Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EXPOSICIÓN
Papeles de
trabajo de una
auditoria de
sistemas
Materia: AUDITORIA Y CONTROL DE SISTEMAS DE
INFORMACION
Universitarios: Registro:
1
PAPELES DE TRABAJO PARA LA AUDITORIA DE SISTEMAS
COMPUTACIONALES INDICE
2
2.1.10 otros documentos que debe contener el legajo de
papeles de trabajo de la auditoría.....................................................................
2.1.10.1 estadísticas y cuadros concentradores de información.....................
2.1.10.2 anexos de recopilación de información.................................................
2.1.10.3 testimoniales, actas y documentos legales de
comprobación y confirmación................................................................................
2.1.10.4 análisis estadístico de resultados datos y pruebas de
comportamiento del sistema..................................................................................
2.1.11 otros documentos especializados de una auditoría
de sistemas.............................................................................................................
2.2 CLAVES DEL AUDITOR PARA MARCAR PAPELES DE TRABAJO.............................
2.3 CUADROS, ESTADÍSTICAS Y DOCUMENTOS CONCENTRADORES DE
INFORMACIÓN...........................................................................................................
2.3.1 cuadro de concentración estadística.....................................................
2.3.2 cuadro de comparación de información...............................................
2.3.3 gráficas de cualquier tipo..........................................................................
2.4 DIAGRAMAS DE SISTEMAS..................................................................................
2.4.1 diagrama de flujo.........................................................................................
2.4.2 diccionario de datos...................................................................................
3
PAPELES DE TRABAJO PARA LA AUDITORIA DE SISTEMAS
COMPUTACIONALES
Para ello tiene que recopilar los datos obtenidos durante la auditoría y registrarlos
formalmente en documentos; estos documentos pueden ser manuscritos, manuales,
instructivos, gráficas, resultados de procesamientos, concentrados de bases de datos
en disquetes, respaldos (backups) o cualquier otro medio escrito o electromagnético,
en los cuales recopilará los hechos, pruebas, tabulaciones, interpretaciones, así como
el análisis de los datos obtenidos. Con todo lo anterior, el auditor tendrá un apoyo para
confirmar los hechos y validar la información que utilizará como base para elaborar el
informe de auditoría.
4
No obstante, al realizar este registro formal de datos, de inmediato surgen los
siguientes interrogantes:
¿En dónde, cómo y para qué concentrar los datos que se obtienen en la auditoría de
sistemas?
¿Los datos recopilados sirven para fundamentar las observaciones y para emitir un
dictamen?
¿En dónde, cuándo y para qué se registra la información que se obtiene en la auditoría
de sistemas computacionales?
¿Qué medios se utilizan para concentrar, validar, tabular e interpretar los datos
obtenidos?
¿En dónde, cuándo, por qué y cómo se registra la información documental, la emitida
por el sistema computacional y la recopilada directamente en el campo?
¿Qué tan válido es guardar la información recopilada del sistema computacional en
medios electromagnéticos?
Es evidente que para satisfacer éstos y muchos otros interrogantes, el auditor necesita
cierto tipo de apoyo que le ayude a registrar formalmente (por escrito) la información
que obtuvo al realizar la evaluación; asimismo, este apoyo proporciona un adecuado
orden al desarrollo de su trabajo; además le sirve como soporte documental para
registrar y, en su caso, mostrar las evidencias y pruebas de las situaciones relevantes
encontradas durante la evaluación y reportadas en el informe.
En la práctica, para una buena auditoría, cualquiera que sea el tipo y ambiente donde
se realice, el uso del apoyo documental cobra una relevancia tal que muchos
6
funcionarios de las empresas auditadas y los propios auditores consideran que los
papeles de trabajo son el aspecto primordial sobre el cual descansa una evaluación;
además, como ya hemos citado, sirven como soporte de las opiniones del auditor.
Esto se acentúa, aún más, en caso de que se requiera una auditoría, ya sea a voluntad
de la empresa o por imposición de alguna autoridad, ya que el dictamen del auditor se
fundamenta y se acepta con base en los documentos de trabajos fiscales y contables.
