gerencia de PD.
- Verificación de inventarios y registros de
activos fijos.
40
CARTAS DE RECOMENDACIONES DE CONTROL INTERNO
• Aspectos generales.
• Enfoque de las cartas de recomendaciones.
• Redacción de la carta.
• A quien debe ser dirigida la carta.
• Seguimiento de la carta de recomendaciones.
ASPECTOS GENERALES:
La carta de recomendaciones de control interno (también llamada informe de visita) es un

documento elaborado por los auditores (revisores fiscales, auditores externos y auditores
internos) con base a la evaluación del control interno que se lleva a cabo en cumplimiento de
las normas de auditoria generalmente aceptadas; a través de dicho documento, los auditores
hacen llegar a los gerentes y administradores de la empresa, sus puntos de vista sobre el
control interno, los procedimientos y el sistema de contabilidad y las políticas de
administración utilizadas por la compañía, con el propósito de que al aplicar las
recomendaciones y sugerencias de los auditores, se fortalezcan los controles y en
consecuencia se protejan mejor los intereses de la empresa.
Las cartas de control interno cubren básicamente los siguientes aspectos:
1. Debilidades en los sistemas de control interno.

2. Desviaciones de los procedimientos y políticas establecidas.
3. Ausencias de control interno.
4. Falta de aplicación o aplicación incorrecta de los principios y practicas de contabilidad de
aceptación general.
5. Procedimientos de administración inadecuados.
6. Inobservancia de disposiciones legales que pongan en peligro el funcionamiento de la
empresa.
ENFOQUE DE LAS CARTAS DE RECOMENDACIONES
Debido a que las cartas de control interno contienen generalmente criticas que de alguna u
otra manera afectan a los empleados que intervienen en los procedimientos y transacciones
cuestionadas, es conveniente tener en cuenta los siguientes aspectos para lograr que tales
criticas sean bien recibidas:
• Tener un conocimiento completo sobre la situación cuestionada y haber hecho una

cuidadosa apreciación de los hechos.
No debemos aventurarnos en casos que no dominemos perfectamente el tema. Ninguna

critica debe ser hecha, ni sugerencia alguna ofrecida, sin el completo conocimiento y la
cuidadosa apreciación de los hechos.
Antes de la emisión de la carta final se considera invariablemente necesario discutir las criticas
y sugerencias propuestas con las personas responsables dentro de la organización, quien
tenga conocimiento de los hechos.
Nuestras conclusiones deben estar respaldadas con hecho concretos y evidentes. No

debemos referirnos a un hecho aislado, sino a situaciones que constituyan normas y
procedimientos generales.
No ser apasionados ni inclinarnos a favor de persona alguna.

No dejarnos influenciar por ejecutivos o empleados que tengan interés en señalar una
situación determinada.
• Evitar asuntos de poca importancia.
Es conveniente analizar con detenimiento cada deficiencia con el fin de incluir en la carta de
control interno solo los asuntos que por su importancia y valor practico contribuyan a que
dicho documento sea de interés para la empresa.
El incluir asuntos rutinarios y de poca importancia puede restar el efecto de interés y

trascendencia que deben tener todas las cartas de control interno.
• Enfocar las observaciones de manera practica y flexible.
Las sugerencias sobre el control interno y sistemas de contabilidad deben ser practicas y estar
de acuerdo con las condiciones existentes. No debemos pretender hacer valer nuestros
gustos o preferencias personales.
Hay que ser flexible en todos aquellos puntos en que los argumentos expuestos por la
empresa ante una situación dada, nos convenza de hacer una cosa en forma determinada,
siempre que estén de acuerdo con las buenas prácticas de contabilidad y de control interno.
• Tener en cuenta el tamaño y la magnitud de la empresa.
Hay que tener presente el tamaño y la organización de la empresa u otras limitaciones

parecidas de forma tal que nuestras observaciones y criticas estén acordes con los volúmenes
42
de transacciones. No debemos olvidar que un problema de las mismas características en una
empresa grande y en una empresa pequeña puede requerir de soluciones diferentes. Algunos
ejemplos de estas situaciones se describen a continuación:
v Cuando por falta de empleados no es posible establecer una división de funciones

para estrechar el control interno y que el contador no prepare conciliaciones
bancarias.
v Cuando el cajero no deposita inmediatamente el dinero sobrante en el pago de una

nomina por sueldos no reclamados, pero sin embargo, el contador mantiene un
control sobre los sueldos no reclamados.
En tales casos, debemos evaluar los procedimientos sustitutivos que la empresa tiene en
practica y recomendar los que puedan solucionar el problema sin contratiempos para el
negocio, aunque no sean estos los procedimientos clásicos, siempre que sean aceptables.
En pequeñas empresas, negocios de un solo dueño, la intervención directa de su propietario

en la administración y el control que este ejerce sobre todas las fases del negocio, son
factores a considerar en la redacción de una carta de recomendaciones.
• Enfocar las criticas hacia soluciones que favorezcan a la empresa y no a los

auditores.
Algunas veces deseamos sugerir a la empresa un cambio, pero es para satisfacer un gusto o
una preferencia personal sobre la forma de hacer una cosa determinada.
Hay muchas formas de hacer un mismo trabajo y por eso no debemos empeñarnos en que se
haga según nuestro criterio. Hay que tener presente que lo importante en una auditoria es el
resultado, no el sistema, o el medio de llegar a ese resultado.
A veces argumentamos que no podemos desarrollar un trabajo de auditoria con facilidad, por
que el sistema no se adapta a nuestros requerimientos desde el punto de vista de la auditoria.
Hay que pensar que el sistema, normas y procedimientos de trabajo son para el uso de los
empleados de la empresa durante todo el año y es para ellos que se establecen esos
procedimientos, no para la facilidad de los auditores que intervienen durante un corto periodo.
• Reflexionar sobre el enfoque de la carta de control interno.
Desafortunadamente algunos auditores restringen sus cartas de recomendaciones a

sugerencias de rutina como las que aparecen mecánicamente durante la revisión. Algunos
ejemplos son:
v Problema de caja chica.

v Omisión de sellar “pagado – fecha”, en los documentos al momento de ser pagados.
43
v Cuentas bancarias no reconciliadas mensualmente.
v Estados de cuanta no enviados mensualmente a los clientes.
v Registros de archivos fijos detallados inadecuadamente.
v Controles deficientes sobre cuentas por pagar.
v Debilidades en los procedimientos de nomina de sueldos.
v Falta de limpieza en los libros de contabilidad.
v Carencia del libro oficial de inventarios.
v Seguros de manejo.
Los puntos antes mencionados son importantes y, en definitiva, deben ser incluidos en las
cartas de recomendaciones.
Sin embargo la carta no debe restringirse en si, a tales puntos, sino que también debe incluir
sugerencias que provengan de un estudio completo de los procedimientos de las empresas y
del uso de la “reflexión”. Unos pocos ejemplos de tales puntos son:
v Medios de reducir el trabajo de oficina.

