CONOCIMIENTO DE LAS ESTRUCTURAS EMPRESARIALES MODERNAS Y

LOS MODELOS ADMINISTRATIVOS APLICADOS A LA GERENCIA DE HOY.

CAMPOS DE APLICACIÓN

CARLOS ALBERTO ORTIZ VIVEROS

FORMADOR DOCENTE

GENERALIDADES DE LA AUDITORÍA

ELEMENTOS DE COMPETENCIA

MIGUEL ÁNGEL VIVAS BERMÚDEZ

CÓDIGO: 084900062020

LYDIA GÓMEZ MALDONADO

CÓDIGO: 084900032020

FRANCY ROCIO HERNANDEZ MORENO

CÓDIGO: 084900022020

UNIVERSIDAD DEL TOLIMA

CREAD, KENNEDY – BOGOTÁ

FACULTAD DE INGENIERÍA DE SISTEMAS

Contenidos formativos:

1. Campos de Aplicación de la auditoría de Sistemas.

La auditoría en informática debe evaluar todo (informática, organización del

centro de cómputo, computadoras, comunicación y programas), con auxilio de
los principios de la auditoria administrativa, auditoria interna, auditoría
contable/financiera y, a su vez, puede proporcionar información a esos tipos de
auditoria. Las computadoras deben ser una herramienta para la realización de
cualquiera de las auditorias.

Auditoría de Programas

Para que sea eficiente una auditoria, se debe realizar también durante el
proceso de diseño del sistema.

La interrelación que debe existir entre la auditoria informática y los diferentes

tipos de auditoria es la siguiente: el núcleo o centro de la informática son los
programas, los cuales pueden ser auditados por medio de la auditoria de
programas. Estos programas se usan en las computadoras de acuerdo con la
organización del centro de cómputo.

Auditoría de Procesos o centros de cómputo

En los negocios también las computadoras y los sistemas de información

ocupan un lugar muy especial, ya que hacen posible  la funcionalidad de las
oficinas, áreas, departamentos, entre otras incontables aplicaciones.

En la relación  de este informe de operación de centró de cómputo de datos

digitalizado. Debemos de tener en cuenta los siguientes ocho datos que debemos
considerar antes de examinar a detalle cada uno de los áreas del centro de cómputo.

1. La capacidad para determinar una petición para recibir apoyo de

computadora y determinar si debe ser considerada la oportunidad para
resolver el problema.
2. El conocimiento para recopilar e interpretar los datos
3. Entendimiento para determinar, después de examinar, una situación en la
empresa donde los procedimientos deben ser efectivos y debe de eliminar
en medida de lo posible a los sistemas manuales.
4. La capacidad para diseñar y desarrollar especificaciones de un sistema de
información.
5. El conocimiento para seleccionar los mejores métodos de entrada de datos
almacenamiento de archivos, accesos, procesos y salida para cada
situación.
6. Debe tener un conocimiento interno de desarrollo de software métodos de
prueba y estrategias de puesto en marcha.
7. La capacidad para comunicarse efectivamente con otros
8. Experiencia en cada uno de los puntos anteriores, atravez de la aplicación
de problemas y desarrollo.

Auditoría a bases de datos

La auditoría de bases de datos es un proceso implementado por los auditores

de sistemas con el fin de auditar el proceso de acceso a los datos, por lo
general siguiendo bien a una metodología basada en un checklist que
contempla los puntos que se quieren comprobar o mediante la evaluación de
riesgos potenciales, con la auditoria a las bases de datos lo que hace es
examinar los accesos de los datos almacenados en las bases de datos con el
fin de poder medir, monitorear, y tener constancia de los accesos a la
información almacenada en las mismas, cualquiera que sea el objetivo de la
auditoria de las bases de datos lo que busca en realidad es seguridad
corporativa.

