UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERIA INDUSTRIAL

ESCUELA PROFESIONAL DE INGENIERIA INFORMÁTICA

MÓDULO

“AUDITORÍA INFORMÁTICA BAJO EL ENFOQUE

GUBERNAMENTAL”

AUTOR

MBA. PERSI WILLIANSH CABRERA ANTÓN ING.

PIURA - PERÚ

ENERO - 2013
 INDICE

INTRODUCCIÓN
I. ASPECTOS GENERALES
1.1. Definición de Auditoría
1.2. Auditoría Informática
1.3. Auditor Informático
1.4. Objetivos de la Auditoría Informática
1.5. Motivos para efectuar una Auditoría Informática
1.6. Problemas más comunes en los Sistemas de Información
1.7. Perfil del Auditor Informático o de Sistemas
1.8. Áreas de interés del Auditor Informático

II. EL CONTROL BAJO EL ENFOQUE GUBERNAMENTAL

2.1. Controles (RC 152-98-CG)
2.2. Proceso de Control
2.3. Control Interno
2.4. Objetivos del Control Interno
2.5. Control Externo
2.6. La Acción de Control
2.7. Sistema Nacional de Control
2.8. Conformación del Sistema Nacional de Control
2.9. Órgano de Auditoría Interna
2.10. Sociedades de Auditoría
2.11. ¿Por qué hay Riesgos en la Auditoría?
2.12. Tipos de Riesgos en la Auditoría

III. METODOLOGÍA DE AUDITORÍA INFORMÁTICA

3.1. Definición de Ámbitos y Objetivos
3.2. Estudio Inicial
3.3. Determinación de Perfiles
 3.4. Elaboración de Planes
3.5. Elaboración de Programa
3.6. Realización de las Actividades
3.7. Elaboración del Informe Final

IV. FASES DE LA AUDITORIA INFORMÁTICA - ENFOQUE

GUBERNAMENTAL
4.1. Fase I - Planeamiento de la Auditoría
4.1.1. Planeamiento de la Auditoría NAGU 2.20 - R-141-99-CG
4.1.2. Programa de Auditoría NAGU 2.30 - R-141-99-CG
4.1.3. Objetivos de Control para Evaluar la Organización en el Área de
Sistemas
4.1.4. Objetivos de Control para Evaluación de la Seguridad Física y
Planes de Contingencia de la Oficina de Sistemas
4.1.5. Objetivos de Control para Evaluación de Bases de Datos,
Archivos y Datos
4.1.6. Objetivos de Control para Evaluación de Operaciones en el
Centro de Procesamiento y Área de Atención a Usuarios
4.1.7. Objetivos de Control para Evaluación de Desarrollo y
Mantenimiento de Sistemas
4.1.8. Objetivos de Control para Evaluación de Redes de
Comunicaciones
4.2. Fase II Ejecución de la Auditoría
4.2.1. Evidencia (RC 152-98-CG)
4.2.2. Tipos de Evidencia (NAGU 3.40)
4.2.3. Atributos de la evidencia (NAGU 3.40)
4.2.4. Técnicas de Auditoría (RC 152-98-CG)
4.2.5. Confiabilidad de la Evidencia proveniente de Sistemas
Computarizados (NAGU 3.40)
4.2.6. Técnicas de Auditoría para evaluar programas de cómputo
4.2.7. Hallazgos de Auditoría
 4.2.8. Papeles de Trabajo (NAGU 3.50)
4.2.9. Comunicación de Hallazgos de Auditoría (NAGU 3.60)
4.3. Fase III Informe de Auditoría
4.3.1. El Informe
4.3.2. Elaboración Del Informe (NAGU 4.10)
4.3.3. Oportunidad del Informe (NAGU 4.20)
4.3.4. Características del Informe (NAGU 4.30)
4.3.5. Contenido del Informe (NAGU 4.40)
4.4. Seguimiento

V. BIBLIOGRAFIA
VI. ANEXOS
Anexo 01 - Ejemplo de Plan de Auditoría aplicado a la Oficina Central de
Admisión de la Universidad Nacional de Piura.
Anexo 02 - Ejemplo de Programa de Auditoría aplicado a la Oficina Central
de Admisión de la Universidad Nacional de Piura.
Anexo 03 - Ejemplo de Plan de Trabajo de Auditoría aplicado a la Oficina
Central de Admisión de la Universidad Nacional de Piura.
 INTRODUCCIÓN

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso

las normas y estándares propiamente informáticos deben estar, por lo tanto,
sometidos a los generales de la misma. En consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado el “management” o gestión
de la empresa. Cabe aclarar que la Informática no gestiona propiamente la
empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende,
debido a su importancia en el funcionamiento de una empresa, existe la Auditoria
Informática.
La Auditoría Informática como técnica y herramienta de apoyo a la Organización,
ha facilitado en los últimos años el desarrollo en el área de Sistemas. La
información cada vez va teniendo más importancia, y, se le considera como un
activo intangible, invaluable e irrecuperable.
La Auditoría Informática también conocida como Auditoría de Sistemas de
Información es la revisión y la evaluación de los controles, sistemas,
procedimientos de informática, organización del área de informática, de los
equipos de cómputo, su utilización, eficiencia y seguridad, de la Organización que
participa en el procesamiento de la información, a fin de que por medio del
señalamiento de cursos alternativos se logre una utilización más eficiente y segura
de la información que servirá para una adecuada toma de decisiones.
La Auditoría Informática debe ser realizada por un auditor de sistemas o
informático, miembro especialista del personal profesional designado para la
ejecución de la auditoría, para ello debe tener entrenamiento apropiado,
conocimiento amplio en temas relacionados, experiencia en ambientes complejos
de computación, su actuación está regulada por las normas éticas existentes.
El presente módulo es un aporte a la docencia universitaria, dirigido a los
profesionales en Ingeniería Informática o de Sistemas, especialmente para los
estudiantes del curso de Sistemas de Control y Auditoría Informática de la
Facultad de Ingeniería Industrial - Escuela Profesional de Ingeniería Informática,
de la Universidad Nacional de Piura.
I. ASPECTOS GENERALES

1.1. Definición de Auditoría

1.a.1. Es un proceso sistemático para obtener y evaluar evidencias de

una manera objetiva respecto a las afirmaciones
correspondientes a actos económicos y eventos para
determinar el grado de correspondencia entre estas
afirmaciones y criterios establecidos y comunicar los resultados
a los usuarios interesados.[Kell-Ziegler].

1.a.2. En el ambiente de sistemas, los exámenes de las operaciones

que realiza un sistema de cómputo con la finalidad de evaluar la
situación del mismo. Los auditores deben tener la capacidad de
validar los reportes y de probar la autenticidad y la precisión de
los datos y la información que se maneja. [González].

1.a.3. En el ambiente contable, representa el examen de los estados

financieros de una entidad, con el objeto de que el contador
público independiente emita una opinión profesional si dichos
estados representan la situación financiera, los resultados de
las operaciones, las variaciones en el capital contable y los
cambios en la situación financiera de una empresa, de acuerdo
a los principios de la contabilidad generalmente aceptados.

1.2. Auditoría Informática

Concepto 01
La auditoría en informática se desarrolla en función de normas,
procedimientos y técnicas definidas por institutos establecidos a nivel
nacional e internacional; por lo tanto, nada más se señalarán algunos
aspectos básicos para su entendimiento.

Así, la auditoría en informática es:

a. Un proceso formal ejecutado por especialistas del área de
auditoría y de informática; se orienta a la verificación y
aseguramiento de las políticas y procedimientos establecidos para
el manejo y uso adecuado de la tecnología de informática en la
organización se lleve a cabo de una manera oportuna y eficiente.

b. Las actividades ejecutadas por los profesionales del área de

Informática y de auditoría encaminadas a evaluar el grado de
cumplimiento de políticas, controles y procedimientos
correspondientes al uso de los recursos de informática por el
personal de la empresa (usuarios, informática, alta direcci6n, etc.).
Dicha evaluaci6n deberá ser la pauta para la entrega del informe
de auditoría en informática, el cual ha de contener las
observaciones, recomendaciones y áreas de oportunidad para el
mejoramiento y la optimización permanente de la tecnología de
informática en el negocio.

c. El conjunto de acciones" que realiza el personal especializado en

las áreas de auditoría y de informática para el aseguramiento
continuo de que todos los recursos de informática operen en un
ambiente de seguridad y control eficientes, con la finalidad de
proporcionar a la alta dirección o niveles ejecutivos la certeza de
que la información que pasa por el área se manejan con los
conceptos básicos de integridad, totalidad, exactitud, confiabilidad,
etc.
d. Proceso metodológico que tiene el propósito principal de evaluar
todos los recursos (humanos, materiales, financieros,
tecnol6gicos, etc.) Relacionados con la función de informática para
garantizar al negocio que dicho conjunto opera con un criterio de
integración y desempeños de niveles altamente satisfactorios para
que apoyen la productividad y rentabilidad de la
organización.(Hernández, 1997).

La auditoría informática es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un sistema informatizado salvaguarda los
activos, mantiene la integridad de los datos, lleva a cabo eficazmente
los fines de la organización y utiliza eficientemente los recursos. De
este modo la auditoria informática sustenta y confirma la consecución
de los objetivos tradicionales de la auditoria:

 Objetivos de protección de activos e integridad de datos.

 Objetivos de gestión que abarcan, no solamente los de protección
de activos, sino también los de eficacia y eficiencia.

Concepto 02
Es un examen metódico del servicio informático, o de un sistema
informático en particular, realizado de una forma puntual y objetiva, a
instancias de la dirección y con la intención de ayudar a mejorar
conceptos como la seguridad, eficiencia y rentabilidad del servicio
informático.

En esta definición hay cuatro palabras que destacan: "examen",

"metódico", "puntual" y "objetivo":

 La auditoría informática es un examen, pues se verifica o

comprueba el sistema informático actualmente en uso.
  Este examen es metódico, ya que sigue un plan de trabajo,
perfectamente diseñado, que permite llegar a conclusiones
suficientemente fundamentadas.
 Este examen es puntual, ya que se realiza en un momento
determinado y bajo petición de la dirección.
 Este examen es objetivo, ya que se realiza por un equipo externo
al servicio de informática para buscar la objetividad requerida.

El servicio de auditoría cubre una serie de actividades (controles,

verificaciones, pruebas, etc.) para concluir elaborando un conjunto de
recomendaciones y un plan de acción. La elaboración de este plan de
acción es una de las características que verdaderamente diferencia la
auditoría informática del resto de tipos de auditorías.

1.3. Auditor Informático

El auditor evalúa y comprueba en determinados momentos del tiempo

los controles y procedimientos informáticos más complejos,
desarrollando y aplicando técnicas mecanizadas de auditoría,
incluyendo el uso del software. En muchos casos, ya no es posible
verificar manualmente los procedimientos informatizados que resumen,
calculan y clasifican datos, por lo que se deberá emplear software de
auditoría y otras técnicas asistidas por ordenador.