7
Existen múltiples formas de elaborar y utilizar los papeles de trabajo de una auditoría
de sistemas computacionales, las cuales estarán determinadas por la que Existen
múltiples formas de elaborar y utilizar los papeles de trabajo de una experiencia,
conocimientos y habilidades del auditor, así como por su necesidad de usar los
documentos y medios de cómputo para concentrar la información; hay notorias
similitudes (y diferencias) en la confección y uso de los papeles de trabajo, las cuales
van desde uniformar el diseño de los documentos, métodos y sistemas de captura de
datos, la forma concreta de recopilar, concentrar y archivar la información, la manera de
hacer acotaciones con los mismos estilos, opiniones y uso de claves similares, hasta la
aplicación de una serie de aspectos específicos y particulares para cada una de las
áreas de sistemas auditadas.
Para que los papeles de trabajo o medios de captura se puedan admitir como soporte
documental de una auditoría de sistemas, y para que se utilicen para fundamentar los
resultados y opiniones que presenta el auditor, es necesario que, tanto en su diseño
como en su uso, reúnan ciertos requisitos y formalidades, mismos que serán
determinados previamente por la empresa encargada de realizar la auditoría, o por el
auditor responsable de llevarla a cabo.
8
deben tener los papeles de trabajo que utilizará en su evaluación. Lo importante es que
dichos papeles existan.
Debemos señalar que el contenido de los papeles de trabajo puede variar de un auditor
a otro y de un tipo de auditoría a otra, ya que en cada trabajo existen procedimientos,
técnicas y métodos de evaluación especiales que forzosamente harán diferente la
recolección de los documentos. Lo mismo ocurre con la forma de obtener evidencias e
incluso con la forma de concentrar los papeles de trabajo.
Hoja de identificación
Índice de contenido de los papeles de trabajo
Dictamen preliminar (borrador)
Resumen de desviaciones detectadas (las más importantes)
Situaciones encontradas (situaciones, causas y soluciones)
Programa de trabajo de auditoría
Guía de auditoría
Inventario de software
Inventario de hardware
Inventario de consumibles
Manual de organización
9
Descripción de puestos
Reportes de pruebas y resultados
Respaldos (backups) de datos, disquetes y programas de aplicación de auditoría
Respaldos (backups) de las bases de datos y de los sistemas
Guías de claves para el señalamiento de los papeles de trabajo
Cuadros y estadísticas concentradores de información
Anexos de recopilación de información
Diagramas de flujo, de programación y de desarrollo de sistemas
Testimoniales, actas y documentos legales de comprobación y confirmación
Análisis y estadística de resultados, datos y pruebas del comportamiento del
sistema
Otros documentos de apoyo para el auditor
En la figura se muestra un ejemplo del contenido de estos documentos, los cuales
varían en volumen, contenido y forma, de acuerdo con las necesidades de información
del auditor.
10
Figura 7.1 Legajo de papeles de trabajo de la auditoría de sistemas computacionales
11
2.1.1 Hoja de identificación
12
2.1.1.2 identificación del legajo de papeles de trabajo
En este lugar se anota la fecha de inicio de la auditoría (desde que empezó la revisión)
y su terminación (hasta el último día de revisión); de preferencia se debe anotar con el
formato Día (con números) Mes (con letras) Año (con cuatro dígitos), o con el formato
que el auditor prefiera.
2.1.1.5 puesto y cargo del responsable de realizar la auditoría
13
2.1.1.6 fecha de emisión del dictamen final
Los puntos anteriores son los que se deben contemplar como mínimo para elaborar la
carátula de los papeles de trabajo de la auditoría de sistemas, aunque nada impide que
se puedan reseñar otros datos importantes en ella, de acuerdo con las necesidades y
características de la empresa auditora; aunque estos datos también pueden ser
dictaminados por la empresa o área auditada.
La importancia de este punto es que esta carátula sirve para saber lo más claramente
posible a quién pertenecen los papeles de trabajo, el período en que se realizó la
auditoría y quién fue el responsable de llevarla a cabo.
14
Sin embargo, sugerimos numerar con siglas cada capítulo o parte importante de la
auditoría, seguidas de un número consecutivo que vuelva a iniciar en cada parte; por
ejemplo: SI-001 (Seguridad Informática – hoja 001). También sugerimos utilizar los
siguientes apartados para los documentos de trabajo:
El auditor utiliza esta sección para conservar, como papeles de trabajo, el resultado del
dictamen preliminar que presentó a discusión con los involucrados en la evaluación, a
fin de hacer el análisis y consulta posteriores de todos los aspectos que presentó en
forma de borrador.
15
Todo este material se debe guardar, casi siempre, como documentos de trabajo, para
utilizarlo como soporte en aclaraciones posteriores o para preparar el informe final.
