AUDITORÍA DE SISTEMAS

UNIDAD 1: Papeles de Trabajo

UNIDAD 2: Planeación de Auditoria
 PAPELES DE TRABAJO

Los papeles de trabajo es el registro de la información recopilada en la

auditoría y le sirven como soporte documental al auditor, en los cuales
se anotan los hechos, acontecimientos y fenómenos de (entrevistas,
cuestionarios, pruebas, encuestas, investigaciones, observaciones y
opiniones) de las situaciones relevantes encontradas durante la
evaluación y reportadas en el informe.
BENEFICIOS

• Acumulación de conocimiento de la organización.

• Fácil transición en caso de realizar algún cambio en el equipo de
trabajo.
• Puede proporcionar evidencia suficiente y adecuada en caso de que
el trabajo del auditor se cuestionado por terceros.
• Permite documentar aquellos aspectos clave a los que el auditor
debe hacer seguimiento continuo.
• Ahorro de tiempo en posteriores auditorias.
• Permite la realización de auditorias de calidad por miembros internos
y externos.
• Permite al auditor un enfoque disciplinado del trabajo de auditoria.
 Contenido del legajo de Papeles de
Trabajo
• Hoja de identificación
• Índice de contenido de los papeles de trabajo
• Dictamen preliminar
• Resumen de desviaciones detectadas
• Situaciones encontradas
• Programa de trabajo de auditoría
• Guía de auditoría
• Inventario de software
• Inventario de hardware
• Manual de organización
• Descripción de puestos
 Contenido del legajo de Papeles de
Trabajo

• Reportes de pruebas y resultados

• Respaldos de datos y programas de aplicación de auditoría
• Respaldos de las bases de datos y de los sistemas
• Guías de claves para el señalamiento de los papeles de trabajo
• Cuadros y estadísticas concentradores de información
• Anexos de recopilación de información
• Diagramas de flujo, de programación y de desarrollo de sistemas
• Testimoniales, actas y documentos legales de comprobación y
confirmación
• Análisis y estadísticas de resultados, datos y pruebas de
comportamiento del sistema
Legajo de papeles de trabajo
Hoja de Identificación
 Índice del Contenido

• Se pagina el contenido total de los papeles de trabajo con el

propósito de identificar rápidamente la página donde se encuentran
cada una de las partes que integran el legajo de papeles.
• Se puede enumerar con siglas cada capítulo. Por ejemplo SI-
001(Seguridad Informática-001)
 Dictamen Preliminar

• El dictamen preliminar es un borrador que contiene un resultado

preparatorio de la evaluación del área de informática, del sistema
auditado, de la función específica de dicha área o de cualquier otro
aspecto relacionado con los temas de la institución.
• Este documento es un bosquejo en el cual se indican las desviaciones
encontradas y el llamado dictamen que hace el auditor de lo que
encontró durante su revisión
 Resumen de Desviaciones Detectadas

• En este documento se reúnen las desviaciones que el auditor

considera como las mas importantes encontradas durante la revisión,
así como sus causas y posibles soluciones.
 Programa de trabajo de Auditoría

Es el documento formal de los planes, programas y presupuestos

hechos para el control y desarrollo de la auditoría, donde se registran
las etapas y actividades a realizar, los tiempos para llevarla a cabo y los
recursos disponibles. Las etapas que conforman el programa de trabajo
de la auditoría de sistemas computacionales son:

• Planeación.
• Ejecución.
• Dictamen.
1ª etapa: Planeación de la auditoría de sistemas computacionales
• P.1 Identificar el origen de la auditoría
• P.2 Realizar una visita preliminar al área que será evaluada
• P.3 Establecer los objetivo de la auditoría
• P.4 Determinar los puntos que serán evaluados en la auditoría
• P.5 Elaborar planes, programas y presupuestos para realizar la auditoría
• P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios
para la auditoría
• P.7 Asignar los recursos y sistemas computacionales para la auditoría
2ª etapa: Ejecución de la auditoría de sistemas computacionales
• E.1 Realizar las acciones programadas para la auditoría
• E.2 Aplicar los instrumentos y herramientas para la auditoría
• E.3 Identificar y elaborar los documentos de desviaciones encontradas
• E.4 Elaborar el dictamen preliminar y presentarlo a discusión
• E.5 Integrar el legajo de papeles de trabajo de la auditoría
3ª etapa: Dictamen de la auditoría de sistemas computacionales
• D.1 Analizar la información y elaborar un informe de situaciones detectadas
• D.2 Elaborar el dictamen final
• D.3 Presentar el informe de auditoría
 Guía de la Auditoría