El auditor es responsable de revisar e informar a la Dirección de la

Organización sobre el diseño y funcionamiento de los controles
implantados y sobre la fiabilidad de la información suministrada.

Se pueden establecer tres grupos de funciones a realizar por un auditor

informático:
  Participar en las revisiones durante y después del diseño,
realización, implantación y explotación de las aplicaciones
informáticas, así como en las fases análogas de realización de
cambios importantes.

 Revisar y juzgar los controles implantados en los sistemas

informáticos para verificar su adecuación a las órdenes e
instrucciones de la Dirección, requisitos legales, protección de
confidencialidad y cobertura ante errores y fraudes.

 Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad

de los equipos e información.

1.4. Objetivos de la Auditoría Informática

El propósito del trabajo de auditoría está enmarcado en uno o más de

los siguientes puntos:

a. Verificar el cumplimiento de políticas, normas y procedimientos de

orden gubernamental e institucional (adquisición, contratación e
instalación de servicios para el desarrollo de la función
informática).

b. Comprobar el adecuado uso y resguardo de los recursos

informáticos de la entidad.

c. Verificar que se efectúa el mantenimiento preventivo y correctivo

de los recursos informáticos, para obtener la confiabilidad e
integridad de los sistemas.
 d. Comprobar el grado de confiabilidad y privacidad del ambiente
informático.

e. Garantizar la seguridad (personas, datos, programas y los

equipos).

f. Verificar controles de seguridad física y ambiental.

g. Evaluar controles establecidos para administrar la infraestructura

tecnológica (servidores de datos, aplicaciones, comunicaciones,
terminales, impresoras, etc.).

h. Comprobar que los Sistemas de información correspondan a los

objetivos y requerimientos de la entidad.

i. Comprobar la consistencia y confiabilidad de los sistemas.

j. Verificar los controles involucrados en el software y en los

procedimientos manuales de las aplicaciones.

k. Verificar que las rutinas de cálculo ejecutadas por las aplicaciones

se apliquen correctamente.

1.5. Motivos para efectuar una Auditoría Informática

Entre los principales justificativos o motivos de una auditoría informática

encontramos:

a. Aumento del presupuesto del Departamento de Sistemas.

b. Desconocimiento de la situación informática de la empresa.
 c. Falta total o parcial de seguridades lógicas y físicas que
garanticen la integridad del personal, equipos e información.
d. Descubrimientos de fraudes efectuados con el uso del
computador.
e. Falta de una planificación informática. Falta de visión.
f. Organización que no funciona correctamente, debido a falta de
políticas, objetivos, normas, metodología, estándares, delegación
de autoridad, asignación de tareas y adecuada administración del
recurso humano.
g. Descontento general de los usuarios, motivado generalmente, por
incumplimiento de plazos y mala calidad de resultados.
h. Falta de documentación o documentación incompleta de sistemas.

1.6. Problemas más comunes en los Sistemas de Información

a. Falta de estándares en el desarrollo, análisis y la programación.

b. Inadecuadas especificaciones técnicas.
c. Diseño deficiente.
d. Problemas en la conversión e implementación.
e. Control débil en las fases de elaboración del sistema.
f. Inexperiencia en el análisis, diseño y la programación.
g. Nueva tecnología no usada o usada incorrectamente.

1.7. Perfil del Auditor Informático o de Sistemas

Los cambios permanentes en la tecnología informática obligan a que el

auditor de sistemas se mantenga al día, capacitándose en aspectos
tales como bases de datos, redes y comunicaciones, proyectos,
técnicas de programación, metodologías de desarrollo de sistemas.
Además de los conocimientos tecnológicos, debe tener una despierta
curiosidad intelectual, una mentalidad investigativa y conservar un alto
espíritu de imparcialidad.

Cualidades Profesionales y Éticas

Profesión Actividades y Conocimientos
Deseables
Informático Generalista Con experiencia amplia en ramas
distintas. Deseable que su labor se
haya desarrollado en Explotación y en
Desarrollo de Proyectos. Conocedor de
Sistemas.
Experto en desarrollo de Amplia experiencia como responsable
proyectos de proyectos. Experto analista.
Conocedor de las metodologías de
Desarrollo más importantes.
Experto en Sistemas Experto en Sistemas Operativos y
Software Básico. Conocedor de los
productos equivalentes en el mercado.
Amplios conocimientos de Explotación.
Experto en Bases de Datos Con experiencia en el mantenimiento
y Administración de las de Bases de Datos. Conocimiento de
mismas productos compatibles y equivalentes
Experto en software de Alta especialización dentro de la técnica
comunicación de sistemas. Conocimientos profundos
de redes.
Experto en explotación y Responsable de algún Centro de
gestión de CPD´s Cómputo. Amplia experiencia en
Automatización de trabajos. Experto en
relaciones humanas. Buenos
conocimientos de los sistemas.
 Experto en Organización Experto organizador y coordinador.
Especialista en el análisis de flujos de
información.
Experto en Evaluación de Informático con conocimiento de
Costes Gestión de Costes.

1.8. Áreas de interés del Auditor Informático

Si se tiene en cuenta que el objetivo básico que se busca con la

adquisición y utilización del computador es el de entregar información
confiable, útil y oportuna, el ámbito del auditor debe abarcar áreas
donde hace presencia el computador y aquéllas que puedan afectar el
cumplimiento de dicho objetivo, tales como:

 La Gerencia de Sistemas.
 La organización y el personal del área de informática.
 El área del computador.
 Las aplicaciones.
 Los estándares de documentación y desarrollo de sistemas.
 La operación del computador.
 La gerencia financiera.
 Los planes de desarrollo informático.
 Los controles y la seguridad en general.
 Los archivos maestros y de transacciones.
 La Red de Comunicaciones y de Datos.
 La Internet / Intranet.
 Los microcomputadores.
 La Transferencia Electrónica de Documentos.
 La administración de la base de datos
 Otros.
II. EL CONTROL BAJO EL ENFOQUE GUBERNAMENTAL

2.1. Controles (RC 152-98-CG)

Se entiende por controles al conjunto de disposiciones metódicas, cuyo

fin es vigilar las funciones y actitudes de las empresas y para ello
permite verificar si todo se realiza conforme a los programas adoptados,
órdenes impartidas y principios admitidos.

Controles de Carácter General: Controles de Adquisición,

Organización, Desarrollo, Administración física y lógica, Documentación
y de Seguridad.

Controles de Carácter Específico: Controles de Aplicaciones

(Entrada, Proceso y Salida), Bases de Datos, de Procesamiento
Distribuido y de Microcomputadores.

2.2. Proceso de Control

 Medir el estado real de los recursos después de aplicar la acción

fruto de nuestras decisiones.
 Determinar las variaciones entre lo real y lo presupuestado y analizar
las causas de dichas variaciones.
 Emprender las acciones correctivas necesarias.

2.3. Control Interno1

El control interno comprende las acciones de cautela previa, simultánea

y de verificación posterior que realiza la entidad sujeta a control, con la
finalidad que la gestión de sus recursos, bienes y operaciones se

1
Ley 27785. Art. 7
 efectúe correcta y eficientemente. Su ejercicio es previo, simultáneo y
posterior.

2.4. Objetivos del Control Interno

 Protección de Activos.
 Obtención de Información adecuada. (toma de decisiones)
 Promoción de la eficiencia administrativa.
 Estimular la adhesión a las políticas de la dirección o empresa.
(compromiso)

2.5. Control Externo2

Conjunto de políticas, normas, métodos y procedimientos técnicos, que

compete aplicar a la Contraloría General u otro órgano del Sistema por
encargo o designación de ésta, con el objeto de supervisar, vigilar y
verificar la gestión, la captación y el uso de los recursos y bienes del
Estado. Se realiza fundamentalmente mediante acciones de control con
carácter selectivo y posterior.

2.6. La Acción de Control3

La acción de control es la herramienta esencial del Sistema, por la cual

el personal técnico de sus órganos conformantes, mediante la
aplicación de las normas, procedimientos y principios que regulan el
control gubernamental, efectúa la verificación y evaluación, objetiva y
sistemática, de los actos y resultados producidos por la entidad en la
gestión y ejecución de los recursos, bienes y operaciones
institucionales.

2
Ley 27785. Art. 8
3
Ley 27785. Art. 10
 2.7. Sistema Nacional de Control4

Es el conjunto de órganos de control, normas, métodos y

procedimientos, estructurados e integrados funcionalmente, destinados
a conducir y desarrollar el ejercicio del control gubernamental en forma
descentralizada. Su actuación comprende todas las actividades y
acciones en los campos administrativo, presupuestal, operativo y
financiero de las entidades y alcanza al personal que presta servicios
en ellas, independientemente del régimen que las regule.

2.8. Conformación del Sistema Nacional de Control5

a. La Contraloría General
b. Todas las unidades orgánicas responsables de la función de control
gubernamental de las entidades que se mencionan en el Artículo 3º
de la presente Ley,
c. Las sociedades de auditoría externa independientes, designadas por
la Contraloría General y contratadas, durante un período
determinado, para realizar servicios de auditoría económica,
financiera, de sistemas informáticos, de medio ambiente y otros.

2.9. Órgano de Auditoría Interna6

Las entidades comprendidas en los incisos a), b), c) y d) del Artículo 3º

de la presente Ley, así como las empresas en las que el Estado tenga
una participación accionaria total o mayoritaria, tendrán necesariamente
un Órgano de Auditoría Interna ubicado en el mayor nivel jerárquico de

4
Ley 27785. Art. 12
5
Ley 27785. Art. 13
6
Ley 27785. Art. 17
 la estructura de la entidad, el cual constituye la unidad especializada
responsable de llevar a cabo el con-trol gubernamental en la entidad.

2.10. Sociedades de Auditoría7

Son personas jurídicas calificadas e independientes en la realización de

labores de control posterior externo, designadas por la Contraloría
General, previo Concurso Público de Méritos, y contratadas por las
entidades para examinar las actividades y operaciones de las mismas,
opinar sobre la razonabilidad de sus estados financieros, así como
evaluar la gestión, captación y uso de los recursos asignados.

2.11. ¿Por qué hay Riesgos en la Auditoría?

a. Probabilidad de un mal análisis

b. Probabilidad de auditor inapropiado
c. Probabilidad que el auditor emita un diagnostico equivocado (mala
percepción)

2.12. Tipos de Riesgos en la Auditoría

a. Riesgo Inherente
Es la Probabilidad de que algunas de las afirmaciones estén sujetas
a errores, aunque la calidad del control interno sobre ellas sea
buena.
Esta posibilidad exige especial cuidado en el alcance y profundidad
de las pruebas sustantivas que se apliquen a las cuentas que
involucran este riesgo.

b. Riesgo de Control

7
Ley 27785. Art. 20
 Esta dado por la probabilidad de que los procedimientos de control
establecidos en el sistema de control interno no eviten realmente la
posibilidad de errores, o que no los detecte oportunamente.
Control sobre el Control.

c. Riesgo de Detección
Es la Probabilidad de que los auditores externos no detecten errores
importantes en la aplicación de procedimientos de auditoría.

