trabajo para la
auditoría de
sistemas
7
computacionales
243
244 Auditoría en sistemas computacionales
Identificar el apoyo documental que requiere el auditor al realizar cualquier auditoría de siste-
mas computacionales, a fin de contar con el soporte que le permita avalar y testimoniar la apli-
cación de técnicas, métodos y procedimientos de auditoría. Con dicha documentación podrá
respaldar su trabajo y con su uso cubrirá las necesidades específicas de soporte documental
para la auditoría de sistemas.
Es evidente que para satisfacer éstos y muchos otros interrogantes, el auditor ne-
cesita cierto tipo de apoyo que le ayude a registrar formalmente (por escrito) la infor-
mación que obtuvo al realizar la evaluación; asimismo, este apoyo proporciona un
adecuado orden al desarrollo de su trabajo; además le sirve como soporte documen-
tal para registrar y, en su caso, mostrar las evidencias y pruebas de las situaciones re-
levantes encontradas durante la evaluación y reportadas en el informe.
El soporte fundamental, aparentemente muy simple, para la auditoría, es el regis-
tro de la información recopilada en los llamados papeles de trabajo (para el caso de
auditoría de sistemas computacionales pueden ser documentos, gráficas y medios
electromagnéticos), en los cuales se van anotando los hechos, acontecimientos y fenó-
menos observados durante la revisión; asimismo, estos papeles de trabajo se utilizan
para transcribir y concentrar los resultados de entrevistas, cuestionarios, pruebas, en-
cuesta, investigaciones, observaciones y opiniones del personal auditado.
También se utilizan como memoria detallada para asentar la evaluación de los do-
cumentos formales del área, de los resultados de las pruebas que se aplican en el sis-
tema, de la documentación testimonial de los auditados y/o de cualquier otra evidencia
documental o sistematizada que se utilice para concentrar la información relacionada
con la administración y seguridad del área de sistemas, la operación del sistema, el
comportamiento de las bases de datos o cualquier otro aspecto que afecte la opera-
ción normal del área o de los sistemas auditados.
El uso de los papeles de trabajo es universal y no es privativo de la profesión de au-
ditoría, ya que estos documentos se utilizan en las empresas para registrar operaciones,
atestiguar acciones, formalizar acuerdos, fundamentar propiedad y para registrar muchas
otras operaciones desarrolladas en las instituciones. Sin embargo, en el caso específico
de la auditoría, no sólo se utilizan para evaluar el registro adecuado de las operaciones,
también se utilizan para asentar, tabular y concentrar opiniones, registrar respuestas y
elaborar tabulaciones y gráficas que sirven de apoyo para la interpretación de esa infor-
mación; también le sirven de apoyo al auditor al emitir una opinión y, en su caso, para
contar (por escrito) con las evidencias necesarias para sostener sus comentarios.
Es necesario reiterar que uno de los elementos básicos de la auditoría de sistemas
es la elaboración de papeles de trabajo (o su equivalente en los medios electromagné-
ticos de información); también debemos reiterar que es fundamental que el auditor
elabore estos documentos o registros electromagnéticos para asentar todo lo que en-
cuentre durante su revisión.
En la práctica, para una buena auditoría, cualquiera que sea el tipo y ambiente
donde se realice, el uso del apoyo documental cobra una relevancia tal que muchos
funcionarios de las empresas auditadas y los propios auditores consideran que los pa-
peles de trabajo son el aspecto primordial sobre el cual descansa una evaluación; ade-
más, como ya hemos citado, sirven como soporte de las opiniones del auditor.
En la actualidad, muchas empresas y áreas de auditoría, incluso los propios audi-
tores y no pocas entidades federativas de México, exigen, para hacer válida la opinión
emitida como resultado de una auditoría de carácter contable, fiscal o financiera, que
246 Auditoría en sistemas computacionales
con la que se podrán integrar los papeles de trabajo del auditor de sistemas; también
proyectamos señalar un criterio de orden y conservación para el llamado legajo de pa-
peles de trabajo de la auditoría de sistemas. Aunque, claro está, lo aquí señalado es só-
lo una sugerencia hecha con el único propósito de ayudar a unificar las formas de
utilizar y guardar estos documentos; sin embargo, nada impide que el auditor utilice su
experiencia, conocimientos y criterio personal para determinar el contenido y orden
que deben tener los papeles de trabajo que utilizará en su evaluación. Lo importante
es que dichos papeles existan.
