Papeles de trabajo para la auditora de sistemas computacionales

Estructura del captulo Cul es el objetivo de este captulo? Jos chirinos Introduccin del captulo Jos chirinos
2.1 Contenido del legajo de papeles de trabajo Gerardo Kaesnert 2.2 Claves del auditor para marcar papeles de trabajo Raydee Bermudez 2.3 Cuadros, estadsticas y documentos concentradores de informacin Ysamar Salcedo 2.4 Diagrama de sistemas Oscarlyn Costero

Cul es el objetiv de este captulo?

Identificar el apoyo documental que requiere el auditor al realizar cualquier auditora de sistemas computacionales, a fin de contar con el soporte que le permita avalar y testimoniar la aplicacin de tcnicas, mtodos y procedimientos de auditora. Con dicha documentacin podr respaldar su trabajo y con su uso cubrir las necesidades especficas de soporte documental para la auditora de sistemas.

Introduccin del captulo

Ya sealamos que una de las caractersticas fundamentales de la auditora de sistemas computacionales, y en general de cualquier tipo de auditora, es el registro eficiente de la informacin que el auditor va recolectando durante su evaluacin; esa informacin le sirve para sostener las opiniones que emite en el informe de la auditora. Para ello tiene que recopilar los datos obtenidos durante la auditora y registrarlos formalmente en documentos; estos documentos pueden ser manuscritos, manuales, instructivos, grficas, resultados de procesamientos, concentrados de bases de datos en disquetes, respaldos (backups) o cualquier otro medio escrito o electromagntico, en los cuales recopilar los hechos, pruebas, tabulaciones, interpretaciones, as como el anlisis de los datos obtenidos. Con todo lo anterior, el auditor tendr un apoyo para confirmar los hechos y validar la informacin que utilizar como base para elaborar el informe de auditora. No obstante, al realizar este registro formal de datos, de inmediato surgen los siguientes interrogantes:

En dnde, cmo y para qu concentrar los datos que se obtienen en la auditora de sistemas? Los datos recopilados sirven para fundamentar las observaciones y para emitir un dictamen? En dnde, cundo y para qu se registra la informacin que se obtiene en la auditora de sistemas computacionales? Qu medios se utilizan para concentrar, validar, tabular e interpretar los datos obtenidos? Quin es el responsable de registrar, concentrar y controlar la informacin recopilada durante la auditora? En dnde, cundo y cmo? En dnde, cundo, por qu y cmo se registra la informacin documental, la emitida por el sistema computacional y la recopilada directamente en el campo? Qu tan vlido es guardar la informacin recopilada del sistema computacional en medios electromagnticos?

Es evidente que para satisfacer stos y muchos otros interrogantes, el auditor necesita cierto tipo de apoyo que le ayude a registrar formalmente (por escrito) la informacin que obtuvo al realizar la evaluacin; asimismo, este apoyo proporciona un adecuado orden al desarrollo de su trabajo; adems le sirve como soporte documental para registrar y, en su caso, mostrar las evidencias y pruebas de las situaciones relevantes encontradas durante la evaluacin y reportadas en el informe. El soporte fundamental, aparentemente muy simple, para la auditora, es el registro de la informacin recopilada en los llamados papeles de trabajo (para el caso de auditora de sistemas computacionales pueden ser documentos, grficas y medios electromagnticos), en los cuales se van anotando los hechos, acontecimientos y fenmenos observados durante la revisin; asimismo, estos papeles de trabajo se utilizan para transcribir y concentrar los resultados de entrevistas, cuestionarios, pruebas, encuesta, investigaciones, observaciones y opiniones del personal auditado. Tambin se utilizan como memoria detallada para asentar la evaluacin de los documentos formales del rea, de los resultados de las pruebas que se aplican en el sistema, de la documentacin testimonial de los auditados y/o de cualquier otra evidencia documental o sistematizada que se utilice para concentrar la informacin relacionada con la administracin y seguridad del rea de sistemas, la operacin del sistema, el comportamiento de las bases de datos o cualquier otro aspecto que afecte la operacin normal del rea o de los sistemas auditados. El uso de los papeles de trabajo es universal y no es privativo de la profesin de auditora, ya que estos documentos se utilizan en las empresas para registrar operaciones, atestiguar acciones, formalizar acuerdos, fundamentar propiedad y para registrar muchas otras operaciones desarrolladas en las instituciones. Sin embargo, en el caso especfico de la auditora, no slo se utilizan para evaluar el registro adecuado de las operaciones, tambin se utilizan para asentar, tabular y concentrar opiniones, registrar respuestas y elaborar tabulaciones y grficas que sirven de apoyo para la interpretacin de esa informacin; tambin le sirven de apoyo al auditor al emitir una opinin y, en su caso, para contar (por escrito) con las evidencias necesarias para sostener sus comentarios. Es necesario reiterar que uno de los elementos bsicos de la auditora de sistemas es la elaboracin de papeles de trabajo (o su equivalente en los medios electromagnticos de informacin); tambin debemos reiterar que es fundamental que

