ESCUELA PROFESIONAL DE CONTABILIDAD

CURSO: AUDITORIA DE SISTEMAS

 AUDITORIA
“La Auditoria es la actividad consistente en la
emisión de una opinión profesional sobre si el
objeto sometido a análisis presenta
adecuadamente la realidad que pretende reflejar
y/o cumple las condiciones que le han sido
prescritas”.

Con una evaluación cuyo único fin es detectar

errores y señalar fallas.
Etimología
 El origen de la palabra Audire proviene
del verbo latino que significa oír, q a
vez tiene su origen en las primeros
auditores que ejercían sus funciones
juzgando la verdad y falsedad de la que
era sometido a la profunda evaluación.
 AUDITORÍA DE SISTEMAS
 Se encarga de llevar a cabo la evaluación de normas, controles, técnicas
y procedimientos que se tienen establecidos en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad de la
información que se procesa a través de los sistemas de información. La
auditoría de sistemas es una rama especializada de la auditoría que
promueve y aplica conceptos de auditoría en el área de sistemas de
información.
 La auditoría de los sistemas de información se define como cualquier
auditoría que abarca la revisión y evaluación de todos los aspectos (o de
cualquier porción de ellos) de los sistemas automáticos de procesamiento
de la información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes.
 La Auditoria en el Perú
 En el Sector Público la auditoria está regida por el Sistema Nacional
de Control que “es el conjunto de órganos de control, normas,
métodos y procedimientos —estructurados e integrados
funcionalmente— destinados a conducir y desarrollar el ejercicio del
control gubernamental en forma descentralizada”.

a)
b) Todas las unidades orgánicas responsables de la función de control
gubernamental. Dentro de ello tenemos:
 Objetivos de la auditoria de sistemas
 Evaluar las políticas generales sobre planeación, ambiente laboral, entrenamiento y capacitación,
desempeño, supervisión, motivación y remuneración del talento humano.
 Evaluar las políticas generales de orden técnico con respecto al software, hardware, desarrollo,
implantación, operación y mantenimiento de sistemas de información.
 Evaluar las políticas generales sobre seguridad física con respecto a instalaciones, personal, equipos,
documentación, back-ups, pólizas y planes de contingencia.
 Evaluar los recursos informáticos de la empresa con énfasis en su nivel tecnológico, producción de
software y aplicaciones más comúnmente utilizadas.
 Asesorar a la gerencia y altos directivos de la empresa en lo relacionado con los sistemas de
información, de tal forma que el proceso de toma de decisiones se efectúe lo más acertadamente
posible.
 Conocer las políticas generales y actitudes de los directivos frente a la auditoria y seguridad de los
sistemas de información y proceder a hacer las recomendaciones pertinentes.
 Efectuar un análisis sobre la concepción, implementación y funcionalidad de la seguridad aplicada a
los sistemas de información.
 Analizar los componentes del costo involucrado en la sistematización de los diferentes procesos, así
como evaluar los beneficios derivados del mismo.
Justificación de la Auditoria de Sistemas de Información
A la par que la tecnología avanza, las empresas deben evolucionar y es allí donde los
controles aplicados deben ser evaluados, para que sean consonantes con todos los cambios
efectuados.
Los sistemas de información apoyados en computadoras son susceptibles de irregularidades
como fraudes, manejos indebidos, errores, omisiones, etc.
La normatividad, regulaciones y legislación, tanto interna como externa a la empresa,
obligan a efectuar las modificaciones necesarias a los sistemas de información, lo que de
hecho des actualiza los controles aplicados
La reducida participación que tiene la Auditoria de Sistemas de Información en la
adquisición y/o actualización de bienes informáticos, recayendo la responsabilidad en
auditores no experimentados con ésta tecnología, es la causa del bajo porcentaje de
fiscalización especializada que se ejerce al respecto.
La limitada concepción que se tiene sobre el alcance de la seguridad de los sistemas de
información computarizados, que recae más que todo en las seguridades físicas, hace
indispensable aumentar su radio de acción y control.
Atributos del Auditor Informático

Entrenamiento
técnico y
capacidad
profesional

Independencia
organizacional
del Auditor Independencia
Interno de
Sistemas

Confidencialid Debido
ad cuidado
profesional
 Principales áreas de la Auditoria de Sistemas de
Información

 Para poder aplicar la Auditoria como tal, primero es necesario identificar

los alcances de la Informática, es decir, conocer todos los aspectos que
representa la Tecnología de Información y Comunicaciones (TIC, como
se conoce actualmente), como el software, hardware, comunicaciones,
recursos humanos de TI, organización de TI, gestión, entre otros.

 se muestra en nueve (9) áreas todos estos aspectos mencionados

 • la pantalla, el teclado, la impresora, los cables, etc., sino a todo
lo que rodea a la computadora, incluso el mismo Centro de
Auditoria Cómputo (CPD: Centro de Procesamiento de Datos).
física

• al sistema informatizado que genera, procesa, almacena,

recupera, comunica y presenta datos relacionados con el
Auditoria funcionamiento de la oficina.
ofimática

• ” es entendida como “gestión” de la Informática.

