Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Papeles de Trabajo para La Auditoria de Sistemas Computacionales
Papeles de Trabajo para La Auditoria de Sistemas Computacionales
auditoría de sistemas
computacionales
Estructura del capítulo
¿Cuál es el objetivo de este capítulo? José chirinos
Introducción del capítulo José chirinos
Para ello tiene que recopilar los datos obtenidos durante la auditoría y registrarlos
formalmente en documentos; estos documentos pueden ser manuscritos, manuales, instructivos,
gráficas, resultados de procesamientos, concentrados de bases de datos en disquetes, respaldos
(backups) o cualquier otro medio escrito o electromagnético, en los cuales recopilará los hechos,
pruebas, tabulaciones, interpretaciones, así como el análisis de los datos obtenidos. Con todo lo
anterior, el auditor tendrá un apoyo para confirmar los hechos y validar la información que
utilizará como base para elaborar el informe de auditoría.
No obstante, al realizar este registro formal de datos, de inmediato surgen los siguientes
interrogantes:
¿En dónde, cómo y para qué concentrar los datos que se obtienen en la auditoría de
sistemas?
¿Los datos recopilados sirven para fundamentar las observaciones y para emitir un
dictamen?
¿En dónde, cuándo y para qué se registra la información que se obtiene en la auditoría
de sistemas computacionales?
¿Qué medios se utilizan para concentrar, validar, tabular e interpretar los datos
obtenidos?
¿Quién es el responsable de registrar, concentrar y controlar la información recopilada
durante la auditoría? ¿En dónde, cuándo y cómo?
¿En dónde, cuándo, por qué y cómo se registra la información documental, la emitida
por el sistema computacional y la recopilada directamente en el campo?
¿Qué tan válido es guardar la información recopilada del sistema computacional en
medios electromagnéticos?
Es evidente que para satisfacer éstos y muchos otros interrogantes, el auditor necesita
cierto tipo de apoyo que le ayude a registrar formalmente (por escrito) la información que
obtuvo al realizar la evaluación; asimismo, este apoyo proporciona un adecuado orden al
desarrollo de su trabajo; además le sirve como soporte documental para registrar y, en su caso,
mostrar las evidencias y pruebas de las situaciones relevantes encontradas durante la evaluación
y reportadas en el informe.
En la práctica, para una buena auditoría, cualquiera que sea el tipo y ambiente donde se
realice, el uso del apoyo documental cobra una relevancia tal que muchos funcionarios de las
empresas auditadas y los propios auditores consideran que los papeles de trabajo son el aspecto
primordial sobre el cual descansa una evaluación; además, como ya hemos citado, sirven como
soporte de las opiniones del auditor.
Esto se acentúa, aún más, en caso de que se requiera una auditoría, ya sea a voluntad de
la empresa o por imposición de alguna autoridad, ya que el dictamen del auditor se fundamenta
y se acepta con base en los documentos de trabajos fiscales y contables.
Existen múltiples formas de elaborar y utilizar los papeles de trabajo de una auditoría de
sistemas computacionales, las cuales estarán determinadas por la experiencia, conocimientos y
habilidades del auditor, así como por su necesidad de usar los documentos y medios de cómputo
para concentrar la información; hay notorias similitudes (y diferencias) en la confección y uso
de los papeles de trabajo, las cuales van desde uniformar el diseño de los documentos, métodos
y sistemas de captura de datos, la forma concreta de recopilar, concentrar y archivar la
información, la manera de hacer acotaciones con los mismos estilos, opiniones y uso de claves
similares, hasta la aplicación de una serie de aspectos específicos y particulares para cada una
de las áreas de sistemas auditadas.
Para que los papeles de trabajo o medios de captura se puedan admitir como soporte
documental de una auditoría de sistemas, y para que se utilicen para fundamentar los resultados
y opiniones que presenta el auditor, es necesario que, tanto en su diseño como en su uso, reúnan
ciertos requisitos y formalidades, mismos que serán determinados previamente por la empresa
encargada de realizar la auditoría, o por el auditor responsable de llevarla a cabo.
