Auditora Informtica

Documentacin
Evidencia comprobatoria
Control interno

Documentacin del trabajo y su

organizacin

Papeles de trabajo
La

documentacin de la auditora de los sistemas

informticos es el registro del trabajo de auditora
realizado, la evidencia que sirve de soporte a las
debilidades encontradas y las conclusiones del auditor.

Estos documentos, se denominan PAPELES DE TRABAJO y

se deben disear y organizar segn las circunstancias y

las necesidades del auditor.
Estos han de ser completos, claros y concisos. Todo el

trabajo de auditora debe quedar reflejado en papeles

de trabajo por los siguientes motivos

a. Recogen la evidencia obtenida a lo largo del trabajo.

b. Ayudan al auditor en el desarrollo de su trabajo.
c. Ofrecen soporte del trabajo realizado para poder ser

utilizado en auditoras sucesivas.

d. Permiten que el trabajo pueda ser revisado por
terceros(que cuenten con el privilegio o autorizacin).
e. Sirve para fomentar un enfoque metdico de la labor
que se lleva.
Una vez que el auditor ha finalizado su trabajo, los
papeles de trabajo son la nica prueba que el auditor
tiene de haber llevado a cabo un examen adecuado.
Siempre existe la posibilidad de que el auditor tenga que
demostrar la calidad de su anlisis ante un tribunal.

Archivos
Los papeles de trabajo que el auditor va

elaborando se pueden organizar en dos

archivos principales:
El archivo permanente o continuo y
Archivo corriente o de la auditora en
curso.

Archivo permanente

El archivo permanente contiene todos

aquellos papeles que tienen un inters
continuo, una validez plurianual, tales como:

 Consideraciones sobre el negocio.

Consideraciones sobre el sector.
Composicin del consejo de administracin.
Caractersticas el equipo.
Manuales de los equipos y de las aplicaciones.
Descripcin de los procedimientos contables.
Descripcin del control interno.
Organigramas y divisin de funciones.
Cuadro de planificacin plurianual de

auditora.
Escrituras y contratos.
En general toda la informacin de importancia
para auditoras posteriores.

Archivo corriente
Este archivo, a su vez se suele dividir en:
Archivo general
Archivo de reas
ARCHIVO GENERAL

Los documentos que se suelen archivar aqu

son aqullos que no tienen cabida especfica
en alguna de las reas en que hemos
dividido el trabajo de auditora, tales como:

El informe del auditor.

La carta de recomendaciones.
Los acontecimientos posteriores.
El cuadro de planificacin de la auditora

corriente.
La correspondencia que se ha mantenido
con la direccin de la empresa.
El tiempo que cada persona del equipo ha
empleado en cada una de las reas.

ARCHIVO POR REAS

Se debe preparar un archivo para cada una de

las reas en que hayamos dividido el trabajo e
incluir en cada archivo todos los documentos
que hayamos necesitado para realizar el
trabajo de esa rea en concreto. Al menos
deben incluirse los siguientes documentos :
Programa de auditora

de cada una de las

reas.
Conclusiones del rea en cuestin.
Conclusiones del procedimiento en cuestin.

Evidencia comprobatoria
Mediante los procedimientos de Auditora, el auditor

debe obtener evidencia comprobatoria suficiente y

competente en el grado que requiera para suministrar
una base objetiva que permita su opinin.

Debe

entenderse por evidencia comprobatoria, los

elementos que comprueben la autenticidad de los
hechos, la evaluacin de los procedimientos
contables empleados, la razonabilidad de los
juicios efectuados, de ah que la documentacin
contable por s sola no represente toda la
evidencia que el auditor requiere para apoyar su
opinin profesional.

Control interno
El

control
interno
informtico
garantiza
diariamente que todas las actividades de
sistemas
de
informacin
sean
realizadas
cumpliendo los procedimientos, estndares y
normas fijados por la direccin de la organizacin
y/o
la
direccin
informtica.

Los controles internos se clasifican en tres:

CONTROLES PREVENTIVOS
CONTROLES DETECTIVOS
CONTROLES CORRECTIVOS

Controles preventivos
Para tratar de evitar el o los

hecho(s),
como un software de seguridad que impida
los accesos no autorizados al sistema.

Controles detectivos
Cuando fallan los preventivos, para tratar

de conocer cuanto antes el o los eventos.

Por ejemplo, el registro de intentos de
acceso no autorizados, el registro de la
actividad diaria para detectar errores u
omisiones, etc.

Controles correctivos
Facilitan la posibilidad de corregir errores

cuando se han producido incidencias. Por

ejemplo, la recuperacin de un archivo
daado a partir de las copias de seguridad.

Para la implantacin de un sistema de controles

internos informticos se debe definir:
Gestin

de sistema de informacin:
polticas, pautas y normas tcnicas que sirvan
de base para el diseo y la implantacin de los
sistemas de informacin y los controles
correspondientes.

Administracin

de sistemas: Controles
sobre la actividad de los centros de datos y
otras funciones de apoyo al sistema, incluyendo
la administracin de las redes.

Seguridad:

Incluye las tres clases de

controles fundamentales implantados en el
software del sistema, integridad del sistema,
confidencialidad
(control
de
acceso)y
disponibilidad.

Gestin

del cambio: Separacin de las

pruebas y la produccin a nivel del software y
controles
de
procedimientos
para
la
migracin
de
programas
de
software
aprobados y probados