Contiene una descripción detallada de todos y cada uno de los puntos

importantes que se deben auditar, así como la forma de evaluarlos y la
descripción de las técnicas, métodos y herramientas que deberá
utilizar en dicha evaluación.
 Inventarios
Sirven para contar los elementos que existen en el área que se va a
evaluar; además, con la información que se obtiene se puede
comparar lo que debería existir y lo que realmente existe de los
elementos que se están inventariando.
Entre los principales inventarios en el área de sistemas se tiene:

• Inventario de software
• Inventario de hardware
• Inventario de bases de datos e información de la empresa
• Inventario de proyectos y desarrollos computacionales
• Inventario de puestos de trabajo en el área de sistemas
• Inventario de reportes y pruebas de resultados
• Inventario de mobiliario y equipos
 Inventario de Software

Es el inventario de los programas, lenguajes, sistemas operativos y

cualquier otro software que se utilice en la institución para el
procesamiento de la información y la operación de los sistemas.
 Respaldo de Datos, Información y
Programas
El auditor sólo utiliza la información que producen los sistemas, si ésta
le es útil para evaluar algún aspecto relacionado con la revisión que
está realizando, y casi nunca toma en cuenta las operaciones y
actividades internas que realiza el sistema para arrojar esa
información.
 Respaldo de Base de Datos

El auditor debe evaluar los respaldos, la periodicidad con la que se

llevan a cabo, el periodo de duración o actualización de la información
respaldada, la confiabilidad del respaldo, la manera de evitar fugas de
información, entre otros muchos aspectos.
 Respaldo de Programas

El auditor debe verificar que existan respaldos de los sistemas

operativos, programas o sistemas realizados en la empresa, con el
objeto de evaluar que dichos respaldos sean los adecuados en caso de
ocurrir problemas en el sistema. Además, debe verificar que los
respaldos esté perfectamente custodiados y que no existan mas copias
de las permitidas , para evitar la fuga de información de la empresa y
posterior piratería de programas.
Claves del auditor para marcar papeles de
trabajo
• Son marcas de carácter informal que utiliza el auditor para facilitar la
uniformidad de los papeles de trabajo y para identificarlos mejor.
• Cada marca tiene su significado y así destacan a los documentos mas
importantes, evitan recopilación de papeles inútiles.
 Cuadros estadísticos y documentos de
información
Los documentos como gráficas y datos estadísticos o cuadros en donde
se pueden comparar datos como resultados de procesos y listado de
seguimiento de actividades, tareas y operaciones que se realizan en el
sistema, sirven de soporte para poder presentarla en un resumen de
auditoría. Ejemplos de este tipo de documentos a continuación:

• Cuadro de Concentración Estadística:

 Diagramas de Sistemas

• Los diagramas es la
representación gráfica del
procedimiento para realizar
una serie de operaciones y
actividades coordinadas.

• Para ello se puede utilizar los

símbolos estándares en la
diagramación.
FASES O ETAPAS DE
AUDITORÍA
SEG
UIM
IENT
O

PRESENTACION DE
INFORME

EJECUCIÓN

PLANEACIÓN
PLANEACIÓN DE
AUDITORÍA

El Planeamiento de la Auditoria garantiza el diseño de una estrategia adaptada

las condiciones de cada entidad tomando como base la información recopilada
en la etapa de Exploración Previa.

En este proceso se organiza todo el trabajo de Auditoria, las personas

implicadas, las tareas a realizar por cada uno, los recursos necesarios, los
objetivos, programas a aplicar entre otros.
 Programa de Auditoría:

• Herramienta del auditor para cumplir con las normas de auditoría

• Provee una guía para distribuir las tareas

• Determinar el cumplimiento de la unidad auditada con la

reglamentación aplicable

• Permite al auditor detectar faltas o deficiencias de controles

internos
Lista de Verificación o Lista de
Chequeo:

• Apoya al Auditor en reducción de Tiempo

• Es una guía para cumplir con la verificación total del proceso a Auditar.

• Es una lista de chequeo y observación

• Ayuda a centrar la auditoria en aspectos relevantes

• Permite recopilar las evidencias de la auditoria de acuerdo al desarrollo.