el auditor elabore estos documentos o registros electromagnticos para asentar todo lo que encuentre durante su revisin. En la prctica, para una buena auditora, cualquiera que sea el tipo y ambiente donde se realice, el uso del apoyo documental cobra una relevancia tal que muchos funcionarios de las empresas auditadas y los propios auditores consideran que los papeles de trabajo son el aspecto primordial sobre el cual descansa una evaluacin; adems, como ya hemos citado, sirven como soporte de las opiniones del auditor. En la actualidad, muchas empresas y reas de auditora, incluso los propios auditores y no pocas entidades federativas de Mxico, exigen, para hacer vlida la opinin emitida como resultado de una auditora de carcter contable, fiscal o financiera, que tanto la evaluacin como el dictamen estn sustentados en la existencia de papeles de trabajo, en los cuales estn anotados los hechos encontrados durante la auditora. Esto se acenta, an ms, en caso de que se requiera una auditora, ya sea a voluntad de la empresa o por imposicin de alguna autoridad, ya que el dictamen del auditor se fundamenta y se acepta con base en los documentos de trabajos fiscales y contables. En una auditora de sistemas computacionales, los papeles de trabajo representan el sustento para registrar los datos e informacin que se van recolectando durante la evaluacin; sin embargo, por la especialidad de medios que se utilizan para el registro de la informacin de las reas de cmputo, la recopilacin de datos se puede realizar en documentos o en medios electromagnticos de captura y resguardo de datos. Estos ltimos pueden ser discos duros, discos flexibles, cintas, cartuchos, CD-ROM, DVD y otros medios electromagnticos de registro exclusivo en sistemas computacionales. En estos papeles de trabajo (documentos o medios electromagnticos), el auditor tambin seala y destaca las observaciones que son de inters para l, a fin de cimentar el resultado de su evaluacin; tambin le sirven para mantener el sentido e importancia de las desviaciones que encontr durante la revisin, as como para establecer las posibles causas de las desviaciones y para proponer las probables soluciones que reporta como parte de su trabajo. Existen mltiples formas de elaborar y utilizar los papeles de trabajo de una auditora de sistemas computacionales, las cuales estarn determinadas por la experiencia, conocimientos y habilidades del auditor, as como por su necesidad de usar los documentos y medios de cmputo para concentrar la informacin; hay notorias similitudes (y diferencias) en la confeccin y uso de los papeles de trabajo, las cuales van desde uniformar el diseo de los documentos, mtodos y sistemas de captura de datos, la forma concreta de recopilar, concentrar y archivar la informacin, la manera de hacer acotaciones con los mismos estilos, opiniones y uso de claves similares, hasta la aplicacin de una serie de aspectos especficos y particulares para cada una de las reas de sistemas auditadas. Para que los papeles de trabajo o medios de captura se puedan admitir como soporte documental de una auditora de sistemas, y para que se utilicen para fundamentar los resultados y opiniones que presenta el auditor, es necesario que, tanto en su diseo como en su uso, renan ciertos requisitos y formalidades, mismos que sern determinados previamente por la empresa encargada de realizar la auditora, o por el auditor responsable de llevarla a cabo.