Debemos señalar que el contenido de los papeles de trabajo puede variar de un auditor a
otro y de un tipo de auditoría a otra, ya que en cada trabajo existen procedimientos, técnicas y
métodos de evaluación especiales que forzosamente harán diferente la recolección de los
documentos. Lo mismo ocurre con la forma de obtener evidencias e incluso con la forma de
concentrar los papeles de trabajo.
Hoja de identificación
Índice de contenido de los papeles de trabajo
Dictamen preliminar (borrador)
Resumen de desviaciones detectadas (las más importantes)
Situaciones encontradas (situaciones, causas y soluciones)
Programa de trabajo de auditoría
Guía de auditoría
Inventario de software
Inventario de hardware
Inventario de consumibles
Manual de organización
Descripción de puestos
Reportes de pruebas y resultados
Respaldos (backups) de datos, disquetes y programas de aplicación de auditoría
Respaldos (backups) de las bases de datos y de los sistemas
Guías de claves para el señalamiento de los papeles de trabajo
Cuadros y estadísticas concentradores de información
Anexos de recopilación de información
Diagramas de flujo, de programación y de desarrollo de sistemas
Testimoniales, actas y documentos legales de comprobación y confirmación
Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema
Otros documentos de apoyo para el auditor
Aquí va el nombre genérico que se le da al documento y sirve para identificar que se trata de la
concentración de los documentos que avalan la realización de la auditoría de sistemas. En
algunos casos puede admitirse con otros nombres, según la preferencia del auditor o empresa.
Lo importante es que esta parte sirve para identificar, claramente, el contenido de los
documentos relacionados con la auditoría de sistemas.
En este lugar se anota la fecha de inicio de la auditoría (desde que empezó la revisión) y su
terminación (hasta el último día de revisión); de preferencia se debe anotar con el formato Día
(con números) Mes (con letras) Año (con cuatro dígitos), o con el formato que el auditor
prefiera.
2.1.1.5) Puesto y cargo del responsable de realizar la auditoría
Aquí se anota el nombre completo del responsable de llevar a cabo la auditoría; en caso de ser
un grupo, se anota el nombre del responsable de la conducción de la auditoría.
Se puede anotar a todos los participantes si así se desea, pero siempre se debe destacar al
responsable de la auditoría.
Los puntos anteriores son los que se deben contemplar como mínimo para elaborar la carátula
de los papeles de trabajo de la auditoría de sistemas, aunque nada impide que se puedan reseñar
otros datos importantes en ella, de acuerdo con las necesidades y características de la empresa
auditora; aunque estos datos también pueden ser dictaminados por la empresa o área auditada.
La importancia de este punto es que esta carátula sirve para saber lo más claramente posible a
quién pertenecen los papeles de trabajo, el período en que se realizó la auditoría y quién fue el
responsable de llevarla a cabo.
En esta parte se hace la descripción detallada y se pagina el contenido total de los papeles de
trabajo, con el propósito de identificar rápidamente la página en donde se encuentra cada una de
las partes que integran este legajo de papeles.
Sin embargo, sugerimos numerar con siglas cada capítulo o parte importante de la auditoría,
seguidas de un número consecutivo que vuelva a iniciar en cada parte; por ejemplo: SI-001
(Seguridad Informática – hoja 001). También sugerimos utilizar los siguientes apartados para
los documentos de trabajo:
Todo este material se debe guardar, casi siempre, como documentos de trabajo, para utilizarlo
como soporte en aclaraciones posteriores o para preparar el informe final.
Debido a la importancia que tiene este documento para la auditoría, a que éste es el resultado de
una evaluación de sistemas, a las características y técnicas especiales para su elaboración, así
como los manejos específicos de su redacción y presentación, en el siguiente capítulo haremos
una presentación más completa y detallada del dictamen deauditoría de sistemas. Por esta razón,
dejaremos este punto sólo como una mención.
