Empresa auditada:

Área auditada:

Auditores a cargo:

Período a cubrir:

Documentación:
Índice de Papeles de Trabajo
 MEMORÁNDUM RESUMEN DE LA PLANEACIÓN DE AUDITORÍA

Memo
Fecha: xx/xxx/xxxx

Para:

De:

Re: Memo de Planeación para evaluación de Controles Generales de IT.

MEMORANDO DE PLANEACION PARA PRUEBAS DE CONTROLES

1. Objetivos y alcance de la Auditoría

Objetivos:

 Determinar el grado de optimización de procesos basados en normas de Calidad y velando por cumplir los objetivos
trazados por la Dirección del Departamento o de la Gerencia General;

 Evaluar la seguridad del espacio físico, resguardando la seguridad humana y de los recursos que posee la empresa;
 Verificar que existan los controles necesarios con el fin de supervisar y regular las operaciones que posea el
departamento y velar el cumplimiento de los mismos;

 Evaluar el grado de seguridad y confiabilidad de las aplicaciones y programas que se manejen para determinar el
nivel de riesgo de manejo de la información.

Alcance:

Evaluar y calificar el cumplimiento de los estándares y métodos con respecto a:

- La entrada de datos y salida de información;

- La operación y manipulación de datos en el sistema;
- Y el procesamiento de la información.
A la par con la verificación oportuna de la existencia y cumplimiento de los manuales o instructivos implementados
en el área auditada y las políticas de mantenimiento preventivo y correctivo del sistema computacional.

a) Evaluar los métodos de acceso, seguridad y salvaguarda de los activos informáticos del área de sistemas.
Por la importancia que representa la pérdida de información para una organización, con esta auditoría se pretende
verificar que en se cuente con planes y programas de prevención contra contingencias en el funcionamiento de
los sistemas, información y datos de la empresa; planes contra contingencias para seguridad y protección de los
programas; y para la prevención y oportuna erradicación de virus informáticos.

b) Evaluar la configuración física del área de sistemas de la empresa.

 Objetivo que pretende determinar la existencia de una configuración y adecuada ubicación de las áreas físicas del
centro de cómputo en relación con aspectos como el aire acondicionado, iluminación, instalaciones y todo
componente físico necesario para el bienestar y comodidad de los usuarios

del sistema, tanto del departamento informático como de los demás departamentos de la empresa que utilicen los
sistemas.

c) Evaluar los aspectos técnicos del sistema instalado .

Objetivo que comprende el análisis y calificación del control establecido en para la configuración de servidores,
terminales; control de los sistemas operativos, aplicación de normas para la instalación de sistemas
computacionales en la empresa y los métodos de prevención, control y erradicación de la contaminación
informática y la piratería.

d) Evaluar la administración de la prestación y/o recepción de los servicios outsourcing informáticos.

Se pretende determinar la existencia del contrato de servicios outsourcing informáticos, contemplando las
clausuras de servicio, seguridad, costos y demás. Analizar el cumplimiento de la actividad outsourcing de ambas
partes y la existencia de los procedimientos y estrategias que sustentan dicha actividad.

e) Evaluación de la administración de los recursos informáticos no humanos del área de sistemas

 Objetivo que persigue analizar la administración del sistema computacional, en relación con el hardware, software
y con las instalaciones dedicadas a la prestación/recepción del servicio así como la administración del mobiliario,
equipo y demás bienes materiales utilizados en este servicio.

2. ACORDAR LOS TÉRMINOS DEL COMPROMISO DE AUDITORÍA

Confirmar que hemos archivado una copia de la carta de contratación firmada

Sí

Los términos del compromiso se deberán acordar con el cliente antes de iniciar partes significativas del trabajo de campo.

FECHAS CLAVE DEL COMPROMISO

Fechas clave Fecha

Visita prelimar 21 de febrero de 20
Visita Final 01 de Abrl de 20
Entrega de informe 12 de Mayo de 20

3. ASIGNACIÓN DEL EQUIPO DEL COMPROMISO

Documentar el equipo del compromiso seleccionado

Años de
Nombre Nivel Capacidad*
servicio
con el
COMUNICACIÓN CON EL CLIENTE

Personal del Cliente al Tema Forma de

que va Dirigido
Principal Comunicación Oportunidad

4. COMPRENDER LA ENTIDAD Y SU AMBIENTE

Al realizar un Compromiso de Auditoría, debemos tener u obtener una comprensión de la entidad y su ambiente suficiente para permitirnos identificar y
comprender los eventos, transacciones y prácticas que, a nuestro juicio, puedan tener un efecto significativo en el Compromiso de Auditoría en su
conjunto.