III. METODOLOGÍA DE AUDITORÍA INFORMÁTICA

3.1. Definición de Ámbitos y Objetivos

Consiste en una serie de reuniones o entrevistas con el que solicita la

realización de la auditoría y se le prepara un documento en el que
figuran las alternativas siguientes:

a. Desarrollo de la totalidad de la función de auditoría en la empresa,

revisando incluso la utilidad para los usuarios finales, por medio de
muestreos o entrevistas.
b. Auditoria exclusiva de sistemas.
c. Auditoria de algún subsistema o aplicación, su adecuación,
utilización, eficacia, etc.
d. Auditoria de alguna función en particular como, por ejemplo, la
seguridad y privacidad.
e. Auditoria de la metodología de análisis y desarrollo de sistemas.

3.2. Estudio Inicial

Se deberá realizar un estudio global que permita conocer volúmenes y

complejidad de las tareas a realizar.
 El trabajo se realiza a través de entrevistas, cuestionarios y,
posiblemente, muestreos para obtener una idea de la dimensión y
complejidad del ámbito de estudio, lo que permitirá estimar esfuerzos

3.3. Determinación de Perfiles

Perfiles técnicos precisos de las personas que habrán de colaborar en

la realización de la auditoria. Fundamentalmente se tratara de:
1. Expertos en comunicación
2. Expertos en base de datos
3. Expertos en configuración de hardware; adecuación y medidas de
eficacia y rendimiento.
4. Expertos en organización y realización del trabajo administrativo
5. Técnicos computacionales en general
6. Psicólogos

Del mismo modo se estimarán los recursos materiales necesarios en

cuanto a:
1. Software
a. Paquetes de auditoria
b. Compiladores
c. Lenguajes
d. Utilitarios
e. Informes contables
2. Hardware
f. Tiempo de uso de computadora
g. Equipos específicos

3.4. Elaboración de Planes

Se llevará a cabo la elaboración de un plan, en el que se indicará:

 1. Listas de actividades a realizar, así como perfiles de las personas
para ejecutarlas e inventarios de medios necesarios.
2. Esfuerzos estimados para cada actividad por cada recurso.
3. Se deben basar en lo siguiente para la realización de la auditoria:
a. Personal técnico y administrativo
b. Software (equipo, tiempo de máquina)
c. Presupuesto inicial
d. Contenido (aspectos) de los informes finales

3.5. Elaboración de Programa

Un plan se convierte en programa cuando las actividades pasan de

estar asignadas a recurso tipo (perfiles) a ser asignadas a recursos
concretos (personas u organizaciones), con fechas de iniciación y
terminación previstas para la realización.
Como resultado de esta etapa se obtendrá: el programa, el calendario y
el presupuesto.

3.6. Realización de las Actividades

Se puede comenzar la realización de la auditoria, teniendo en cuenta

que puede abordarse:
a. Por temas o funciones. Por ejemplo, realizando en primer lugar todos
los trabajos relacionados con seguridad; en segundo lugar, todos los
relacionados con estructura de datos, etc.
b. Por organizaciones auditadas, por ejemplo, se hace el estudio
completo de la sección “Análisis y Diseño” y luego de la sección
“Programación” etc.

3.7. Elaboración del Informe Final

En cada fase del trabajo se entregan borradores de los informes, a las
personas implicadas, ya que puede haber existido algún error de
apreciación, que en la crítica y validación del borrador, debería
detectarse.
A partir de una sistematización de estos informes parciales, se obtiene
el informe final cuyo contenido consistirá en:
1) Presentación
2) Definición de ámbitos y objetivos.
3) Enumeración de temas, componentes, aplicaciones, etc.,
Considerados.
4) Análisis
 Situación prevista
 Situación real
 Tendencias
 Puntos débiles y amenazas que suponen
 Puntos fuertes y oportunidades
5) Recomendaciones
 Descripción
 Plan de implantación
 Beneficios
 Plan de seguimiento y control

El informe debe contener lo siguiente: (Otro Formato)

1) Motivos de la Auditoria
2) Objetivos
3) Alcance
4) Estructura Orgánico-Funcional del área Informática
5) Configuración del Hardware y Software instalado
6) Control Interno
7) Resultados de la Auditoria
IV. FASES DE LA AUDITORIA INFORMÁTICA - ENFOQUE
GUBERNAMENTAL

4.1. Fase I - Planeamiento de la Auditoría

Definir adecuadamente los objetivos y el alcance del trabajo, las

técnicas y herramientas a utilizar, los recursos humanos y técnicos que
se emplearán, así como los plazos para realizar el examen.

Proveer conocimiento sobre la importancia de los Sistemas de

Información en la organización, una evaluación preliminar de sus
fortalezas y debilidades y una lista de materias relacionadas con el
área, que sean de potencial significancia y que deberán ser examinadas
en la fase de ejecución.

La fase de planeación se compone de actividades importantes tales

como:
a. Conocimiento General de la Entidad
b. Evaluación del Sistema de Control Interno de la Gerencia de
Sistemas de Información
c. Programa de Auditoría

a) Conocimiento General de la Entidad

Conocer y estudiar en forma general la entidad y la función

informática: información relacionada con la organización, sus
objetivos, reglamentos, normas, funciones, estructura del área de
Sistemas, sus equipos, aplicaciones, etc.

b) Evaluación del Sistema de Control Interno del Área de Sistemas

 Evaluar los métodos y procedimientos de administración y protección
de recursos informáticos, la confiabilidad de los registros, la eficiencia
de las operaciones y la adhesión a las políticas informáticas
establecidas por la organización. Para lo cual utilizamos los
Controles de Carácter General y Controles de Carácter Específico.
Se debe ir de lo general a lo particular.

c) Programa de Auditoría

Toma en cuenta los aspectos a cubrir en la fase de ejecución de la

Auditoría y la disposición en tiempo, modo y lugar de los recursos
necesarios para llevarla a cabo:

1) Evaluación de Organización en el Área de Sistemas.

2) Evaluación de la Seguridad Física y Planes de Contingencia de la
Oficina de Sistemas.
3) Evaluación de Bases de Datos, Archivos y Datos.
4) Evaluación de Operaciones (Centro de Procesamiento y Área de
atención a usuarios).
5) Evaluación de Desarrollo y Mantenimiento de Sistemas.
6) Evaluación de Redes de Comunicaciones.

4.1.1. Planeamiento de la Auditoría NAGU 2.20

El trabajo del auditor debe ser adecuadamente planeado a fin

de asegurar la realización de una auditoría de calidad, debe
estar basado en el conocimiento de las actividades que ejecuta
la entidad a examinar, así como el análisis del entorno en que
se desarrolla, el tipo de auditoría a efectuarse y las
disposiciones legales vigentes y aplicables.
Implica la preparación de una estrategia general con la finalidad
de que el auditor actualice su conocimiento y comprensión del
entorno en que se desarrolla la entidad, las actividades que
ejecuta y la estructura de control interno, así como determinar
las áreas críticas, potenciales hallazgos y programar la
naturaleza, oportunidad y alcance de los procedimientos a
aplicar.

Debe incluir la revisión de la información relacionada con la

gestión de la entidad a examinar, con relación a los objetivos,
metas y programas previstos en el período bajo examen, así
como el seguimiento de la implementación de las
recomendaciones efectuadas como resultados de las
observaciones formuladas con anterioridad.

La información que necesita el auditor para el planeamiento de

la auditoría varía de acuerdo con los objetivos de la misma y
con las áreas de la entidad sujeta a examen.

El planeamiento se inicia a partir de la evaluación de la

información que contiene el archivo permanente y debe
continuar con la ejecución de un programa de actividades en las
instalaciones de las áreas de la entidad que permita completar
la información necesaria para la mejor comprensión y
conocimiento de sus principales objetivos, funciones, estructura
de control interno, procesos, bienes y/o servicios producidos,
recursos utilizados y sistemas administrativos.

Durante la ejecución de esta etapa de la auditoría, así como al

concluir la recolección y estudio de la información, el auditor
documentará su trabajo mediante:
 a. La actualización del Archivo Permanente.
b. Emisión del plan y programas de auditoría para ejecutar el
trabajo de campo, en el que se precisarán los objetivos de la
auditoría, su alcance, criterios de materialidad, cronograma
de actividades, recursos necesarios y su costo, informes a
emitir, participación de especialistas, entre otros.

La responsabilidad por la preparación, revisión y aprobación del

Planeamiento corresponde a los niveles gerenciales
competentes, tomándose en cuenta las Normas Internacionales
de Auditoría vigentes y aplicables para el planeamiento de la
auditoría.

4.1.2. Programa de Auditoría NAGU 2.30

Para cada auditoría gubernamental se prepararán programas

específicos que incluyan los objetivos, procedimientos que
deben aplicarse, naturaleza, alcance y oportunidad de su
ejecución, así como el personal encargado de su desarrollo.

Los programas de auditoría comprenden una relación lógica,

secuencial y ordenada de los procedimientos a ejecutarse, su
alcance, el personal y el momento en que deberán ser
aplicados, a efectos de obtener evidencia competente,
suficiente y relevante, necesaria para alcanzar el logro de los
objetivos de auditoría.

Deben ser lo suficientemente flexibles para permitir

modificaciones durante el proceso de la auditoría que a juicio
del auditor encargado y supervisor, se consideren pertinentes.
 Los programas de auditoría guían la acción del auditor,
sustentan la determinación de los recursos necesarios para
efectuar la auditoría, su costo y los plazos que demanda su
ejecución; así mismo, permiten la evaluación de su avance y
que los resultados estén de acuerdo con los objetivos
propuestos.

El programa de auditoría debe ser lo suficientemente detallado

de manera que sirva de guía al auditor y como medio para
supervisar y controlar la adecuada ejecución del trabajo.

Un procedimiento de auditoría es la instrucción detallada para la

recopilación de evidencia que se ha de obtener durante la
ejecución de la auditoría, deben desarrollarse en términos
específicos para que puedan ser utilizados por los auditores a
cargo de su ejecución, su contenido debe corresponder a la
aplicación de una técnica de auditoría.

Los cambios que se hagan a los programas de auditoría, deben

ser evaluados adecuadamente en función de los objetivos
previstos y las circunstancias que pueden originar su
modificación, debiendo documentarse apropiadamente.

La responsabilidad de la elaboración y modificación de los

programas de auditoría, corresponde al auditor supervisor y al
nivel jerárquico superior.

4.1.3. Objetivos de Control para Evaluar la Organización en el

Área de Sistemas
a) Verificar que la estructura organizacional considere la
separación de funciones entre el personal del área de
informática y el personal de las áreas usuarias en lo que
respecta a:
 Responsabilidad por la generación de las transacciones
enviadas a proceso.

 Mantenimiento de los manuales y custodia de bienes.

 Controles sobre la exactitud los datos de entrada y salida.