2.1) Contenido del legajo de papeles de trabajo

Los aspectos que analizaremos a continuacin son de carcter general; asimismo, al presentarlos pretendemos dar una idea precisa de la cantidad mnima de documentos con la que se podrn integrar los papeles de trabajo del auditor de sistemas; tambin proyectamos sealar un criterio de orden y conservacin para el llamado legajo de papeles de trabajo de la auditora de sistemas. Aunque, claro est, lo aqu sealado es slo una sugerencia hecha con el nico propsito de ayudar a unificar las formas de utilizar y guardar estos documentos; sin embargo, nada impide que el auditor utilice su experiencia, conocimientos y criterio personal para determinar el contenido y orden que deben tener los papeles de trabajo que utilizar en su evaluacin. Lo importante es que dichos papeles existan. El legajo de papeles de trabajo, por su naturaleza y contenido, es el aspecto fundamental para elaborar el dictamen de la auditora, y su uso es confidencial y exclusivo del auditor de sistemas, debido a que ste va integrando en estos papeles de trabajo los documentos reservados y de uso exclusivo de la empresa, mismos que recopila durante su revisin y los complementa con los registros, en papel o en medios electromagnticos, que obtiene como evidencias formales de alguna desviacin en el rea de sistemas auditada. Debemos sealar que el contenido de los papeles de trabajo puede variar de un auditor a otro y de un tipo de auditora a otra, ya que en cada trabajo existen procedimientos, tcnicas y mtodos de evaluacin especiales que forzosamente harn diferente la recoleccin de los documentos. Lo mismo ocurre con la forma de obtener evidencias e incluso con la forma de concentrar los papeles de trabajo. A continuacin presentaremos una propuesta para integrar estos papeles: Hoja de identificacin ndice de contenido de los papeles de trabajo Dictamen preliminar (borrador) Resumen de desviaciones detectadas (las ms importantes) Situaciones encontradas (situaciones, causas y soluciones) Programa de trabajo de auditora Gua de auditora Inventario de software Inventario de hardware Inventario de consumibles Manual de organizacin Descripcin de puestos Reportes de pruebas y resultados Respaldos (backups) de datos, disquetes y programas de aplicacin de auditora Respaldos (backups) de las bases de datos y de los sistemas Guas de claves para el sealamiento de los papeles de trabajo Cuadros y estadsticas concentradores de informacin Anexos de recopilacin de informacin Diagramas de flujo, de programacin y de desarrollo de sistemas Testimoniales, actas y documentos legales de comprobacin y confirmacin Anlisis y estadsticas de resultados, datos y pruebas de comportamiento del sistema

Otros documentos de apoyo para el auditor

En la figura se muestra un ejemplo del contenido de estos documentos, los cuales varan en volumen, contenido y forma, de acuerdo con las necesidades de informacin del auditor.

Figura 7.1 Legajo de papeles de trabajo de la auditora de sistemas computacionales

2.1.1) Hoja de identificacin

sta es la parte frontal del legajo de papeles de trabajo de la auditora de sistemas computacionales, y es el primer documento formal que se identifica en dicho legajo; en esta hoja, que puede ser una cartula formal rigurosamente empastada o una simple

portada de cartn o de papel comn y corriente, se anotan los datos elementales que sirven para identificar la documentacin contenida en el legajo. Esta portada (figura 7.2) debe contener como mnimo los siguientes datos:

2.1.1.1) Nombre de la empresa responsable de llevar a cabo la auditora de sistemas

En esta parte se anotan el logotipo y nombre de la institucin, cuando es una empresa de auditora externa la responsable de realizar la auditora de sistemas, o el nombre de la empresa y la designacin del rea de auditora interna, cuando es el rea de auditora interna la responsable de llevarla a cabo. Es indispensable anotar los datos de una sola empresa (externa o interna); no es vlido anotar los de ambas.