• Las actividades básicas de todo proceso de dirección son:
• Planificar
• Organizar y Coordinar
Auditoria de la • Controlar
dirección • Planificar
 1.Auditoria Física

 La Auditoria es el medio que va proporcionar la evidencia de la Seguridad

Física; por lo tanto no se va limitar a comprobar la existencia de los
medios físicos, sino también su funcionalidad, racionalidad y seguridad.
 La seguridad física garantiza la integridad de los activos humanos, lógicos
y materiales de un Centro de Cómputo.
 A. El Auditor de Sistemas debe auditar:
 Ubicación del edificio (empresa) y Ubicación del Centro de Cómputo dentro
del edificio.
 Organigrama de la empresa y del Centro de Cómputo
 Equipos y comunicaciones (Host, computadoras personales, impresoras,
equipos de almacenamiento, cámaras, etc.)
 Almacenes
 Aire acondicionado
 Elementos de construcción
 Potencia eléctrica
 Sistema contra incendios
 B. Aspectos a considerar en la Auditoria Física

Entre la gama de seguros existentes, se pueden señalar:

 Centros de proceso y equipamiento.
 Reconstrucción de medio software.
 Gastos extra.
 Interrupción del negocio.
 Documentos y registros valiosos.
 Cobertura de fidelidad.
 Errores y omisiones.
 Transporte de medios.
 Contratos con proveedores y de mantenimiento.
2 Auditoria de la Ofimática

 Es el sistema informatizado que genera, procesa,

almacena, recupera, comunica y presenta datos
relacionados con el funcionamiento de la oficina.
(Entendiéndose como “oficina” el lugar donde
labora el usuario-trabajador).
 El Auditor de Sistemas debe auditar:

 Si el inventario ofimático refleja con exactitud los equipos y aplicaciones

existentes en la organización.
 Determinar y evaluar el procedimiento de adquisiciones de equipos y
aplicaciones.
 Determinar y evaluar la política de mantenimiento definida en la organización.
 Evaluar la calidad de las aplicaciones del entorno ofimático desarrollada por
personal de la propia organización.
 Evaluar la corrección del procedimiento existente para la realización de los
cambios de versiones y aplicaciones.
 Determinar si existen garantías suficientes para proteger los accesos no
autorizados a la información reservada de la empresa y la integridad de la misma.
3 Auditoria de la Dirección

 Podríamos resumir que la Auditoria de “Dirección” es

entendida como “gestión” de la Informática.
Las actividades básicas de todo proceso de dirección son:
1.Planificar
2.Organizar y Coordinar
3.Controlar
1.PLANIFICAR
A) Plan Estratégico Institucional (PEI)
 Plan Estratégico Institucional (PEI), como “el instrumento
de gestión, orientador de la gestión institucional que sirve
de marco para priorizar los objetivos y acciones, los
lineamientos de política que vinculen lo económico a lo
social y que permiten mejorar la calidad del gasto durante
un mediano plazo (por lo general 5 años), los respectivos
Planes Operativos Institucionales.
B)Plan Operativo Institucional (POI)