 Responsabilidad de definir y aprobar especificaciones

para el desarrollo de sistemas nuevos, como para las
modificaciones de sistemas en explotación.

b) Comprobar la eficiencia del área de informática y que sus

recursos sean también administrados apropiadamente.

c) Confirmar la existencia de una buena planificación,

organización, control, estandarización, etc., dentro del área;
que todos los proyectos sean abordados por medio de un
estudio de factibilidad previo, y que no se decidan por la
MODA que impera en el mercado o que traten de imponer
proveedores de equipos.

d) Verificar que la eficiencia siempre se tiene en cuenta dentro

del área de informática, ya que se trata de un área costosa,
debido a factores tales como:
 Tecnología costosa
 Especialistas escasos y de altas remuneraciones.
 Cambios tecnológicos y rápidos.
 Obsolescencia de los sistemas en corto plazo (3 años
max)
  Insumos de alto costo.
 Desarrollo lento de sistemas de información.

e) Verificar la segregación adecuada de funciones dentro del

área de Informática, de tal manera que se garantice la
compatibilidad en la ejecución de las mismas.

f) Confirmar que existe un Comité Directivo y un Comité de

Usuarios de Sistemas de Información integrado por
representantes de las diferentes áreas. Estos comités
tendrán como función elaborar y controlar el Plan Estratégico
de Sistemas.

g) Comprobar que la Oficina de Informática considera los

siguientes elementos de planificación que contribuyan a
mejorar el control:
 Cronogramas de actividades.
 Información individual de las actividades.
 Racionalización en el uso de los recursos y sucesos
operacionales.
 Informe mensual sobre el cumplimiento y estado de los
proyectos.

h) Verificar la existencia de una planificación y de una

metodología de Desarrollo, Mantenimiento y Control, con el
fin de evitar las siguientes fallas:
 Dificultades en el desarrollo y mantenimiento de sistemas.
 Incentivo para el surgimiento de personas
"imprescindibles" dentro de la organización.
 Exceso de tiempo o injustificación de atrasos en el
desarrollo de sistemas.
  Problemas en el cumplimiento de la entrega de resultados
a las áreas usuarias.
 Garantizar que estén descritos los procedimientos de
planificación, desarrollo, mantenimiento y operación de
sistemas y que están controlados con métodos simples y
funcionales.

4.1.4. Objetivos de Control para Evaluación de la Seguridad

Física y Planes de Contingencia de la Oficina de Sistemas

a) Establecer la continuidad de operaciones de negocio que se

apoyan en la OFICINA DE SISTEMAS, mediante la
verificación de los planes para la "Prevención y Recuperación
de Desastres", así como la seguridad física de las
instalaciones, equipos, programas y medios de
almacenamiento del área de informática.

b) Comprobar el diseño y la implantación de un plan de

contingencia para garantizar a los usuarios la continua
prestación del servicio, aún en circunstancias de emergencia
en las que por problemas técnicos no se pueda prestar el
servicio con la misma eficiencia que en circunstancias
normales.

c) Verificar la existencia de controles sobre el acceso físico y de

procedimientos de respaldo, los cuales permiten minimizar
los riesgos derivados de:
 Utilización no autorizada de los elementos
computacionales.
 Robo de información, programas, equipos ó archivos de la
entidad.
  Destrucción, modificación ó revelación premeditada o
accidental de información, programas ó equipos.
 Pérdida de grandes cantidades de información histórica o
del período corriente, de difícil recuperación o elevado
costo.

4.1.5. Objetivos de Control para Evaluación de Bases de Datos,

Archivos y Datos

a) Verificar que la información almacenada en las bases de

datos y que es de gran valor para la entidad, esté protegida
contra su pérdida o robo.

b) Comprobar la seguridad para la protección de los datos

contra el acceso accidental o intencional por parte de
individuos no autorizados y contra su indebida destrucción o
alteración.

c) Identificar las medidas de seguridad empleadas para

conservar correctos los datos en la base de datos, con el fin
de mantener su integridad.

d) Confirmar las medidas implementadas para conservar más

de una copia de seguridad de cada archivo en prevención de
posibles fallos.

e) Examinar los procedimientos con los que cuenta el sistema

de base de datos para evitar la inconsistencia de los datos,
reduciendo al mínimo la redundancia y preservando en todo
momento la integridad de los datos
4.1.6. Objetivos de Control para Evaluación de Operaciones en el
Centro de Procesamiento y Área de Atención a Usuarios

a) Verificar el control del área de operaciones de los centros de

procesamiento de datos y las áreas de atención a usuarios,
dado que son puntos claves y hay que tenerlos presentes en
la OFICINA DE SISTEMAS.

b) Controlar que estas áreas sean eficientes y eficaces, es

fundamental, ya que tiene consecuencias inmediatas en el
mantenimiento de la continuidad de las operaciones de la
OFICINA DE SISTEMAS.

4.1.7. Objetivos de Control para Evaluación de Desarrollo y

Mantenimiento de Sistemas

a) Verificar los procedimientos establecidos por el área de

Sistemas y que permiten al Grupo de desarrollo garantizar
que los sistemas sean eficientes, eficaces, y confiables,
cuando entren en producción normal (explotación).

b) Comprobar que los procedimientos incluyen pistas de

Auditoría y Control en los sistemas. Por otra parte, cabe
señalar que los recursos de esta área son los que más
inciden en los costos del procesamiento de la información. Es
fundamental, que el área cumpla con los plazos estipulados
en el desarrollo de los sistemas, para garantizar buenos
resultados, ya que entregar información correcta y oportuna
es fundamental para la toma de decisiones.
 4.1.8. Objetivos de Control para Evaluación de Redes de
Comunicaciones

a) Evaluar la forma de comunicación entre los usuarios y

sistemas basados en el computador.

b) Evaluar cómo se afecta globalmente la seguridad de los

datos, a medida en que las comunicaciones y procesamiento
de datos continúan expandiéndose, teniendo en cuenta el
incremento en la proliferación de computadores personales,
terminales portátiles que acceden sistemas por redes.

4.2. Fase II Ejecución de la Auditoría

Los procedimientos de auditoría son operaciones especificas que se

aplican en una auditoria e incluyen técnicas y practicas consideradas
necesarias de acuerdo con las circunstancias.

4.2.1. Evidencia (RC 152-98-CG)

Se denomina evidencia al conjunto de hechos comprobados,

suficientes, competentes y pertinentes que sustentan las
conclusiones del auditor.
Es la información específica obtenida durante la labor de
auditoría| a través de observación, inspección, entrevistas y
examen de los registros.
El termino evidencia incluye documentos, fotografías, análisis
de hechos efectuados por el auditor y en general, todo material
usado para determinar si los criterios de auditoría son
alcanzados.
 El equipo de auditoría se aboca a la obtención de evidencias y
realizar pruebas sobre las mismas aplica procedimientos y
técnicas de auditoría, desarrolla hallazgos, observaciones,
conclusiones y recomendaciones.

4.2.2. Tipos de Evidencia (NAGU 3.40)

En términos generales la evidencia de auditoría puede

clasificarse en cuatro tipos:

a) Evidencia Física
b) Evidencia Testimonial
c) Evidencia Documental
d) Evidencia Analítica

a) Evidencia Física
Se da por medio de una inspección u observación directa de:
 Actividades ejecutadas por las personas.
 Documentos y registros.
 Hechos relativos al objetivo del examen.

La evidencia física se documenta en un memorándum que

resume los asuntos revisados, papeles de trabajo que
muestran la naturaleza y alcance de la verificación practicada
pudiendo ser el resultado de una inspección y estar
representadas por fotografías, cuadros, mapas u otras
representaciones gráficas.
Ejemplo en la verificación de saldos y/o cruces de
información (magnético versus físico).

b) Evidencia Testimonial
 Es la información obtenida de otros a través de cartas o
declaraciones recibidas en respuesta a indagaciones o por
medio de entrevistas. El resultado de las entrevistas pueden
expresarse en un memorándum basado en notas tomadas
durante ellas. Las declaraciones de funcionarios de la
entidad son fuentes valiosas de información y proporcionas
elementos de juicio que no serán fáciles de obtener a través
de una prueba de auditoría.

c) Evidencia Documental
Es la información obtenida de la entidad bajo auditoría e
incluye, comprobantes de pago, facturas, contratos, cheques
y, en el caso de empresas estatales, acuerdos de Directorio.
La confiabilidad del documento depende de la forma como
fue creado y su propia naturaleza.

Los documentos se clasifican en:

 Externos: Aquellos que se originan fuera de la entidad
(facturas de vendedores y correspondencia que se recibe).
 Internos: Aquellos que se originan dentro de la entidad
(registros contables, correspondencia que se envía, guías
de recepción y comunicación interna).

d) Evidencia Analítica
Se obtiene al analizar o verificar la información.
La confiabilidad de evidencia analítica depende en gran parte
de la importancia de la información comparable. Puede
originarse de:
 Computaciones
 Comparaciones con:
 Normas establecidas.
  Operaciones anteriores.
 Otras operaciones, transacciones o rendimiento.
 Leyes o reglamentos.
 Raciocinio
 Análisis de la información dividida en sus componentes.

4.2.3. Atributos de la evidencia (NAGU 3.40)

El auditor debe obtener evidencia suficiente, competente y

relevante mediante la aplicación de pruebas de control y
procedimientos sustantivos que le permitan fundamentar
razonablemente los juicios y conclusiones que formule respecto
al organismo, programa, actividad o función que sea objeto de
auditoría.
La evidencia deberá someterse a revisión para asegurarse que
cumpla con los requisitos básicos de suficiencia, competencia y
relevancia. Los papeles de trabajo deberán mostrar los detalles
de la evidencia y revelar la forma en que se obtuvo.
Características de la Evidencia:

a) Suficiencia.
Es suficiente la evidencia objetiva y convincente que basta
para sustentar los hallazgos, conclusiones y
recomendaciones expresadas en el Informe. La evidencia
será suficiente cuando por los resultados de la aplicación de
procedimientos de auditoría se comprueben razonablemente
los hechos revelados. Para determinar si la evidencia es
suficiente se requiere aplicar el criterio profesional. Cuando
sea conveniente, se podrán emplear métodos estadísticos
con ese propósito.
b) Competencia.
Para que sea competente, la evidencia debe ser válida y
confiable. A fin de evaluar la competencia de la evidencia, se
deberá considerar cuidadosamente si existen razones para
dudar de su validez o de su integridad. De ser así, deberá
obtener evidencia adicional o revelar esa situación en su
informe.
Los siguientes supuestos constituyen algunos criterios útiles
para juzgar si la evidencia es competente:

 La evidencia que se obtiene de fuentes independientes es

más confiable que la obtenida del propio organismo
auditado.
 La evidencia que se obtiene cuando se ha establecido un
sistema de control interno apropiado es más confiable que
aquella que se obtiene cuando el sistema de control
interno es deficiente, no es satisfactorio o no se ha
establecido.
 Los documentos originales son más confiables que sus
copias.
 La evidencia testimonial que se obtiene en circunstancias
que permite a los informantes expresarse libremente
merece más crédito que aquella que se obtiene en
circunstancias comprometedoras (por ejemplo, cuando los
informantes pueden sentirse intimidados).

c) Relevancia.
Se refiere a la relación que existe entre la evidencia y su uso.
La información que se utilice para demostrar o refutar un
hecho será relevante si guarda relación lógica y patente con
 ese hecho. Si no lo hace, será irrelevante y, por consiguiente,
no podrá incluirse como evidencia.
Cuando se estime conveniente, el auditor deberá obtener de
los funcionarios de la entidad auditada declaraciones por
escrito respecto a la relevancia y competencia de la
evidencia que haya obtenido.