Otro de los documentos importantes que debe conservar el auditor en el legajo de papeles de
trabajo es la copia de los documentos originales, y en algunos casos el borrador manuscrito, de
las desviaciones que considera como las más importantes encontradas durante la revisión, así
como sus causas y posibles soluciones, que presenta en el formato de desviaciones encontradas..
En la imagen anterior sólo se muestran los puntos básicos del formato propuesto para presentar
las desviaciones más importantes de una auditoría de sistemas, ya que en el capítulo siguiente
explicaremos más a fondo su elaboración y uso.
El auditor elaborará el informe final con base en el análisis de estas desviaciones relevantes, y lo
presentará como informe final y dictamen de auditoría de sistemas computacionales.
En esta parte de los papeles de trabajo se presentan los manuscritos, y en ocasiones los
borradores mecanografiados, de todas las situaciones detectadas durante la auditoría, conforme
al formato que se propone en el capítulo siguiente, separando en situaciones encontradas, las
causas que las originan y las posibles soluciones; también se anota al responsable de
solucionarlas y las fecha de solución para cada causa o situación reportada, conforme se
describe en el formato que presentamos a continuación:
El propósito de guardar los formatos de desviaciones en esta sección es tener a mano los
problemas reportados durante la revisión, guardando desde el primer borrador hasta el último de
las llamadas situaciones detectadas, o algún nombre similar que se dé a las incidencias que se
reportan en este formato. El análisis de las desviaciones detectadas se podrá tomar como base
para identificar las desviaciones relevantes señaladas en la sección anterior.
Es el documento formal (por escrito) de los planes, programas y presupuestos hechos para el
control y desarrollo de la auditoría; este documento se elabora en un formato especial o en una
gráfica en la cual se anotan las etapas y actividades para la evaluación, así como los tiempos
para llevarla a cabo; también se anotan los recursos disponibles para realizar todas esas
actividades. Estos aspectos se deben señalar en forma cronológica, secuencial y correctamente
coordinada.
Por la importancia que tiene este punto para el desarrollo de una auditoría de sistemas, en el
capítulo anterior, Metodología para realizar auditorías de sistemas computacionales, analizamos
detalladamente el plan o programa de trabajo; por esta razón, únicamente señalaremos los
principales conceptos que el auditor debe contemplar como parte del programa de trabajo:
Este documento, llamado guía de auditoría, es fundamental para el buen desarrollo de una
auditoría, ya que es una herramienta auxiliar para el trabajo del auditor; por esta razón, debe
tener una descripción detallada de todos y cada uno de los puntos importantes que se deben
auditar, según las necesidades de evaluación y características específicas del área de sistemas de
la empresa. Aquí se presenta un ejemplo:
En este documento se indica* cada uno de los puntos que deberá evaluar el auditor, así como la
forma de evaluarlos y la descripción de las técnicas, métodos y herramientas que deberá utilizar
en dicha evaluación, mismos que deben ser diseñados previamente, de acuerdo con el tipo de
auditoría y la especialidad informática que se tenga que evaluar en el centro de cómputo de la
empresa (vea la figura 7.5).
Es de gran utilidad para el auditor integrar la guía de auditoría a los papeles de trabajo, ya que
en este documento anota cada uno de los puntos que evaluó, así como las técnicas, métodos y
procedimientos de auditoría que aplicó en la evaluación. También anota toda la información que
obtuvo de cada uno de los aspectos que analizó, así como la obtención y/o generación de
documentos, datos e información que le sirven como referencia para corroborar las evidencias
sobre las desviaciones encontradas. Asimismo, esta guía servirá de referencia para planear las
próximas auditorías.