 Es el principal instrumento de gestión que contiene

la visión, misión, FODA, objetivos y metas
programadas por los responsables de los órganos
que conforman la institución, formulado de
acuerdo a los lineamientos de política institucional.
Su ejecución es a corto plazo (un año), se trabaja
paralelamente con la formulación del Presupuesto.
 2.Organizar y Coordinar
El proceso de organizar sirve para estructurar los recursos, los flujos de
información y los controles que permitan alcanzar los objetivos marcados
durante la planificación.
a)Comité de Informática
 Una de las acusaciones lanzadas contra la informática y los informáticos es
la falta de comunicación y entendimiento que se establece entre el
Departamento de informática en la empresa.
b)Posición y organización del Departamento de Informática en la empresa
 Uno de los aspectos importantes a tener en cuenta a la hora de evaluar el
papel de la informática en la empresa, es la ubicación del Departamento de
Informática.
c. Descripción de funciones y responsabilidades del
Departamento de Informática (Segregación de funciones).
 El entendimiento, señala que ninguna persona debe tener
control sobre una transacción desde el comienzo hasta el
final. De manera ideal y particularmente en las
organizaciones grandes, complejas, ninguna persona debe
ser capaz de registrar, autorizar y conciliar una transacción.
D. Comunicación
E. Gestión económica :
 Presupuesto
 Adquisición de bienes y servicios
 Artículo 1º .- La
presente Ley tiene por
objeto establecer las
medidas que permitan
Ley 28612 a la administración
pública la
LEY QUE NORMA EL USO, contratación de
ADQUISICIÓN Y ADECUACIÓN DEL licencias de software
SOFTWARE EN LA ADMINISTRACIÓN y servicios
PÚBLICA informáticos en
condiciones de
neutralidad, vigencia
tecnológica, libre
concurrencia y trato
justo e igualitario de
proveedores.
Artículo 2º .- El La evaluación técnica de
los recursos de software y
ente rector del hardware requeridos por la
administración pública se
Sistema sujetará a las normas
Nacional de dictadas por el ente rector
del Sistema Nacional de
Informática Informática.

Software libre: Es aquel cuya licencia

de uso garantiza las facultades de:
• Uso irrestricto del programa para
Artículo 3º cualquier propósito;
• Inspección exhaustiva de los
mecanismos de funcionamiento del
programa;
Software propietario:
Es aquel cuya licencia
de uso no permite
ninguna o alguna de las
facultades previstas en
la definición anterior.

Ninguna entidad de la
administración pública
adquirirá soportes físicos
(hardware) que la obliguen a
Artículo 4º utilizar sólo determinado tipo
de software o que de alguna
manera limiten su autonomía
informática
 • El uso o adquisición de licencias de software en la administración
pública requiere del Informe Previo de Evaluación de la Oficina de
Artículo 5º .-
Estudio, Informática, que determine el tipo de licencia de software que resulte
evaluación e más conveniente para atender el requerimiento formulado.
informe previo

• El ente rector del Sistema Nacional de Informática garantiza el principio

Artículo 6º .-
de especialización en tecnologías y el desarrollo de programas de
Capacitación capacitación a funcionarios y administrativos del sector público.
neutral

• La máxima autoridad del Sector o entidad pública y el jefe de

Informática de cada una de ellas, son administrativas, penales y
Artículo 7º .- De las
responsabilidades
civilmente responsables por el incumplimiento de esta Ley.
REGLAMENTO DE LA LEY Nº 28612
QUE NORMA EL USO,
ADQUISICIÓN Y ADECUACIÓN DE
SOFTWARE EN LA
ADMINISTRACIÓN PÚBLICA
Artículo 2.- Ámbito de aplicación.
El presente Reglamento es aplicable
a todas las adquisiciones de software
que realicen las entidades del Estado
El objeto del presente Reglamento es
establecer las disposiciones que
regulen la aplicación de la Ley Nº
28612, Ley que norma el uso,
adquisición y adecuación del software
en la Administración Pública.
Artículo 3.- Marco Normativo.
La adquisición de software se
adecuará a lo establecido en el Texto
Único Ordenado de la Ley de
Contrataciones y Adquisiciones del
Estado, aprobado por Decreto
Supremo Nº 083-2004 y su
Reglamento, aprobado por Decreto
Supremo Nº 084-2004.
Artículo 4.- Principios que rigen la contratación de licencias de software
y servicios informáticos.

Principio de Vigencia Tecnológica: Los bienes y servicios deben reunir

las condiciones de calidad y modernidad tecnológicas necesarias.

Principio de Trato Justo e Igualitario: Todo postor de bienes o servicios

debe tener participación y acceso para contratar con las Entidades.

Principio de Libre Concurrencia de Postores: En los procedimientos de

adquisiciones y contrataciones de software y servicios informáticos se
incluirán regulaciones o tratamientos que fomenten la más amplia.
Articulo 5.- Del Para efectos de la
aplicación del presente
ente rector del Reglamento, se entiende
por ente rector del
Sistema Sistema Nacional de
Nacional de Informática, a la
Presidencia del Consejo
Informática de Ministros.