Una auditoria de bases de datos facilita herramientas para conocer de forma

exacta cual es la relación de los usuarios a la hora de acceder a las bases de
datos, incluyendo las actuaciones que deriven en una generación, modificación
o eliminación de datos.

Auditoría a redes y comunicaciones

Auditoria de Comunicación permite gestionar la red, monitorear las

comunicaciones, revisar los costos y la asignación formal de proveedores, la
creación y aplicabilidad de estándares, se debe tener una documentación sobre
todo el diagrama de la red, realizar pruebas entre los equipos, vigilancia sobre
toda la actividad online.
Auditoria de Redes es una serie de mecanismos mediante los cuales se pone a
prueba una red informática, evaluando su desempeño y seguridad, a fin de
lograr una utilización más eficiente y segura de la información. En una red
lógica se debe evitar el daño interno: Dar contraseñas, Controlar los errores,
garantizar que una transmisión sea recibida solamente por el destinatario,
registrar las actividades de los usuarios en la red, encriptar la información,
evitar la importación y exportación de los datos.

Auditoría a la seguridad informática

Una auditoría de seguridad informática se podría definir como la evaluación del

nivel de madurez en seguridad de una organización, donde se analizan las
políticas y procedimientos de seguridad definidos por la misma y se revisa su
grado de cumplimiento. También, las medidas técnicas y organizativas
implantadas para garantizar la seguridad.
 Las auditorías de seguridad son básicas para todas las empresas
independientemente de su tamaño, ya que permiten detectar posibles puntos
débiles que sirvan de referencia para implementar un plan de mejora.

Tipos de Auditoria de Seguridad Informática

 Según quien las realice: Internas o externas

 Según la metodología Empleada: De cumplimiento o técnicas.
 Según su objetivo: Forense, Aplicaciones WEB, Hacking Ético o test de
intrusión, Control de Acceso físico, red.

Auditoría física

La Auditoria Física se encarga de comprobar la existencia de los medios físicos

así como su funcionalidad, racionalidad y seguridad, igualmente garantizar la
integridad de los activos humanos lógicos y materiales de un centro de proceso
de datos.

Áreas de la Seguridad Física.

 Organigrama de la empresa
 Auditoria interna
 Centro de procesos de datos
 Equipo y comunicaciones
 Computadores personales
 Seguridad física del personal

Objetivos

 Edificio
 Instalaciones
 Equipamiento y telecomunicaciones
 Datos
 Personas

2. Herramientas para el proceso de auditoría

Cuestionarios

Unas de las herramientas que utiliza el auditor para desenmarañar el sistema

económico de la entidad y los múltiples procesos que permiten que esta cumpla su
objeto misional, son los cuestionarios de auditoría; estos son herramientas que
permiten al auditor apoyar su gestión en el control interno y le proporcionan
información para determinar un diagnóstico de la empresa.

La información que se obtiene de los cuestionarios de evaluación del sistema de

control interno sirve para conocer qué grado de control maneja la entidad y la
participación de los colaboradores de la organización con el mantenimiento de un
ambiente de control ya que por sí solo el cuestionario de auditoría no es más que
un documento inerte. En ese sentido, es función del auditor velar porque la
información sea suministrada por alguien que conozca los procesos de la
compañía, por lo general por el gerente, el administrador de la empresa o la
persona encargada y que en este documento se anexe información tanto
cualitativa como cuantitativa del proceso a auditar.

Listas de chequeo

Los listados de control, listados de chequeo, checklist u hojas de verificación,

siendo formatos generados para realizar actividades repetitivas, controlar el
cumplimiento de un listado de requisitos o recolectar datos ordenadamente y de
manera sistemática.
Se utilizan para hacer comprobaciones sistemáticas de actividades o productos
asegurándose de que el trabajador o inspector no se olvida de nada importante.