v Posibilidad de un sistema mecanizado o automatizado para ahorrar tiempo y trabajo y la
implantación de sistemas mas adecuados.
v Mejoramiento de los procedimientos o controles internos a través de una mejor
distribución del trabajo o reasignación de funciones.
v Aceleración del trabajo a través de formularios mejor diseñados o la combinación de
formularios existentes.
v Mejoras en los procedimientos de inventario perpetuo y físico.
v Posible eliminación de ciertos datos contables no utilizados por la Gerencia.
v Mejoramiento de los informes y estados financieros internos. Proporcionar a la empresa
(cuando sea aplicable y no exista la posibilidad de obtener este trabajo adicional), formas
de impresos y de estados financieros para informes a la Gerencia.
v Mejoras en la contabilidad de costos.
v Utilidad de los presupuestos.
v Normas para preparar un manual de procedimientos o señalar cambios de importancia en
el código de cuentas para que los estados financieros sean más significativos.
v Cobertura de seguros insuficiente.
Estos y muchos otros asuntos podrían incluirse en las cartas de recomendaciones. Sin dejar
de prestar atención a los asuntos de pura rutina, debemos dirigir la atención de la empresa a
aquellos asuntos que positivamente habrán de producirle una ventaja inmediata.
• Conclusión sobre el enfoque de las cartas de recomendaciones.
Los términos generales, en las cartas de recomendaciones, se deben incluir aquellos aspectos
que los funcionarios y empleados de la empresa puedan palpar como beneficios positivos y
que al ponerlos en practica, van a ser vistos y sus consecuencias observadas.
44
Como ya se ha dicho, una carta de recomendaciones produce a veces resquemores y
malestar en las personas que se sienten aludidas con nuestras criticas. Por eso siempre
debemos señalar asuntos positivos y de verdadero valor.
Por otra parte si las practicas erróneas que hemos señalado han sido corregidas de acuerdo
con nuestras sugerencias y se han conseguido los resultados deseados, es lógico que esas
personas se sientan halagadas si nosotros señalamos en otra carta lo que se ha hecho en
atención a nuestras sugerencias y los resultados positivos que se han obtenido. Esto, como
política, dará mas importancia aun a las cartas de recomendaciones y producirá el efecto de
mejorar nuestras relaciones con los funcionarios y empleados de la empresa, eliminado
cualquier aspereza que pudiera existir hacia nosotros. Este es el medio del cual nos podemos
valer para decirle a la empresa en una forma muy sutil, que las cartas de recomendaciones son
de un valor extraordinario y que por consiguiente siempre deberán prestarles atención.
45
Papeles de Trabajo
1. ARCHIVO PERMANENTE:
1.1. OBJETIVO:
Mantener organizada y disponible la información que refleja las características y el

funcionamiento de la entidad o de las áreas objeto de estudio y evaluación, para
consulta por parte de los auditores.
1.2. CARACTERISTICAS:
1.1.1 Contiene, según los parámetros fijados por el director del departamento, la
información importante para comprender en forma exacta, rápida y sencilla las áreas
objeto de auditoria.
1.1.2 Son de valor constante.
1.1.3 Se conforma completamente una sola vez (en la primera auditoria). Después se le
efectúa mantenimiento y actualización.
1.1.4 Se elabora uno por uno:
v Cada aplicación.
v Centro de procesamiento (centro de computo)
v Área especifica evaluada.
1.3. IMPORTANCIA:
v Son de fuente de consulta permanente, ágil y eficaz para atender las necesidades de
información de los auditores.
v Constituyen la base sobre la cual los auditores proyectan trabajos de revisión
específicos y resuelven dudas.
1.4. CONTENIDO:
1.4.1. CENTROS DE PROCESAMIENTO DE DATOS:
v Índice.
v Organigrama del departamento de sistemas.
v Funciones por cargo.
46
v Plano de la distribución física del área (electrónica, eléctrica, hidráulica y seguridad
física y lógica)
v Información básica sobre equipos PED utilizados
v Información básica disponible.
v Configuración de los equipos.
v Lista de aplicaciones en producción.
v Lista de normas de seguridad establecidas para el centro de procesamiento.
v Plan de contingencia.
v Plan de mantenimiento de equipos.
v Plan estratégico de sistematización.
v Normas, estándares y procedimientos generales de sistemas.
1.4.2. APLICACIONES EN FUNCIONAMIENTO
v Índice.
v Macrodiagrama de los procesos manuales y automatizados de la aplicación.
v Muestra de los documentos fuente.
v Muestra de los informes producidos por la aplicación.
v Inventario de informes producidos.
v Lista de programas de computador.
v Diseños de captura o consulta.
v Descripción de los diseños de registros de archivos maestros y de movimiento.
v Copia o referencia a normas legales y políticas de la compañía que rigen el

funcionamiento de la aplicación.
47
v Diagrama de los procesos computarizados.
v Plan de ejecución de procesos. Procesos alternos.
v Descripción de cálculos importantes efectuados por los programas de aplicación.
v Clasificación de los datos de los archivos maestros, diferenciando los reportados, de

los calculados por el sistema.
1.4.3. APLICACIONES EN DESARROLLO:
v Índice.
v Notas sobre el examen de los documentos que contienen el análisis del sistema
actual.
v Copia de las especificaciones funcionales del proyecto en desarrollo.
v Diseño conceptual del nuevo sistema.
v Resultado de los análisis de costo / beneficio.
v Copia del plan de trabajo para el desarrollo del proyecto.
v Diseño de archivos y reportes.
v Diseño de documentos fuente.
v Lista de programas de la aplicación.
v Lista o copia de la documentación de la aplicación.
v Copia o referencia a normas legales y políticas de la compañía, que rigen el

funcionamiento de la aplicación.
2. ARCHIVO CORRIENTE:
2.1. OBJETIVO:
Contener la documentación detallada de cada trabajo de auditoria que se realice.
48
2.2.1. No es actualizable.
2.2.2. Debe elaborarse completamente cada vez que se realice una auditoria.
2.2.3. El de la ultima versión, es el de valor actual.
2.2.4. Se elabora uno por cada trabajo de auditoria.
2.3. IMPORTANCIA:
2.3.1. Sirven como evidencia de los objetivos y el alcance de cada trabajo realizado y
de los procedimientos de auditoria.
2.3.2. Constituyen el soporte de os informes que emite el auditor.
2.3.3. Sirve de ayuda para la discusión del informe con los responsables de las áreas
auditadas.
2.3.4. Sirve de punto de partida para el seguimiento del trabajo y la ejecución de la

siguiente auditoria.
2.3.5. Sirven de referencia y consulta mientras están vigentes.
2.4. CONTENIDO:
2.4.1. CENTROS DE PROCESAMIENTO DE INFORMACIÓN:
v Índice.
v Memorando de planeación de la auditoria.
v Programa de trabajo.
v Lista de comprobación o planillas de análisis de riesgos para evaluación del control