Artículo 6.- Informe
Técnico Previo de
Evaluación de Software
Toda adquisición y uso de
licencias de software que
pretenda ser llevada a cabo
por una Entidad del Estado
requerirá de un Informe
Técnico Previo de
Evaluación de Software, que
debe ser emitido por el área
de informática, o la que
haga sus veces, de la
institución.
Artículo 7.- Contenido
mínimo del Informe
Técnico Previo de
Evaluación de Software
El Informe Técnico Previo
de Evaluación de Software,
será elaborado de acuerdo
al contenido mínimo
establecido en el Anexo I
del presente Reglamento, y
deberá ser aprobado y
firmado por el responsable.

Artículo 8.- De la publicación

Artículo 9.- Excepciones a la
publicación del Informe Técnico
Previo de Evaluación
Se exceptúa la publicación del
Informe Técnico Previo de
Evaluación en la sección de
Transparencia de la Página Web
Institucional, cuando por razones
de seguridad.
del Informe Técnico Previo de
Evaluación de Software
El informe será publicado en
la sección de Transparencia
de la Página Web
institucional, antes de
convocarse al proceso de
selección correspondiente,
bajo la responsabilidad del
área competente.
METODOLOGIA PARA REALIZAR
AUDITORIAS DE SISTEMAS
COMPUTACIONALES
METODOLOGIA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES
ORIGEN DE LA AUDITORIA VISITA PRELIMINAR

ESTABLECER OBJETIVOS

DETERMINAR PUNTOS A
EVALUAR

ELABORAR PLANES, PRESUPUESTOS Y PROGRAMAS

IDENTIFICAR Y SELECCIONAR HERRAMIENTAS, METODOS

TECNICAS Y PROCEDIMIENTOS

ASIGNAR LOS RECURSOS DE AUDITORIA Y SISTEMAS

APLICAR AUDITORIA

IDENTIFICAR DESVIACIONES Y ELABORAR BORRADOR DEL INFORME

PRESENTAR DESVIACIONES A DISCUSION

ELABORAR BORRADOR FINAL DE DESVIACIONES

PRESENTAR EL INFORME DE AUDITORIA

 METODOLOGIA PARA REALIZAR AUDITORIAS DE
SISTEMAS COMPUTACIONALES

Llevar a cabo una auditoría de sistemas

computacionales requiere una serie ordenada de
acciones y procedimientos específicos, los cuales
deberán ser diseñados previamente de manera
secuencial, cronológica y ordenada, de acuerdo a las
etapas, eventos y actividades que se requieran para su
ejecución, mismos que serán establecidos conforme a
las necesidades especiales de la institución.
1era. ETAPA PLANEACION DE LA AUDITORIA
DE SISTEMAS COMPUTACIONALES

 Identificar el origen de la Auditoría.

 Realizar una visita preliminar al área que será evaluada.
 Establecer los objetivos de la Auditoría.
 Determinar los puntos que serán evaluados en la Auditoría.
 Elaborar planes, programas y presupuestos para realizar la Auditoría.
 Identificar y seleccionar los métodos, procedimientos, instrumentos y
herramientas necesarios para la Auditoría.
 Asignar los recursos y sistemas computacionales para la Auditoría.
DETERMINAR LOS PUNTOS QUE SERAN EVALUADOS EN
LA AUDITORIA

1. Evaluación de la seguridad de los sistemas de información.

2. Evaluación de la información, documentación y registros de

los sistemas.
1. Definir las áreas y puntos de sistemas que serán auditados.
2. Elaborar los documentos necesarios para la Auditoría.
 Diseñar los instrumentos de recopilación de información para la
Auditoría.
 Diseñar las guías para realizar entrevistas.
 Diseñar los métodos e instrumentos de muestreo.
3. Diseñar los sistemas, programas y métodos de pruebas
para la Auditoría.
 Determinar los puntos de interés, programas, bases de datos,
archivos y sistemas que serán evaluados mediante programas y
pruebas de cómputo.
1RA. ETAPA
PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS
COMPUTACIONALES

IDENTIFICAR EL ORIGEN DE LA AUDITORIA

El primer paso formal para iniciar la planeación de
una auditoría en el área de sistemas es identificar
el origen de la misma, con el objetivo de saber por
que surge la necesidad de realizar una auditoría.
1. POSIBLES CAUSAS QUE DAN ORIGEN A UNA
AUDITORIA EN SISTEMAS
1. Por solicitud expresa de procedencia interna.
 A petición de accionistas, socios y dueños.
 Por orden de la dirección general.
2. Por solicitud expresa de procedencia externa.
 Por mandato de autoridades judiciales.
 Por ordenamiento de las autoridades fiscales.
3. Como consecuencia de emergencias y condiciones especiales.
 De incidencia interna.
 De incidencia externa.
4. Por riesgos y contingencias informáticas.
 Riesgos y contingencias del personal informático.
 Riesgos y contingencia de software.
 Riesgos y contingencias en las bases de datos.
5. Como resultado de los planes de contingencia.
 Por la carencia de planes de contingencia.
 Por la elaboración de planes de contingencia.
 PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES
2. REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA

 IDENTIFICACIÓN PRELIMINAR DE LA PROBLEMÁTICA DE SISTEMAS

Prever las posibles dificultades que hay en los sistemas de la empresa, la cual nos servirá para tener un panorama
anticipado del área a auditar.