2.1.8) Inventarios
Una de las principales herramientas que utiliza el auditor de sistemas son los inventarios, los
cuales le sirven para contar los elementos que existen en el área que va a evaluar, según los
equipos, artículos o partes del sistema que se traten; además, con la información que obtiene
puede comparar lo que debería existir y lo que realmente existe de los elementos que se están
inventariando; con ello puede comprobar que la guarda y custodia de los bienes de la empresa
sean adecuadas.
Aunque existen muchos tipos de inventarios, es recomendable utilizar los inventarios que se
hayan acordado en la planeación de la auditoría, de acuerdo con su origen y objetivos, así como
con las especificaciones de revisión que se hayan establecido. Por esta razón, a continuación
presentaremos los principales inventarios para el área de sistemas:
Inventario de software
Inventario de hardware
Inventario de bases de datos e información de la empresa
Inventario de proyectos y desarrollos computacionales
Inventario de puestos de trabajo en el área de sistemas
Inventario de reportes de pruebas y resultados
Inventario de mobiliario y equipos
Inventario de instalaciones de voz, datos y energía
Inventario de instalaciones de redes
Inventario de manuales e instructivos
Inventario de respaldos, disquetes, cintas y sistemas de resguardo de información
Inventario de consumibles
En este tipo de auditorías, los llamados papeles de trabajo adquieren un matiz muy especial
debido a la forma en que se archiva la información en ellos; así encontramos que debemos
documentar datos que muchas veces no están archivados en papel sino en sistemas
computacionales; por lo tanto, debemos saber cómo capturar, extraer y archivar esa información
en algún medio electromagnético de captura y lectura de información.
Sin embargo, no sólo es por la forma de almacenar la información, sino también por la cantidad,
periodicidad y utilidad de la información que va a ser documentada.
Está claro que no se puede documentar como papeles de trabajo toda la información que se
procesa en los sistemas computacionales, sino únicamente la que haya sido designada de algún
proceso de recopilación específico.
Sin embargo, el auditor sólo utiliza la información que producen los sistemas, si ésta le es útil
para evaluar algún aspecto relacionado con la revisión que está realizando, y casi nunca toma en
cuenta las operaciones y actividades internas que realiza el sistema para arrojar esa información.
En la figura 7.7 se hace un pequeño esbozo de los sistemas computacionales, sus características,
marco conceptual y de algunos otros aspectos básicos que serán útiles para que el auditor
recuerde o conozca los aspectos más importantes de lo que va a auditar.
Los papeles de trabajo que contienen la información que se maneja en los sistemas se deben
almacenar en dispositivos especiales; por esta razón, a continuación indicaremos dos de los
principales tipos de datos e información, así como los medios de almacenamiento que se deben
considerar como documentos de los papeles de trabajo de la auditoría de sistemas
computacionales. El propósito de presentar estos dos ejemplos es que el auditor sepa cómo se
deben archivar dichos papeles de trabajo.
En este caso, el auditor debe verificar que existan respaldos (periódicos o únicos) de los
sistemas operativos, programas, paqueterías o sistemas realizados en la empresa, con el objeto
de evaluar que dichos respaldos sean los adecuados en caso de ocurrir problemas en el sistema.
Además debe verificar que los respaldos estén perfectamente custodiados, y que no existan más
copias de las permitidas, para evitar la llamada piratería de programas o la fuga de información
de la empresa.
2.1.10) Otros documentos que debe contener el legajo de papeles de trabajo de la
auditoría
Este punto se refiere a todo lo relacionado con los cuadros estadísticos que utiliza el auditor
para recabar y evaluar la información obtenida en la evaluación; en estos cuadros se incluyen las
gráficas, datos, censos, muestras, formulas estadísticas, etc.
Es de suma importancia para el auditor archivar estos cuadros en el legajo de papeles de trabajo,
ya que le pueden servir para acreditar sus opiniones; además, pueden servir de referencia para
los auditores novatos sobre la manera de elaborar estadísticas y obtener evidencias de una
evaluación de sistemas.