Debido a la importancia que tiene este documento para la auditoría, a que éste es el
resultado de una evaluación de sistemas, a las características y técnicas especiales
para su elaboración, así como los manejos específicos de su redacción y presentación,
en el siguiente capítulo haremos una presentación más completa y detallada del
dictamen de auditoría de sistemas. Por esta razón, dejaremos este punto sólo como
una mención.
16
En la imagen anterior sólo se muestran los puntos básicos del formato propuesto para
presentar las desviaciones más importantes de una auditoría de sistemas, ya que en el
capítulo siguiente explicaremos más a fondo su elaboración y uso.
17
En esta parte de los papeles de trabajo se presentan los manuscritos, y en ocasiones
los borradores mecanografiados, de todas las situaciones detectadas durante la
auditoría, conforme al formato que se propone en el capítulo siguiente, separando en
situaciones encontradas, las causas que las originan y las posibles soluciones; también
se anota al responsable de solucionarlas y las fecha de solución para cada causa o
situación reportada, conforme se describe en el formato que presentamos a
continuación:
18
El propósito de guardar los formatos de desviaciones en esta sección es tener a mano
los problemas reportados durante la revisión, guardando desde el primer borrador
hasta el último de las llamadas situaciones detectadas, o algún nombre similar que se
dé a las incidencias que se reportan en este formato. El análisis de las desviaciones
detectadas se podrá tomar como base para identificar las desviaciones relevantes
señaladas en la sección anterior.
Por la importancia que tiene este punto para el desarrollo de una auditoría de sistemas,
en el capítulo anterior, Metodología para realizar auditorías de sistemas
computacionales, analizamos detalladamente el plan o programa de trabajo; por esta
razón, únicamente señalaremos los principales conceptos que el auditor debe
contemplar como parte del programa de trabajo:
19
P.5 Elaborar planes, programas y presupuestos para realizar la auditoría
P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos
necesarios para la auditoría
P.7 Asignar los recursos y sistemas computacionales para la auditoría
20
En este documento se indica* cada uno de los puntos que deberá evaluar el auditor, así
como la forma de evaluarlos y la descripción de las técnicas, métodos y herramientas
que deberá utilizar en dicha evaluación, mismos que deben ser diseñados previamente,
de acuerdo con el tipo de auditoría y la especialidad informática que se tenga que
evaluar en el centro de cómputo de la empresa (vea la figura 7.5).
Es de gran utilidad para el auditor integrar la guía de auditoría a los papeles de trabajo,
ya que en este documento anota cada uno de los puntos que evaluó, así como las
técnicas, métodos y procedimientos de auditoría que aplicó en la evaluación. También
anota toda la información que obtuvo de cada uno de los aspectos que analizó, así
como la obtención y/o generación de documentos, datos e información que le sirven
como referencia para corroborar las evidencias sobre las desviaciones encontradas.
Asimismo, esta guía servirá de referencia para planear las próximas auditorías.
21
2.1.8 inventarios
Una de las principales herramientas que utiliza el auditor de sistemas son los
inventarios, los cuales le sirven para contar los elementos que existen en el área que
va a evaluar, según los equipos, artículos o partes del sistema que se traten; además,
con la información que obtiene puede comparar lo que debería existir y lo que
realmente existe de los elementos que se están inventariando; con ello puede
comprobar que la guarda y custodia de los bienes de la empresa sean adecuadas.
Inventario de software
Inventario de hardware
Inventario de bases de datos e información de la empresa
Inventario de proyectos y desarrollos computacionales
Inventario de puestos de trabajo en el área de sistemas
Inventario de reportes de pruebas y resultados
Inventario de mobiliario y equipos
Inventario de instalaciones de voz, datos y energía
Inventario de instalaciones de redes
Inventario de manuales e instructivos
Inventario de respaldos, disquetes, cintas y sistemas de resguardo de
información Inventario de consumibles
22
2.1.9 Respaldo de datos (BACKUPS), información y programas de aplicación de
auditoría
En este tipo de auditorías, los llamados papeles de trabajo adquieren un matiz muy
especial debido a la forma en que se archiva la información en ellos; así encontramos
que debemos documentar datos que muchas veces no están archivados en papel sino
en sistemas computacionales; por lo tanto, debemos saber cómo capturar, extraer y
archivar esa información en algún medio electromagnético de captura y lectura de
información.
Sin embargo, no sólo es por la forma de almacenar la información, sino también por la
cantidad, periodicidad y utilidad de la información que va a ser documentada.