 PREVER LOS OBJETIVOS DE LA AUDITORIA

Con la visita preliminar nos ayudará a seleccionar los objetivos de la auditoría de sistemas.

 CALCULAR LOS RECURSOS Y PERSONAS NECESARIAS PARA LA AUDITORIA .

A través de la observación, entrevistas y pláticas informales, se pueden medir con mayor exactitud los recursos necesarios que se emplearán, tales como
recurso humano, informático, material, técnico, económico, etc.

3. ESTABLECER LOS OBJETIVOS DE LA AUDITORIA

El objetivo representa las condiciones futuras que pretenden alcanzar los individuos, grupos u organizaciones, lo cual es sumamente aplicable
para el caso de la auditoría de sistemas,, ya que al establecer el objetivo de una auditoría se busca anticipar lo que se desea alcanzar.
Para un afectiva planeación, es necesario obtener la información
correspondiente en forma selectiva a través de entrevista personal,
observación, encuesta y muestreo, entre otras
LA ENTREVISTA PERSONAL
Es un método muy efectivo que permite la exitosa obtención de los datos, dependiendo de
la habilidad que tenga en entrevistador par aganarse la confianza del entrevistado, logrando
de esta manera familiarizarse con el entorno que rodea el tema
OBSERVACION
Es importante hacer observaciones de la ejecución de las tareas realizadas por los
empleados, con el propósito de complementar la información recibida a través de la
entrevista personal, además sirve como punto de control para verificar si la información
proporcionada por el trabajador coincide con los hechos observados
ENCUESTA
La encuesta es un método de uso frecuente, y puede llegar a un volumen amplio de
personas; pero requiere de una buena planeación, diseño y crítica antes de ser aplicada,
para que los resultados sean los esperados
MUESTREO
Permite realizar observaciones al azar y seleccionar aleatoriamente aquellos datos que
puedan proporcionar información tan valiosa como si se hubiera efectuado un censo.
PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES
 3. DE ACUERDO A SU AMBIENTE DE APLICACIÓN, LOS OBJETIVOS DE LA
AUDITORÍA DE SISTEMAS SE PUEDEN COMPLEMENTAR ASÍ:

 OBJETIVO GENERAL:
Es el fin global o integral que se pretende alcanzar con el desarrollo de la auditoría.

 OBJETIVOS ESPECÍFICOS DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES:

Es determinar en forma detallada, los fines que se pretenden alcanzar con la auditoría de sistemas,
señalando concretamente las áreas a evaluar y, específicamente, los sitemas, componentes o elementos
concretos que deben ser evaluados.

Ejemplo: Evaluar la gestión administrativa del área de informática.

 PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES

 4. DETERMINAR LOS PUNTOS QUE SERAN EVALUADOS EN LA

AUDITORIA
Los puntos que será evaluados, se determinarán de acuerdo al origen de la auditoria y los
objetivos que se pretenden alcanzar .
 
a. Evaluación de las funciones y actividades del personal del área de sistemas
b. Evaluación de las áreas y unidades administrativas del centro de cómputo.
c. Evaluación de la seguridad de los sistemas de información.
d. Evaluación de la información, documentación y registros de los sistemas.
e. Evaluación de los sistemas, equipos, instalaciones y componentes .
PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES

4.2 ELEGIR LOS TIPOS DE AUDITORIA QUE SERAN UTILIZADOS

Después de determinar los puntos a evaluar, es necesario que se determine los tipos de auditoria
o sea las herramientas, instrumentos y los métodos de evaluación que se utilizará para
dictaminar acerca del funcionamiento del área de sistemas

4.3 DETERMINAR LOS RECURSOS QUE SERAN UTILIZADOS EN LA

AUDITORIA
A. PERSONAL PARA LA AUDITORIA DE SISTEMAS.
B. PERSONAL DEL ÁREA QUE SERÁ EVALUADA.
 5. ELABORAR PLANES, PRESUPUESTOS Y
PROGRAMAS
PLAN DE AUDITORIA DE SISTEMAS

 Índice de Contenido: Es conveniente que en estos documentos siempre se

incluya una sección en donde se señalen todos los puntos en que se dividió el
plan de auditoria.