El uso de las listas de comprobación de auditoría: Aunque no siempre se requiere

en las normas del sistema de gestión, las listas de comprobación de auditoría son
sólo una herramienta disponible en la "caja de herramientas de auditores". Muchas
organizaciones las utilizarán para garantizar que la auditoría, como mínimo, se
ocupará de los requisitos definidos por el ámbito de aplicación de la auditoría. A
continuación se muestra un ejemplo de un enfoque de auditoría:
Es beneficioso auditar desde el sistema de gestión de calidad de la organización
hasta los requerimientos. Se puede utilizar una lista de verificación para garantizar
que todos los requisitos ISO 9001 pertinentes se tratan del sistema de gestión.

Ventajas de la checklist de auditoría

❖ Facilitan la planificación de la labor de auditoría.

❖ Garantizan una ruta para seguir y un enfoque coherente cuando se trata de
varios auditores.
❖ Sirven como herramienta para crear un cronograma de trabajo.
❖ Evitan que el auditor olvide abordar algún tema, hacer alguna pregunta o
revisar un proceso.
❖ Sirven para añadir notas importantes para la elaboración de los informes
finales.
❖ Proporcionan asistencia al auditor con poca experiencia.
❖ Garantiza que la tarea se desarrolle de manera sistemática e integral, y que
se recaude la evidencia adecuada.
❖ Proporcionan una estructura sólida y una continuidad que garantiza llegar al
final siempre centrándose en el objetivo principal.
❖ Pueden ser utilizados como evidencia y como referencia para futuras
auditorías.
❖ Proporciona evidencia de que se realizó la tarea paso a paso.
❖ La lista permanece como registro de que se examinó a fondo el SGC.

Las desventajas de la checklist de auditoría

 ❖ Pueden intimidar al auditado, que se siente interrogado y
cuestionado, antes que entrevistado.
❖ Puede limitar la visión del auditor, y evitarle seguir el camino que le
indiquen su intuición y su experiencia.
❖ Obligan a una planificación única y no siempre la mejor de la
auditoría.
❖ Resultan restrictivas cuando se utilizan como guía única de la tarea.
❖ Cuando el auditado conoce las listas de verificación, puede
manipular a un auditor novato, ocultando problemas graves de
calidad.
❖ Puede, eventualmente, hacer incurrir a los auditores en tareas
repetitivas y duplicadas.
❖ En determinadas industrias, o en sectores altamente regulados, es
probable que la lista no responda a las expectativas de la auditoría.
❖ Algunas listas son estrechas, no permiten profundizar en base a la
respuesta del auditado y no permiten asumir otros enfoques sobre la
marcha.

Entrevistas

Es una técnicas que se usa para poder obtener evidencia de auditoría, por lo
tanto, se deben preparar la entrevista para saber qué queremos preguntar y como
lo tenemos que preguntar, son elementos fundamentales.

La base fundamental de esta estrategia es la entrevista con el personal auditado.

Lo que se persigue con estas entrevistas es la obtención de evidencias objetivas
que demuestren lo que se está realizando en cada proceso, departamento o área.

Esta obtención de evidencias objetivas incluirá la verificación y obtención de

información a través de la realización de diversas preguntas planificadas y el
control de esta información es la clave para el desarrollo de una auditoría eficaz.

Una entrevista consta de las siguientes etapas:

