Cristian Camilo Ascencio Rodriguez

Jhonny Smith Alvarez

Auditoria de Sistemas
Grupo Jueves 6:15 pm - 7:45 pm

INDICE

PAPELES DE TRABAJO………………………………………………………………………………………………..1
OBJETIVOS ………………………………………………………………………………………………………………..1
NATURALEZA Y CARACTERÍSTICAS……………………………………………………………………………..1

CLASIFICACIÓN DE LOS PAPELES DE TRABAJO…………………………………………………………….2

ESTRUCTURA DEL INFORME DE AUDITORÍA……………………………………………………………….5

USO DE HERRAMIENTAS DE AUDITORIA PARA LLEVAR

A CABO EL TRABAJO DEL AUDITOR…………………………………………………………………………….6

PAPELES DE TRABAJO

Los papeles de trabajo son el conjunto de documentos que contienen la información

obtenida por el auditor en su revisión, así como los resultados de los procedimientos y
pruebas de auditoría aplicados; con ellos se sustentan las observaciones, recomendaciones,
opiniones y conclusiones contenidas en el informe correspondiente.

OBJETIVOS

Los papeles de trabajo cumplen principalmente los siguientes objetivos:

✓ Registrar de manera ordenada, sistemática y detallada los procedimientos y

actividades realizados por el auditor.
✓ Documentar el trabajo efectuado para futura consulta y referencia.
✓ Proporcionar la base para la rendición de informes.
✓ Facilitar la planeación, ejecución, supervisión y revisión del trabajo de auditoría.
✓ Minimizar esfuerzos en auditorías posteriores.
✓ Dejar constancia de que se cumplieron los objetivos de la auditoría y de que el
trabajo se efectuó de conformidad con las Normas de Auditoría del Órgano de
Control y demás normatividad aplicable.
✓ Estudiar modificaciones a los procedimientos y al programa de auditoría para
próximas revisiones.

NATURALEZA Y CARACTERÍSTICAS

Los papeles de trabajo deberán:

✓ Incluir el programa de trabajo y, en su caso, sus modificaciones; el programa deberá
relacionarse con los papeles de trabajo mediante índices cruzados.
✓ Contener índices, marcas y referencias adecuadas, y todas las cédulas y resúmenes
que sean necesarios.
✓ Estar fechados y firmados por el personal que los haya preparado.
 ✓ Ser supervisados e incluir constancia de ello.
✓ Ser completos y exactos, a fin de que muestren la naturaleza y alcance del trabajo
realizado y sustenten debidamente los resultados y recomendaciones que se
presenten en el informe de auditoría.
✓ Redactarse con concisión, pero con tanta precisión y claridad que no requieran
explicaciones adicionales.
✓ Ser pertinentes, por lo cual sólo deberán contener la información necesaria para el
cumplimiento de los objetivos de la auditoría.
✓ Ser legibles, estar limpios y ordenados, y tener espacio suficiente para datos, notas
y comentarios (los papeles de trabajo desordenados reflejan ineficiencia y permiten
dudar de la calidad del trabajo realizado).

CLASIFICACIÓN DE LOS PAPELES DE TRABAJO.

✓ Con base en su utilización y contenido, los papeles de trabajo se clasifican en archivo

permanente o expediente continuo de auditoría y papeles de trabajo actuales. A
continuación, se señalan las características de cada uno de ellos.
Archivo Permanente o Expediente Continuo de Auditoría
✓ El archivo permanente constituye un legajo o expediente especial en que se
concentran los documentos relativos a los antecedentes, constitución, organización,
operación, normatividad jurídica y contable e información financiera y
programático-presupuestal, actas y documentos de entrega recepción de los entes
fiscalizables. Esta información, debidamente actualizada, servirá como instrumento
de referencia y consulta en varias auditorías.
✓ La integración del archivo permanente se iniciará en la etapa de planeación de la
auditoría, cuando se obtenga información general sobre el ente por auditar
(organización, funciones, marco legal, sistemas de información y control, etc.)
✓ El archivo permanente se actualizará con la información que se obtenga al ejecutar
una auditoría o al dar seguimiento a las recomendaciones correspondientes. Su
integración deberá sujetarse a lo dispuesto en el procedimiento para la
Integración y Actualización del Archivo Permanente, emitido por el Órgano de
Control o de cada una de las áreas correspondientes.
Papeles de Trabajo del Período
✓ Los papeles de trabajo actuales o del período se elaboran y obtienen en el transcurso
de la auditoría; en ellos se deja evidencia del proceso de planeación y del programa
de auditoría; del estudio y evaluación del control interno; del análisis de saldos,
movimientos, operaciones, tendencias y razones financieras; del registro de la
naturaleza, alcance y oportunidad de los procedimientos de auditoría; de la
supervisión realizada; de la persona que aplicó los procedimientos y de la fecha en
 que se realizó el trabajo; de las conclusiones de la revisión; y del informe de auditoría
en que se incluyan las recomendaciones formuladas.
✓ Los papeles de trabajo denominados cédulas de auditoría, se clasifican de acuerdo
a la Guía para la Elaboración de Papeles de Trabajo, en cédulas sumarias, analíticas,
sub analíticas, de informe, de observaciones y de seguimiento de recomendaciones.