Está claro que no se puede documentar como papeles de trabajo toda la información
que se procesa en los sistemas computacionales, sino únicamente la que haya sido
designada de algún proceso de recopilación específico.
23
Es bueno recordar que un sistema computacional es un sistema de entrada de datos,
procesamiento de información y emisión de resultados, compuesto por un conjunto de
equipos físicos (hardware) que capturan los datos a través de sus unidades de entrada
(teclado, disquetes, disco duro, CD-ROM), y los procesan (en la CPU) a través de sus
lenguajes, programas y paquetes (software) para emitir información (en pantalla,
impresora, disco duro, disquetes) útil para la empresa.
Sin embargo, el auditor sólo utiliza la información que producen los sistemas, si ésta le
es útil para evaluar algún aspecto relacionado con la revisión que está realizando, y
casi nunca toma en cuenta las operaciones y actividades internas que realiza el
sistema para arrojar esa información.
24
En la figura 7.7 se hace un pequeño esbozo de los sistemas computacionales, sus
características, marco conceptual y de algunos otros aspectos básicos que serán útiles
para que el auditor recuerde o conozca los aspectos más importantes de lo que va a
auditar.
Los papeles de trabajo que contienen la información que se maneja en los sistemas se
deben almacenar en dispositivos especiales; por esta razón, a continuación,
indicaremos dos de los principales tipos de datos e información, así como los medios
de almacenamiento que se deben trabajo de la auditoría de sistemas computacionales.
El propósito de presentar estos considerar como documentos de los papeles de dos
ejemplos es que el auditor sepa cómo se deben archivar dichos papeles de trabajo.
En este caso, el auditor debe verificar que existan respaldos (periódicos o únicos) de
los sistemas operativos, programas, paqueterías o sistemas realizados en la empresa,
25
con el objeto de evaluar que dichos respaldos sean los adecuados en caso de ocurrir
problemas en el sistema. Además, debe verificar que los respaldos estén
perfectamente custodiados, y que no existan más copias de las permitidas, para evitar
la llamada piratería de programas o la fuga de información de la empresa.
Este punto se refiere a todo lo relacionado con los cuadros estadísticos que utiliza el
auditor para recabar y evaluar la información obtenida en la evaluación; en estos
cuadros se incluyen las gráficas, datos, censos, muestras, formulas estadísticas, etc.
26
2.1.10.2 anexos de recopilación de información
Una de las actividades más importantes del trabajo en el área de sistemas de una
empresa es el desarrollo de los propios sistemas; durante una revisión de este tipo, es
responsabilidad del auditor evaluar el correcto y oportuno desarrollo e instalación de los
27
sistemas; para ello, además de evaluar su funcionamiento, debe anexar al legajo de
papeles de trabajo los documentos que contengan la información sobre el análisis,
diseño, programación, pruebas e instalación de los sistemas de la empresa, como parte
de una posible evidencia de su evaluación. El auditor debe incluir en estos documentos
los diagramas de los sistemas, las metodologías utilizadas para el análisis y diseño de
los mismos, sus codificaciones, programas objeto, fuente y todos los aspectos
necesarios que estén relacionados con el desarrollo de los sistemas de la empresa.
En algunos casos estos documentos pueden ser de los más importantes de una
auditoría de sistemas, debido a que son el testimonio de empleados, usuarios,
responsables o de las personas que por algún motivo declararon algo relacionado con
los sistemas auditados o con alguna situación específica. Estos documentos deben ser
recabados con toda formalidad.
Asimismo, estos documentos son muy valiosos en cualquier tipo de auditoría, ya que
sirven para corroborar desviaciones importantes, y en algunos casos pueden tener
valor legal para posteriores diligencias y pueden servir como pruebas en algún litigio.
Por esta razón es de suma importancia tener a la mano este tipo de documentos.
2.1.10.4 análisis estadístico de resultados datos y pruebas de comportamiento
del sistema
Así como es necesario guardar los datos, muestras y fórmulas estadísticas indicadas,
también es necesario conservar los documentos relacionados con el análisis
estadístico de los resultados, ya que además de servir como evidencia de las
desviaciones encontradas, también pueden servir de referencia para futuras
evaluaciones; es decir, se pueden utilizar como modelo para retomar los
28
procedimientos seguidos y obtener resultados similares o para enseñar a los auditores
novatos.
Conservar por escrito estos análisis debe ser una prioridad para el responsable de la
auditoría, ya que de esta manera se podrá interpretar el resultado de su evaluación, y
en caso de que el auditor que hizo esos análisis no esté presente, éstos se pueden
estudiar y llegar a las mismas conclusiones.
