INTRODUCCION

características fundamentales de la auditoría de sistemas computacionales, y en general

de cualquier tipo de auditoría, es el registro eficiente de la información que el auditor va

recolectando durante su evaluación; esa información le sirve para sostener las opiniones

que emite en el informe de la auditoría. Para ello tiene que recopilar los datos obtenidos

durante la auditoría y registrarlos formalmente en documentos; estos documentos pueden

ser manuscritos, manuales, instructivos, gráficas, resultados de procesamientos,

concentrados de bases de datos en disquetes, respaldos (backups) o cualquier otro medio

escrito o electromagnético, en los cuales recopilará los hechos, pruebas, tabulaciones,

interpretaciones, así como el análisis de los datos obtenidos. Con todo lo anterior, el

auditor tendrá un apoyo para confirmar los hechos y validar la información que utilizará

como base para elaborar el informe de auditoría.

 PAPELES DE TRABAJO PARA LA AUDITORÍA DE SISTEMAS
COMPUTACIONALES

7.1. Contenido del legajo de papeles de trabajo

El legajo de papeles de trabajo, por su naturaleza y contenido, es el aspecto fundamental
para elaborar el dictamen de la auditoría, y su uso es confidencial y exclusivo del auditor
de sistemas, debido a que éste va integrando en estos papeles de trabajo los documentos
reservados y de uso exclusivo de la empresa, mismos que recopila durante su revisión y
los complementa con los registros, en papel o en medios electromagnéticos, que obtiene
como evidencias formales de alguna desviación en el área de sistemas auditada.
Debemos señalar que el contenido de los papeles de trabajo puede variar de un auditor a
otro y de un tipo de auditoría a otra, ya que en cada trabajo existen procedimientos,
técnicas y métodos de evaluación especiales que forzosamente harán diferente la
recolección de los documentos. Lo mismo ocurre con la forma de obtener evidencias e
incluso con la forma de concentrar los papeles de trabajo. A continuación, presentaremos
una propuesta para integrar estos papeles:
• Hoja de identificación
• Índice de contenido de los papeles de trabajo
• Dictamen preliminar (borrador)
• Resumen de desviaciones detectadas (las más importantes)
• Situaciones encontradas (situaciones, causas y soluciones)
• Programa de trabajo de auditoría
• Guía de auditoría
• Inventario de software
• Inventario de hardware
• Inventario de consumibles
• Manual de organización
• Descripción de puestos
• Reportes de pruebas y resultados
• Respaldos (backups) de datos, disquetes y programas de aplicación de auditoría
• Respaldos (backups) de las bases de datos y de los sistemas
• Guías de claves para el señalamiento de los papeles de trabajo
• Cuadros y estadísticas concentradores de información
• Anexos de recopilación de información
• Diagramas de flujo, de programación y de desarrollo de sistemas
• Testimoniales, actas y documentos legales de comprobación y confirmación.
• Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema
• Otros documentos de apoyo para el auditor.