interno.
v Programa de auditoria.
v Diseño de pruebas de auditoria.
49
v Resultados de las pruebas y análisis de las mismas.
v Planillas de observaciones, para discusión con las áreas afectadas y con la Gerencia.
v Informe con los resultados de la auditoria.
v Puntos de interés y sugerencias para las próximas revisiones.
2.4.2. APLICACIONES EN FUNCIONAMIENTO:
El archivo debe contener los mismos ítem definidos para centros de procesamiento de
información.
2.4.3. APLICACIONES EN DESARROLLO:
v Índice.
v Memorando de planeación de la auditoria.
v Programas de trabajo.
v Programas de auditoria.
v Lista de evaluaciones de controles.
v Planillas de observaciones, para discusión con la Gerencia.
v Informe con los resultados de la auditoria.
3. ARCHIVO ADMINISTRATIVO:
3.1. OBJETIVO:
Mantener un registro actualizado de los planes, herramientas, estándares de trabajo y

recursos disponibles para la administración y el desarrollo continuado de la Auditoría
de Sistemas.
50
3.2.1. Es el resultado de la planeación y el desarrollo alcanzado por la Auditoría de
Sistemas como función permanente dentro de la empresa.
3.2.2. Contiene los elementos necesarios para tomar las decisiones sobre que auditar,
con qué recursos, como adelantar el trabajo, donde y cuando.
3.2.3. Se mantiene y actualiza constantemente.
3.3. IMPORTANCIA:
3.3.1. Reflejan el grado de desarrollo alcanzado por la Auditoría de Sistemas.
3.3.2. Es un archivo de uso y consulta permanente.
3.3.3. Sirven de referencia histórica del trabajo desarrollado a través del tiempo.
3.3.4. Es una herramienta de organización para la dirección de la Auditoría de Sistemas.
3.4. CONTENIDO:
- Estándares de trabajo (manual de Auditoría de Sistemas):
ü Objetivos, funciones y responsabilidades del área.

ü Metodología para hacer trabajos de Auditoría de Sistemas.
ü Normas para en diseño, elaboración, organización, archivo y destrucción de
papeles de trabajo.
ü Guías sobre procedimientos de auditoria.
ü Guías para evaluación del control interno.
ü Normas para el desarrollo, documentación y mantenimiento del software de
auditoria.
ü Inventario y diseño de formas especiales para uso de Auditoría de Sistemas.
- Planes de trabajo.
- Trabajos en que se debe dar soporte a otras áreas de auditoria
- Inventario de programas de computador desarrolladas para fines de auditoria.
- Inventario de informes y memorandos emitidos por Auditoría de Sistemas.
- Inventario y localización de archivos de papeles de trabajo.
51
- Registros de control de inventario de medios magnéticos, administrados por la Auditoría
de Sistemas.
- Inventario y localización de fuentes bibliografías disponibles en la biblioteca de la

Auditoría de Sistemas.
PAPELES DE TRABAJO
LOS PAPELES DE TRABAJO SON LOS DOCUMENTOS QUE

PREPARA U OBTIENE EL AUDITOR PARA RESPALDAR SU
INFORME Y CUMPLIR ASI CON NORMAS DE AUDITORIA
GENERALMENTE ACEPTADAS
52
CONTENIDO DE LOS PAPELES DE TRABAJO
1. Documentación de la planeación y supervisión del

trabajo.
2. Documentación que respalda la revisión y evaluación del
control interno.
3. Documentación de los procedimientos de auditoria aplicados.
• Programas de auditoria.
• Indicación de los procedimientos.
4. Documentación y evidencia de respaldo.
• resúmenes de saldos
• cálculos
• revisiones analíticas
• excepciones encontradas
• confirmaciones
• memorandos
5. Documentación de conclusiones
• respecto al alcance del trabajo

• respecto a excepciones encontradas
• respecto a hechos poco comunes
53
6. Sugerencias para el próximo examen
¿QUE DEBEN INCLUIR UN PAPEL DE TRABAJO?
Todo papel de trabajo debe contener lo siguiente:
1. Nombre de la entidad.
2. Nombre de la cuenta bajo examen.
3. Fecha del informe.
4. Referencia (codificación) del papel de trabajo.
5. Iniciales de las personas que lo prepararon y revisaron.
6. Fecha en que se preparó el papel de trabajo.
54
7. Las fuentes de información.
8. Indicaciones claras y concisas de los procedimientos de

auditoria realizados.
9. Conclusión del trabajo realizado.
CLASIFICACION
Los papeles de trabajo según su naturaleza se clasifican en:
• Archivo permanente
• Archivo general del periodo examinado
• Archivo detallado por áreas de trabajo
55
PROPÓSITO DE LOS PAPELES DE TRABAJO
1. Proporcionar evidencia del examen efectuado por el auditor.
2. Proporcionar evidencia de la planeación del trabajo.
3. Proporcionar evidencia del entendimiento y evaluación del

control interno.
4. Proporcionar evidencia de la naturaleza del alcance de las

pruebas de auditoria.
5. Soportar el informe del auditor.
56
6. Proporcionar una base para la revisión del trabajo.
ARCHIVO PERMANENTE
CONJUNTO DE INFORMACIÓN UTILIZABLE POR VARIOS

AÑOS.
INFORMACIÓN QUE CONTIENE:
I. Estructura de la organización.
• Escrituras de Constitución.
• Estatutos.
• Organigrama general.
II. Contratos.
• Convenios de prestamos
• Contratos de arrendamiento
57
• Contratos de servicios
III. Procedimientos contables.
• Manual de contabilidad
• Practicas contables
ARCHIVO PERMANENTE... Continuación
IV. Información contable de uso continuo.
• Detalle por años del impuesto sobre renta.

• Control de amortizaciones.
• Detalle de obligaciones bancarias a largo plazo.
V. Otras informaciones.
• Extractos o copias de las actas que sean importantes.
58
ARCHIVO GENERAL DEL PERIODO EXAMINADO
Información para el uso de la auditoria del periodo

corriente.
Información que contiene:
• Planeación.
• Correspondencia.
• Estados financieros de la compañía.
• Balance clasificado por el auditor.
• Detalle de los ajustes y reclasificaciones.
• Las debilidades y recomendaciones sobre el control
59
interno.
• Cartas de abogados.
• Presupuesto y control del tiempo.
MODELO DE PAPELES DE TRABAJO UTILIZADOS DURANTE EL

DESARROLLO DE UNA AUDITORIA DE SISTEMAS
60
NOMBRE DE LA ENTIDAD REFERENCIA: AP-000
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO PERMANENTE
INDICE (1/2)
- A. HOJA INDICE. AP-000
- B. PAPELES DE TRABAJO. AP-100
- DECRETO, LEY DE CREACIÓN O ESCRITURA AP-101