La adecuada recopilación u obtención de evidencia que

cumpla con los requisitos de suficiencia, competencia y
relevancia, debe permitir identificar y sustentar
apropiadamente las presuntas responsabilidades que se
establezcan como resultado del trabajo auditor, así como las
infracciones graves, muy graves y leves incurridas; por lo que
se deberá cuidar especialmente su correspondiente
acreditación.

4.2.4. Técnicas de Auditoría (RC 152-98-CG)

Las técnicas de auditoría son métodos prácticos de

investigación y prueba que utiliza el auditor para obtener
evidencia necesaria que fundamenta su opinión. Las técnicas
más utilizadas al realizar al realizar pruebas de transacciones y
saldos son:

1. Técnicas de Verificación Ocular

2. Técnicas de Verificación Oral
3. Técnicas de Verificación Escrita
4. Técnicas de Verificación Documental
5. Técnicas de Verificación Física

1. Técnicas de Verificación Ocular

 a) Comparación.- Es el acto de observar la similitud o
diferencia existente entre dos o más elementos. Dentro de
la fase de ejecución se efectúan la comparación de
resultados contra criterios aceptables facilitando de esa
forma la evaluación por el auditor y la elaboración de
observaciones, conclusiones y recomendaciones.

b) Observación.- Es el examen ocular realizado para

cerciorarse como se ejecutan las operaciones. Esta
técnica es de utilidad en todas las fases de la auditoria por
cuyo intermedio el auditor se cerciorara de ciertos hechos
y circunstancias en especial las relacionadas con la forma
de ejecución de las operaciones apreciando
personalmente de manera abierta o directa.

2. Técnicas de Verificación Oral

a) Indagación.- Es el acto de obtener información verbal

sobre un asunto mediante averiguaciones directas o
conversaciones con los funcionarios de la entidad. Es de
especial utilidad la indagación en la auditoria cuando se
examinan áreas especificas no documentadas, sin
embargo, sus resultados por si solos no constituyen
evidencia suficiente.

b) Entrevista.- Pueden ser efectuadas al personal de la

entidad auditada o personas beneficiarias de los
programas o proyectos. Para obtener mejores resultados
debe prepararse apropiadamente, especificar quienes
serán entrevistados, definir las preguntas a formular,
 alertar al entrevistado acerca del propósito y puntos hacer
abordados.

c) Encuesta.- Pueden ser útiles para recopilar información

de un gran universo de datos o grupos de personas.
Pueden ser enviadas por correo u otro método a las
personas. Su ventaja principal radica en la economía en
términos de costo y tiempo sin embrago su desventaja se
manifiesta en su inflexibilidad al no obtener más de lo que
se pide, lo cual en ciertos casos puede ser muy costoso.

3. Técnica de Verificación Escrita

a) Analizar.- Consiste en la separación y evaluación critica,

objetiva y minuciosa de los elementos o partes que
conforman una operación, actividad, transacción o proceso
con el fin de establecer su naturaleza, su relación y
conformidad con los criterios normativos y técnicos
existentes. Los procedimientos de análisis están referidos
a la comparación de cantidades, porcentajes y otros.

b) Confirmación.- Permite comprobar la autenticidad de los

registros y documentos analizados a través de información
directa y por escrito, otorgada por funcionarios que
participan o realizan las operaciones sujetas a examen por
lo que están a disposición de opinar e informar en forma
válida y veraz sobre ellas.

c) Tabulación.- Consiste en agrupar los resultados

obtenidos en áreas, segmentos o elementos examinados
de manera que se facilite la elaboración de conclusiones.
 d) Conciliación.- Implica hacer que concuerden dos
conjuntos de datos relacionados, separados o
independientes. Esta técnica consiste en analizar la
información producida por diferentes unidades operativas
o entidades, respecto de una misma operación o actividad.

4. Técnicas de Verificación Documental

a) Comprobación.- Se aplica en el curso de un examen con

el objetivo de verificar la existencia, legalidad, autenticidad
y legitimidad de las operaciones efectuadas por una
entidad mediante la verificación de los documentos que las
justifican.

b) Computación.- se utiliza para verificar la exactitud y

corrección aritmética de una operación o resultado. Se
prueba solamente la exactitud de un cálculo, por lo tanto,
se requiere de otras pruebas adicionales para establecer
la validez de los datos que forman parte de una operación.

c) Rastreo.- Se utiliza para dar seguimiento y controlar una

operación de manera progresiva de un punto a otro de un
proceso interno determinado o de un proceso a otro
realizado por una unidad operativa dada. Se dividen en
dos:
 Rastreo progresivo
 Rastreo regresivo

d) Revisión selectiva.- Consiste en el examen ocular rápido

de una parte de los datos o partidas que conforman un
 universo homogéneo en ciertas áreas, actividades o
documentos elaborados.

5. Técnicas de Verificación Física

a) Inspección.- Es el examen físico y ocular de activos,

obras, documentos y valores con el objetivo de establecer
su existencia y autenticidad. La aplicación de esta técnica
es de mucha utilidad, especialmente en cuanto a la
constatación de efectivo, valores, activo físico y otros
equivalentes.

4.2.5. Confiabilidad de la Evidencia proveniente de Sistemas

Computarizados (NAGU 3.40)

Cuando la información procesada por medios electrónicos,

constituya una parte importante o integral de la auditoría y su
confiabilidad sea esencial para cumplir los objetivos del
examen, se deberá tener certeza de la importancia y de la
confiabilidad de esa información. Para determinar la
confiabilidad de la información, el auditor:

a) Podrá efectuar una revisión de los controles generales de

los sistemas computarizados y de los relacionados
específicamente con sus aplicaciones, que incluya todas
las pruebas que sean permitidas; o
b) Si no se revisa los controles generales y los relacionados
con las aplicaciones o comprueba que esos controles no
son confiables, podrá practicar pruebas adicionales o
emplear otros procedimientos.
 Cuando el auditor utilice los datos procesados por medios
electrónicos o los incluya en su informe a manera de
antecedentes o con fines informativos, por no ser significativos
para los resultados de la auditoría, bastará generalmente que
en el informe se cite la fuente de esos datos para cumplir las
normas relacionadas con la exactitud e integridad de su
informe.

4.2.6. Técnicas de Auditoría para evaluar programas de cómputo

a) Pruebas de Recorrido.
b) Comparación de cifras en el sistema.
c) Evaluación operativa y funcional de los Sistemas de
Información.
d) Evaluación de la calidad de la información.
e) Control de datos rechazados.
f) Dígito de verificación.
g) Evaluación de entradas preprocesadas al sistema.
h) Evaluación de transacciones ficticias.
i) Evaluación de controles internos en aplicaciones críticas.
j) Pistas de auditoría
k) Evaluación de la oportunidad, razonabilidad, privacidad y
seguridad de la información.

4.2.7. Hallazgos de Auditoría

Los hallazgos de auditoría se refieren a presuntas deficiencias o

irregularidades identificadas como resultado de la aplicación de
los criterios de auditoría.
El objetivo es permitir identificar hechos o circunstancias
importantes que inciden en la gestión de recursos en la entidad,
programa o proyecto bajo examen que merecen ser
comunicados en el informe.
El auditor debe estar capacitado en las técnicas para desarrollar
hallazgos en forma objetiva y realista. Al realizar su trabajo
debe considerar los factores siguientes:

1. Situación.- Los hechos encontrados en la auditoría

indicativos de que no se cumplió con uno o más criterios.
2. Criterio.- El marco de referencia para evaluar la situación. Es
principalmente una ley, reglamento, carta circular, memorando,
procedimiento, norma de control interno, norma de sana
administración, principio de contabilidad generalmente
aceptado, opinión de un experto o juicio del auditor.

3. Efecto.- Lo que significa, real o potencialmente, no cumplir

con el criterio.

4. Causa.- La razón fundamental por la cual ocurrió la situación.

Al final de cada hallazgo se hace referencia a las

recomendaciones que se incluyen en el informe para que se
tomen las medidas necesarias sobre los errores, irregularidades
o actos ilegales señalados.

Los hallazgos se pueden categorizar de la siguiente manera:

1. No Conformidad.- Incumplimiento de un requisito, que

puede ser del Sistema de Gestión de Calidad de la
Organización, de una norma estándar, de una norma
institucional y/o gubernamental. Este tipo de desviación
 afecta la conformidad del producto o servicio y deben ser
resueltas de manera inmediata.

2. Desviación.- Son incumplimientos como los anteriores pero

que no afectan la calidad del producto o servicio. Se trata de
fallos no sistemáticos.

3. Observación.- Se trata de un hallazgo que no incumple

ningún requisito de la norma, o del que no se tiene una
evidencia objetiva.

4.2.8. Papeles de Trabajo (NAGU 3.50)

El auditor gubernamental debe organizar un registro completo y

detallado de la labor efectuada y las conclusiones alcanzadas,
en forma de papeles de trabajo.
Los papeles de trabajo constituyen el vínculo entre el trabajo de
planeamiento y ejecución de auditoría. Por tanto, deberán
contener la evidencia necesaria para fundamentar los
hallazgos, opiniones y conclusiones que se presenten en el
informe. Podrán incluir medios de almacenamiento magnéticos,
electrónicos, informáticos y otros.
No hay nada que sustituya a una comprensión adecuada de los
objetivos de la auditoría, las razones por las cuales se
emprenderá determinada tarea y la forma en que esa tarea
contribuirá al cumplimiento de los objetivos. Esa comprensión
se logra cuando el auditor dispone de papeles de trabajo
debidamente planificados y organizados y, recibe instrucciones
idóneas de sus supervisores. La práctica de indicar claramente
en los papeles de trabajo los fines que se persigan, será muy
útil para asegurarse de que la información obtenida estará
 relacionada directamente con los objetivos de la auditoría y del
informe correspondiente.

PROPÓSITO DE LOS PAPELES DE TRABAJO

a. Contribuir a la planeación y realización de la auditoría.
b. Proporcionar el principal sustento del informe del auditor.
c. Permitir una adecuada ejecución, revisión y supervisión del
trabajo de auditoría.
d. Constituir la evidencia del trabajo realizado y el soporte de
las conclusiones, comentarios y recomendaciones incluidas
en el informe y como prueba preconstituida para los procesos
judiciales, de ser el caso.
e. Permitir las revisiones de calidad de la auditoría.

PROPIEDAD Y CUSTODIA DE LOS PAPELES DE TRABAJO

Los papeles de trabajo son propiedad de los órganos
conformantes del Sistema Nacional de Control, y de las
sociedades de Auditoría, cuyos exámenes practicados contaron
con la autorización de la Contraloría General, destacándose
que en el caso de auditorías practicadas por Sociedades de
Auditoría contratadas directamente por el organismo rector del
Sistema, los papeles de trabajo serán de propiedad de la
Contraloría General de la República.