1. Cédulas sumarias o de resumen

✓ En las cédulas sumarias se resumen las cifras, procedimientos y conclusiones del
área, programa, rubro o grupo de cuentas sujeto a examen; por ejemplo, ingresos,
gastos o asignaciones presupuestales.
✓ Es conveniente que estas cédulas contengan los principales indicadores contables o
estadísticos de la operación, así como su comparación con los estándares del
período anterior, con el propósito de que se detecten desde ese momento
desviaciones importantes que requieran explicación, aclaración o ampliación de
algún procedimiento, antes de concluir con la revisión (véase la Guía para la
Elaboración de Papeles de Trabajo).

2. Cédula Analítica
✓ Además de contener la desagregación o análisis de un saldo, concepto, cifra,
operación o movimiento del área por revisar, en las cédulas analíticas se detallan la
información obtenida, las pruebas realizadas y los resultados obtenidos.
✓ Es conveniente que la información recabada se agrupe o clasifique de tal forma que
permita detectar fácilmente desviaciones o aspectos sobresalientes de las
operaciones, y que a ella se agreguen los comentarios o aclaraciones que se
requieran para su debida interpretación.
✓ Las pruebas que deben consignarse en las cédulas analíticas se refieren a las
investigaciones necesarias para cumplir los objetivos establecidos en los programas
de trabajo, considerando las cifras y datos asentados en la cédula sumaria.
✓ En dichas cédulas se incluye, además, el análisis de cifras específicas o la verificación
de algún cálculo, que son útiles para reforzar el resultado de las pruebas. Su
aplicación parte de razonamientos de tipo financiero o estadístico; algunas
aplicaciones se pueden referir, por ejemplo, a razones de rentabilidad o producción
per cápita, la determinación del costo-beneficio, las variaciones entre el gasto
ejercido y el presupuesto, conciliaciones, etc.
✓ Asimismo, en las cédulas analíticas se incluyen los resultados finales, representados
por las observaciones.
3. Cédulas Sub analíticas
✓ Por medio de las cédulas sub analíticas, se desagregan o analizan con detalle los
datos contenidos en una cédula analítica. Si se examina, por ejemplo, la cuenta de
inversiones en valores, la cédula sub analítica sería aquella en que se mostraran los
saldos mensuales de las cuentas de inversión.
4. Cédula de Observaciones
✓ Las deficiencias e irregularidades que se hayan encontrado en el transcurso de la
revisión se resumirán en esta cédula de observaciones, debidamente identificados
con el número de cédula correspondiente, a fin de facilitar su consulta y revisión.

5. Cédula de Informes
✓ Una vez concluido el trabajo de auditoría, y de manera adicional a las cédulas en que
se presenten las conclusiones, se integrará, al inicio del expediente de papeles de
trabajo, un informe donde se expongan brevemente los antecedentes de auditoría,
los procedimientos de auditoría aplicados y sus resultados, a fin de ofrecer un
panorama de trabajo realizado y de las posibles acciones por emprender.

6. Cédula de seguimiento de recomendaciones

✓ Si del trabajo de auditoría se derivan recomendaciones u otro tipo de acciones
legales, será necesario dejar constancia de ello, primeramente, en cédulas de
discusión o de comentarios y después en cédulas de control de seguimiento. (Actas
de Notificación de Observaciones).
ESTRUCTURA DEL INFORME DE AUDITORÍA

Oficio de presentación: Mediante este documento se pone a consideración de los directivos

de la empresa el resultado de la auditoría practicada al área de sistemas.

Introducción: Es la parte del informe donde el responsable de la auditoría hace la

presentación formal de su trabajo; en este apartado se manifiesta el objetivo de la
auditoría, las razones que motivaron a llevarla a cabo.

Dictamen de la auditoría: Tal vez ésta sea la parte más importante de una auditoría de
sistemas computacionales y, en muchas ocasiones, lo que más esperan los directivos de la
empresa o del área auditada, debido a que es una opinión profesional respecto al
comportamiento de los sistemas.

Situaciones relevantes: Son los documentos oficiales donde el responsable de la auditoría

reporta las desviaciones que, según su criterio, son las más importantes encontradas
durante el desarrollo de la auditoría.

Situaciones detectadas: Es donde se concentran todas las desviaciones encontradas

durante la evaluación

Anexos: Son documentos en forma de gráficas, cuadros, declaraciones o cualquier otro

formato que servirá de soporte para las desviaciones reportadas en el informe final.