- DESCRIPCIÓN DE RAZON SOCIAL Y OBJETIVOS AP-102
- LEYES Y REGLAMENTOS AP-103
- ESTATUTOS Y REGLAMENTOS INTERNOS AP-104
- ESTRUCTURA ORGANIZACIONAL, ORGANIGRAMAS, FUNCIONES
AP-105
- PLANES O PROYECTOS INSTITUCIONALES AP-106
- EVALUACIONES ANTERIORES DE CONTROL INTERNO AP-107
- INFORMES ESTADÍSTICOS DE LA ENTIDAD AP-108
- INFORME ANUAL DE LA GERENCIA AP-109
- INFORMES Y EVALUACIONES DE LA CONTRALORÍA AP-110
- OTROS AP-111
- C. PAPELES DE TRABAJO RELACIONADOS CON EL AREA DE

SISTEMAS AP-200
- ESTRUCTURA ORGANIZACIONAL Y FUNCIONES AP-201
- CONFORMACIÓN DEL COMITÉ DE INFORMATICA Y
FUNCIONES AP-202
- NORMAS Y REGLAMENTOS AP-203
- PLAN INFORMATIVO A CORTO, MEDIANO Y LARGO PLAZO AP-204
- LISTA DE PROGRAMAS OPERATIVOS Y APLICATIVOS AP-205
- ESTANDARES PARA ANÁLISIS, DISEÑO, DESARROLLO,
DOCUMENTACIÓN Y OPERACIONES DE APLICACIONES AP-206
- INVENTARIO DE EQUIPOS DE COMPUTO, CONFIGURACIÓN Y UBICACIÓN
AP-207
- PLAN GENERAL DE SEGURIDAD AP-208
- POLIZAS DE SEGURO AP-209
- CONVENIOS DE RESPALDO AP-210
REALIZO: FECHA: SUPERVISO: FECHA:
61
NOMBRE DE LA ENTIDAD REFERENCIA: AP-000
INDICE (2/2)
- CONTRATOS DE ADQUISICIÓN Y MANTENIMIENTO DE EQUIPOS

Y PROGRAMAS AP-211
- PROCEDIMIENTOS DE PROTECCIÓN DE PROGRAMAS, ARCHIVOS

DE DATOS Y EQUIPOS AP-212
- DESCRIPCIÓN DE UNA APLICACIÓN EN PARTICULAR AP-213
- CONTRATOS CON SERVICIOS EXTERNOS DE PROCESAMIENTO

DE DATOS AP-214
- ACTA DE INFORMES DEL DESARROLLO INFORMATIVO AP-215
- OTROS
62
NOMBRE DE LA ENTIDAD REFERENCIA: AC-000
ENTIDAD: ARCHIVO CORRIENTE
63
INDICE
__A. HOJA INDICE AC-

000
__B. PLAN DE TRABAJO AC-050
__C. PROGRAMAS Y CRONOGRAMA DE TRABAJO AC-100
__D. DISTRIBUCION DE TAREAS POR INTEGRANTE AC-150
__E. CORRESPONDENCIA ENVIADA Y RECIBIDA AC-

200
__F. EVALUACIÓN DE CONTROL INTERNO DE SISTEMAS AC-250
__G. DISEÑO DE PRUEBAS DE AUDITORIA AC-

300
__H. DOCUMENTACIÓN, RESULTADO Y ANALISIS

DE PRUEBAS AC-350
__I. PRUEBAS, PLANILLAS, REPORTES, ETC.

ALMACENADOS EN MEDIOS MAGNETICOS AC-400
__J. RESULTADO DE LA SUPERVISIÓN (ESTADO DEL

TRABAJO, DIFICULTADES Y SOLUCIONES PLANTEADAS) AC-450
__K. INFORME DE AUDITORIA AC-

500
__L. OTROS AC-

550
64
AREA: ARCHIVO CORRIENTE
PLAN DE TRABAJO DE AUDITORIA
2. DESCRIPCIÓN DEL AREA A AUDITAR
- OBJETIVOS
- ESTRUCTURA
- SISTEMAS
- TAMAÑO DE LAS OPERACIONES
- OTROS
3. OBJETIVOS DE LA AUDITORIA
- OBJETIVOS
- ENFOQUE DE LA AUDITORIA
- ALCANCE DEL TRABAJO
- OTROS
4. DESCRIPCIÓN DE AREAS CRITICAS
5. PROGRAMAS DE AUDITORIA
- OBJETIVOS POR AREA DE CONTROL

- PROCEDIMIENTOS POR AREA DE CONTROL
- CRONOGRAMA DE ACTIVIDADES
6. RECURSOS NECESARIOS
- PERSONAL
- ESPECIALISTAS
- PRESUPUESTO DE TIEMPO
- COMPUTADOR CENTRAL / MICROS, SOFTWARE, ETC.
- OTROS
65
NOMBRE DE LA ENTIDAD REFERENCIA: AC-
PROGRAMA DE AUDITORIA
OBJETIVOS Y PROCEDIMIENTOS REF. P / T
66
67
ASPECTOS DE LA ENTIDAD QUE DEBEN CONOCERSE
- 1. LA GERENCIA DE SISTEMAS – LA OFICINA DE SISTEMAS
- 2. LA ORGANIZACIÓN EN GENERAL
- 3. EL AREA DEL COMPUTADOR
- 4. LOS EQUIPOS DE COMPUTO Y MICROCOMPUTADORES –

REGLAMENTACIÓN
- 5. LAS APLICACIONES EN PRODUCCIÓN
- 6. LAS APLICACIONES EN DESARROLLO
- 7. LOS ESTANDARES EN DESARROLLO
- 8. LA OPERACIÓN DEL COMPUTADOR
- 9. LOS CONTROLES Y EL AMBIENTE DE SEGURIDAD EN

GENERAL
- 10. LOS PLANES DE DESARROLLO
- PLAN ESTRATÉGICO A LARGO PLAZO
- PLAN TACTICO A CORTO PLAZO
- 11. ARCHIVOS MAGNETICOS – POLÍTICAS DE RETENCION DE

DATOS – PROCEDIMIENTOS DE BACK-UP
- 12. DOCUMENTACIÓN DE SISTEMAS
- 13. REGLAMENTACIÓN DE SISTEMAS
- 14. OTROS (DETALLAR)
68
LISTA DE CHEQUEO DE LA INFORMACIÓN REQUERIDA