2.1.1.2) Identificacin del legajo de papeles de trabajo

Aqu va el nombre genrico que se le da al documento y sirve para identificar que se trata de la concentracin de los documentos que avalan la realizacin de la auditora de sistemas. En algunos casos puede admitirse con otros nombres, segn la preferencia del auditor o empresa. Lo importante es que esta parte sirve para identificar, claramente, el contenido de los documentos relacionados con la auditora de sistemas.

2.1.1.3) Nombre de la empresa o rea de sistemas auditada

En este lugar se anota el nombre completo de la empresa a la cual se practica la auditora de sistemas, junto con el nombre del rea de sistemas en donde sta se lleva a cabo. En caso de tratarse de una auditora interna, entonces se anota el nombre del rea de sistemas auditada. Lo esencial es que se puedan identificar, lo ms claramente posible, los nombres completos de la empresa y del rea de sistemas donde se realiza la auditora.

2.1.1.4) Periodo en que se realiz la auditora

En este lugar se anota la fecha de inicio de la auditora (desde que empez la revisin) y su terminacin (hasta el ltimo da de revisin); de preferencia se debe anotar con el

formato Da (con nmeros) Mes (con letras) Ao (con cuatro dgitos), o con el formato que el auditor prefiera.

2.1.1.5) Puesto y cargo del responsable de realizar la auditora

Aqu se anota el nombre completo del responsable de llevar a cabo la auditora; en caso de ser un grupo, se anota el nombre del responsable de la conduccin de la auditora. Se puede anotar a todos los participantes si as se desea, pero siempre se debe destacar al responsable de la auditora.

2.1.1.6) Fecha de emisin del dictamen final

Es la fecha en la que se presenta por escrito el dictamen final de auditora; es propiamente la fecha en la que se entrega el resultado de la auditora del rea de sistemas, y ste es aceptado por la direccin superior del rea. Lo fundamental es presentar con toda oportunidad dicho informe. Los puntos anteriores son los que se deben contemplar como mnimo para elaborar la cartula de los papeles de trabajo de la auditora de sistemas, aunque nada impide que se puedan resear otros datos importantes en ella, de acuerdo con las necesidades y caractersticas de la empresa auditora; aunque estos datos tambin pueden ser dictaminados por la empresa o rea auditada. La importancia de este punto es que esta cartula sirve para saber lo ms claramente posible a quin pertenecen los papeles de trabajo, el perodo en que se realiz la auditora y quin fue el responsable de llevarla a cabo.

2.1.2) ndice del contenido de los papeles de trabajo

En esta parte se hace la descripcin detallada y se pagina el contenido total de los papeles de trabajo, con el propsito de identificar rpidamente la pgina en donde se encuentra cada una de las partes que integran este legajo de papeles. Respecto al ndice, no existe ninguna condicionante ni forma especial de presentarlo, salvo lo estipulado de acuerdo con las necesidades o preferencias de la empresa de auditora o del auditor responsable de la misma. La nica condicin es que sea una presentacin ordenada y que se identifiquen claramente las pginas y su contenido. Sin embargo, sugerimos numerar con siglas cada captulo o parte importante de la auditora, seguidas de un nmero consecutivo que vuelva a iniciar en cada parte; por ejemplo: SI-001 (Seguridad Informtica hoja 001). Tambin sugerimos utilizar los siguientes apartados para los documentos de trabajo:

2.1.3) Dictamen preliminar (borrador)

