2. CONTENIDO
A. Concepto
B. Justificación
C. Objetivos
D. Importancia
E. Tipos de Papeles de Trabajo en auditoria de Sistemas
F. Archivos permanentes o expedientes continuos
1. Objetivo
2. Características
3. Importancia
4. Para un centro de servicios de computador de la empresa
5. Para un service bureau
6. Para una aplicación en producción
7. Otros archivos permanentes
G. Archivos corrientes
1. Objetivo
2. Característica
3. Importancia
4. De la auditoria de servicios de computador de la empresa
5. De la auditoria a las aplicaciones en producción
H. Archivos administrativos de la auditoria de sistemas
1 Objetivo
2. Características
3. Importancia
4. Contenido
I. Consideraciones aplicables a todos los papeles de trabajo
3. PAPELES DE TRABAJO DE AUDITORIA DE SISTEMAS
PAUTAS PARA SU DISEÑO Y ELABORACION
A. CONCEPTO
Conjunto organizado de documentos que contienen:
- El Producto de la planeación, la recopilación de información, el análisis
y la síntesis de los trabajos de auditoria realizados.
- Evidencias validas y suficientes de los trabajos de auditoria realizados.
- La documentación de los trabajos que realizan los auditores en el
campo de los sistemas de información computarizados.
4. B. JUSTIFICACIÓN
La tercera de las normas de auditoria generalmente aceptadas,
relativas a la ejecución del trabajo dice:
" Se obtendrá material de prueba suficiente y adecuado, por
medio de la inspección, observación, investigación, indagación y
confirmación, para lograr una base razonable y así poder
expresar una opinión en relación con los estados financieros que
se examinen".
C. OBJETIVOS
- Compilar evidencia de los trabajos realizados
- Facilitar la supervisión del trabajo
- Garantizar la objetividad de las observaciones, conclusiones y
recomendaciones que se incluyan en el informe del auditor
5. D. IMPORTANCIA
- Reflejan la calidad del trabajo realizado.
- Indican la medida en que se logran los objetivos de auditoria.
- Se sirve para controlar la calidad de los trabajos de auditoria
- Reflejan las capacidades y el profesionalismo del auditor.
- Constituyen un registro permanente del desempeño del auditor
- Son fuente de consulta y punto de partida para futuros
trabajos de auditoria.
- Sirven de ayuda para la capacitación y el desarrollo profesional
de los auditores.
- Sirven de parámetro para evaluar el desempeño de los
auditores.
- Garantizan la continuidad y el progreso de la auditoria.
- Constituyen los insumos de donde brotan los informes del
auditor.
- Sirven de referencia histórica de los trabajos de auditoria
- Promueven la estandarización y facilitan el trabajo de los
auditores.
6. LEY 87 DEL 29 DE NOVIEMBRE DE 1993
Artículo 14. INFORME DE LOS FUNCIONARIOS
DE CONTROL INTERNO. Los informes de los
funcionarios del Control Interno tendrán valor
probatorio en los procesos disciplinarios,
administrativos, judiciales y fiscales cuando las
autoridades pertinentes así lo soliciten.
7. E. TIPOS DE PAPELES DE TRABAJO DE AUDITORIA DE
SISTEMAS
- Archivos permanentes o expedientes continuos
- Archivos corrientes
- Archivos administrativos de la auditoria de sistemas
8. ARCHIVOS PERMANENTES
1.OBJETIVO
Contar con documentación detallada de cada trabajo de
auditoria que se realice.
2. CARACTERÍSTICAS
- Son archivos de una sola vez. No son actualizables
- Deben elaborarse completamente cada vez que se
realice la auditoria
- El de la ultima revisión es el del valor actual
9. 3. IMPORTANCIA
- Sirven como evidencia de los objetivos y el alcance de
cada trabajo realizado y de los procedimientos de
auditoria utilizados.
- Son el soporte de los informes que emite el auditor
- Sirven de ayuda para la discusión del informe con los
responsables de las áreas auditadas y terceros
interesados
- Sirven de referencia histórica y archivistica vigente.
- Sirven de punto de partida para la siguiente auditoria
10. DE UN CENTRO DE SERVICIOS DE UN COMPUTADOR
- Indice
- Organigrama de la Direccion
- Información básica sobre equipos PED utilizados.