7.1.1 hoja de identificación

Ésta es la parte frontal del legajo de papeles de trabajo de la auditoría de sistemas
computacionales, y es el primer documento formal que se identifica en dicho legajo; en
esta hoja, que puede ser una carátula formal rigurosamente empastada o una simple
portada de cartón o de papel común y corriente, se anotan los datos elementales que sirven
para identificar la documentación contenida en el legajo.
7.1.1.1 Nombre de la empresa responsable de llevar a cabo la auditoría de sistemas
En esta parte se anotan el logotipo y nombre de la institución, cuando es una empresa de
auditoría externa la responsable de realizar la auditoría de sistemas, o el nombre de la
empresa y la designación del área de auditoría interna, cuando es el área de auditoría
interna la responsable de llevarla a cabo. Es indispensable anotar los datos de una sola
empresa (externa o interna); no es válido anotar los de ambas.
7.1.1.2 identificación del legajo de papeles de trabajo
Aquí va el nombre genérico que se le da al documento y sirve para identificar que se trata
de la concentración de los documentos que avalan la realización de la auditoría de
sistemas. En algunos casos puede admitirse con otros nombres, según la preferencia del
auditor o empresa. Lo importante es que esta parte sirve para identificar, claramente, el
contenido de los documentos relacionados con la auditoría de sistemas.
7.1.1.3 nombre de la empresa o área de sistemas auditada
En este lugar se anota el nombre completo de la empresa a la cual se practica la auditoría
de sistemas, junto con el nombre del área de sistemas en donde ésta se lleva a cabo. En
caso de tratarse de una auditoría interna, entonces se anota el nombre del área de sistemas
auditada. Lo esencial es que se puedan identificar, lo más claramente posible, los nombres
completos de la empresa y del área de sistemas donde se realiza la auditoría.
7.1.1.4 Periodo en que se realizó la auditoría
En este lugar se anota la fecha de inicio de la auditoría (desde que empezó la revisión) y
su terminación (hasta el último día de revisión); de preferencia se debe anotar con el
formato Día (con números) Mes (con letras) Año (con cuatro dígitos), o con el formato
que el auditor prefiera.
7.1.1.5 puesto y cargo del responsable de realizar la auditoría
Aquí se anota el nombre completo del responsable de llevar a cabo la auditoría; en caso
de ser un grupo, se anota el nombre del responsable de la conducción de la auditoría. Se
puede anotar a todos los participantes si así se desea, pero siempre se debe destacar al
responsable de la auditoría.
7.1.1.6 fecha de emisión del dictamen final
Es la fecha en la que se presenta por escrito el dictamen final de auditoría; es propiamente
la fecha en la que se entrega el resultado de la auditoría del área de sistemas, y éste es
aceptado por la dirección superior del área. Lo fundamental es presentar con toda
oportunidad dicho informe. Los puntos anteriores son los que se deben contemplar como
mínimo para elaborar la carátula de los papeles de trabajo de la auditoría de sistemas,
aunque nada impide que se puedan reseñar otros datos importantes en ella, de acuerdo
con las necesidades y características de la empresa auditora; aunque estos datos también
pueden ser dictaminados por la empresa o área auditada. La importancia de este punto es
que esta carátula sirve para saber lo más claramente posible a quién pertenecen los papeles
de trabajo, el período en que se realizó la auditoría y quién fue el responsable de llevarla
a cabo.
7.1.2 índice del contenido de los papeles de trabajo
En esta parte se hace la descripción detallada, el contenido total de los papeles de trabajo,
con el propósito de identificar rápidamente la página en donde se encuentra cada una de
las partes que integran este legajo de papeles. Respecto al índice, no existe ninguna
condicionante ni forma especial de presentarlo, salvo lo estipulado de acuerdo con las
necesidades o preferencias de la empresa de auditoría o del auditor responsable de la
misma. La única condición es que sea una presentación ordenada y que se identifiquen
claramente las páginas y su contenido. También sugerimos utilizar los siguientes
apartados para los documentos de trabajo:
HW Para la documentación relacionada con el equipo físico, periféricos y demás equipos
de sistemas.
SW Para la documentación relacionada con el software y paqueterías SG Para la
documentación relacionada con la seguridad informática.
BD Para la documentación relacionada con las bases de datos, información y demás
archivos de datos.
DS Para la documentación relacionada con el análisis, diseño y desarrollo de sistemas IS
Para la documentación relacionada con las instalaciones del área de sistemas.
CC Para la documentación relacionada con el centro de cómputo.
GA Para la documentación relacionada con la gestión administrativa del centro de
cómputo.
CM Para la documentación relacionada con los consumibles del área de sistemas.
7.1.3 Dictamen preliminar (borrador)
El auditor utiliza esta sección para conservar, como papeles de trabajo, el resultado del
dictamen preliminar que presentó a discusión con los involucrados en la evaluación, a fin
de hacer el análisis y consulta posteriores de todos los aspectos que presentó en forma de
borrador.