(1/2)
REF. P / T
1. PLAN ESTRATÉGICO PED

2. PLAN TACTICO PED
3. POLÍTICAS DEL AREA PED
4. REPORTES DE AUDITORIA
5. INVENTARIO DE EQUIPOS DE COMPUTO
6. INVENTARIO DE APLICACIONES
7. PROCEDIMIENTOS DE PLANEACION PED
8. REPORTES DE SEGUIMIENTO:
- DE OPERACIONES PED
- DE PERSONAL PED
9. REVISIÓN POST-IMPLANTACION DE RECURSOS Y SERVICIOS PED
10. REPORTES DE AUDITORIA SOBRE RECURSOS Y SERVICIOS PED
11. DOCUMENTACIÓN DE ESTANDARES DE OPERACIÓN
12. DOCUMENTACIÓN DE ESTANDARES DE DESARROLLO
13. DOCUMENTACIÓN SOBRE PLANES DE ENTRENAMIENTO
14. ACTAS DEL COMITÉ DE SISTEMAS
15. COMPARACIÓN DE COSTOS CON OTROS SECTORES
16. ESTUDIOS DE REQUERIMIENTOS DE EQUIPOS
17. ESTUDIOS DE REQUERIMIENTOS DE APLICACIONES
18. ANÁLISIS COSTO-BENEFICIO
19. ESTUDIOS DE FACTIBILIDAD
20. CRITERIOS DE SELECCIÓN DE PERSONAL
21. ACTAS DEL COMITÉ DE SISTEMAS SOBRE ADQUISICIÓN
22. CONTRATOS DE SERVICIOS PED
23. CONTRATOS DE MANTENIMIENTO
24. EVALUACIÓN DE ADQUISICIONES
25. PROCEDIMIENTOS DE OPERACIÓN PED
26. DOCUMENTACIÓN DE PRODUCCIÓN
27. PROCEDIMIENTOS DE LIBRERIAS
28. CRONOGRAMAS DE PRODUCCIÓN
29. TIEMPOS DE USO DE EQUIPOS PED
30. REPORTES DE PROBLEMAS OPERACIONALES
31. PROCEDIMIENTOS DE MANTENIMIENTO Y APLICACIONES
32. PROCEDIMIENTOS DE RECUPERACIÓN Y BACK-UP
69
LISTA DE CHEQUEO DE LA INFORMACIÓN REQUERIDA

(2/2)
REF . P / T
33. PROPUESTAS DE USUARIOS PARA NUEVOS PROYECTOS
34. REPORTES DE AUDITORIA SOBRE DESARROLLO DE SISTEMAS
35. METODOLOGIA PARA DESARROLLO DE SISTEMAS
36. METODOLOGÍA PARA ADMINISTRACIÓN DE PROYECTOS DE SISTEMAS
37. PLAN DE SISTEMAS A CORTO PLAZO EN RELACION CON EL DESARROLLO
38. ESTANDARES DE DOCUMENTACIÓN
39. ESTANDARES DE DISEÑO Y PROGRAMACIÓN
40. REPORTES DE SEGUIMIENTO SOBRE PROYECTOS
41. ANÁLISIS DE LAS NECESIDADES DE LOS USUARIOS
42. DOCUMENTACIÓN SOBRE LA INICIACIÓN Y ESTADO ACTUAL DE LOS
PROYECTOS
43. PLANES DE IMPLEMENTACION
44. REVISIONES POST-IMPLEMENTACION
45. EVALUACIONES DEL AREA DE SISTEMAS
46. PLAN DE CONTINGENCIAS
47. MANUALES DE SISTEMAS
48. DOCUMENTACIÓN SOBRE FUNCIONAMIENTO DE BASES DE DATOS,
SISTEMAS DE REDES, TRANSMISIONES DE DATOS, ETC.
49. OTROS (DETALLAR)
70
NOMBRE DE LA ENTIDAD REFERENCIA: AP-
71
72
CUESTIONARIO PARA LA AUDITORIA INTERNA
1. ¿EXISTE UN GRUPO DE AUDITORIA INTERNA EN LA ENTIDAD? REF. P/TR
2. ¿LA AUDITORIA INTERNA REALIZA AUDITORIA A LA FUNCION PED?
3. ¿LA AUDITORIA INTERNA TIENE UN PLAN ANUAL PARA REVISAR EL

AREA PED?
4. USA LA AUDITORIA INTERNA “TÉCNICAS DE AUDITORIA ASISTIDAS

POR COMPUTADOR” (TAAC’S) U OTRA TÉCNICA ESPECIAL EN EL
TRANSCURSO DE SU AUDITORIA PED?.
CONSIDERAR:
• PAQUETES DE AUDITORIA
• CUESTIONARIOS ESPECIALES
• TEST DE RECURSOS INTEGRADO
• PRUEBAS DE ESCRITORIO
• GENERADORES DE REPORTES
• PROGRAMAS ESCRITOS ESPECIALMENTE
• OTROS (DETALLAR)
5. ¿LA AUDITORIA INTERNA PARTICIPA EN LAS ETAPAS DE DESARROLLO

DE NUEVAS APLICACIONES? ¿CÓMO?
CONSIDERAR:
- REVISIÓN DEL DISEÑO DEL SISTEMA

- PARTICIPACIÓN EN LOS COMITES DE REVISIÓN DEL DISEÑO
- AUDITORIA POST-IMPLEMENTACION
- AUDITORIA DE SEGURIDAD AL PROCESAMIENTO DE LOS DATOS
- OTROS (DETALLAR)
6. ¿LA AUDITORIA INTERNA REVISA Y EVALUA LOS PROCEDIMIENTOS

PARA EL CAMBIO DE PROGRAMAS Y APLICACIONES PED? ¿CÓMO?
7. ¿EXISTE ALGUN OTRO GRUPO QUE REALIZA AUDITORIA PED ADEMAS

DEL GRUPO INTERNO DE AUDITORIA? ¿CUÁL?
8. OTRA.
73
DESCRIPCIÓN DEL PAPEL DE TRABAJO:
74
INVENTARIO DE RECURSOS INFORMATICOS

(1/2)
1. LOCALIZACIÓN DEL CENTRO DE COMPUTO:
2. SERVICIOS EXTERNOS UTILIZADOS (Si los hay):

Nombre:
Costo Anual Aproximado:
3. DESCRIPCIÓN EQUIPO PRINCIPAL:

Marca-Modelo:
CPU:
Tamaño de Memoria:
Precio de Compra o Arriendo Anual:
4. TIPO DE PROCESAMIENTO:
SI NO COMENTARIOS
---- ---- ------------------------
Batch
En Línea
Procesamiento Distribuido
Procesamiento Compartido
5. DESCRIPCIÓN DEL SISTEMA OPERATIVO:
6. PRINCIPAL SOFTWARE UTILITARIO:
75
76
INVENTARIO DE RECURSOS INFORMATICOS

(2/2)
7. LENGUAJES DE PROGRAMACIÓN UTILIZADOS (Indique el % de utilización

aprox.):
8. UTILIZACIÓN DEL COMPUTADOR (En que se usa , con % aprox.):
9. PERIFÉRICOS:
Tipos y modelos de unidades de cinta:
Tipos de discos y cantidad de almacenamiento:
Tipo y numero de terminales remotas:
Tipo y numero de impresoras:
Otros:
(incluya si es factible, diagramas de configuración del equipo principal y de redes)
77
78
AUDITORIA DE SISTEMAS HOJA ___ DE ___
COSTOS DE APLICACIONES EN DESARROLLO