4.2.9. Comunicación de Hallazgos de Auditoría (NAGU 3.60)

Durante el proceso de la auditoría en la entidad examinada, se

deben comunicar oportunamente los hallazgos a las personas
comprometidas en los mismos, a fin que en un plazo fijado,
presenten sus aclaraciones o comentarios sustentados
documentadamente para su evaluación oportuna y
consideración en el informe correspondiente.

Para los efectos de esta norma, los hallazgos de auditoría se

refieren a presuntas deficiencias o irregularidades identificadas
como resultado de la aplicación de los procedimientos de
auditoría.
Los hallazgos de auditoría con criterios de materialidad o
significación económica debidamente desarrollados,
referenciados y documentados constarán en los papeles de
trabajo.
En los hallazgos de auditoría a ser comunicados, se
considerarán los atributos: Condición, Criterio, Causa y Efecto
del hallazgo; estos últimos dos elementos podrán ser excluidos
de la comunicación cuando la naturaleza del hallazgo y el tipo
de auditoría gubernamental lo exija.
La comunicación de los hallazgos de auditoría durante el
desarrollo del trabajo de campo, es el proceso mediante el cual,
una vez evidenciadas las presuntas deficiencias o
irregularidades, se cumple con hacer de conocimiento a las
personas comprendidas en los mismos, estén o no prestando
servicios en la entidad examinada, para brindarles la
oportunidad de presentar sus aclaraciones o comentarios
debidamente documentados.
En la redacción de los hallazgos de auditoría, se debe utilizar
lenguaje sencillo y fácilmente entendible, tratando los asuntos
en forma objetiva, concreta y concisa.
La comunicación se efectúa por escrito en forma personal y
reservada, a la persona directamente vinculada con el hallazgo,
debiendo acreditarse su recepción. En caso de no ser ubicadas
las personas comprendidas en los hallazgos materia de
 comunicación, serán citados a través del Diario Oficial El
Peruano u otro de mayor circulación de la localidad en que se
encuentra la entidad auditada. El plazo para la entrega de las
aclaraciones o descargos debidamente documentados será
establecido de acuerdo con las disposiciones correspondientes.

EXCEPCIÓN
A fin de no poner en riesgo los resultados de la investigación
del Ministerio Público y Poder Judicial a iniciarse y en resguardo
de un ejercicio efectivo del derecho de defensa ante las
autoridades competentes, se exceptúa de la comunicación de
hallazgos a quienes se encuentren comprendidos en los
indicios razonables de comisión de delito o de responsabilidad
civil determinados, emitiéndose directamente el Informe
Especial Legal y remitiéndolo a los organismos legales
competentes.

4.3. Fase III Informe de Auditoría

4.3.1. El Informe

Es la culminación de una auditoría o revisión. Representa el

aspecto crítico del proceso porque es la representación
fidedigna, visible en que terceros pueden confiar. Así pues,
debe mostrar claramente el alcance del trabajo realizado y la
responsabilidad que se asume en cuanto a la razonabilidad de
los Sistemas.
Una vez reunida la evidencia, el auditor debe depurar y juzgar
con el mayor celo profesional a fin de obtener las conclusiones
adecuadas. Al emitir su opinión, terceras personas depositan su
confianza en él.
 Los informes que se emitan deben tener en consideración
los siguientes criterios (Según el MAGU)

 Claridad: los informes deben ser fáciles de entender y estar

libres de ambigüedades o vaguedades.

 Objetividad: los informes deben estar libres de prejuicios.

 Precisión: los informes no deben ser más largos de lo

necesario. No deben existir párrafos o secciones demasiado
detalladas que no se adecuen con claridad al contenido del
informe. Muchos detalles quitan mérito al informe y pueden
desvirtuar y confundir al usuario de este.

 Equidad: los informes deben ser equilibrados y reflejar un

adecuado conocimiento de los problemas significativos sobre
la habilidad de la entidad auditada, para administrar sus
operaciones.

4.3.2. Elaboración Del Informe (NAGU 4.10)

Como producto final del trabajo de campo, la comisión auditora

procederá a la elaboración del informe correspondiente,
considerando las características y estructura señaladas en las
Normas de Auditoria Gubernamental.

El informe es el documento escrito mediante el cual la Comisión

de Auditoría expone el resultado final de su trabajo, a través de
juicios fundamentados en las evidencias obtenidas durante la
fase de ejecución, con la finalidad de brindar suficiente
 información a los funcionarios de la entidad auditada y
estamentos pertinentes, sobre las deficiencias o desviaciones
más significativas, e incluir las recomendaciones que permitan
promover mejoras en la conducción de las actividades u
operaciones del área o áreas examinadas. Las deficiencias
referidas a aspectos de control interno, se revelaran en el
Memorándum de Control Interno, de acuerdo a lo prescrito en la
norma correspondiente.

Con el propósito de adelantar el inicio oportuno del

procedimiento sancionador, la adopción de recomendaciones
que lo ameriten o para atender requerimientos de organismos
autónomos cuando corresponda, la comisión auditora podrá
elaborar, asimismo, informes que expongan el resultado final
que, en relación a determinada deficiencia o desviación
significativa u otro objetivo de control, hubiera obtenido
previamente a la culminación de la etapa de ejecución de la
auditoría. En tal caso, deberá dejarse constancia de su emisión
en la sección Introducción, parágrafo Otros aspectos de
importancia, del informe que exponga el resultado integral de la
acción de control.

Las características y estructura específicas del informe, según

el tipo de auditoría, que deben ser materia de cumplimiento, se
encuentran establecidas en las NAGU 4.20, 4.30, 4.40, así
como en la NAGU 4.50 – Informe Especial, en su caso.

4.3.3. Oportunidad del Informe (NAGU 4.20)

La comisión auditora deberá adecuarse a los plazos estipulados

en el programa correspondiente, a fin que el informe pueda
 emitirse en el tiempo previsto, permitiendo que la información
en él revelada sea utilizada oportunamente por el titular de la
entidad y/o autoridades de los niveles apropiados del Estado.
En tal sentido, la Comisión Auditora debe prever que la
elaboración del informe concluya en el plazo otorgado, a fin de
permitir su emisión oportuna y tener presente ese propósito al
ejecutar la acción de control.

4.3.4. Características del Informe (NAGU 4.30)

Los informes que se emitan deben caracterizarse por su alta

calidad, para lo cual se deberá tener especial cuidado en la
redacción, así como en la concisión, exactitud y objetividad al
exponer los hechos.
El informe debe redactarse en forma narrativa, de manera
ordenada, sistemática y lógica, empleando un tono constructivo;
cuidando de utilizar un lenguaje sencillo y fácilmente entendible
a fin de permitir su comprensión incluso por los usuarios que no
tengan conocimientos detallados sobre los temas incluidos en el
mismo. De considerarse pertinente, se incluirán gráficos, fotos
y/o cuadros que apoyen a la exposición.
La exactitud requiere que la evidencia presentada fluya de los
papeles de trabajo y que las observaciones sean correctamente
expuestas. Se basa en la necesidad de asegurarse que la
información que se presenta sea confiable a fin de evitar errores
en la presentación de los hechos o en el significado de los
mismos, que podrían restar credibilidad y generar
cuestionamiento a la validez sustancial del informe.

4.3.5. Contenido del Informe (NAGU 4.40)

El contenido del informe expondrá ordenada y apropiadamente
los resultados de la acción de control, señalando que se realizó
de acuerdo a las Normas de Auditoria Gubernamental y
mostrando los beneficios que reportará a la entidad.

Esta norma tiene por finalidad regular el contenido del Informe

de la acción de control, trátese ésta de una auditoría financiera
(informe largo), auditoría de gestión o examen especial según
sea el caso, con el objeto de asegurar que su denominación,
estructura y el desarrollo de sus resultados guarden la debida
uniformidad, ordenamiento, consistencia y calidad, para fines
de su máxima utilidad por la entidad examinada.

Adicionalmente se emitirá una "Síntesis Gerencial" del Informe.

El informe debe presentar la siguiente estructura.

ESTRUCTURA
I. INTRODUCCIÓN
Información general concerniente a la acción de control y a la
entidad examinada.

1. Origen del examen

Antecedentes o razones que motivaron la realización de la
acción de control; debiéndose hacer mención al
documento y fecha de acreditación.

2. Naturaleza y Objetivos del Examen

Naturaleza o tipo de la acción de control practicada
(auditoría financiera, auditoría de gestión o examen
especial), así como los objetivos previstos respecto de la
misma.
 Los objetivos están referidos a lo que espera lograrse
como resultado del examen. Al exponerlos se darán a
conocer los límites de la auditoría, a fin de evitar
interpretaciones erróneas en los casos en que los
objetivos hayan sido particularmente limitados o puntuales
sobre determinados aspectos de la gestión.

3. Alcance del examen

Cobertura y profundidad del trabajo realizado para el logro
de los objetivos de la acción de control, precisando el
periodo y áreas de la entidad examinadas, ámbito
geográfico donde se realizó el examen y, asimismo,
dejándose constancia que éste se llevó a cabo de acuerdo
con las Normas de Auditoría Gubernamental.
De ser el caso, el auditor revelará las limitaciones al
alcance del examen que se presenten en el proceso del
trabajo. Si se emplean datos que no hayan sido
verificados, ese hecho deberá manifestarse. También
deberán revelarse las modificaciones efectuadas al
enfoque de la auditoría como consecuencia de las
limitaciones de la información o del alcance de la auditoría.
Asimismo, debe revelarse que las irregularidades con
daño económico y/o indicios razonables de comisión de
delito, son materia de un informe especial legal.

4. Antecedentes y base legal de la entidad

Aspectos de mayor relevancia que guarden vinculación
directa con la acción de control realizada, así como las
principales normas legales que le(s) sean de aplicación.

5. Comunicación de hallazgos
 Se deberá indicar haberse dado cumplimiento a la
comunicación oportuna de los hallazgos efectuada al
personal que labora o haya laborado en la entidad
comprendido en ellos.

6. Memorándum de Control Interno

Se indicará que durante la acción de control se ha emitido
el Memorándum de Control Interno, en el cual se informó
al titular sobre la efectividad de los controles internos
implantados en la entidad. Dicho documento así como el
reporte de las acciones correctivas que en virtud del
mismo se hayan adoptado, se deberá adjuntar como
anexo del informe.