El legajo de papeles de trabajo, por su naturaleza y contenido, es el aspecto fun-
damental para elaborar el dictamen de la auditoría, y su uso es confidencial y exclusi-
vo del auditor de sistemas, debido a que éste va integrando en estos papeles de trabajo
los documentos reservados y de uso exclusivo de la empresa, mismos que recopila du-
rante su revisión y los complementa con los registros, en papel o en medios electro-
magnéticos, que obtiene como evidencias formales de alguna desviación en el área de
sistemas auditada.
Debemos señalar que el contenido de los papeles de trabajo puede variar de un
auditor a otro y de un tipo de auditoría a otra, ya que en cada trabajo existen procedi-
mientos, técnicas y métodos de evaluación especiales que forzosamente harán diferen-
te la recolección de los documentos. Lo mismo ocurre con la forma de obtener
evidencias e incluso con la forma de concentrar los papeles de trabajo.
A continuación presentaremos una propuesta para integrar estos papeles:
• Hoja de identificación
• Índice de contenido de los papeles de trabajo
• Dictamen preliminar (borrador)
• Resumen de desviaciones detectadas (las más importantes)
• Situaciones encontradas (situaciones, causas y soluciones)
• Programa de trabajo de auditoría
• Guía de auditoría
• Inventario de software
• Inventario de hardware
• Inventario de consumibles
• Manual de organización
• Descripción de puestos
• Reportes de pruebas y resultados
• Respaldos (backups)de datos, disquetes y programas de aplicación de auditoría
• Respaldos (backups) de las bases de datos y de los sistemas
• Guías de claves para el señalamiento de los papeles de trabajo
• Cuadros y estadísticas concentradores de información
• Anexos de recopilación de información
• Diagramas de flujo, de programación y de desarrollo de sistemas
• Testimoniales, actas y documentos legales de comprobación y confirmación
248 Auditoría en sistemas computacionales
Inventario consumibles
de equipo, de computo,
periféricos, instalaciones y Inventario Hardware
mobiliario
Inventario Software
Guía de Auditoría
Programa de trabajo
Empresa responsable de
Asesores en sistemas la auditoría
Legajo de papeles de trabajo de la auditoría
al Centro de cómputo de Empresa S.A. Identificación del legajo
y la empresa
Auditoría 1 al 31 de enero de 2001
Período de evaluación
Auditor responsable Carlos Muñoz Razo
Fecha de dictamen Responsable de la
integración
Fecha de presentación del dictamen documentación
En este lugar se anota la fecha de inicio de la auditoría (desde que empezó la revisión)
y su terminación (hasta el último día de revisión); de preferencia se debe anotar con el
formato Día (con números) Mes (con letras) Año (con cuatro dígitos), o con el forma-
to que el auditor prefiera.
Aquí se anota el nombre completo del responsable de llevar a cabo la auditoría; en ca-
so de ser un grupo, se anota el nombre del responsable de la conducción de la audi-
toría. Se puede anotar a todos los participantes si así se desea, pero siempre se debe
destacar al responsable de la auditoría.
En la imagen anterior sólo se muestran los puntos básicos del formato propuesto
para presentar las desviaciones más importantes de una auditoría de sistemas, ya que
en el capítulo siguiente explicaremos más a fondo su elaboración y uso.
El auditor elaborará el informe final con base en el análisis de estas desviaciones
relevantes, y lo presentará como informe final y dictamen de auditoría de sistemas
computacionales.
En este documento se indica* cada uno de los puntos que deberá evaluar el audi-
tor, así como la forma de evaluarlos y la descripción de las técnicas, métodos y herra-
mientas que deberá utilizar en dicha evaluación, mismos que deben ser diseñados
previamente, de acuerdo con el tipo de auditoría y la especialidad informática que se
tenga que evaluar en el centro de cómputo de la empresa (vea la figura 7.5).
Es de gran utilidad para el auditor integrar la guía de auditoría a los papeles de tra-
bajo, ya que en este documento anota cada uno de los puntos que evaluó, así como las
técnicas, métodos y procedimientos de auditoría que aplicó en la evaluación. También
anota toda la información que obtuvo de cada uno de los aspectos que analizó, así como
* Debido a la importancia que tiene este documento, en el capítulo 11, relacionado con las herramientas especia-
lizadas de auditoría de sistemas, especificaremos la importancia y utilidad de todos sus puntos.
256 Auditoría en sistemas computacionales
la obtención y/o generación de documentos, datos e información que le sirven como re-
ferencia para corroborar las evidencias sobre las desviaciones encontradas. Asimismo,
esta guía servirá de referencia para planear las próximas auditorías.