COSTO
NOMBRE DE PROBLEMA QUE TIPO DE TOTAL DE COSTO ANUAL DE
LA RESUELVE / PROYECTO O SISTEMA IMPORTANCI ADQUISI- OPERACIÓN EST.
APLICACION ACTIVIDAD A CIÓN O
DESARROLL
O
TOTALES
80
PARA CADA APLICACIÓN PRINCIPAL, ESTIMAR EL COSTO DE ADQUISICIÓN E IMPLEMENTACION Y
MOSTRAR LOS COSTOS OPERACIONALES POR AÑO.
EN LA COLUMNA “TIPO DE SISTEMA” ESCRIBA LA ORIENTACIÓN GENERAL DEL SISTEMA. ESTE BIEN
PUEDE SER OPERACIONAL, FINANCIERA, ADMINISTRATIVA, GENERAL, TÉCNICA, ETC.
EN LA COLUMNA “IMPORTANCIA” COLOCAR: “C ” SI ES CRITICA, “S ” SI ES SIGNIFICANTE, O “U” SI ES

UTIL. PERO LOS USUARIOS PUEDEN CONTINUAR SIN ELLA POR UN PERIODO CONSIDERABLE.

AUDITORIA DE SISTEMAS HOJA ___ DE ___
COSTOS DE APLICACIONES EN PRODUCCIÓN

COSTO
NOMBRE DE PROBLEMA QUE TIPO DE TOTAL DE COSTO ANUAL DE
LA RESUELVE / PROYECTO O SISTEMA IMPORTANCI ADQUISICIÓ OPERACIÓN
APLICACION ACTIVIDAD A N O
DESARROLL
O
81
TOTALES
PARA CADA APLICACIÓN PRINCIPAL, ESTIMAR EL COSTO DE ADQUISICIÓN E IMPLEMENTACI ON Y
MOSTRAR LOS COSTOS OPERACIONALES POR AÑO.
EN LA COLUMNA “TIPO DE SISTEMA” ESCRIBA LA ORIENTACIÓN GENERAL DEL SISTEMA. ESTE BIEN
PUEDE SER OPERACIONAL, FINANCIERA, ADMINISTRATIVA, GENERAL, TÉCNICA, ETC.
EN LA COLUMNA “IMPORTANCIA” COLOCAR: “C ” SI ES CRITICA, “S ” SI ES SIGNIFICANTE, O “U” SI ES

UTIL. PERO LOS USUARIOS PUEDEN CONTINUAR SIN ELLA POR UN PERIODO CONSIDERABLE.
82
GUIA PARA LLEVAR A CABO UNA ENTREVISTA
NOMBRE ___________________________________________________
POSICIÓN DENTRO DE LA ENTIDAD __________________________
GRUPO _____________________________________________________
DIVISIÓN ___________________________________________________
DIRECCIÓN _________________________________________________
REPORTA A: _______________________________________________
OTRAS PERSONAS PRESENTES:
OBJETIVOS / PROPÓSITOS DE LA ENTREVISTA:
RESULTADOS DE LA ENTREVISTA (resumen):
83
LISTA DE FUNCIONARIOS POR ENTREVISTAR
PERSONA O AREA FECHA REF. P / T
- GERENTE GENERAL
- COMITE ASESOR
- COMITE DE USUARIOS
- OTROS GERENTES
- JEFE DE SISTEMAS
- JEFE DE OPERACIONES PED
- JEFE DE DESARROLLO PED
- JEFE DEL CENTRO COMPUTO
- INGENIEROS DE SISTEMAS
- PROGRAMADORES PED
- OTRO PERSONAL PED
- JEFE CONTROL DE OPERACION
- AUDITOR INTERNO / SISTEMAS
- OFICIAL DE SEGURIDAD
- JEFE CONTABILIDAD
- JEFE MANTENIMIENTO PED
- USUARIOS DE APLICACIONES
- PROVEEDORES DE EQUIPOS
- OTROS
84
EJEMPLOS DE APLICACIÓN DEL METODO DE
SCORING PARA ESTABLECER PRIORIDADES Y
PREPARAR EL PLAN DE AUDITORÍA
85
MATRIZ No 1
APLICACIONES DE FUNCIONAMIENTO
FACTORES MAQUIN CANTIDAD FECHA MODO GENERA INTER IMPORTANCI RED/ TIEMPO SISTEMA
P APLICACIONES A DE ULTIM DE INF. ENT. FACES A STAND EDAD ESPERADO OPERATIVO
A REGISTROS A PROCESAMIENTO EXTERNAS DE LA ALONE DE VIDA
AUDIT INFORMAC.
OR
No. DE 1 2 3 4 5 6 7 8 9 10 11
FACTOR
1 TARJETAS DE 1 2 0 0 2 0 2 1 0 0 0
CREDITO
2 CONTABILIDA 2 1 2 0 2 1 1 1 2 1 0
D
3 INVENTARIOS 2 1 2 1 0 1 0 1 1 1 0
4 CUENTAS 2 2 1 0 2 1 2 1 2 1 0
CORRIENTES
5 CARTERA 2 2 1 0 1 1 2 1 2 1 0
6 COMERCIO 2 1 1 0 1 1 2 1 2 1 0
EXTERIOR
7 CDTS 2 0 1 0 1 1 2 1 2 1 0
8 ACCIONISTAS 0 0 1 1 0 1 1 0 0 0 1
9 NOMINA 1 0 2 2 2 0 0 1 1 1 0
86
MATRIZ No 1
(CONTINUACION TABLA)
PERCEPCIÓ CONTROL DOCUMENTACIO ENTRADAS SALIDAS TOTAL
FACTORES N DE ACCESO N
P APLICACIONES RIESGO
A
No DE FACTOR 12 13 14 15 16
1 TARJETAS DE 2 1 2 2 2 17
CREDITO
2 CONTABILIDAD 0 0 1 2 2 18
3 INVENTARIOS 0 0 2 1 1 14
4 CUENTAS 2 0 2 2 2 22
CORRIENTES
5 CARTERA 1 0 1 1 1 17
6 COMERCIO 2 0 1 1 1 17
EXTERIOR
7 CDTS 1 0 1 0 0 13
8 ACCIONISTAS 0 2 2 0 0 9
9 NOMINA 1 0 2 2 2 17
PUNTAJE ASIGNADO 0. BAJO RIESGO