7. Otros Aspectos de Importancia

Podrá referirse información verificada que la Comisión
Auditora, basada en su opinión profesional competente,
considere de importancia o significación, cuya revelación
permita mostrar la objetividad e imparcialidad del trabajo
desarrollado por la Comisión; tal como:

a. El reconocimiento de las dificultades o limitaciones, de

carácter excepcional, en las que se desenvolvió la
gestión realizada por los responsables de la entidad o
área examinada,

b. El reconocimiento de logros significativos alcanzados

durante la gestión examinada,
 c. La adopción de correctivos por la propia administración,
durante la ejecución de la acción de control, que hayan
permitido superar hechos observables,

d. Informar de aquellos asuntos importantes que requieran

un trabajo adicional, siempre que no se encuentren
directamente comprendidos en los objetivos de la
acción de control,

e. Eventos posteriores a la ejecución del trabajo de campo

que hayan sido de conocimiento de la comisión auditora
y que afecten o modifiquen el funcionamiento de la
entidad o de las áreas examinadas.

f. La indicación de los informes que se hubieran emitido

previamente a la culminación de la etapa de ejecución
de la auditoría, de ser tal el caso.

Si alguno de los aspectos considerados en este punto por

la comisión auditora, demandara una exposición o
desarrollo extenso, será incluido como anexo del Informe.
Dichos aspectos, asimismo, podrán dar lugar a la
formulación de conclusiones y/o recomendaciones, si
hubiere mérito para ello.

II. OBSERVACIONES
En esta parte del Informe, la Comisión Auditora desarrollará
las observaciones que, como consecuencia del trabajo de
campo realizado y la aplicación de los procedimientos de
control gubernamental, hayan sido determinadas como tales.
Las observaciones, para su mejor comprensión, se
presentarán de manera ordenada, sistemática, lógica y
numerada correlativamente, evitando el uso de calificativos
innecesarios y describiendo apropiadamente sus elementos
o atributos característicos. Dicha presentación considerará
los siguientes aspectos:

1. Sumilla
Es el título o encabezamiento que identifica el asunto
materia de la observación.
2. Elementos de la observación (condición, criterio,
efecto y causa)
Son los atributos propios de toda observación, los cuales
deben ser desarrollados objetiva y consistentemente.

3. Comentarios y/o aclaraciones del personal

comprendido en las observaciones
Son las respuestas brindadas a la comunicación de los
hallazgos respectivos, por el personal comprendido
finalmente en la observación.

4. Evaluación de los comentarios y/o aclaraciones

presentados
Es el resultado del análisis realizado por la Comisión
Auditora sobre los comentarios y/o aclaraciones y
documentación presentada por el personal comprendido
en la observación, debiendo sustentarse los argumentos
invocados y consignarse la opinión resultante de dicha
evaluación.
 La mencionada opinión incluirá, al término del desarrollo
de cada observación, la identificación de las presuntas
responsabilidades administrativas funcionales por la
comisión de infracciones graves y muy graves a que
hubiera lugar, de acuerdo con lo establecido por el Titulo II
“Infracciones por responsabilidad administrativa funcional”
del Reglamento de la Ley N° 29622, con indicación del
artículo e inciso aplicable en cada caso. Asimismo, se
identificará separadamente la existencia de presuntas
infracciones leves, indicándose en este caso que las
mismas corresponden ser derivadas a los titulares de las
entidades auditadas para su procesamiento y sanción
correspondiente.

La identificación de responsabilidad administrativa

funcional se efectuará por cada persona comprendida en
la observación, describiendo los hechos y criterios que
sustentan la presunta comisión de la infracción, cualquiera
sea su tipo. Si los hechos dieran lugar a la identificación
de más de una infracción, todas éstas deben ser
necesariamente consignadas y sustentadas, en cada
caso.

De considerarse la existencia de indicios razonables de la

comisión de delito o de perjuicio económico, se dejará
constancia expresa que tal aspecto es tratado en el
Informe Especial correspondiente.

III. CONCLUSIONES
En este rubro la Comisión Auditora deberá expresar las
conclusiones del Informe de la acción de control,
 entendiéndose como tales los juicios de carácter profesional,
basados en las observaciones establecidas, que se formulan
como consecuencia del examen practicado a la entidad
auditada.

IV. RECOMENDACIONES
Las recomendaciones constituyen las medidas específicas
indicadas a la administración de la entidad, orientadas a
promover la superación de las causas y las observaciones
evidenciadas durante el examen. Serán dirigidas al Titular o
en su caso a los funcionarios públicos que tengan
competencia para disponer su aplicación.

Las recomendaciones se formularán con orientación

constructiva para propiciar el mejoramiento de la gestión de
la entidad y el desempeño de los funcionarios y servidores
públicos a su servicio, con énfasis en contribuir al logro de
los objetivos institucionales dentro de parámetros de
economía, eficiencia y eficacia; aplicando criterios de
oportunidad de acuerdo a la naturaleza de las observaciones
y de costo proporcional a los beneficios esperados.

Para efecto de su presentación, las recomendaciones se

realizarán siguiendo el orden jerárquico de los funcionarios
responsables a quienes va dirigida, referenciándolas en su
caso a las conclusiones, o aspectos distintos a éstas, que las
han originado.

También se incluirá como recomendación, cuando existiera

mérito de acuerdo a los hechos revelados en las
observaciones, el procesamiento de las presuntas
 responsabilidades administrativas que se hubiesen
identificado en el Informe, conforme a las disposiciones
contenidas en la Ley N° 29622, su reglamento y la normativa
que la Contraloría General apruebe sobre la materia,
teniendo en cuenta las consideraciones siguientes:

a) De haberse identificado presuntas responsabilidades

administrativas funcionales por la comisión de infracciones
graves y muy graves se recomendará que el informe con los
recaudos y evidencias documentales correspondientes, sea
de conocimiento del Órgano Instructor de la Contraloría
General de la República a través del nivel gerencial
competente, para fines del inicio del procedimiento
sancionador; debiendo señalarse expresamente la
competencia legal exclusiva que al respecto concierne al
citado Órgano Instructor y el impedimento subsecuente de la
entidad para disponer el deslinde de responsabilidad por los
mismos hechos, lo que deberá ser puesto de conocimiento
del titular de la entidad auditada.

b) De haberse identificado presuntas responsabilidades

administrativas funcionales por la comisión de infracciones
leves, se recomendará al titular de la entidad auditada que
disponga su procesamiento y la aplicación de las sanciones
correspondientes, conforme al marco legal aplicable.

V. ANEXOS
A fin de lograr el máximo de concisión y claridad en el
informe, se presentarán como anexos cuando sean
necesarios, los informes emitidos por profesionales y/o
especialistas debido a su importancia que complementen o
amplíen las observaciones significativas contenidas en el
mismo.
Asimismo se incluirá un Cuadro como anexo, en el que se
consignen a los responsables con indicación del nombre y
número de observación.
En lo que respecta a las observaciones con responsabilidad
administrativa, únicamente se incluirán como anexos
aquellos documentos que no obran en la entidad examinada.

FIRMA
El informe deberá ser firmado por el auditor encargado, el
supervisor y los niveles gerenciales correspondientes de la
Contraloría General de la República. En el caso de los
órganos de auditoría interna, por el auditor encargado, el
supervisor y el jefe del respectivo órgano.

Los Informes emitidos por las Sociedades de Auditoría serán

suscritos por el socio participante y auditor responsable de la
auditoría. De ameritarlo por la naturaleza y contenido del
Informe, también será suscrito por el abogado u otro
profesional y/o especialista participante en la acción de
control.

SÍNTESIS GERENCIAL
Adicionalmente al Informe de la acción de control, podrá
emitirse una “Síntesis Gerencial del Informe”, de contenido
necesariamente breve y preciso. La Alta Dirección de la
Contraloría General de la República y el Titular del Órgano
de Auditoría Interna, podrá eximir a la Comisión Auditora de
la emisión de dicha Síntesis.
4.4. Fase IV Seguimiento

Esta fase cierra el ciclo del proceso de auditoría, en la cual se efectuará

el análisis y evaluación del acatamiento de las entidades del estado a
las recomendaciones formuladas por la Contraloría General de la
República.
Para su ejecución se debe cumplir todo el ciclo de auditoría.
V. BIBLIOGRAFÍA

1. González, Gonzalo. "Informática 11 Colección Ciencia Educativa".

Nueva Imagen.
2. Hernández, Enrique. 1997. "Auditoria Informática: Un Enfoque
Metodológico y Práctico. Continental. México.
3. Kell, Walter y Ziegler, Richard. "Auditoria Moderna" Continental.
4. Piattini, Mario G. y Del Peso, Emilio. 1998. "Auditoria Informática: Un
Enfoque Práctico". Computec RAMA. Madrid, España.
5. http://www.oocities.org/mx/acadentorno/aui1.pdf

REFERENCIAS NORMAS LEGALES

1. Ley Orgánica del Sistema Nacional de Control y de la Contraloría

General de la República. Ley 27785.
2. Manual de Auditoría Gubernamental. Resolución Contraloría N° 152-98-
CG
3. Normas de Auditoría Gubernamental. Resolución Contraloría N° 162-
95-CG y sus modificatorias por Resoluciones de Contraloría N° 246-95,
112-97-CG, 141-99-CG, 259-2000-CG, 012-2002-CG, 089-2002-CG y
309-2011-CG
4. Ley de Control Interno de las Entidades del Estado. Ley 28716.
5. Ley que incorpora al Código Penal los Delitos Informáticos. Ley 27309.
6. Normas de Control Interno. Resolución de Contraloría General Nº 320-
2006-CG
7. “Guía para la Implementación del Sistema de Control Interno de las
entidades del Estado”. Resolución de Contraloría General Nº 458-2008-
CG.
8. Norma Técnica Peruana NTP - ISO / IEC 17799.
9. Gestión de la Continuidad del Negocio. CIRCULAR Nº G- 139 -2009
10. Gestión de la Seguridad de la Información. CIRCULAR Nº G- 140 -2009
 REFERENCIAS WEB PARA CONSULTAS

1. Instituto Nacional de Estadística e Informática "Plan de Contingencias y

Seguridad de la Información".
http://www.inei.gob.pe/web/metodologias/attach/lib611/0300.htm
2. José Alfredo Jiménez "Evaluación de la Seguridad de un Sistema de
Información.
http://www.ilustrados.com/publicaciones/EpyppFyEAyLgAPFJNN.php
3. Horacio Quinn Eduardo. La Auditoria informatica dentro de las etapas
de Análisis de Sistemas Administrativos.
http://www.monografias.com/trabajos5/audi/audi.shtml#redes
4. D' Sousa Carmen. Auditoría de Sistemas.
http://www.monografias.com/trabajos11/siste/siste.shtml#eva
5. CAIB. 21/01/2002. “Auditoría Informática”.
http://dmi.uib.es/~bbuades/auditoria/index.htm

VI. ANEXOS
 ANEXO 01

ACCION DE CONTROL N° 001-2013-OFICINA CENTRAL DE ADMISION

DE LA UNIVERSIDAD NACIONAL DE PIURA

PLAN DE EXAMEN ESPECIAL

I. ORIGEN DEL EXAMEN:

Este examen se efectúa en cumplimiento de las acciones de control
programadas en el Plan Anual de Control 2013 de la Universidad Nacional de
Piura.