- Plano de distribución del área física
- Información básica sobre software utilizado
- Normas (estándares) de sistemas
- Plan maestro de sistematización
- Información básica sobre le personal de sistemas
- Planeación de la producción
- Administración de medios magnéticos
- Planes de contingencia
- Procedimientos de control de cambios
- Seguridad Lógica y controles de acceso
- Planes de mantenimiento de equipos
11. .DE SERVICES BUREAU
- Indice
- Contratos de servicios
- Costos
- Seguridades ofrecidas por el service
- Controles y seguridades adoptadas por la empresa
- Riesgos asumidos por la empresa
- Plano de distribución física del service
- Características del hardware y el software utilizados
- Planeación de la producción para la empresa
- Plan de contingencia
12. .DE UNA APLICACIÓN EN PRODUCCIÓN
- Diagrama de flujo macroanalitico del sistema total
. Fuentes de información
. Entradas
. Procesos
. Salidas
. Destinatarios de la información
- Macrodiagrama de operación en las fuentes de la información
- Documentos fuentes: Lista y muestra
- Descripción de archivos maestros y de transacciones y
clasificación de datos
- Listas de salidas y destinatarios de la información
- Muestras de informes producidos
- Lista de programas que componen la aplicación
- Perfiles de autorización y menús
- Resultados del análisis de riesgo en la aplicación
- Provisiones para restauración, recuperación y continuidad
- Documentación existente
- Normas que rigen el funcionamiento de la aplicación
14. G. ARCHIVOS CORRIENTES
1.OBJETIVO
Contar con documentación detallada de cada trabajo de
auditoria que se realice.
2. CARACTERÍSTICAS
- Son archivos de una sola vez. No son actualizables
- Deben elaborarse completamente cada vez que se
realice la auditoria
- El de la ultima revisión es el del valor actual
15. 3. IMPORTANCIA
- Sirven como evidencia de los objetivos y el alcance de
cada trabajo realizado y de los procedimientos de auditoria
utilizados.
- Son el soporte de los informes que emite el auditor
- Sirven de ayuda para la discusión del informe con los
responsables de las áreas auditadas y terceros interesados
- Sirven de referencia histórica y archivistica vigente.
- Sirven de punto de partida para la siguiente auditoria
16. PAPELES CORRIENTES DE LA AUDITORIA A LOS SERVICIOS
DE COMPUTADOR DE LA EMPRESA
- Indice
- Documento de planeación
- Programa para elaborar o actualizar archivo
permanente
- Documentos utilizados para análisis y
evaluación de riesgos
- Diseño de procedimientos de auditoria (Guias de
auditoria)
- Planilla de hallazgos de la auditoria
- Planillas de observaciones para discusión con la
gerencia
- Informes con los resultados de la auditoria
. Detallado para la gerencia de sistemas
. Resumen para la alta gerencia
- Puntos de interés y sugerencias para futuras
revisiones.
17. PAPELES CORRIENTES DE LA AUDITORIA A UNA
APLICACIÓN EN PRODUCCIÓN
- Indice
- Documento de planeación
- Programa para elaborar o actualizar archivo
permanente
- Documentos utilizados para análisis y
evaluación de riesgos
- Diseño de procedimientos de auditoria (Guias de
auditoria)
- Planilla de hallazgos de la auditoria
- Planillas de observaciones para discusión con la
gerencia
- Informes con los resultados de la auditoria
. Detallado para la gerencia de sistemas
. Resumen para la alta gerencia
- Puntos de interés y sugerencias para futuras
revisiones.