Preparar la entrevista: Esto implica definir el propósito y el resultado de la

entrevista, establecer con quien nos entrevistaremos, elaborar una lista de temas
que queremos tratar, preparar una agenda a ser comunicada a los entrevistados y
finalmente estar preparados para las posibles respuestas, esto implica que
muchas veces deberemos realizar re-preguntas en base a la respuesta de nuestro
entrevistado (esto ya lo tenemos que considerar desde el momento 0).
Conducir la entrevista: Establecer el modo de la entrevista (es decir será una
reunión más distendida, menos distendida, esto también estará relacionado con la
jerarquía de la persona que entrevistamos), dejar claramente expuesto el
propósito de la reunión, realizar las preguntas relevantes pero por sobre todas las
cosas realizar una escucha activa (es decir estar atentos a lo que nuestro
interlocutor lo dice, de qué forma lo dice, expresiones corporales, etc.) y finalmente
dejar en claro con nuestro interlocutor los próximos pasos.
Tomar acciones: Es recomendable una vez finalizada la reunión, consolidar los
resultados, si en la entrevista tuvimos otro colaborador, discutir la misma. Dejar
todos estos aspectos reflejados, por ejemplo, en una minuta de reunión y ya definir
los próximos pasos (por ejemplo, agendar otras reuniones si fuera necesario).
Cuando hablamos de realizar las preguntas apropiadas también nos estamos
refiriendo a qué tipo de preguntas realizadas.

Las preguntas pueden ser clasificadas en 3 tipos:

Abiertas: las cuales como su nombre lo indica, permite que nuestro interlocutor se
explaye sobre temas en general, nos dé una descripción global del proceso, del
evento o circunstancia y nos ayuda a nosotros a tener un mayor entendimiento y
poder luego realizar preguntas más específicas, adicionalmente nos ayudaría a
poder detectar una posible excepción o aspecto que requiera un mayor
entendimiento y análisis. Una pregunta abierta podría ser “Nos podría describir
como es el funcionamiento del ciclo de compras”
De prueba: Estas preguntas ya no dirigen a lo general, sino que se orientan a lo
particular. Siguiendo un ejemplo del ciclo de compras, una pregunta de prueba
sería por ejemplo: ¿Que personas son las encargadas de liberar compras y por
qué importes?
De cierre: En este caso son lo opuesto a las preguntas abiertas, y en las mismas
obtenemos generalmente un “si” o “no” y el objetivo es poder cerrar finalmente el
entendimiento. Ejemplo de este tipo de preguntar podrían ser: ¿alguien más
aparte de ustedes tiene la posibilidad de liberar órdenes de compra?, ¿Puede
usted modificar los precios de la lista de precios?
Un aspecto importante en el proceso de llevar una entrevista es que siempre
mantengamos nuestro escepticismo profesional, es decir que siempre estemos
atentos y no demos absolutamente por válidos los razonamientos o situaciones
que expone nuestro interlocutor.

Papeles de trabajo

Concepto.- Son el conjunto de documentos, planillas o cédulas, en las cuales el

auditor registra los datos y la información obtenida durante el proceso de
Auditoría, los resultados y las pruebas realizadas.

Los papeles de trabajo también pueden constituir la información almacenada en

cintas, películas u otros medios (diskettes), y puede habilitarse sobre listados, y
fotocopias de documentos claves de la organización, sin incurrir a exceso de
copiar todo el archivo.
Los papeles de trabajo tienen los siguientes propósitos:

● Soportar por escrito la planeación del trabajo de auditoría.

● Instrumento o medio de supervisión y revisión del trabajo de
auditoría.
● Registra la evidencia como respaldo de la auditoria y de informe
● Se constituye en soporte legal en la medida de requerir pruebas.
● Memoria escrita de la auditoría.

En los papeles de trabajo se registran:

● La planeación.
● La naturaleza, oportunidad y el alcance de los procedimientos de
auditoría desarrollados.
● Los resultados
● Las conclusiones extraídas y las evidencias obtenidas.
● Incluyen sólo asuntos importantes que se requieran junto con la
conclusión del auditor y los hechos que fueron conocidos por el
auditor durante el proceso de auditoría.

El trabajo del Auditor queda anotado en una serie de papeles que constituyen en
principio la prueba material del trabajo realizado, además, en ellos se deja
constancia de la profundidad de las pruebas y de la suficiencia de los elementos
en que se apoyó la opinión, en otras palabras, son evidencia de la calidad
profesional del trabajo de Auditoría que es realizado en una Empresa o Entidad.