II. ANTECEDENTES DE LA ENTIDAD Y DE LOS ASUNTOS A SER

EXAMINADOS

Las principales funciones de realiza la Oficina Central de Admisión (OCA)

son:

 Dirigir, organizar, administrar y evaluar los concursos de admisión en sus

diferentes modalidades.
 Preparar el presupuesto del concurso de admisión.
 Preparar el prospecto de admisión.
 Proponer un modelo de examen a la Comisión de Supervisión.
 Proponer el cuadro de vacantes ofrecidas para los procesos de admisión,
previo análisis de las demanda, por los servicios que brinda la
Universidad.
 Controlar la inscripción de postulantes a los procesos de admisión.
 Publicar los resultados por cada examen.
 Elaborar las estadísticas de resultados por cada examen.
  Efectuar la publicación de solucionarios.
 Preparar el banco de preguntas.
 Apoyar a la evaluación de exámenes de IDEPUNP.

Los asuntos que serán examinados son los siguientes:

 Evaluar el Sistema de Calificación y Admisión con el cumplimiento de los

objetivos organizacionales.
 Verificar que el Sistema de Calificación y Admisión cumpla con las normas
establecidas por la Universidad Nacional de Piura.
 Evaluar la base de datos del Sistema.
 Verificar la existencia de planes de contingencias adecuados a las
necesidades de la Institución.

FUENTE: REGLAMENTO GENERAL DE LA UNP ABROBADA BAJO RESOLUCION DE CONSEJO UNIVERISTARIO Nº

887-CU-2006

III. OBJETIVOS Y ALCANCE DEL EXAMEN

Los objetivos planteados para la ejecución del Examen Especial son:

1) Verificar que los requerimientos del Sistema sean acordes con los
objetivos de la Oficina Central de Admisión.

2) Evaluar la base de datos del Sistema de Calificación y Admisión

3) Comprobar si existe una herramienta de prevención, mitigación, control y

respuesta ante posibles contingencias que puedan afectar el correcto
funcionamiento del Sistema.
IV. PROGRAMA DE PROCEDIMIENTOS A EJECUTAR EN EL EXAMEN

Objetivo N° 01:

Verificar que los requerimientos del Sistema sean acordes con los objetivos
de la Oficina Central de Admisión.

Procedimientos de Auditoria:

1. Solicitar a la Jefatura de la Oficina Central de Admisión, la documentación

funcional y técnica del Sistema de Calificación y Admisión, el Plan
Estratégico y el Plan Operativo Anual de la Oficina.

2. Recopilar y analizar los procedimientos administrativos de cada área que

conforma la Oficina (flujo de información, formatos, reportes y consultas)

3. Evaluar la información brindada por el sistema contra las necesidades y

requerimientos de los usuarios.

Objetivo N° 02:

Evaluar la base de datos del Sistema de Calificación y Admisión

Procedimientos de Auditoria:

1. Solicitar la documentación sobre el análisis, diseño lógico y físico de la

base de datos.

2. Analizar las llaves, redundancias, control existente en la base de datos.

3. Evaluar la seguridad de la base de datos a nivel lógico y físico.

4. Evaluar si existen procedimientos de respaldo y de recuperación de datos.

Objetivo N° 03:

Comprobar si existe una herramienta de prevención, mitigación, control y

respuesta ante posibles contingencias que puedan afectar el correcto
funcionamiento del Sistema.

Procedimientos de Auditoria:

1. Determinar si existe un plan de contingencia donde se establezcan los

procedimientos a utilizarse para evitar interrupciones en las operaciones
de la Oficina.

2. Verificar que la documentación relacionada al plan de contingencia se

encuentre actualizada.

3. Verificar si el plan de contingencia aprobado, se ha distribuido entre el

personal responsable y asimismo se tengan copias de dicho documento
por prevención.

4. Determinar si se efectúan revisiones y se realizan pruebas del plan de

contingencias cada vez que se produzcan cambios en la configuración de
los equipos.
 Nota: los procedimientos establecidos en ente programa, no son
limitativos durante la ejecución de la Auditoria, pudiendo utilizarse
otros procedimientos que sean necesarios según las circunstancias.

V. CRITERIOS DE AUDITORIA A UTILIZAR

Este examen se realizara de acuerdo a los documentos de gestión

administrativa: Plan Estratégico 2009 – 2013, Plan Operativo Anual, MOF,
ROF, CAP, Reglamento General de Admisión; y también con las normas que
nos brinda el estado: Guía de Control Interno, Norma BS 25999 (Normas de
Continuidad del Negocio), MAGU (Manual de Auditoria Gubernamental),
NAGU (Normas de Auditoria Gubernamental), Norma Técnica Peruana NTP
17799. Leyes Internacionales como la Ley Cobit, MAPRO’S de la Oficina
Central de Admisión así como otras Normas y Directivas que sean
necesarias de acuerdo a las circunstancias.

VI. RECURSO DE PERSONAL Y ESPECIALISTAS

El personal del Órgano de Auditoria Interna que participara en el examen es

el siguiente:

 Kelly Tatiana Delgado Seminario Auditor

 Luis Enrique Escobar Mogollón Supervisor
 Juan Luis Guayanal Hurtado Especialista
 Miguel Angel Atarama LaChira Especialista
 Jimy Monja Ancajima Especialista
VII. INFORMES A EMITIR Y FECHA DE ENTREGA

Se emitirá un informe en el cual se expondrán los resultados del examen

especial, la fecha de entrega del informe será el 31/07/2013

VIII. FORMATO TENTATIVO DE INFORME

 Síntesis Gerencial
 Introducción
 Observaciones
 Conclusiones
 Recomendaciones
 Anexos

IX. PROGRAMACION DE HORAS

GRUPO AUDITOR HORAS TOTALES
Kelly Tatiana Delgado Seminario 20
Luis Enrique Escobar Mogollón 20
Juan Luis Guayanal Hurtado 20
Miguel Angel Atarama LaChira 15
Jimy Monja Ancajima 15

------------------------------------------ ------------------------------------------
KELLY DELGADO SEMINARIO LUIS ESCOBAR MOGOLLON
Auditor Supervisor
 ANEXO 02

PROGRAMA DETALLADO DE AUDITORIA

Nombre de la Entidad : UNIVERSIDAD NACIONAL DE PIURA - OFICINA

CENTRAL DE ADMISIÓN
Fecha de auditoría : .................................................................................................
PROGRAMADO AREA DE INFORMATICA TERMINADO
NOMBRE H/S Ref PT Hecho por H/S
Objetivo N°1:
Verificar que los requerimientos del Sistema
sean acordes con los objetivos de la Oficina
Central de Admisión.
Criterio:
- Reglamento de Organización y Funciones
(ROF)
- Plan Estratégico 2009 – 2013
- Plan Operativo 2012.
- Reglamento General UNP.
- Reglamento General de Admisión.
- Mapro OCA

Procedimientos de Auditoria:

MAL-KDS 5 1. Solicitar a la Jefatura de la Oficina Central de PT001 MAL-KDS 3

Admisión, la documentación funcional y
técnica del Sistema de Calificación y
Admisión, el Plan Estratégico y el Plan
Operativo Anual de la Oficina.

KDS 8 2. Recopilar y analizar los procedimientos PT002 KDS 10

administrativos de cada área que conforma la
Oficina (flujo de información, formatos,
reportes y consultas)

MAL-KDS 5 3. Evaluar la información brindada por el PT003 MAL-KDS 3

LEM 10 sistema contra las necesidades y PT004 LEM 12
requerimientos de los usuarios.

Objetivo N°2:
Evaluar la base de datos del Sistema de
Calificación y Admisión

Criterio:
- Norma Técnica Peruana NTP 17799
 - Normas de Control Interno
- Ley Cobit

Procedimientos de Auditoria:

JMA 5 1. Solicitar la documentación sobre el análisis,

diseño lógico y físico de la base de datos. PT005 JMA 3

LEM-JMA 10 2. Analizar las llaves, redundancias, control

existente en la base de datos.

LEM 15 3. Evaluar la seguridad de la base de datos a

nivel lógico y físico.

LEM 10 4. Evaluar si existen procedimientos de respaldo

y de recuperación de datos.

Objetivo N°3:
Comprobar si existe una herramienta de
prevención, mitigación, control y respuesta
ante posibles contingencias que puedan
afectar el correcto funcionamiento del
Sistema.
Criterio:
- Ley Cobit
- Norma Técnica Peruana
- Norma BS 25999

Procedimientos de Auditoria:
JGH 8 1. Determinar si existe un plan de contingencia PT006 JGH 5
donde se establezcan los procedimientos a
utilizarse para evitar interrupciones en las
operaciones de la Oficina.

JGH - JMA 10 2. Verificar que la documentación relacionada al PT007 JGH - JMA 5

plan de contingencia se encuentre
actualizada.

JGH - JMA 5 3. Verificar si el plan de contingencia aprobado, PT007 JGH - JMA 6

se ha distribuido entre el personal
responsable y asimismo se tengan copias de
dicho documento por prevención.

JGH - JMA 5 4. Determinar si se efectúan revisiones y se PT008 JGH - JMA 5

realizan pruebas del plan de contingencias
cada vez que se produzcan cambios en la
configuración de los equipos.
 ANEXO 03

PAPEL DE TRABAJO

Unidad Administrativa: Oficina Central de Admisión UNP (OCA)

Elaboró: MAL
Referencia: PT001
Revisó: KDS
Cédula: Sistema de Admisión y Calificación

Objetivo de Control:
Verificar que los requerimientos del Sistema sean acordes con los objetivos de la Oficina
Central de Admisión.

Procedimiento:
Se envió una solicitud dirigida al Jefe de OCA, el Sr. Cesar Haro Diaz el día xx de xx
del 2013 solicitando la documentación funcional y técnica del Sistema de Calificación y
Admisión, el Plan Estratégico y el Plan Operativo Anual de la Oficina.
Con aprobación del jefe de la OCA se procedió al recojo de la información necesaria
para el proceso de auditoría, posteriormente se prosiguió con la firma del acta
respectiva por parte de los involucrados.

Información Obtenida:
- Plan Estratégico de la Oficina Central de Admisión 2009 - 2013
- Manual de Organización y Funciones OCA.
- Plan Operativo Institucional.

Observaciones:
Situación: Parte de la información requerida no se encontraba disponible, La
información obtenida estaba sin aprobación de los entes superiores de la Universidad
Nacional de Piura.

Criterio: No se cumple la norma “1.3 Administración Estratégica” correspondiente

a la Normas de Control Interno 320-2006-CG.

Causa: Falta de interés por parte de los miembros de OCA en presentar y elaborar los
documentos de Gestión pertinentes.

Efecto: Falta de eficiencia en la OCA lo que origina mayores costos y baja

productividad de la dependencia.

Conclusión:
- Falta de interés de los miembros de la Oficina en elaborar, actualizar y normar los
documentos de gestión para su debida aprobación.
Recomendaciones:

- Elaborar y/o actualizar los documentos de gestión para su posterior aprobación y

distribución.

Anexos:
- Solicitud Aprobada por el Jefe de OCA.
- Acta de Apertura de Auditoria
- Acta de Entrega de Documentos de Gestión.

Elaboró: MAL Supervisó: KDS

Fecha: xx de xx de xxxx Fecha: xx de xx de xxxx