7.1.8 Inventarios
Una de las principales herramientas que utiliza el auditor de sistemas son los inventa-
rios, los cuales le sirven para contar los elementos que existen en el área que va a eva-
luar, según los equipos, artículos o partes del sistema que se traten; además, con la
información que obtiene puede comparar lo que debería existir y lo que realmente
existe de los elementos que se están inventariando; con ello puede comprobar que la
guarda y custodia de los bienes de la empresa sean adecuadas.
Aunque existen muchos tipos de inventarios, es recomendable utilizar los inventa-
rios que se hayan acordado en la planeación de la auditoría, de acuerdo con su origen
y objetivos, así como con las especificaciones de revisión que se hayan establecido. Por
esta razón, a continuación presentaremos los principales inventarios para el área de
sistemas:
Inventario de software
Inventario de hardware
Inventario de bases de datos e información de la empresa
Inventario de proyectos y desarrollos computacionales
Inventario de puestos de trabajo en el área de sistemas
Inventario de reportes de pruebas y resultados
Inventario de mobiliario y equipos
Inventario de instalaciones de voz, datos y energía
Inventario de instalaciones de redes
Inventario de manuales e instructivos
Inventario de respaldos, disquetes, cintas y sistemas de resguardo de información
Inventario de consumibles
A continuación presentaremos la manera de diseñar el inventario de software. En
el capítulo 9, Instrumentos de recopilación de datos aplicables en una auditoría de sis-
temas computacionales, analizaremos más detalladamente el diseño y aplicación de
los demás inventarios señalados anteriormente.
Uno de los documentos fundamentales que el auditor debe integrar en el legajo de pa-
peles de trabajo, es el inventario de los programas, lenguajes, paqueterías, sistemas
operativos y cualquier otro software que se utilice en la institución para el procesa-
miento de la información y la operación de los sistemas.
Papeles de trabajo para la auditoría de sistemas computacionales 257
Con esa información en sus papeles de trabajo, el auditor puede analizar y com-
probar la utilidad, aprovechamiento, suficiencia y seguridad del software. Además le
sirve de soporte en caso de haber desviaciones en la existencia y actualización del
mismo.
pueden archivar en disquetes, cintas, CD-ROMs, DVDs o en algún otro medio eletró-
nico de captura y lectura de datos.
En este tipo de auditorías, los llamados papeles de trabajo adquieren un matiz muy
especial debido a la forma en que se archiva la información en ellos; así encontramos
que debemos documentar datos que muchas veces no están archivados en papel sino
en sistemas computacionales; por lo tanto, debemos saber cómo capturar, extraer y ar-
chivar esa información en algún medio electromagnético de captura y lectura de infor-
mación. Sin embargo, no sólo es por la forma de almacenar la información, sino
también por la cantidad, periodicidad y utilidad de la información que va a ser docu-
mentada. Está claro que no se puede documentar como papeles de trabajo toda la in-
formación que se procesa en los sistemas computacionales, sino únicamente la que
haya sido designada de algún proceso de recopilación específico.
Es bueno recordar que un sistema computacional es un sistema de entrada de da-
tos, procesamiento de información y emisión de resultados, compuesto por un conjun-
to de equipos físicos (hardware) que capturan los datos a través de sus unidades de
entrada (teclado, disquetes, disco duro, CD-ROM), y los procesan (en la CPU) a través
de sus lenguajes, programas y paquetes (software) para emitir información (en panta-
lla, impresora, disco duro, disquetes) útil para la empresa.
Sin embargo, el auditor sólo utiliza la información que producen los sistemas, si
ésta le es útil para evaluar algún aspecto relacionado con la revisión que está realizan-
do, y casi nunca toma en cuenta las operaciones y actividades internas que realiza el
sistema para arrojar esa información.
Papeles de trabajo para la auditoría de sistemas computacionales 259
Este punto se refiere a todo lo relacionado con los cuadros estadísticos que utiliza el
auditor para recabar y evaluar la información obtenida en la evaluación; en estos cua-
dros se incluyen las gráficas, datos, censos, muestras, formulas estadísticas, etc. Es de
suma importancia para el auditor archivar estos cuadros en el legajo de papeles de tra-
bajo, ya que le pueden servir para acreditar sus opiniones; además, pueden servir de
referencia para los auditores novatos sobre la manera de elaborar estadísticas y obte-
ner evidencias de una evaluación de sistemas.
Debido a la importancia de este punto, en la sección 7.3 de este capítulo analiza-
remos ampliamente algunos ejemplos de estas recopilaciones.