Datos Generales de la empresa:

5. COMPRENDER EL AMBIENTE TI

VISTA GENERAL DE LOS SISTEMAS DE INFORMACIÓN

Ambiente TI: Las políticas y procedimientos que la Entidad implementa y la infraestructura TI (hardware, sistemas operativos, etc.) y el software
de aplicación que usa para soportar las operaciones de negocios y lograr las estrategias de negocios. [NIA Glosario de Términos]

Los dos amplios grupos de actividades de control de los sistemas de información son controles de aplicación, que aplican al procesamiento de
aplicaciones individuales, y los controles generales TI, que son políticas y procedimientos que se relacionan con muchas aplicaciones y soportan
el funcionamiento efectivo de los controles de aplicación ayudando a asegurar la apropiada operación continua de los sistemas de información.
[NIA 315 Apéndice 1.9]

Los sistemas de información y procesos de negocios relacionados relevantes para la información financiera en entidades pequeñas es probable que
sean menos sofisticadas que en entidades grandes. [Extracto de NIA316.A85].

Áreas de Controles Generales TI

Los Controles Generales TI son políticas y procedimientos que se relacionan con muchas aplicaciones y soportan el funcionamiento efectivo de
los controles de aplicación. Estos aplican a ambientes mainframe, miniframe y usuario final. Los Controles Generales TI que mantienen la
integridad de la información y la seguridad de los datos comúnmente incluyen controles sobre lo siguiente:

• Centro de datos y operaciones de red

• Adquisición, cambio y mantenimiento del software de sistemas

• Cambio en el programa

• Seguridad de acceso

• Adquisición, desarrollo y mantenimiento del sistema de aplicación

TI también plantea riesgos específicos para el control interno de una entidad, incluyendo, por ejemplo:

• Confianza en sistemas o programas que estén procesando datos de manera inexacta, procesando datos inexactos o ambos
 • Acceso no autorizado a datos que puede dar como resultado la destrucción de los datos o cambios incorrectos a los datos, incluyendo el
registro de transacciones no autorizadas o inexistentes, o el registro inexacto de transacciones. Pueden surgir riesgos particulares donde
múltiples usuarios tiene acceso a una base de datos común

• La posibilidad de que personal TI obtenga privilegios de acceso más allá de los necesarios para realizar sus funciones asignadas de ese modo
echando abajo la segregación de funciones

• Cambios no autorizados a los datos en los archivos maestros

• Cambios no autorizados a los sistemas o programas

• Fallas en hacer los cambios necesarios a los sistemas o programas

• Intervención manual inapropiada

• Pérdida potencial de datos o incapacidad para acceder a los datos según se requiera. [NIA 315.A56]

¿Es realizado cualquiera de los sistemas de información (incluyendo los Sistemas de No

Aplicación o Ambiente TI), o parte(s) de los sistemas, por una organización de servicios?

Organización y Personal de los Sistemas de Información

¿Está centralizado o descentralizado el enfoque de la Entidad acerca de los sistemas de Centralizado

información y las actividades de soporte relacionadas o es una combinación?

Para los Sistemas de Información observados arriba, mencionar los departamentos relevantes, el número aproximado de personal en cada
departamento y los nombres y puestos del personal clave.

Ambiente TI Departamento / Unidad de Negocios No. Aprox. de Personal Nombres y Puestos del Personal
Clave

COMPRENDER LAS ÁREAS DE LOS CONTROLES GENERALES TI

Los Controles Generales TI son políticas y procedimientos que se relacionan con muchas aplicaciones y soportan el funcionamiento efectivo de
los controles de aplicación. Estos aplican a ambientes mainframe, miniframe y usuario final. Los Controles Generales TI que mantienen la
integridad de la información y la seguridad de los datos comúnmente incluyen controles sobre lo siguiente:

• Centro de datos y operaciones de red

• Adquisición, cambio y mantenimiento del software de sistemas

• Cambio en el programa

• Seguridad de acceso

• Adquisición, desarrollo y mantenimiento del sistema de aplicación

Generalmente se implementan para lidiar con los riesgos referidos en 2400.09. [ISA 315.A96] [2440.07]
CUESTIONARIO GUIA DE ENTREVISTA

GUÍA DE ENTREVISTA PARA EVALUAR LA DOCUMENTACIÓN DE LA INFORMACIÓN, DOCUMENTACIÓN Y REGISTROS

DE LOS SISTEMAS

Como parte de nuestras pruebas sustantivas al área auditada, se llevo a cabo el día 04 de abril del corriente año una entrevista con
el jefe de dicha sección para establecer el grado en que se están tomando las medidas necesarias para salvaguardar la información,
la documentación y registro de los sistemas. Entrevista que se transcribe a continuación:

1. Presentación del entrevistador y entrevistado.

2. Introducción a los objetivos de la entrevista.

3. ¿Se realizan resguardo de la información?