7.1.4 resumen de desviaciones detectadas (las más importantes)
Otro de los documentos importantes que debe conservar el auditor en el legajo de papeles
de trabajo es la copia de los documentos originales, y en algunos casos el borrador
manuscrito, de las desviaciones que considera como las más importantes encontradas
durante la revisión, así como sus causas y posibles soluciones, que presenta en el formato
de desviaciones encontradas.
7.1.5 situaciones encontradas (situaciones, causas y soluciones)
En esta parte de los papeles de trabajo se presentan los manuscritos, y en ocasiones los
borradores mecanografiados, de todas las situaciones detectadas durante la auditoría,
conforme al formato que se propone en el capítulo siguiente, separando en situaciones
encontradas, las causas que las originan y las posibles soluciones; también se anota al
responsable de solucionarlas y las fechas de solución para cada causa o situación
reportada.
7.1.6 Programa de trabajo de auditoría
Es el documento formal (por escrito) de los planes, programas y presupuestos hechos para
el control y desarrollo de la auditoría; este documento se elabora en un formato especial
o en una gráfica en la cual se anotan las etapas y actividades para la evaluación, así como
los tiempos para llevarla a cabo; también se anotan los recursos disponibles para realizar
todas esas actividades. Estos aspectos se deben señalar en forma cronológica, secuencial
y correctamente coordinada. Por la importancia que tiene este punto para el desarrollo de
una auditoría de sistemas, en el capítulo anterior, Metodología para realizar auditorías de
sistemas computacionales, analizamos detalladamente el plan o programa de trabajo; por
esta razón, únicamente señalaremos los principales conceptos que el auditor debe
contemplar como parte del programa de trabajo:
1ª etapa: Planeación de la auditoría de sistemas computacionales
P.1 Identificar el origen de la auditoría
P.2 Realizar una visita preliminar al área que será evaluada
P.3 Establecer los objetivo de la auditoría
P.4 Determinar los puntos que serán evaluados en la auditoría
P.5 Elaborar planes, programas y presupuestos para realizar la auditoría
P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos
necesarios para la auditoría.
P.7 Asignar los recursos y sistemas computacionales para la auditoría
2ª etapa: Ejecución de la auditoría de sistemas computacionales
E.1 Realizar las acciones programadas para la auditoría
E.2 Aplicar los instrumentos y herramientas para la auditoría
E.3 Identificar y elaborar los documentos de desviaciones encontradas
 E.4 Elaborar el dictamen preliminar y presentarlo a discusión
E.5 Integrar el legajo de papeles de trabajo de la auditoría
3ª etapa: Dictamen de la auditoría de sistemas computacionales
D.1 Analizar la información y elaborar un informe de situaciones detectadas
D.2 Elaborar el dictamen final
D.3 Presentar el informe de auditoría
7.1.7 guía de auditoría
Este documento, llamado guía de auditoría, es fundamental para el buen desarrollo de una
auditoría, ya que es una herramienta auxiliar para el trabajo del auditor; por esta razón,
debe tener una descripción detallada de todos y cada uno de los puntos importantes que
se deben auditar, según las necesidades de evaluación y características específicas del
área de sistemas de la empresa.
7.1.8 inventarios
Una de las principales herramientas que utiliza el auditor de sistemas son los inventarios,
los cuales le sirven para contar los elementos que existen en el área que va a evaluar,
según los equipos, artículos o partes del sistema que se traten; además, con la información
que obtiene puede comparar lo que debería existir y lo que realmente existe de los
elementos que se están inventariando; con ello puede comprobar que la guarda y custodia
de los bienes de la empresa sean adecuadas. Aunque existen muchos tipos de inventarios,
es recomendable utilizar los inventarios que se hayan acordado en la planeación de la
auditoría, de acuerdo con su origen y objetivos, así como con las especificaciones de
revisión que se hayan establecido. Por esta razón, a continuación presentaremos los
principales inventarios para el área de sistemas: Inventario de software Inventario de
hardware Inventario de bases de datos e información de la empresa Inventario de
proyectos y desarrollos computacionales Inventario de puestos de trabajo en el área de
sistemas Inventario de reportes de pruebas y resultados Inventario de mobiliario y equipos
Inventario de instalaciones de voz, datos y energía Inventario de instalaciones de redes
Inventario de manuales e instructivos Inventario de respaldos, disquetes, cintas y sistemas
de resguardo de información Inventario de consumibles .
7.1.8.1 inventario de software
Uno de los documentos fundamentales que el auditor debe integrar en el legajo de papeles
de trabajo, es el inventario de los programas, lenguajes, paqueterías, sistemas operativos
y cualquier otro software que se utilice en la institución para el procesamiento de la
información y la operación de los sistemas.
7.1.9 respaldo de datos (BACKUPS), información y programas de aplicación de
auditoría
Los sistemas computacionales tienen características específicas en cuanto a la forma de
captura, almacenamiento y emisión de información; por esta razón, encontramos que el