18. H ARCHIVOS ADMINISTRATIVOS DE LA AUDITORIA DE
SISTEMAS
1. OBJETIVO
Mantener un registro actualizado de los planes,
herramientas, estándares de trabajo y recursos
disponibles para la administración y el desarrollo
continuado de la auditoria de sistemas
2. CARACTERÍSTICAS
- Contiene la definición juiciosamente elaborada
de que auditar, conque auditar, como auditar,
donde auditar, cuando auditar y con quien
auditar
- Es el resultado de la planeación y el desarrollo
alcanzado por la auditoria de sistemas como
función permanente dentro de la empresa
19. IMPORTANCIA
- Reflejan la competencia administrativa y técnica
del director de la auditoria de sistemas
- Reflejan el grado de desarrollo alcanzado por la
auditoria d sistemas
- Constituyen el resultado de la gestión de la
auditoria de la empresa en el campo de los
sistemas de información computarizados
- Sirven de referencia archivistica e histórica del
trabajo desarrollado a través del tiempo
20. CONTENIDO
- Objetivos de trabajo (Manual de auditoria de sistemas)
- Metodología para abordar trabajos de auditoria de
sistemas (pasos que deben seguirse)
- Normas para el diseño, elaboración, organización,
archivo y destrucción de papeles de trabajo.
- Guía para el análisis de riesgos y evaluación del
sistema de control interno existente.
- Normas para el desarrollo, documentación y
mantenimiento de software de auditoria (con
paquetes o hecho a ña medida de la empresa)
- Normas para el diseño y documentación de pruebas
de auditoria utilizando el computador.
- Organización actual de la auditoria de sistemas
- Plan de trabajo anual
- Archivo de planes de trabajo de años anteriores
(histórico)
- Inventarios de trabajos realizados en años anteriores
(histórico)
- Clasificación actual de las áreas objeto de auditoria
- Inventario de programas y guías de auditoria de
sistemas
21. - Archivo de programas y guía de auditoria de sistemas
- Inventario de informes y memorandos de auditoria de
sistemas emitidos en años anteriores.
- Inventario y localización e identificación de archivos de
papeles de trabajo
- Inventario de programas de computador en producción
desarrollados para fines de auditoria (por aplicación)
- Inventario de listados que producen los programas de
computador desarrollados para fines de auditoria (por
aplicación)
- Registros de control de inventario de medios
magnéticos administrados por la auditoria de sistemas
- Histórico de evaluaciones de desempeño de los
auditores
- Histórico de reuniones con la gerencia de sistemas
- Archivos permanentes con la documentación de los
programas de computador desarrolladas para fines de
auditoria ( por aplicación).
- Inventario y localización de fuentes bibliográficas
disponibles en la biblioteca de la auditoria de sistemas
- Inventario y localización de los sistemas de la
empresa, disponibles en la auditoria de sistemas
- Inventario de formularios preimpresos diseñados para
fines de auditoria de sistemas.
22. CONSIDERACIONES APLICABLES A TODOS LOS
PAPELES DE TRABAJO
- Identificación externa
- Identificación de las hojas que conforman el
archivo
. Títulos
. Código de referenciación
. Fecha de elaboración
. Iniciales
- Referencias cruzadas
. Sencillez
. Hacia atrás
. Hacia delante
- Notas explicativas o marcas de auditoria
- Preparación anticipada
- Tamaño regular
- Orden y pulcritud
- Indices o tablas de contenido
- Material estrictamente necesario
- Confidencialidad.
23. SUGERENCIAS PARA EL ESTABLECIMIENTO DE PAPELES DE
TRABAJO
Los papeles de trabajo son considerados necesarios para
soportar el trabajo realizado en las Auditores de Sistemas,
igualmente se sugiere una metodología para referenciar los
papeles de trabajo.
Los papeles de trabajo del auditor se clasifican en dos grupos:
1. Papeles de trabajo permanentes
2. Papeles de trabajo corrientes
24. 1. Archivo permanente
Un archivo de papeles de trabajo permanentes es aquel que
contiene la información básica y de consulta permanente.
A este archivo debe corresponder cualquier tipo de información
que se considere puede perdurar por un tiempo y que no se
encuentre afectada por las pruebas que efectúe el auditor, razón
por la cual se diferencia del archivo corriente.
Cada vez que se efectúe un trabajo sobre el área, es necesario
retomar este archivo y actualizarlo si hay lugar a ello, dejando
evidencia de quien hizo la actualización y en que fecha.