 Definición de Objetivos: Es la definición formal, por escrito, de los objetivos

que se pretenden alcanzar con la auditoria.

 Delimitación y estrategia para el desarrollo de auditoria: Contiene las estrategias

para las diferentes partes de auditoria de sistemas.

 Planes de auditoria: En ellos se detalla cada una de las acciones para la

evaluación, estos se presentan da acuerdo a las preferencias y necesidades
especificas de auditoria de la empresa.
 6. ASIGNAR LOS RECURSOS Y SISTEMAS
COMPUTACIONALES PARA LA AUDITORIA

 Asignar los recursos humanos para la realización de la

auditoria
 Asignar los recursos informáticos y tecnológicos para la
realización de la auditoria
 Asignar los recursos materiales y de consumo para la
realización de la auditoria.
 Asignar los demás recursos para la realización de la auditoria.
2ª. ETAPA: EJECUCIÓN DE LA AUDITORIA DE
SISTEMAS COMPUTACIONALES

Realizar las acciones programadas para la auditoria

Aplicar los Asignar los recursos y Recopilar la documentacion y

instrumentos y actividades conforme Evidencia s de la auditoria
herramientas a los planes y
para la auditoria programas

Identificar y elaborar los documentos de desviaciones

Integrar el Integrar los

legajo de documentos
Elaborar los papeles de y pruebas en
Documentos y trabajo de la papeles de
presentarlos a auditoria trabajo.
discusión

Elaborar el borrador de desviaciones

 PAPELES DE TRABAJO

Haga clic en el icono para agregar un elemento gráfico SmartArt

DISEÑO DE LOS PAPELES DE TRABAJO

Los papeles de trabajo se deben diseñar y formular cuidadosamente para que sirvan de herramienta y soporte en
la planeación, organización y coordinación del examen de auditoria, y a su vez para que brinden respaldo a la
opinión del auditor

PAPELES DE TRABAJO:

es toda aquella información que se reúne y almacena durante la realización de la auditoria para facilitar su
examen, constituyéndose en evidencias válidas y suficientes del trabajo realizado por el auditor.
OBJETIVOS DE LOS PAPELES DE TRABAJO
Entre los principales objetivos de los papeles de trabajo
se destacan los siguientes:
Proporcionar la información básica y fundamental
necesaria para facilitar la planeación, organización y
desarrollo de todas las etapas del proceso de auditoria
Respaldar la opinión del auditor permitiendo realizar un
examen de supervisión y proporcionando los informes
suficientes y necesarios que serán incluidos en el
informe de auditoría, además sirve como evidencia en
caso de presentarse alguna demanda.
DISEÑO Y CONTENIDO DE LOS PAPELES DE TRABAJO
 
EN CUANTO A SU DISEÑO
Deben ser claros, sencillos, completos, legibles, ordenados, fáciles
de aplicar, no se deben prestar par ambigüedades y den contener:
Nombre de la empresa auditada
Nombre de la empresa auditora o auditor responsable
Nombre del aplicación auditada
Nombre del apersona entrevistada o fuente consultada
Tiempo de ejecución (fecha inicio y fecha de término)
 
 Son el resultado de la comparación
realizado entre uno o varios criterios y
la situación encontrada (pasada y/o
actual) durante la Etapa de Ejecución
(trabajo de campo), implicando un
HALLAZGO perjuicio a la entidad. Los Hallazgos
deben ser comunicados a los
funcionarios responsables para su
descargo correspondiente.
 Es de importancia primordial que el
ATRIBUTOS DE LOS HALLAZGOS DE auditor desarrolle totalmente las
AUDITORIA DE SISTEMAS DE INFORMACIÓN oportunidades de mejoramiento, para
poder informar completa y claramente
sobre los hallazgos
 SUMILLA: Es el titulo o encabezamiento que identifica el asunto materia de la observación.
 CONDICIÓN (Lo que es): Se describe y/o narra el acontecimiento de los hechos como se han ido presentando.
 CRITERIO (Lo que debe ser): Unidades de medidas o normas aplicables. Es la norma o estándar técnico-profesional,
alcanzable en el contexto evaluado, que permiten al auditor tener la convicción de que es necesario superar una determinada
acción u omisión de la entidad, en procura de mejorar la gestión.
 CAUSA (¿Por qué sucedió?): Razones de desviación. Es la razón fundamental por la cual ocurrió la condición, o el motivo
por el que no se cumplió el criterio o norma. Su identificación requiere de la habilidad y juicio profesional del auditor y es
necesaria para el desarrollo de las recomendaciones constructivas que prevenga la ocurrencia de la condición. Las causas deben
recogerse de la administración activa, de las personas o actores responsables de las operaciones que originaron la condición, y
estas deben ser por escrito, a los efectos de evitar inconvenientes en el momento de la discusión del informe, en el sentido de
que después puedan ser negadas por los responsables, o se diga que tales causas fueron redactadas por el auditor actuante, sin
tener un conocimiento claro y exacto de lo ocurrido.
 EFECTO (Las consecuencias): Importancia relativa del asunto, preferible en términos monetarios. La diferencia entre lo que
es y lo que debe ser. Es la consecuencia real o potencial cuantitativo o cualitativo, que ocasiona la observación, indispensable
para establecer su importancia y recomendar a la administración activa que tome las acciones requeridas para corregir la
condición. Siempre y cuando sea posible, el auditor debe revelar en su informe la cuantificación del efecto.
 3ª. ETAPA: DICTAMEN DE LA AUDITORIA
DE SISTEMAS COMPUTACIONALES