respaldo de documentos es muy importante en una auditoría de sistemas computacionales.
Estos documentos de trabajo, que contienen información importante, se pueden archivar
en disquetes, cintas, CD-ROMs, DVDs o en algún otro medio electrónico de captura y
lectura de datos.
En este tipo de auditorías, los llamados papeles de trabajo adquieren un matiz muy
especial debido a la forma en que se archiva la información en ellos; así encontramos que
debemos documentar datos que muchas veces no están archivados en papel sino en
sistemas computacionales; por lo tanto, debemos saber cómo capturar, extraer y archivar
esa información en algún medio electromagnético de captura y lectura de información.
Sin embargo, no sólo es por la forma de almacenar la información, sino también por la
cantidad, periodicidad y utilidad de la información que va a ser documentada. Está claro
que no se puede documentar como papeles de trabajo toda la información que se procesa
en los sistemas computacionales, sino únicamente la que haya sido designada de algún
proceso de recopilación específico. Es bueno recordar que un sistema computacional es
un sistema de entrada de datos, procesamiento de información y emisión de resultados,
compuesto por un conjunto de equipos físicos (hardware) que capturan los datos a través
de sus unidades de entrada (teclado, disquetes, disco duro, CD-ROM), y los procesan (en
la CPU) a través de sus lenguajes, programas y paquetes (software) para emitir
información (en pantalla, impresora, disco duro, disquetes) útil para la empresa.
ENTRADA PROCESAMIENTO SALIDA
Sin embargo, el auditor sólo utiliza la información que producen los sistemas, si ésta le
es útil para evaluar algún aspecto relacionado con la revisión que está realizando, y casi
nunca toma en cuenta las operaciones y actividades internas que realiza el sistema para
arrojar esa información.
Los papeles de trabajo que contienen la información que se maneja en los sistemas se
deben almacenar en dispositivos especiales; por esta razón, a continuación indicaremos
dos de los principales tipos de datos e información, así como los medios de
almacenamiento que se deben considerar como documentos de los papeles de trabajo de
la auditoría de sistemas computacionales. El propósito de presentar estos dos ejemplos es
que el auditor sepa como se deben archivar dichos papeles de trabajo. Aunque en la
práctica, el responsable de la auditoría será quien decida el tipo de información que se
debe archivar y en qué medio se puede hacer, según las necesidades de su propia
evaluación.
Respaldos de bases de datos e información de la empresa Es el respaldo periódico de
información que se hace a través de disquetes (o cualquier otro medio), en los cuales se
almacenan los datos de algún ejercicio, operación, o cualquier otra serie de datos que es
importante conservar. El auditor de sistemas debe decidir cómo conservar esta
información como parte de su evaluación. En la práctica de la auditoría de sistemas, el
auditor debe evaluar los respaldos, la periodicidad con la que se llevan a cabo, el período
de duración o actualización de la información respaldada, la confiabilidad del respaldo,
la manera de evitar fugas de información, entre muchos otros aspectos.
Respaldos de programas (copias de respaldo de programación) En este caso, el
auditor debe verificar que existan respaldos (periódicos o únicos) de los sistemas
operativos, programas, paqueterías o sistemas realizados en la empresa, con el objeto de
evaluar que dichos respaldos sean los adecuados en caso de ocurrir problemas en el
sistema. Además debe verificar que los respaldos estén perfectamente custodiados, y que
no existan más copias de las permitidas, para evitar la llamada piratería de programas o
la fuga de información de la empresa.
7.1.10 Otros documentos que debe contener el legajo de papeles de trabajo de la
auditoría
Debemos señalar que el responsable de la auditoría de sistemas es quien debe definir el
contenido y la forma de guardar los papeles de trabajo, y debe hacerlo de acuerdo con las
necesidades específicas de evaluación, siguiendo, de preferencia, la forma acostumbrada
de captura y almacenamiento de la información recabada en la empresa o área auditada.
Asimismo, es quien debe determinar las secciones, partes y documentos que se deben
guardar en el legajo de papeles de trabajo. Por esta razón, a continuación presentamos
algunos otros documentos que debe contener el citado legajo.
7.1.10.1 Estadísticas y cuadros concentradores de información
Este punto se refiere a todo lo relacionado con los cuadros estadísticos que utiliza el
auditor para recabar y evaluar la información obtenida en la evaluación; en estos cuadros
se incluyen las gráficas, datos, censos, muestras, formulas estadísticas, etc. Es de suma
importancia para el auditor archivar estos cuadros en el legajo de papeles de trabajo, ya
que le pueden servir para acreditar sus opiniones; además, pueden servir de referencia
para los auditores novatos sobre la manera de elaborar estadísticas y obtener evidencias
de una evaluación de sistemas. Debido a la importancia de este punto, en la sección 7.3
de este capítulo analizaremos ampliamente algunos ejemplos de estas recopilaciones.
7.1.10.2 Anexos de recopilación de información
Además de la información estadística, el auditor puede obtener otro tipo de información