Confirmaciones en papeles de trabajo: Este documento no se debe integrar al informe final

de la auditoría, sin embargo, al presentar el informe a los directivos, es muy conveniente
que el auditor tenga a la mano el legajo de papeles de trabajo, ya que podría necesitar hacer
aclaraciones importantes de lo reportado.
USO DE HERRAMIENTAS DE AUDITORIA PARA LLEVAR A CABO EL TRABAJO DEL AUDITOR

Al utilizar las herramientas en la auditoría de sistemas, lo que se hace es aprovechar lo mejor

de ellas para adecuarlas a las necesidades específicas de evaluación requeridas en el
ambiente de sistemas; ya sea para evaluar la operación de los sistemas, en cuanto al
hardware, software, instalaciones, comunicaciones, etcétera, o la gestión administrativa del
área de sistemas, las metodologías de desarrollo de proyectos, entre otros muchos aspectos
relacionados con los sistemas. El auditor debe aprovechas las técnicas, procedimientos y
herramientas tradicionales de auditoría aplicables en el área de sistemas computacionales;
el propósito es que las diseñe y utilice para hacer una evaluación correcta del
funcionamiento de dicha área.

Instrumentos de recopilación de datos aplicables en la auditoría de sistemas.

Entrevistas: La principal actividad de un auditor, sin importar el tipo de auditoría que

realice, es la recopilación de información sobre el aspecto que va a auditar.

Ciclo de la entrevista de auditoría

Es conveniente señalar que para realizar una entrevista adecuada es indispensable

entender y seguir un procedimiento bien estructurado, cuya eficacia en las auditorías
tradicionales es muy utilizada.

Existen dos tipos de entrevistas:

Entrevistas libres: Son las entrevistas en las que se sigue un guion básico para obtener la
información requerida, pero la participación del entrevistado es libre y sin ninguna atadura.
Entrevistas dirigidas: Este tipo de entrevistas es recomendable para rectificar o ratificar
datos con el entrevistado, siempre que se establezca perfectamente el guion a seguir
durante la entrevista.

Cuestionario Es la recopilación de datos mediante preguntas impresas o cédulas o fichas,

en las que el encuestado responde de acuerdo con su criterio, de esta manera, el auditor
obtiene información útil que puede concentrar, clasificar e interpretar por medio de su
tabulación y análisis para evaluar lo que está auditando y emitir una opinión sobre el
aspecto investigado.

Ventajas

Facilitan la recopilación de información y no se necesitan muchas explicaciones ni una gran

preparación para aplicarlos.

Permiten la rápida tabulación e interpretación de los datos, proporcionándoles la

confiabilidad requerida.

Herramientas De Apoyo a la Auditoria

COBIT: Ayuda a las organizaciones a incrementar el valor de TI., apoya el alineamiento con
el negocio y simplifica la implantación del COBIT. Se Audit: Ayuda a las organizaciones a
administrar la amplia gama de actividades, datos y procesos relacionados con las auditorías
en un ambiente único y amplio. Proporciona la flexibilidad de soportar todos los tipos de
auditoría, incluyendo auditorías internas, operacionales, de TI, de proveedores, de riesgos,
controles y auditorias de calidad. Gesia: Es una herramienta integral para la Realización,
Organización, Gestión y Control de los trabajos de Auditoría, permitiendo al auditor un
control permanente y global sobre los papeles de trabajo. Idea: es una herramienta de
análisis completa, potente y fácil de usar que analiza rápidamente el 100% de sus datos,
garantizando su integridad, acelera su trabajo y prepara el terreno para auditorías más
rápidas y efectivas.

Herramientas de Evaluación de la Seguridad

Las Herramienta de auditorías de seguridad informática permiten conocer en el momento

de su realización cuál es la situación exacta de sus activos de información en cuanto a
protección, control y medidas de seguridad.

NMAP: Ha llegado a ser una de las herramientas imprescindibles para todo administrador
de sistema, y es usado para pruebas de penetración y tareas de seguridad informática en
general.
Como muchas herramientas usadas en el campo de la seguridad informática, es también
una herramienta muy utilizada para hacking. NESSUS: Es un programa de escaneo de
vulnerabilidades en diversos sistemas operativos. Realiza el escaneo en el sistema objetivo,
y el cliente (basado en consola o gráfico) que muestra el avance e informa sobre el estado
de los escaneos. BAckTrack: Es una distribución GNU/Linux en formato LiveCD pensada y
diseñada para la auditoría de seguridad y relacionada con la seguridad informática en
general. ACL: Es la herramienta de software preferida por los profesionales de las finanzas
y auditoría para extraer y analizar datos, detectar fraudes y lograr un monitoreo continuo.
Meycor CobiT Suite: Es una completa herramienta integral e intuitiva para la
implementación del marco Cobit, para la Gobernanza, la Gestión de riesgos tecnológicos, la
Seguridad, el Control Interno, y el Aseguramiento de la TI Apex SQL Audit: Provee una
herramienta de auditoría activa para empresas que necesitan auditar bases de datos
Microsoft SQL Server. Apex SQL Audit: es la solución perfecta de auditoría activa para SQL
Server. Trillium Software: Combina el poder de tecnología de vanguardia con un proceso
probado de descubrimiento, reingeniería, identificación, estandarización y mejora de los
datos, así como la obtención y detección de relaciones entre los registros.