1. MEDIANO RIESGO
2. ALTO RIESGO
FACTOR # 1 MAQUINA FACTOR # 9 EDAD DE LA APLICACION
87
FACTOR # 2 CANTIDAD DE REGISTROS FACTOR # 10 TIEMPO DE VIDA ESPERADO
FACTOR # 3 FECHA DE LA ULTIMA AUDITORIA FACTOR # 11 SISTEMA OPERACIONAL
FACTOR # 4 MODO DE PROCESAMIENTO FACTOR # 12 P ERCEPCION DE RIESGO
FACTOR # 5 GENERA INFORMACIÓN A ENTIDADES EXTERNAS FACTOR # 13 CONTROL DE ACCESO
FACTOR # 6 INTERFASES FACTOR # 14 DOCUMENTACION
FACTOR # 7 IMPORTANCIA DE LA INFORMACIÓN FACTOR # 15 ENTRADAS
FACTOR # 8 RED O STAND ALONE FACTOR # 16 SALIDAS
88
PESO
FACTOR DE RIESGO VALO RELATIVO
R (%)
I. MAQUINA DONDE CORRE LA APLICACIÓN
1. IBM 0
2. SUN 1 8
3. Microcomputador 2
II. CANTIDAD DE REGISTROS QUE MANEJA
1. Menos de 40.000 0
2. Entre 40.001 y 70.000 1 6
3. Mas de 70.000 2
III. TIEMPO DE LA ULTIMA AUDITORIA
1. Menos de 1 año 0 7
2. Entre 2 y 3 años 1
3. Mas de 3 años 2
I. MODO DE PROCESAMIENTO
1. Batch 0 5
2. Linear 1
3. Bach y Linear 2
V. GENERA INFORMACIÓN PARA
ENTIDADES EXTERNAS
1. Ninguna 0 8
2. De 2 a 4 aplicaciones 1
3. Mas de 4 aplicaciones 2
VI. RELACION CON OTRAS APLICACIONES
(INTERFASES)
1. Ninguna 0 10
2. De 2 a 4 aplicaciones 1
3. Mas de 4 aplicaciones 2
VII. IMPORTANCIA DE LA INFORMACIÓN QUE
MANEJA
1. Sin valor comercial 0 7
2. Hasta 1.5 millones de dólares 1
3. Mas de 1.5 millones de dólares 2
VIII. FUNCION EN RED/STAND ALONE
1. Stand/alone 0 5
2. Red 1
IX. EDAD DE LA APLICACION
1. Menos de 1 año 0 10
2. Mas de 1 año 1
X. TIEMPO ESPERADO DE VIDA
89
1. Entre 1 y 2 años 0 6
3. Mas de tres años 2
PESO
FACTORES DE RIESGO VALOR RELATIV
O
%
XI. SISTEMA OPERATIVO SOBRE EL CUAL
FUNCIONA
1. Propietario 0 5
2. Windows / Dos 1
XII. PERCEPCIÓN DE RIESGO

1. Bajo 0
2. Mediano 1 8
3. Alto 2
XIII. CONTROL DE ACCESO
1. Débil 0
2. Regular 1 7
3. Buena 2
XIV. DOCUMENTACIÓN
1. Existe actualizada 0 8
2. Existe desactualizada 1
3. No existe 2
XV. ENTRADAS
1. Entre 1 y 2 entradas 0 5
2. Entre 2 y 4 entradas 1
3. Mas de 4 entradas 2
XIV. SALIDAS
1. Entre 1 y 2 salidas 0 5
2. Entre 2 y 4 salidas 1
3. Mas de 4 salidas 2
El orden de los ítem a auditar se puede observar en la matriz numero 2.
90
ORDEN DE PRIORIDAD DE LAS APLICACIONES EN FUNCIONAMIENTO QUE
SERAN AUDITADAS DURANTE EL AÑO XXXX
MATRIZ No 2
FACTORES FACTORES A REVISAR TIEMPO NUMERO

APLICADOS ESTIMADO DE
PERSONAS
CUENTAS - Control de acceso
- Cambio de programas 60 días 1
CORRIENTES
- Procedimientos para Back-ups
- Entradas de datos
CONTABILIDAD - Integridad de la información
- Procedimientos de respaldo 60 días 1
- Salidas de datos
CARTERA - Integridad de la información
- Control de acceso 60 días 1
- Entrada de datos
COMERCIO - Entradas al sistema
- Salidas del sistema 60 días 1
EXTERIOR
- Cálculos
NOMINA - Control de acceso
- Perfiles del usuario 60 días 1
- Copias de respaldo
TARJETAS DE - Controles de acceso
- Procedimientos de Back-up 60 días 1
CREDITO
- Pistas de auditoria
- Control de mantenimiento a programas
CDTS - Entrada de datos
- Cálculos 60 días 1
- Copias de respaldo
ACCIONISTAS - Liquidaciones
- Datos de entrada 60 días 1
- Datos de salida
91
NOTA:
- Todas las aplicaciones en funcionamiento son In-House por el cual no fue considerado
como factor evaluativo.
- Para todas las aplicaciones se evalúa los estándares de seguridad y las pistas de auditoria,
dado que son iguales para todas.
- Todas las aplicaciones tienen los mismos procedimientos de respaldo o back-up.
AUDITORIA ADMINISTRATIVA
MATRIZ No 3
AREA ASPECTOS A REVISAR TIEMPO No DE AUDITORES
ESTIMADO
Procedimientos para - Verificar la existencia de
adquisición de Hardware y procedimientos. 10 días 1
software - Políticas de evaluación de
las propuestas.
Estándares de desarrollo - Verificar la existencia de los
estándares. Permanente 1
- Evaluación del
cumplimiento.
Estándares de seguridad en el - Verificar si las aplicaciones
desarrollo de aplicaciones se desarrollan con 5 días 1
estándares de seguridad.
Procedimientos de backup - verificar la existencia de

procedimientos, 5 días 1
actualización y adecuación
de los mismos
Procedimientos de cambio de - Conductos regulares para

programas cambio a programas y Permanente 1
liberación de los mismos
Manuales de funciones de - Verificar la existencia de

sistemas. manuales de funciones de 10 días 1
cada uno de los cargos y
distribución de los mismos.
Estándares de documentación - Verificar si los manuales de

y actualización de las aplicaciones existen y se 10 días 1
aplicaciones. encuentran actualizados
92
- Evaluar los estándares de
documentación.
Seguimientos de reclamos a - Evaluar las cusas de los

sistemas reclamos o fallas del sistema Permanente 1
y la oportunidad de la
solución.
Logro de objetivos propuestos - Evaluar si los objetivos

propuestos en el Dpto. se Permanente 1
cumplen y satisfacen las
necesidades del usuario
Auditoria organizacional de - Verificar la segregación de

sistemas funciones 10 días 1
- Planeación de actividades.
AUDITORIA AL CENTRO DE COMPUTO