Asimismo, el auditor debe anexar cualquier otro documento que a su juicio sea de
importancia para la auditoría y que necesite conservar; por ejemplo, comprobantes de
viáticos, nombramientos y cualquier otro tipo de documentos útiles para la auditoría.
Oficios de presentación, correspondencia, minutas de reuniones,
29
otro ejemplo de los documentos de apoyo para el auditor de sistemas que se pueden
anexar al legajo de papeles de trabajo.
Son las marcas de carácter informal que utiliza exclusivamente el auditor o el grupo de
auditores que realizan la auditoría, con el fin de facilitar la uniformidad de los papeles
de trabajo y para identificarlos mejor. El auditor en jefe puede imponer el uso de estos
símbolos o pueden ser utilizados por acuerdo del grupo, aunque también puede
suceder que no sean utilizados en una auditoría.
Su utilidad radica en que tienen un significado preciso que todos los auditores conocen
y utilizan para destacar aspectos importantes de los documentos que van revisando, y
en que sirven como identificadores uniformes de todas las actividades que se
desarrollan durante una evaluación; así, cuando alguien del grupo de auditores
30
encuentra algún documento con estas marcas, sabe que éste ya ha sido revisado o
que tiene una característica especial en la cual se tiene que advertir alguna
observación, de acuerdo con el significado de los símbolos. Todos los auditores deben
utilizar los mismos símbolos al hacer anotaciones en los documentos que evalúen. *
Con el uso de estas marcas se hace más sencilla la revisión de documentos impresos
en papel, de disquetes, bases de datos y de todo lo relacionado con los sistemas
evaluados.
Es conveniente aclarar que no existe algún convenio formal respecto al tipo de marcas
utilizadas entre un auditor y otro, sino que su diseño y uso es producto de las
experiencias de auditorías anteriores compartidas entre los auditores. Sin embargo, por
sentido común se unifican las marcas o símbolos que se utilizan en los papeles de
trabajo; entre estas marcas destacan las siguientes:
31
Propuesta de símbolos convencionales utilizados en una auditoría de sistemas
computacionales
Es
32
2.3 CUADROS, ESTADÍSTICAS Y DOCUMENTOS CONCENTRADORES DE
INFORMACIÓN
En esta parte se presentan todos los documentos del legajo de papeles de trabajo que
servirán de soporte para presentar la información recopilada durante la auditoría y que
es conveniente destacar por su importancia, por su nivel de información o por cualquier
otro aspecto que resulte determinante para la evaluación y para comprobar las
desviaciones plasmadas en las situaciones detectadas y en las situaciones
importantes.
Por lo general estos documentos son complemento de alguna revisión y sirven para
identificar y comprobar desviaciones y situaciones.
33
2.3.1 cuadro de concentración estadística
Consumo de horas de impresión por semana
34
Es un cuadro de concentración estadística de datos, en el que se comparan los
resultados contra parámetros normales previamente definidos; esta comparación nos
dará un criterio de evaluación para esos rangos.
35
una auditoría, de acuerdo a las necesidades de evaluación de los sistemas
computacionales de una empresa.
Es la representación gráfica del procedimiento que se sigue para realizar una serie de
operaciones y actividades debidamente coordinadas entre sí.
36
En este tipo de diagramas se señalan los procedimientos por medio de símbolos
adoptados para ejemplificar el flujo que siguen los datos.
37
Cabe señalar que estos símbolos son convencionales, por ejemplo:
Para el flujo se utilizan líneas con o sin flechas que señalan el seguimiento de las
acciones.
El uso de los diagramas de flujo es una de las principales herramientas que utiliza un
auditor para la evaluación de programas, bases de datos, programación de sistemas y
cualquier otro desarrollo de sistemas de la empresa, debido a que permite seguir
perfectamente los datos.
38
En el ejemplo se observa un diccionario de datos que contiene la identificación del
campo, su descripción, el tipo de datos que admite y el tamaño de los datos que
ingresan.
2.4.3 modelos
39
En su acepción básica, modelo es la representación gráfica o a escala de una cosa,
idea, o de la realidad. Para el caso concreto de los sistemas, el modelo representa la
abstracción gráfica de la realidad que el analista o programador conceptualiza para
plasmarla en un documento.
De hecho, en estricto sentido, todas las gráficas y diagramas de flujo aquí mostrados
son modelos que representan la realidad.
CONCLUSIÓN
40