Los papeles de trabajo son los documentos en que el Auditor registra los datos e
informaciones obtenidas a lo largo de su examen y los resultados obtenidos de las
pruebas realizadas, las que le servirán para poder elaborar su informe o dictamen
final que deberá presentar a la empresa o entidad.

ELEMENTOS

Los papeles de trabajo deben ser claros y concisos respecto de la cuenta u

operación a la que se refieran, del trabajo desarrollado y de las conclusiones
obtenidas, esto se logra estableciendo un mínimo de elementos que es
conveniente tener en cuenta al elaborarlos.

Algunos de estos elementos que deben contener toda cédula o papel de trabajo
de auditoría, son:

1. Nombre de la empresa a la que se audita.

2. Fecha del cierre del ejercicio examinado.
 3. Titulo o descripción breve de su contenido.
4. Fecha en que se preparó.
5. Nombre de quien lo preparó.
6. Fuentes de donde se obtuvieron los datos.
7. Descripción concisa del trabajo efectuado.
8. Conclusión.

Evidencias

Evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otra

información que sea pertinente para comparar con los criterios de auditoría. Estas
pueden ser documentadas o no, pero sí verificables.

La recopilación de evidencia, como parte de una auditoría, implica utilizar una

serie de técnicas de auditoría ISO 9001. Las distintas técnicas de auditoría ISO
9001 no son excluyentes entre sí, sino complementarias. La auditoría resulta ser
así una red que se teje con el hilo que tienden estas técnicas, y las debemos
conocer para realizar el proceso de modo satisfactorio.

Es importante recordar que el resultado de un proceso auditor, conlleva a asumir

una serie de responsabilidades que por si solo posiciona o debilita la imagen de la
organización frente a los resultados obtenidos, y son la calidad y suficiencia de la
evidencia la que soporta el actuar igualmente responsable del grupo auditor.

Para que ésta información sea valiosa, se requiere que la evidencia sea
competente, es decir con calidad en relación a su relevancia y confiabilidad y
suficiente en términos de cantidad, al tener en cuenta los factores como:
posibilidad de información errónea, importancia y costo de la evidencia.

Una evidencia se considera competente y suficiente si cumple las características

siguientes:

❖ Relevante - Cuando ayuda al auditor a llegar a una conclusión respecto a

los objetivos específicos de auditoría.
❖ Autentica - Cuando es verdadera en todas sus características.
❖ Verificable - Es el requisito de la evidencia que permite que dos o más
auditores lleguen por separado a las mismas conclusiones, en iguales
circunstancias.
❖ Neutral - Es requisito que esté libre de prejuicios. Si el asunto bajo estudio
es neutral, no debe haber sido diseñado para apoyar intereses especiales.

La obtención de evidencia suficiente y competente en la auditoría es afectada por

factores como:
 ❖ Riesgo inherente. Cuanto mayor sea el nivel de riesgo inherente mayor
será la cantidad de evidencia necesaria.
❖ Riesgos de control; El control interno y su grado de implementación
proporciona la tranquilidad o desconfianza, susceptible de análisis y
comprobación.

El auditor debe obtener evidencia mediante la aplicación de pruebas y

procedimientos:

❖ Pruebas de control.- Se realizan con el objeto de obtener evidencia sobre

la idoneidad del sistema de control interno y contabilidad.
❖ Pruebas sustantivas.- Consiste en examinar las transacciones y la
información producida por la entidad bajo examen, aplicando los
procedimientos y técnicas de auditoría, con el objeto de validar las
afirmaciones y para detectar las distorsiones materiales contenidas en los
estados financieros.