El auditor utiliza esta seccin para conservar, como papeles de trabajo, el resultado del dictamen preliminar que present a discusin con los involucrados en la evaluacin, a fin de hacer el anlisis y consulta posteriores de todos los aspectos que present en forma de borrador. Este dictamen preliminar es un borrador (o varios borradores) que contiene un resultado preparatorio de la evaluacin del rea de informtica, del sistema auditado, de la funcin especfica de dicha rea o de cualquier otro aspecto relacionado con los sistemas de la institucin. Debemos sealar que este documento* es un bosquejo en el cual se indican las desviaciones encontradas y el llamado dictamen (juicio) que hace el auditor de lo que encontr durante su revisin. Todo este material se debe guardar, casi siempre, como documentos de trabajo, para utilizarlo como soporte en aclaraciones posteriores o para preparar el informe final. Debido a la importancia que tiene este documento para la auditora, a que ste es el resultado de una evaluacin de sistemas, a las caractersticas y tcnicas especiales para su elaboracin, as como los manejos especficos de su redaccin y presentacin, en el siguiente captulo haremos una presentacin ms completa y detallada del dictamen deauditora de sistemas. Por esta razn, dejaremos este punto slo como una mencin.

2.1.4) Resumen de desviaciones detectadas (las ms importantes)

Otro de los documentos importantes que debe conservar el auditor en el legajo de papeles de trabajo es la copia de los documentos originales, y en algunos casos el borrador manuscrito, de las desviaciones que considera como las ms importantes encontradas durante la revisin, as como sus causas y posibles soluciones, que presenta en el formato de desviaciones encontradas..

En la imagen anterior slo se muestran los puntos bsicos del formato propuesto para presentar las desviaciones ms importantes de una auditora de sistemas, ya que en el captulo siguiente explicaremos ms a fondo su elaboracin y uso. El auditor elaborar el informe final con base en el anlisis de estas desviaciones relevantes, y lo presentar como informe final y dictamen de auditora de sistemas computacionales.

2.1.5) Situaciones encontradas (situaciones, causas y soluciones)

En esta parte de los papeles de trabajo se presentan los manuscritos, y en ocasiones los borradores mecanografiados, de todas las situaciones detectadas durante la auditora, conforme al formato que se propone en el captulo siguiente, separando en situaciones encontradas, las causas que las originan y las posibles soluciones; tambin se anota al responsable de solucionarlas y las fecha de solucin para cada causa o situacin reportada, conforme se describe en el formato que presentamos a continuacin:

El propsito de guardar los formatos de desviaciones en esta seccin es tener a mano los problemas reportados durante la revisin, guardando desde el primer borrador hasta el ltimo de las llamadas situaciones detectadas, o algn nombre similar que se d a las incidencias que se reportan en este formato. El anlisis de las desviaciones detectadas se podr tomar como base para identificar las desviaciones relevantes sealadas en la seccin anterior. Debido a la importancia de este punto, en el siguiente captulo tambin analizaremos ms a fondo la elaboracin y presentacin del formato de presentacin de desviaciones encontradas, sus causas y soluciones.

2.1.6) Programa de trabajo de auditora

Es el documento formal (por escrito) de los planes, programas y presupuestos hechos para el control y desarrollo de la auditora; este documento se elabora en un formato especial o en una grfica en la cual se anotan las etapas y actividades para la evaluacin, as como los tiempos para llevarla a cabo; tambin se anotan los recursos disponibles para realizar todas esas actividades. Estos aspectos se deben sealar en forma cronolgica, secuencial y correctamente coordinada. Por la importancia que tiene este punto para el desarrollo de una auditora de sistemas, en el captulo anterior, Metodologa para realizar auditoras de sistemas computacionales, analizamos detalladamente el plan o programa de trabajo; por esta razn, nicamente sealaremos los principales conceptos que el auditor debe contemplar como parte del programa de trabajo: 1 etapa: Planeacin de la auditora de sistemas computacionales P.1 Identificar el origen de la auditora

P.2 Realizar una visita preliminar al rea que ser evaluada P.3 Establecer los objetivo de la auditora P.4 Determinar los puntos que sern evaluados en la auditora P.5 Elaborar planes, programas y presupuestos para realizar la auditora P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditora P.7 Asignar los recursos y sistemas computacionales para la auditora 2 etapa: Ejecucin de la auditora de sistemas computacionales E.1 Realizar las acciones programadas para la auditora E.2 Aplicar los instrumentos y herramientas para la auditora E.3 Identificar y elaborar los documentos de desviaciones encontradas E.4 Elaborar el dictamen preliminar y presentarlo a discusin E.5 Integrar el legajo de papeles de trabajo de la auditora 3 etapa: Dictamen de la auditora de sistemas computacionales D.1 Analizar la informacin y elaborar un informe de situaciones detectadas D.2 Elaborar el dictamen final D.3 Presentar el informe de auditora