Además de la información estadística, el auditor puede obtener otro tipo de información que le
es útil para realizar la evaluación de los sistemas computacionales, misma que puede ser muy
variada y que debe guardar como anexos de información; a continuación presentamos algunos
ejemplos de estos anexos:
Una de las actividades más importantes del trabajo en el área de sistemas de una empresa es el
desarrollo de los propios sistemas; durante una revisión de este tipo, es responsabilidad del
auditor evaluar el correcto y oportuno desarrollo e instalación de los sistemas; para ello, además
de evaluar su funcionamiento, debe anexar al legajo de papeles de trabajo los documentos que
contengan la información sobre el análisis, diseño, programación, pruebas e instalación de los
sistemas de la empresa, como parte de una posible evidencia de su evaluación. El auditor debe
incluir en estos documentos los diagramas de los sistemas, las metodologías utilizadas para el
análisis y diseño de los mismos, sus codificaciones, programas objeto, fuente y todos los
aspectos necesarios que estén relacionados con el desarrollo de los sistemas de la empresa.
En algunos casos, estos documentos pueden ser de los más importantes de una auditoría de
sistemas, debido a que son el testimonio de empleados, usuarios, responsables o de las personas
que por algún motivo declararon algo relacionado con los sistemas auditados o con alguna
situación específica. Estos documentos deben ser recabados con toda formalidad.
Asimismo, estos documentos son muy valiosos en cualquier tipo de auditoría, ya que sirven
para corroborar desviaciones importantes, y en algunos casos pueden tener valor legal para
posteriores diligencias y pueden servir como pruebas en algún litigio.
Por esta razón es de suma importancia tener a la mano este tipo de documentos.
Así como es necesario guardar los datos, muestras y fórmulas estadísticas indicadas, también es
necesario conservar los documentos relacionados con el análisis estadístico de los resultados, ya
que además de servir como evidencia de las desviaciones encontradas, también pueden servir de
referencia para futuras evaluaciones; es decir, se pueden utilizar como modelo para retomar los
procedimientos seguidos y obtener resultados similares o para enseñar a los auditores novatos.
Conservar por escrito estos análisis debe ser una prioridad para el responsable de la auditoría, ya
que de esta manera se podrá interpretar el resultado de su evaluación, y en caso de que el auditor
que hizo esos análisis no esté presente, éstos se pueden estudiar y llegar a las mismas
conclusiones.
Asimismo, el auditor debe anexar cualquier otro documento que a su juicio sea de importancia
para la auditoría y que necesite conservar; por ejemplo, comprobantes de viáticos, oficios de
presentación, correspondencia, minutas de reuniones, nombramientos y cualquier otro tipo de
documentos útiles para la auditoría.
En este ejemplo se maneja el programa especializado QuickTime for Windows, versión
21.1.57@ de Apple Computer Inc., que se utiliza para verificar el contenido y funcionamiento del
equipo de cómputo y de sus componentes. La composición de esta utilería se presenta
únicamente para ejemplificar alguno de los muchos productos que pueden ser incluidos como
documentos en el legajo de papeles de trabajo de una auditoría de sistemas computacionales.
Son las marcas de carácter informal que utiliza exclusivamente el auditor o el grupo de
auditores que realizan la auditoría, con el fin de facilitar la uniformidad de los papeles de trabajo
y para identificarlos mejor. El auditor en jefe puede imponer el uso de estos símbolos o pueden
ser utilizados por acuerdo del grupo, aunque también puede suceder que no sean utilizados en
una auditoría.
Su utilidad radica en que tienen un significado preciso que todos los auditores conocen y
utilizan para destacar aspectos importantes de los documentos que van revisando, y en que
sirven como identificadores uniformes de todas las actividades que se desarrollan durante una
evaluación; así, cuando alguien del grupo de auditores encuentra algún documento con estas
marcas, sabe que éste ya ha sido revisado o que tiene una característica especial en la cual se
tiene que advertir alguna observación, de acuerdo con el significado de los símbolos. Todos los
auditores deben utilizar los mismos símbolos al hacer anotaciones en los documentos que
evalúen.*
Con el uso de estos símbolos también se evita el abuso en la recopilación de copias inútiles de
papeles de evaluación y documentos oficiales, los cuales sirven para identificar los aspectos
revisados, como apoyo para la evaluación o para cualquier otro aspecto similar poco importante.