que le es útil para realizar la evaluación de los sistemas computacionales, misma que
puede ser muy variada y que debe guardar como anexos de información; a continuación
presentamos algunos ejemplos de estos anexos:
• Resultados del procesamiento de datos • Descripción de puestos, funciones y actividades
• Resultados y pruebas de cálculos de procesamientos que se efectúan en el sistema
• Copias de formatos y licencias de programas y paqueterías
• Copias de resguardos de equipos y mobiliario
• Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas de
información
• Mapas de rutas de evacuación y seguridad del área de sistemas
• Bitácoras de reportes y servicios de mantenimiento preventivo y correctivo
• Resultados de inventarios y pruebas de la arquitectura de los sistemas
• Resultados de diseños, análisis, codificación, pruebas y liberación de sistemas
• Copias de programas fuente, objeto y codificación de los sistemas desarrollados en la
empresa
• Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware,
software, mobiliario y consumibles de sistemas
• Otros documentos útiles para el auditor
• Diagramas de sistemas, de programación y desarrollo de sistemas
Una de las actividades más importantes del trabajo en el área de sistemas de una empresa
es el desarrollo de los propios sistemas; durante una revisión de este tipo, es
responsabilidad del auditor evaluar el correcto y oportuno desarrollo e instalación de los
sistemas; para ello, además de evaluar su funcionamiento, debe anexar al legajo de
papeles de trabajo los documentos que contengan la información sobre el análisis, diseño,
programación, pruebas e instalación de los sistemas de la empresa, como parte de una
posible evidencia de su evaluación. El auditor debe incluir en estos documentos los
diagramas de los sistemas, las metodologías utilizadas para el análisis y diseño de los
mismos, sus codificaciones, programas objeto, fuente y todos los aspectos necesarios que
estén relacionados con el desarrollo de los sistemas de la empresa.
7.10.1.3 Testimoniales, actas y documentos legales de comprobación y confirmación
En algunos casos, estos documentos pueden ser de los más importantes de una auditoría
de sistemas, debido a que son el testimonio de empleados, usuarios, responsables o de las
personas que por algún motivo declararon algo relacionado con los sistemas auditados o
con alguna situación específica. Estos documentos deben ser recabados con toda
formalidad.
7.10.1.4 Análisis estadístico de resultados, datos y pruebas de comportamiento del
sistema
Así como es necesario guardar los datos, muestras y fórmulas estadísticas indicadas,
también es necesario conservar los documentos relacionados con el análisis estadístico de
los resultados, ya que además de servir como evidencia de las desviaciones encontradas,
también pueden servir de referencia para futuras evaluaciones; es decir, se pueden utilizar
como modelo para retomar los procedimientos seguidos y obtener resultados similares o
para enseñar a los auditores novatos. Conservar por escrito estos análisis debe ser una
prioridad para el responsable de la auditoría, ya que de esta manera se podrá interpretar
el resultado de su evaluación, y en caso de que el auditor que hizo esos análisis no esté
presente, éstos se pueden estudiar y llegar a las mismas conclusiones.
7.1.11 Otros documentos especializados de una auditoría de sistemas
En el legajo de papeles de trabajo también se debe anexar la información (en papel o
electrónicamente) relacionada con los reportes, análisis y resultados de pruebas,
configuraciones y exámenes especializados del sistema computacional, de las
instalaciones o de cualquier otro aspecto relacionado con el área de sistemas; también se
debe anexar lo relacionado con el procesamiento de información o con cualquier otra
actividad informática. Asimismo, el auditor debe anexar cualquier otro documento que a
su juicio sea de importancia para la auditoría y que necesite conservar; por ejemplo,
comprobantes de viáticos, oficios de presentación, correspondencia, minutas de
reuniones, nombramientos y cualquier otro tipo de documentos útiles para la auditoría.
7.2 Claves del auditor para marcar papeles de trabajo
Son las marcas de carácter informal que utiliza exclusivamente el auditor o el grupo de
auditores que realizan la auditoría, con el fin de facilitar la uniformidad de los papeles de
trabajo y para identificarlos mejor. El auditor en jefe puede imponer el uso de estos
símbolos o pueden ser utilizados por acuerdo del grupo, aunque también puede suceder
que no sean utilizados en una auditoría. Su utilidad radica en que tienen un significado
preciso que todos los auditores conocen y utilizan para destacar aspectos importantes de
los documentos que van revisando, y en que sirven como identificadores uniformes de
todas las actividades que se desarrollan durante una evaluación; así, cuando alguien del
grupo de auditores encuentra algún documento con estas marcas, sabe que éste ya ha sido
revisado o que tiene una característica especial en la cual se tiene que advertir alguna
observación, de acuerdo con el significado de los símbolos. Todos los auditores deben
utilizar los mismos símbolos al hacer anotaciones en los documentos que evalúen.
CONCLUSION
Podemos concluir