Una de las actividades más importantes del trabajo en el área de sistemas de una
empresa es el desarrollo de los propios sistemas; durante una revisión de este tipo, es
responsabilidad del auditor evaluar el correcto y oportuno desarrollo e instalación de
los sistemas; para ello, además de evaluar su funcionamiento, debe anexar al legajo de
papeles de trabajo los documentos que contengan la información sobre el análisis, di-
seño, programación, pruebas e instalación de los sistemas de la empresa, como parte
de una posible evidencia de su evaluación. El auditor debe incluir en estos documen-
tos los diagramas de los sistemas, las metodologías utilizadas para el análisis y diseño
de los mismos, sus codificaciones, programas objeto, fuente y todos los aspectos ne-
cesarios que estén relacionados con el desarrollo de los sistemas de la empresa.
* En el capítulo 10 trataremos detalladamente las características, requisitos y formas de realizar estas actas testi-
moniales.
262 Auditoría en sistemas computacionales
Conservar por escrito estos análisis debe ser una prioridad para el responsable de
la auditoría, ya que de esta manera se podrá interpretar el resultado de su evaluación,
y en caso de que el auditor que hizo esos análisis no esté presente, éstos se pueden
estudiar y llegar a las mismas conclusiones.
tra algún documento con estas marcas, sabe que éste ya ha sido revisado o que tiene
una característica especial en la cual se tiene que advertir alguna observación, de
acuerdo con el significado de los símbolos. Todos los auditores deben utilizar los mis-
mos símbolos al hacer anotaciones en los documentos que evalúen.*
También ayudan al auditor a realizar un resumen de observaciones para identificar
de manera rápida y sencilla las posibles desviaciones; el simple uso de estas marcas
también le permite estandarizar su trabajo, siempre y cuando sean las mismas para to-
da la revisión.
Con el uso de estos símbolos también se evita el abuso en la recopilación de co-
pias inútiles de papeles de evaluación y documentos oficiales, los cuales sirven para
identificar los aspectos revisados, como apoyo para la evaluación o para cualquier otro
aspecto similar poco importante.
Con el uso de estas marcas se hace más sencilla la revisión de documentos impre-
sos en papel, de disquetes, bases de datos y de todo lo relacionado con los sistemas
evaluados.
Es conveniente aclarar que no existe algún convenio formal respecto al tipo de
marcas utilizadas entre un auditor y otro, sino que su diseño y uso es producto de las
experiencias de auditorías anteriores compartidas entre los auditores. Sin embargo,
por sentido común se unifican las marcas o símbolos que se utilizan en los papeles de
trabajo; entre estas marcas destacan las siguientes:
* Al referirnos a los documentos en evaluación, también nos estamos refiriendo a los medios electromagnéticos de
captura y emisión de información, así como a los demás elementos de análisis de información del área de sistemas.
Papeles de trabajo para la auditoría de sistemas computacionales 265
Es un cuadro (columnas y filas) en donde se anotan datos útiles tales como ope-
raciones aritméticas, matemáticas y/o estadísticas que le darán algún significado a la
evaluación.
En el ejemplo se presenta un cuadro con el consumo de horas de impresión sema-
nales de las impresoras de las diferentes áreas de una empresa. Con el análisis de es-
tos datos se podrían optimizar las impresoras mediante un pool de impresión o una red
con impresoras compartidas, según sea el caso que se presente en la realidad.
Inicio
Password
pass
Modulo
Fin Pass=lock de nivel
Modulo Ingresa
de acceso CLVUSR
Modulo
opciones
CLVUSR=
AUTORI
Opción
válida
Consulta
datos
268 Auditoría en sistemas computacionales
Diccionario de datos
CAMPO TIPO TAMAÑO DESCRIPCIÓN
Cmater Carácter 5 Clave del material.*
Cusuario Carácter 5 Clave del usuario.*
Fprestam Numérico 6 Fecha del préstamo.*
Flímite Numérico 6 Fecha límite de entrega.*
Fentrega Numérico 6 Fecha de devolución del préstamo.
Xedopres Carácter 9 Estado del préstamo: PRESTADO,
PERDIDO O DEVUELTO.*
Crespons Carácter 3 Iniciales de la persona que modificó el
registro por última vez.*
Los asteriscos indican los campos que no pueden estar vacíos, debido a la funcionalidad que se necesita
del sistema.
7.4.3 Modelos
Estos documentos son muy importantes en la evaluación de los sistemas computacio-
nales, ya que ayudan al auditor a representar la realidad de lo que va a evaluar.
Modelos
* Son representaciones abstractas de la realidad
Análisis Procesos De flujo de datos
Gráficas de transformación
Datos Entidad-Relación
Modelado de datos
Estructura de datos
Estructura lógica
Estado-Evento Estado-Transición
Historia de vida de la entidad
Diseño Diseño Gráficas de estructura
Las demás no son soportadas