2.1.7) Gua de auditora

Este documento, llamado gua de auditora, es fundamental para el buen desarrollo de una auditora, ya que es una herramienta auxiliar para el trabajo del auditor; por esta razn, debe tener una descripcin detallada de todos y cada uno de los puntos importantes que se deben auditar, segn las necesidades de evaluacin y caractersticas especficas del rea de sistemas de la empresa. Aqu se presenta un ejemplo:

En este documento se indica* cada uno de los puntos que deber evaluar el auditor, as como la forma de evaluarlos y la descripcin de las tcnicas, mtodos y herramientas que deber utilizar en dicha evaluacin, mismos que deben ser

diseados previamente, de acuerdo con el tipo de auditora y la especialidad informtica que se tenga que evaluar en el centro de cmputo de la empresa (vea la figura 7.5). Es de gran utilidad para el auditor integrar la gua de auditora a los papeles de trabajo, ya que en este documento anota cada uno de los puntos que evalu, as como las tcnicas, mtodos y procedimientos de auditora que aplic en la evaluacin. Tambin anota toda la informacin que obtuvo de cada uno de los aspectos que analiz, as como la obtencin y/o generacin de documentos, datos e informacin que le sirven como referencia para corroborar las evidencias sobre las desviaciones encontradas. Asimismo, esta gua servir de referencia para planear las prximas auditoras.

2.1.8) Inventarios
Una de las principales herramientas que utiliza el auditor de sistemas son los inventarios, los cuales le sirven para contar los elementos que existen en el rea que va a evaluar, segn los equipos, artculos o partes del sistema que se traten; adems, con la informacin que obtiene puede comparar lo que debera existir y lo que realmente existe de los elementos que se estn inventariando; con ello puede comprobar que la guarda y custodia de los bienes de la empresa sean adecuadas. Aunque existen muchos tipos de inventarios, es recomendable utilizar los inventarios que se hayan acordado en la planeacin de la auditora, de acuerdo con su origen y objetivos, as como con las especificaciones de revisin que se hayan establecido. Por esta razn, a continuacin presentaremos los principales inventarios para el rea de sistemas: Inventario de software Inventario de hardware Inventario de bases de datos e informacin de la empresa Inventario de proyectos y desarrollos computacionales Inventario de puestos de trabajo en el rea de sistemas Inventario de reportes de pruebas y resultados Inventario de mobiliario y equipos Inventario de instalaciones de voz, datos y energa Inventario de instalaciones de redes Inventario de manuales e instructivos Inventario de respaldos, disquetes, cintas y sistemas de resguardo de informacin Inventario de consumibles

2.1.9) Respaldo de datos (BACKUPS), informacin y programas de aplicacin de auditora

Los sistemas computacionales tienen caractersticas especficas en cuanto a la forma de captura, almacenamiento y emisin de informacin; por esta razn, encontramos que el respaldo de documentos es muy importante en una auditora de sistemas computacionales. Estos documentos de trabajo, que contienen informacin importante, se pueden archivar en disquetes, cintas, CD-ROMs, DVDs o en algn otro medio eletrnico de captura y lectura de datos.