25. Ahora bien, podemos identificar dos tipos de archivo
permanentes:
- Archivo permanente general de la entidad
- Archivo permanente de cada aplicación particular
26. El primero, como mínimo los siguientes papeles de trabajo:
1. Descripción General de la entidad
2. Organigrama de la entidad
3. Descripción del área de sistemas
4. Organigrama del área de sistemas
5. Descripción de funciones
6. Guía de normas
7. Relación de manuales
8. Configuración de la red de cómputo
9. Plano de la distribución física del centro de
cómputo
10. Inventario de hardware
11. Inventario de software
27. El segundo, contiene como mínimo los siguientes papeles de
trabajo:
1. Descripción general de la aplicación
2. Manuales de la aplicación
3. Flujograma descriptivo del ciclo total de la aplicación
4. Diagrama de pasada con procesamiento significativo y
controles a nivel programa
5. Diagrama de bloque
6. Relación de programas que componen la aplicación
7. Descripción de archivos de la aplicación
8. Diseño de registros
9. Modificaciones al sistema
10. Relación de mensajes de ayuda
11. Relación de mensajes de error
12. Guía de documentos de entrada
13. Guía de documentos de salida
14. Copia programas fuente
15. Perfiles de acceso y seguridad de la aplicación
28. 2 Archivo corriente
Ahora un archivo de papeles de trabajo corriente es aquel que
corresponde a un trabajo específico realizado por el grupo de
auditores. Cada archivo corriente es diferente por cuanto
contempla factores propios tales como:
- Objetivo del trabajo
- Alcance del trabajo
- Pruebas realizadas
Estos factores hacen que los trabajos sobre las áreas de estudio
no sean iguales y por tal razón deben diferenciarse del archivo
permanente.
29. El índice de papeles de trabajo del archivo corriente contiene:
1. Memorando
2. Informe final
3. Resumen de deficiencias y recomendaciones
4. Plan de trabajo
5. Cuestionarios
6. Procedimientos detallados de cumplimiento
30. 7. Administración, planeación y presupuestación del trabajo
8. Hoja de evaluación de controles junto con la descripción de
los controles identificados
9. Descripción del procesamiento significativo
10. Matriz de análisis de controles
11. Papeles de trabajo relativos al uso y planeación de CAAT'S
12. Papeles varios de soporte del trabajo: cartas, resoluciones,
informes, etc.
31. Referenciación
La referenciación es la forma como se interrelacionan los
diferentes papeles de trabajo, ayuda y colabora con su
localización y facilita su consulta, la ausencia de referenciación
hace casi impraticos los papeles de trabajo. Hay muchas formas
de referenciación y de hecho se puede usar cualquier técnica, lo
importante es que sea sencilla y nemotecnica.
32. Para la referenciación de los papeles de trabajo corrientes se
sugiere la siguiente metodología:
a) Asignar a cada área una letra que la identifique, por ejemplo:
A = Financiera
B = Técnica
C = Operativa
b) El segundo dígito está comprendido por un número así:
1. Si se trata de un trabajo de centros de cómputo
2. Si se trata de un trabajo de auditorías a aplicaciones en
desarrollo
3. Si se trata de un trabajo de auditoría de aplicaciones en
operación, por ejemplo:
33. A1.= Auditoría al centro de cómputo.
B3.= Auditoría a la aplicación en la operación de
facturación.
C2.= Auditoría a aplicaciones en desarrollo de
inventarios.
Seguidamente de este número se coloca un punto que
separa la identificación del área y del trabajo de los papeles
de trabajo propiamente dichos.
34. c) A continuación vienen 3 dígitos así:
X.nn donde
X.= Corresponde al número asignado al papel de trabajo de
acuerdo al archivo de papeles de trabajo corrientes:
Ej: 1 = Memorando
2 = Informe final
3 = Resumen de deficiencias y recomendaciones
4 = Plan de trabajo
5 = Cuestionarios
6 = Procedimientos detallados de cumplimiento
7 = Administración, planeación y presupuestación
8 = Hoja de evaluación de controles
9 = Descripción del procesamiento sisgnificativo
10 = Matriz de análisis de controles
11 = Papeles varios de soporte del trabajo
35. nn = Corresponde a la cantidad de hojas que contiene un X
determinado.
Ej: Si el plan de trabajo contiene seis hojas, estas se
numerarían así: 4.01; 4.02; 4.03; 4.04; 4.05; 4.06
Como se puede observar, se dispone hasta de 99 hojas de
trabajo para cada tipo de papel de trabajo.