 La información, y elaborar un informe de situaciones detectadas

 Elaborar el Dictamen final

 Presentar el Informe de Auditoria

INFORME DE AUDITORIA DE
SISTEMAS DE INFORMACIÓN
En la etapa de Informe es
donde luego de haber
realizado las tres (3) etapas
anteriores (Exploración,
Planeación y Ejecución) se
elabora como producto
final el Informe.
El Informe es el documento escrito
mediante el cual la Comisión de
Auditoría expone el resultado final de su
trabajo, a través de juicios
fundamentados en las evidencias
obtenidas durante la Fase de Ejecución,
con la finalidad de brindar suficiente
información a los funcionarios de la
entidad auditada y estamentos
pertinentes, sobre las deficiencias o
desviaciones más significativas, e incluir
las recomendaciones que permitan
promover mejoras en la conducción de
las actividades u operaciones del área o
áreas examinadas.
 ESTRUCTURA DEL INFORME
Introducción
Comprenderá la información general, concerniente a la Auditoria de Sistemas de Información y a la entidad examinada, desarrollando los aspectos siguientes:
Origen de la Auditoria de Sistemas de Información
 Esta referido a los antecedentes o razones que motivaron la realización de la Auditoria de Sistemas de Información, tales como: planes anuales de auditoria,
denuncias, solicitudes expresas (del Titular de la entidad, del Congreso, etc.), entre otros; debiéndose hacer mención al documento y fecha de acreditación.
Naturaleza y objetivos de la Auditoria de Sistemas de Información
 En este rubro se señalara la naturaleza de la Auditoria de Sistemas de Información, así como los objetivos previstos respecto de la misma; exponiéndose
ellos según su grado de significación o importancia para la entidad, incluyendo las precisiones que correspondan respecto al nivel de cumplimiento
alcanzado en cada caso.
Alcance de la Auditoria de Sistemas de Información
 Se indicara claramente la cobertura y profundidad del trabajo realizado para el logro de los objetivos de la Auditoria de Sistemas de Información, ámbito
geográfico donde se realizó la Auditoria de Sistemas de Información.
 Igualmente, de ser pertinente, la Comisión Auditora revelara aquí las limitaciones de información u otras relativas al alcance de la Auditoria de Sistemas de
Información que se hubieran presentado y afectado el proceso de la Auditoria, así como las modificaciones efectuadas al enfoque o curso de la misma como
consecuencia de dichas limitaciones.
Antecedentes y base legal de la entidad
 Se hará referencia, de manera breve y concisa, a los aspectos de mayor relevancia que guarden vinculación directa con la Auditoria de Sistemas de
Información realizada, sobre la misión, naturaleza legal, ubicación orgánica y funciones relacionadas de la entidad y/o áreas examinadas, así como las
principales normas legales que les sean de aplicación, con el objeto de situar y mostrar apropiadamente el ámbito técnico y jurídico que es materia de
control, evitándose, en tal sentido, insertar simples o tediosas transcripciones literales de textos y/o relaciones de actividades o dispositivos normativos.
Comunicación de hallazgos
Se deberá indicar haberse dado cumplimiento a la comunicación oportuna de los hallazgos efectuada al personal
que labora o haya laborado en la entidad comprendido en ellos.
Memorándum de Control Interno
Se indicara que durante la Auditoria de Sistemas de Información se ha emitido el Memorándum de Control Interno,
en el cual se informo al Titular sobre la efectividad de los controles internos implantados en la entidad. Dicho
documento así como el reporte de las acciones correctivas que en virtud del mismo se hayan adoptado, se deberá
adjuntar como anexo del informe.
 Otros aspectos de importancia
Podrá referirse bajo el presente rubro aquella información verificada que la Comisión Auditora, basada en su
opinión profesional competente, considere de importancia o significación, para fines del Informe, dar a conocer
sobre hechos, acciones o circunstancias que, por su naturaleza e implicancias, tengan relación con la situación
evidenciada en la entidad o los objetivos de la Auditoria de Sistemas de Información y cuya revelación permita
mostrar la objetividad e imparcialidad del trabajo desarrollado por la Comisión, tal como:
El reconocimiento de las dificultades o limitaciones, de carácter excepcional, en las que se desenvolvió la gestión
realizada por los responsables de la entidad o área examinada.
El reconocimiento de logros significativos alcanzados durante la gestión examinada.
La adopción de correctivos por la propia administración, durante la ejecución de la Auditoria de Sistemas de
Información, que hayan permitido superar hechos observables.
Informar de aquellos asuntos importantes que requieran un trabajo adicional, siempre que no se encuentren
directamente comprendidos en los objetivos de la Auditoria de Sistemas de Información.
Eventos posteriores a la ejecución del trabajo de campo que hayan sido de conocimiento de la Comisión Auditora
y que afecten o modifiquen el funcionamiento de la entidad o de las áreas examinadas.
Si alguno de estos aspectos considerados en este punto por la Comisión Auditora, demandara una exposición o
desarrollo extenso, será incluido como anexo del Informe.
 II. Observaciones
En esta parte del Informe, la Comisión Auditora desarrollara las observaciones que, como consecuencia del
trabajo de campo realizado y la aplicación de los procedimientos de control, hayan sido determinadas como
tales, una vez concluido el proceso de evaluación y contrastación de los hallazgos comunicados con los
correspondientes comentarios y/o aclaraciones formulados por el personal comprendido en los mismos, así
como la documentación y evidencia sustentatoria respectiva.
Las observaciones se deberán referir a hechos o situaciones de carácter significativo y de interés para la
entidad examinada, cuya naturaleza deficiente permita oportunidades de mejora y/o corrección, incluyendo
sobre ellos información suficiente y competente relacionada con los resultados de la evaluación efectuada a
la gestión de la entidad examinada.
Con tal propósito, dicha presentación considerara en su desarrollo expositivo los aspectos esenciales
siguientes:
Sumilla
Condición
Criterio
Causa
Efecto
III. Conclusiones
 En este rubro la Comisión Auditora deberá expresar las conclusiones del Informe de Auditoría Informática,
entendiéndose como tales los juicios de carácter profesional, basados en las observaciones establecidas, que se
formulan como consecuencia de la Auditoria de Sistemas de Información practicada a la entidad auditada.
 Al final de cada conclusión se identificara el número de las observaciones correspondientes a cuyos hechos se
refiere.
 