En este tipo de auditoras, los llamados papeles de trabajo adquieren un matiz muy especial debido a la forma en que se archiva la informacin en ellos; as encontramos que debemos documentar datos que muchas veces no estn archivados en papel sino en sistemas computacionales; por lo tanto, debemos saber cmo capturar, extraer y archivar esa informacin en algn medio electromagntico de captura y lectura de informacin. Sin embargo, no slo es por la forma de almacenar la informacin, sino tambin por la cantidad, periodicidad y utilidad de la informacin que va a ser documentada. Est claro que no se puede documentar como papeles de trabajo toda la informacin que se procesa en los sistemas computacionales, sino nicamente la que haya sido designada de algn proceso de recopilacin especfico. Es bueno recordar que un sistema computacional es un sistema de entrada de datos, procesamiento de informacin y emisin de resultados, compuesto por un conjunto de equipos fsicos (hardware) que capturan los datos a travs de sus unidades de entrada (teclado, disquetes, disco duro, CD-ROM), y los procesan (en la CPU) a travs de sus lenguajes, programas y paquetes (software) para emitir informacin (en pantalla, impresora, disco duro, disquetes) til para la empresa.

Sin embargo, el auditor slo utiliza la informacin que producen los sistemas, si sta le es til para evaluar algn aspecto relacionado con la revisin que est realizando, y casi nunca toma en cuenta las operaciones y actividades internas que realiza el sistema para arrojar esa informacin.

En la figura 7.7 se hace un pequeo esbozo de los sistemas computacionales, sus caractersticas, marco conceptual y de algunos otros aspectos bsicos que sern tiles para que el auditor recuerde o conozca los aspectos ms importantes de lo que va a auditar. Los papeles de trabajo que contienen la informacin que se maneja en los sistemas se deben almacenar en dispositivos especiales; por esta razn, a continuacin indicaremos dos de los principales tipos de datos e informacin, as como los medios de almacenamiento que se deben considerar como documentos de los papeles de trabajo de la auditora de sistemas computacionales. El propsito de presentar estos dos ejemplos es que el auditor sepa cmo se deben archivar dichos papeles de trabajo. Aunque en la prctica, el responsable de la auditora ser quien decida el tipo de informacin que se debe archivar y en qu medio se puede hacer, segn las necesidades de su propia evaluacin. Respaldos de bases de datos e informacin de la empresa Es el respaldo peridico de informacin que se hace a travs de disquetes (o cualquier otro medio), en los cuales se almacenan los datos de algn ejercicio, operacin, o cualquier otra serie de datos que es importante conservar. El auditor de sistemas debe decidir cmo conservar esta informacin como parte de su evaluacin. En la prctica de la auditora de sistemas, el auditor debe evaluar los respaldos, la periodicidad con la que se llevan a cabo, el perodo de duracin o actualizacin de la informacin respaldada, la confiabilidad del respaldo, la manera de evitar fugas de informacin, entre muchos otros aspectos. Respaldos de programas (copias de respaldo de programacin) En este caso, el auditor debe verificar que existan respaldos (peridicos o nicos) de los sistemas operativos, programas, paqueteras o sistemas realizados en la empresa, con el objeto de evaluar que dichos respaldos sean los adecuados en caso de ocurrir problemas en el sistema. Adems debe verificar que los respaldos estn perfectamente custodiados, y que no existan ms copias de las permitidas, para evitar la llamada piratera de programas o la fuga de informacin de la empresa.

2.1.10) Otros documentos que debe contener el legajo de papeles de trabajo de la auditora
Debemos sealar que el responsable de la auditora de sistemas es quien debe definir el contenido y la forma de guardar los papeles de trabajo, y debe hacerlo de acuerdo con las necesidades especficas de evaluacin, siguiendo, de preferencia, la forma acostumbrada de captura y almacenamiento de la informacin recabada en la empresa o rea auditada. Asimismo, es quien debe determinar las secciones, partes y documentos que se deben guardar en el legajo de papeles de trabajo. Por esta razn, a continuacin presentamos algunos otros documentos que debe contener el citado legajo.

2.1.10.1) Estadsticas y cuadros concentradores de informacin

Este punto se refiere a todo lo relacionado con los cuadros estadsticos que utiliza el auditor para recabar y evaluar la informacin obtenida en la evaluacin; en estos cuadros se incluyen las grficas, datos, censos, muestras, formulas estadsticas, etc. Es de suma importancia para el auditor archivar estos cuadros en el legajo de papeles de trabajo, ya que le pueden servir para acreditar sus opiniones; adems, pueden servir de referencia para los auditores novatos sobre la manera de elaborar estadsticas y obtener evidencias de una evaluacin de sistemas. Debido a la importancia de este punto, en la seccin 7.3 de este captulo analizaremos ampliamente algunos ejemplos de estas recopilaciones.