R. Se realizan una copia de información contenida en el sistema cada 28 días, la cual es entregada al Gerente Financiero de
la institución.
4. Se cuenta con seguro para el equipo de Computo y que riesgo cubre?
R. En oficinas centrales, no tengo el conocimiento, pero en las Agencias si cuentan con seguro.

5. Existen y se ponen en práctica planes y programas de prevención de contingencias relacionadas con el manejo de la
información?
R. No existen.

6. Están establecidas normas, políticas y procedimientos para el adecuado almacenamiento, custodia, protección y
seguridad de la información? ¿Se dan a conocer a los empleados?
R. No existen manuales.

7. Se resguarda adecuadamente los activos informáticos de daños provocados por el ambiente y riesgos derivados de
condiciones externas?
R. Si se protegen y se cuenta con ventiladores y en un lugar seguro para evitar este tipo de daños.

8. Se cuenta con fianzas de fidelidad?

R. No.
I. PUNTOS A EVALUAR
Para poder alcanzar los objetivos de la auditoría a . se cubrirán las áreas descritas a continuación por cada punto a
evaluar.

Organización del Centro:

 Diagrama de configuración del sistema por red.

 Control de los paquetes del software
 Existencia de reporte de todos los programas y aplicaciones en uso.

Sistemas y Medidas de Seguridad:

 Uso de gafetes de identificación

 Vigilancia y Alarmas
 Entrenamiento de personal para atender emergencias

Control de Calidad:

 Cotejo de totales entrada ver sus salidas

 Estadísticas por aplicación de errores detectados
 Normas sobre la calidad de impresión y exactitud de los datos
1. Controles Generales del Computador

A continuación se detallan las actividades de control de (nombre de empresa, S.A.) las cuales serán cubiertas por el equipo de auditoría en
sistemas:

INSERTAR MATRIZA DE RIESGOS

PROGRAMA DE AUDITORIA)
Resumen del Plan de Pruebas de Controles para Ambientes TI

Usar la siguiente tabla para resumir los Sistemas de Información y las áreas de los Controles Generales TI que se incluyen en nuestra Estrategia de
Confianza en los Controles. Alternativamente, se puede usar la Forma 1810f, ERPA y PMA Saldos de Cuenta, Clases de Transacciones, Revelaciones
Materiales.

Ambiente TI Área de los Descripción de los procedimientos planeados de Referencia

Controles Generales pruebas de controles que se van a realizar para D&&I y
TI al final del período

ASIGNACION DE RECURSOS
Humanos

Personal especializado

Auditores:

Personal de la empresa

Departamento de Tecnología e Información

Tecnológicos, físicos y materiales

Computadoras

Impresoras

Scanner

Fotocopiadoras

USB`s

Cartuchos de tinta color - blanco y negro

Físicos
Escritorios

Mesas de estudio

Salón de clases para reuniones de planeación y ejecución

Materiales

Hojas de papel bond

Bolígrafos, lápices, borradores

USB`s y CD`s

Marcadores, resaltadores

Engrapadoras

Libro de Auditoria en Sistemas computacionales, Muñoz Razo,

Libro de Metodología COBIT

Financieros

Para cubrir gastos en el transcurso de nuestra auditoria de sistemas, cada integrante aportará la cantidad de cien
quetzales (Q.100.00).
II. Presupuesto
PRESUPUESTO DE AUDITORÍA

Informáticos y Materiales y de Costo

Cantidad Humanos Costo Total
tecnológicos consumo Unitario

Catedráticos del
2 Curso Auditoría V     Q - Q -

Estudiantes del 9no.

Semestre del curso
4 de Auditoría V     Q - Q -

Personas de la
empresa auditada
2 (contactos)     Q - Q -

Computadoras Q Q
2   portátiles   3.000,00 6.000,00

Impresora de Q Q
1   inyección   400,00 400,00

1   Servicio   Q Q
 telefónico 600,00 600,00

Q Q
1   Cámara digital   800,00 800,00

Servicios de Q Q
1   Internet   150,00 150,00

Q Q
3     CD's regrabables 10,00 30,00

Cartuchos de tinta Q Q
2     para impresora 235,00 470,00

Hojas de papel Q Q
100     bond tamaño carta 0,30 30,00

Galones de Q Q
10     combustible 33,50 335,00

Servicios de Q Q
      Transporte 100,00 100,00

Q Q
      Fotocopias 100,00 100,00

  TOTAL PRESUPUESTO DE GASTOS:   Q9.015,00