IV. Recomendaciones
 Las recomendaciones constituyen las medidas específicas y posibles que, con el propósito de mostrar
los beneficios que reportara la Auditoria de Sistemas de Información, se sugieren a la administración de
la entidad para promover la superación de las causas y las deficiencias evidenciadas durante la
Auditoria. Estarán dirigidas al Titular o en su caso a los funcionarios que tengan competencia
para disponer su aplicación.
 Las recomendaciones se formularan con orientación constructiva para propiciar el mejoramiento de la
gestión de la entidad y el desempeño de los funcionarios y servidores públicos a su servicio, con énfasis
en contribuir al logro de los objetivos institucionales dentro de los parámetros de economía, eficiencia y
eficacia; aplicando criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de costo
proporcional a los beneficios esperados.
V. Anexos
 A fin de lograr el máximo de concisión y claridad en el Informe, solo se incluirá como Anexos, además
de los expresamente considerados en la presente norma, aquella documentación indispensable que
contenga importante información complementaria o ampliatoria de los datos contenidos en el Informe y
que no obre en la entidad examinada.
VI. Firma
 El Informe, una vez efectuado el control de calidad correspondiente previo a su aprobación, deberá ser
firmado por el nivel Gerencial competente, Supervisor y Encargado de la Comisión.
 De ameritarlo por la naturaleza y contenido del Informe, también será suscrito por el abogado u otro
profesional y/o especialista participante en la Auditoria de Sistemas de Información.