 VERIFICACIÓN DE
PROCESOS

Perfil del Auditor

Actuar
Planear
Verificar
hacer

La utilización de este ciclo en la evaluación y

verificación de los Procesos permitirá resultados
satisfactorios mejorando la integración de la
competitividad de los servicios ofrecidos como firma
Auditoría Técnica Externa.
Planear

Entrevistar Sobre:

• Los propósitos del proceso.

• El alcance y las responsabilidades.
• Recursos. Planear
Actuar
Verificar
hacer
• Despliegue de objetivos.
• La identificación y comunicación de los
requisitos del cliente.
Hacer

• La disponibilidad de documentos y registros incluyendo su

control.
• La aplicación de las técnicas y métodos de operación.
• La definición y aplicación de las disposiciones establecidas en los
documentos.
• Evaluar el contenido de los registros de calidad
• La formación del personal.

Actuar
Planear
Verificar
hacer
Verificar

• Método de seguimiento de desempeño de procesos

• Seguimiento a los productos.
• Indicadores de gestión.
• Análisis de datos generados.
• Resultados de auditorias de calidad al proceso.

Actuar
Planear
hacer
Verificar
 Actuar

Preguntar por:

• La aplicación de correcciones.
• El desarrollo de acciones correctivas.
• La implementación de acciones preventivas.
• Las acciones de mejora continua.

Actuar
Planear
Verificar
hacer
 EJECUCIÓN

El auditor debe asegurarse del cumplimiento de las Normas de Auditoría

Generalmente Aceptadas, y del conocimiento y dominio del Manuales de
procedimientos del área a auditar.
Esquema de fases en la Ejecución

Fase de Reunión de Inicio

• Presentación del Equipo Auditor
• Comunicación de la Auditoría
• Confirmar los canales de
Comunicación TIPOS
• Presentación de Cronograma tentativo

Recopilación de datos e información

• Obtención de información para la
auditoría
• Obtención de documentos Claves
• Aplicación de procedimientos de
Auditoría de acuerdo al programa
 Esquema de fases en la Ejecución

Análisis y evaluación de datos e información

• Análisis de Resultado Hallazgos de TIPOS
Auditoría
• Análisis de las recomendaciones basadas
en los resultados
• Determinar recomendaciones Finales

Reunión de Cierre
• Comunicar los principales resultados
• Formalizar acuerdos, si corresponde
• Relevar importancia de toma de medidas
Fuente de Información

Equipo
en
Funcionamiento

Registros
Observaciones

Condiciones
de Almacenamiento
Datos
Condiciones ( Estadísticas)
De Operación
EJECUCIÓN

Las Entrevistas

Las entrevistas constituyen un elemento clave de las

auditorías y se necesitan ciertas habilidades para que
agreguen valor.

Las entrevistas son el corazón de toda auditoría.

Pueden proporcionar información clave para
comprender los éxitos y desafíos de los sistemas.
Las Entrevistas

Errores que no se deben cometer al realizar las

entrevistas:

• Auditar solamente documentos.

• Tomar las cosas de forma personal.
• Expresar antipatía por el auditado.
• Aceptar afirmaciones sin tener acceso a los
hechos.
• Expresar juicios propios.
 Análisis y evaluación de
datos e información

Hallazgo Resultados de la evaluación de la

evidencia objetiva recopilada frente al conjunto
de políticas, procedimientos o requisitos
utilizados como referencia.

Es registrado en la lista de verificación como

respuesta a los cuestionamientos que han sido
preparados Resultados de la auditoria Técnicas de
auditorias
Marcas de Auditoria

Las marcas de auditoría son signos que utiliza el

auditor para señalar el tipo de procedimiento que
está aplicando, simplificando con ello su papel de
trabajo.

√ suma correcta.
Calculo Verificado.
Cifra que no debe ser considerada. Es decir, no
incluirse en tabulaciones, sumatorias, inventarios,
etc.
Documento o asunto pendiente por aclarar,
revisar o localizar.
Marcas de Auditoria
Documento o asunto pendiente aclarado,
revisado o localizado.
verificado contra registros.

Verificado contra documento original o

expediente.

Confrontado contra evidencia física, se

utiliza cuando algún dato o cifra se
compara contra bienes o artículos
tangibles, ejemplo: bienes inventariados o
fondos arqueados.
EJECUCIÓN
Conectores y Notas
Los conectores son números arábigos encerrados en
círculo con una flecha que indica la dirección donde
se encuentra el conector correspondiente y se utiliza
para identificar dos datos o cifras que dependen uno
de otro, haciendo referencia en todos los casos al
mismo dato, pero con diferentes niveles de
desagregación.