3. Auditoría con herramientas tecnológicas

El "software" de auditoría consiste en un conjunto de programas de ordenador

usados por el auditor, como otros procedimientos de auditoría más, para procesar
datos del sistema contable de la entidad que son significativos para la auditoría.
Pueden usarse paquetes de programas, programas específicos y programas de
utilidad. Independientemente de la fuente de procedencia de tales programas, el
auditor debe constatar su validez para la auditoría antes de empezar a usarlos.
- paquetes de programas: son programas de ordenador de tipo general,
diseñados para ejecutar funciones de proceso de datos que incluyen la
lectura de archivos de ordenador, la selección de información, la ejecución
de cálculos, la creación de archivos y la impresión de información en un
formato especificado por el auditor
- programas específicos: son programas de ordenador escritos y diseñados
para ejecutar tareas de auditoría en circunstancias específicas. Tales
programas pueden ser preparados por el auditor, por la entidad o por un
programador externo al servicio del auditor. En algunos casos, los
programas ya existentes en la entidad pueden ser usados por el auditor, ya
sea en su versión original o modificados, por ser más eficientes que Otros
desarrollados independientemente;
- programas de utilidad: son los usados por la entidad al ejecutar funciones
comunes de procesamiento de datos, tales como clasificar, crear o imprimir
archivos. Por lo general, estos programas no están diseñados para los
propósitos de la auditoría y, por tanto, no contienen dispositivos tales como
contadores de registro automático o totalizadores de control. Verificación de
datos
- Las técnicas de verificación de datos se utilizan, al llevar a cabo
procedimientos de auditoría, introduciendo datos (por ejemplo, una muestra
de transacciones) en el sistema informático de la entidad, y comparando los
resultados obtenidos con otros previamente determinados.
Ejemplos de tales usos son: Verificación de datos usados para probar
controles específicos en programas de ordenador, como, por ejemplo, los
códigos de acceso en sistemas "en línea" y los controles de acceso de
datos.

Transacciones de comprobación, seleccionadas de entre otras previamente

procesadas o creadas por el auditor para verificar las características
específicas del sistema informático de la entidad. Tales transacciones se
procesan generalmente de forma separada del procesamiento normal en la
entidad.

Transacciones de comprobación usadas dentro de una prueba integrada en

la que se ha establecido una unidad ficticia (por ejemplo, un departamento
o empleado), para la cual se introducen las transacciones de comprobación
durante el ciclo normal de procesamiento.
Cuando la verificación de datos se hace con el procesamiento normal de la
entidad, el auditor debe asegurarse de que las transacciones de
comprobación son eliminadas, una vez realizadas, de los registros
contables de la entidad.

Conocimientos informáticos, pericia y experiencia del auditor.

BIBLIOGRAFÍA

1. https://actualicese.com/cuestionarios-de-auditoria-una-herramienta-
importante-para-el-control-interno/
2. https://blog.eclass.com/auditoria-conoce-esta-herramienta-y-mejora-tu-
estrategia-de-seguridad
3. https://www.isotools.org/2018/03/08/que-es-un-checklist-y-como-se-debe-
utilizar/#:~:text=Los%20listados%20de%20control%2C
%20listados,ordenadamente%20y%20de%20manera%20sistem
%C3%A1tica.
4. https://www.icontec.org/wp-content/uploads/2019/08/14.-Lista-de-
chequeo.pdf
5. https://www.escuelaeuropeaexcelencia.com/2020/02/checklist-de-auditoria-
ventajas-y-desventajas/
6. https://www.auditool.org/blog/auditoria-interna/6473-tecnicas-de-entrevistas-
en-auditoria-interna
7. https://isocalidad2000.com/2013/07/03/tecnicas-de-entrevista-tengo-que-
hacer-una-auditoria-interna-y-no-se-por-donde-empezar-iv/
8. https://www.auditool.org/blog/auditoria-externa/306-papeles-de-trabajo-en-
auditoria
9. https://sites.google.com/site/auditoriaeninformaticacun/concepto-de-
auditoria/modelos-de-control
10. http://auditoriadeuncentrodecomputo.blogspot.com/
11. https://www.unir.net/ingenieria/revista/auditoria-seguridad-informatica/
12. https://es.slideshare.net/carlosradamesb/la-auditoria-fisica