Con el uso de estas marcas se hace más sencilla la revisión de documentos impresos en papel,
de disquetes, bases de datos y de todo lo relacionado con los sistemas evaluados.
Es conveniente aclarar que no existe algún convenio formal respecto al tipo de marcas utilizadas
entre un auditor y otro, sino que su diseño y uso es producto de las experiencias de auditorías
anteriores compartidas entre los auditores. Sin embargo, por sentido común se unifican las
marcas o símbolos que se utilizan en los papeles de trabajo; entre estas marcas destacan las
siguientes:
Es de suma importancia enfatizar que estos símbolos se deben diseñar en forma conjunta, se
deben anotar en un mismo documento y distribuir copias entre los participantes de la auditoría;
también se debe vigilar constantemente que los auditores apliquen estos símbolos con el mismo
criterio. Con esto se garantizan la uniformidad y
continuiad de la evaluación.
Por lo general estos documentos son complemento de alguna revisión y sirven para identificar y
comprobar desviaciones y situaciones.
Dichos documentos pueden ser estadísticas, gráficas o cuadros en los cuales se concentran y se
comparan datos tales como listados de resultados de un proceso y listados de seguimiento de las
actividades, operaciones y tareas que se realizan con un sistema computacional, así como los
concentrados de información estadística, las bitácoras de seguimiento y reportes, y en sí
cualquier dato que pueda ser incluido en las estadísticas.
A continuación presentaremos algunos documentos que pueden ser considerados dentro de este
rubro:
Es un cuadro (columnas y filas) en donde se anotan datos útiles tales como operaciones
aritméticas, matemáticas y/o estadísticas que le darán algún significado a la evaluación.
En el ejemplo la gráfica representa ingresos contra consumos, a fin de señalar la llamada oferta
y demanda.
Éstos fueron sólo algunos ejemplos de cuadros de concentración de datos en forma estadística y
gráfica; pero existen muchos tipos de cuadros y gráficas que se utilizan en una auditoría, de
acuerdo a las necesidades de evaluación de los sistemas computacionales de una empresa.
Esta simbología se acuerda previamente, para que quienes la vean la interpreten de la misma
manera.
En este tipo de diagramas se señalan los procedimientos por medio de símbolos adoptados para
ejemplificar el flujo que siguen los datos.
Cabe señalar que estos símbolos son convencionales, por ejemplo:
Para el flujo se utilizan líneas con o sin flechas que señalan el seguimiento de las
aciones.
El uso de los diagramas de flujo es una de las principales herramientas que utiliza un auditor
para la evaluación de programas, bases de datos, programación de sistemas y cualquier otro
desarrollo de sistemas de la empresa, debido a que permite seguir perfectamente los datos.
Éste es otro de los documentos importantes para el auditor, ya que le ayuda a identificar el
contenido y composición de las bases de datos, su forma, el tamaño de los archivos, el número
de dígitos por cada registro que ingresa a la computadora y demás características que componen
una base de datos.
En el ejemplo se observa un diccionario de datos que contiene la identificación del campo, su
descripción, el tipo de datos que admite y el tamaño de los datos que ingresan.
Para el auditor es muy importante identificar y evaluar la correcta elaboración de las bases de
datos, y una forma de realizarlo es por medio de los diccionarios de bases de datos, ya que éstos
le ayudan a identificar la forma en que se realizaron estos archivos y la forma en que se utilizan.
2.1.3) Modelos
De hecho, en estricto sentido, todas las gráficas y diagramas de flujo aquí mostrados son
modelos que representan la realidad.