MATRIZ No 4
FACTORES ASPECTOS A REVISAR TIEMPO NUMERO DE

ESTIMADO PERSONAS
1. Plan de - Seguridad de equipos
contingencias - Seguridad de cintas 5 días 1
- Seguridad de cartuchos backup
- Estado UPS
- Plan contra incendio
- Plan contra inundaciones
- Plan contra robo
2. Seguridad de - Sistema control de acceso
acceso electrónico 1 día 1
- Estado Brazo mecánico
- Claves de acceso
3. Ubicación física - Nivel del piso
- Fuentes de calor 1 día 1
- Fuentes de agua
- Fuentes de polvo
4. Microcomputadore - Procedimientos
s - Mantenimientos preventivos y 1 día 1
correctivos
- Controles de acceso
93
- Software legal
5. Transmisión de - Controles físicos y lógicos
datos - Procedimientos 1 día 1
- Estándares
6. Cintoteca - Protección temperatura, polvo y
humedad 1 día 1
- Pruebas físicas y de contenido a
las cintas
- Acceso a la cinto teca
- Cinto teca alterna
7. Área de producción - Reportes fallas de sistemas
- Log diario 1 día 1
- Bitácora
- Reportes diarios a auditoria
AUDITORIA COMUNICACIONES
MATRIZ No 5
FACTORES ASPECTOS A REVISAR TIEMPO No DE

ESTIMADO AUDITORES
1. Instalación de la - Instalación correcta del software del 2 días
red servidor 1
- Hardware de comunicación (cables, 3 días
módems)
- Instalación de software en las 3 días
estaciones de trabajo
2. Configuración de - Asignaciones de usuarios de la red 1 día
la red - Organización de la estructura de disco 1 día 1
- Administración de la seguridad de la
red 2 días
3. Operaciones con - Impresiones 1 día

la red - Adaptación del software aplicativo a 5 días 1
la red
- Procesos en la red 4 días
- Producción de salidas de la red 2 días
4. Plan de - Seguridad de la red 2 días

contingencias - Copias de respaldo 1 día 1
94
- Backup del equipo 1 día
5. Entorno de la red - Ubicación física 2 días
- Configuración de los elementos de la 1
red 2 días
AUDITORIA NUEVOS PROYECTOS

MATRIZ No 6
FACTORES ASPECTOS A REVISAR TIEMPO No DE

ESTIMADO AUDITORES
1. APLICACIONES - Cumple términos de referencia
- Fácil de actualización 1 mes por 1
- Estándares aplicación
- Reportes
- Portables
- Parametrizables
2. LENGUAJE O - Fácil de manejar

HERRAMIENTAS - Compatible 1 mes por 1
DE DESARROLLO - Actualizable aplicación
- Asesoría técnica
3. MODULO DE - Seguridad de acceso
SEGURIDAD - Administración de niveles de 2 días 1
seguridad
4. MANTENIMIENTO - Contratos de mantenimiento
- Plan de mantenimiento 2 días 1
5. CONTRATOS - Póliza de cumplimiento
- Contratos de actualización 2 días 1
- Pólizas
- de calidad y buen funcionamiento
95
- Representación en Colombia
96

Fundamentos de Auditoria de Sistemas PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fundamentos de Auditoria de Sistemas PDF

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD CATOLICA DE COLOMBIA

Especialización en Auditoría de Sistemas

LUCIO AUGUSTO MOLINA FOCAZZIO

Bogotá, Año 2004

Contiene artículos e información que pueden permitir al estudiante entender la importancia de la

La intención es que el estudiante tenga a su disposición una variedad de objetivos de Auditoría de

A pesar de su importancia, muchas organizaciones en nuestro medio carecen por completo

En su existencia, relativamente breve, el computador ha emergido vertiginosamente hasta

Desde 1976 se ha presentado un creciente interés en el tema de la auditoria y control a sistemas

1. La responsabilidad primaria respecto al control interno corresponde a la Alta

Se pierde entonces con facilidad el concepto de propiedad, el de autorización para el acceso

• El desarrollo de nuevos sistemas.

3. Los auditores deben participar en el proceso de desarrollo e implantación de nuevos

4. La verificación de los controles debe hacerse antes y después de la instalación. De

Bases de datos, procesamiento distribuido, comunicaciones, archivos electrónicos, sistemas

6. La sexta conclusión se refiere a la importancia de la función de Auditoría de Sistemas

Varias organizaciones están preparando algunos de sus profesionales de sistemas en

7. Se requieren nuevas herramientas y técnicas de auditoria a medida que los sistemas de

Ya existe una variedad de programas especializados y muchos métodos funcionales de

8. Finalmente, se establece la necesidad de adelantar evaluaciones periódicas de los

Tres deberían ser los principales objetivos:

a) Evaluación de las prácticas actuales de auditoria y control, y una revisión de las

Para llevar a la práctica en forma completa estas condiciones, se requiere la función de

La integridad de los datos es un concepto fundamental en auditoria y está directamente

La acción de Auditoría de Sistemas se enfoca normalmente hacia sistemas en operación pero

El auditor de sistemas debe asistir a la Gerencia con sus recomendaciones en la racionalización

Ø La estructura y los objetivos corporativos.

Las cuatro preocupaciones son:

3 Suficiencia de control interno para garantizar la integridad de las transacciones, su

3 Continuidad para garantizar la presencia de la organización en el negocio y la

3 Posibilidad de fraude, irregularidades o actos ilegales.

3 Políticas de operación y suficiencia de los procedimientos. Así se garantiza que la

Alrededor de los años 90 la Fundación de Auditoría y Control en Sistemas de Información

COBIT aplica a todo lo largo de la organización incluyendo personal de sistemas, usuarios,

Los usuarios de COBIT son:

• La alta Gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de

COBIT está compuesto por los siguientes productos:

Marco Referencial (Framework)

El marco referencial incluye la introducción contenida en el resumen ejecutivo, presentando las

Las Guías de Auditoría

Las guías de Auditoría también incorporan el resumen ejecutivo y el marco referencial.

Dominios y Procesos de COBIT

Dominio Planeación y Organización

Dominio Adquisición e implementación:

Dominio Prestación de servicio y soporte:

Objetivos propuestos por William Emory

- La integridad de los datos.

A manera de ejemplo podría usarse un esquema como este, por áreas:

ü Soluciones aplicativas y programación

• Salón del computador.

LISTA DE ALGUNOS OBJETIVOS

1. Revisar la estructura organizacional para analizar la suficiencia, la separación de tareas,

Empiece por dar respuesta a estas preguntas:

ü ¿ Están formalmente definidos los objetivos de Auditoría de Sistemas?

Elabore su propia lista de objetivos, sométala a revisión de diferentes niveles de su organización,

A diferencia de la auditoria alrededor del computador, estas técnicas permiten al auditor en la

El auditor prueba y verifica:

- La efectividad de los procedimientos de control sobre las operaciones de computador y

Esta técnica de auditoria requiere dos tareas básicas que son:

- La revisión y verificación de las transacciones fuente.

¿CÓMO ES LA AUDITORIA A TRAVES DEL COMPUTADOR?

Una de las herramientas clave en la aplicación de esta técnica de Auditoria es la preparación de

El lote de prueba se corre en el computador, en un ambiente de pruebas previamente instalado y