2.1.10.2) Anexos de recopilacin de informacin

Adems de la informacin estadstica, el auditor puede obtener otro tipo de informacin que le es til para realizar la evaluacin de los sistemas computacionales, misma que puede ser muy variada y que debe guardar como anexos de informacin; a continuacin presentamos algunos ejemplos de estos anexos: Resultados del procesamiento de datos Descripcin de puestos, funciones y actividades Resultados y pruebas de clculos de procesamientos que se efectan en el sistema Copias de formatos y licencias de programas y paqueteras Copias de resguardos de equipos y mobiliario Mapas de distribucin de redes, instalaciones, equipos, muebles y sistemas de informacin Mapas de rutas de evacuacin y seguridad del rea de sistemas Bitcoras de reportes y servicios de mantenimiento preventivo y correctivo Resultados de inventarios y pruebas de la arquitectura de los sistemas Resultados de diseos, anlisis, codificacin, pruebas y liberacin de sistemas Copias de programas fuente, objeto y codificacin de los sistemas desarrollados en la empresa Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware, software, mobiliario y consumibles de sistemas Otros documentos tiles para el auditor Diagramas de sistemas, de programacin y desarrollo de sistemas Una de las actividades ms importantes del trabajo en el rea de sistemas de una empresa es el desarrollo de los propios sistemas; durante una revisin de este tipo, es responsabilidad del auditor evaluar el correcto y oportuno desarrollo e instalacin de los sistemas; para ello, adems de evaluar su funcionamiento, debe anexar al legajo de papeles de trabajo los documentos que contengan la informacin sobre el anlisis, diseo, programacin, pruebas e instalacin de los sistemas de la empresa, como parte de una posible evidencia de su evaluacin. El auditor debe incluir en estos documentos los diagramas de los sistemas, las metodologas utilizadas para el anlisis y diseo de los mismos, sus codificaciones, programas objeto, fuente y todos los aspectos necesarios que estn relacionados con el desarrollo de los sistemas de la empresa.

2.1.10.3) Testimoniales, actas y documentos legales de comprobacin y confirmacin

En algunos casos, estos documentos pueden ser de los ms importantes de una auditora de sistemas, debido a que son el testimonio de empleados, usuarios,

responsables o de las personas que por algn motivo declararon algo relacionado con los sistemas auditados o con alguna situacin especfica. Estos documentos deben ser recabados con toda formalidad. Asimismo, estos documentos son muy valiosos en cualquier tipo de auditora, ya que sirven para corroborar desviaciones importantes, y en algunos casos pueden tener valor legal para posteriores diligencias y pueden servir como pruebas en algn litigio. Por esta razn es de suma importancia tener a la mano este tipo de documentos.

2.1.10.4) Anlisis estadstico de resultados datos y pruebas de comportamiento del sistema

As como es necesario guardar los datos, muestras y frmulas estadsticas indicadas, tambin es necesario conservar los documentos relacionados con el anlisis estadstico de los resultados, ya que adems de servir como evidencia de las desviaciones encontradas, tambin pueden servir de referencia para futuras evaluaciones; es decir, se pueden utilizar como modelo para retomar los procedimientos seguidos y obtener resultados similares o para ensear a los auditores novatos. Conservar por escrito estos anlisis debe ser una prioridad para el responsable de la auditora, ya que de esta manera se podr interpretar el resultado de su evaluacin, y en caso de que el auditor que hizo esos anlisis no est presente, stos se pueden estudiar y llegar a las mismas conclusiones.

2.1.11) Otros documentos especializados de una auditora de sistemas

En el legajo de papeles de trabajo tambin se debe anexar la informacin (en papel o electrnicamente) relacionada con los reportes, anlisis y resultados de pruebas, configuraciones y exmenes especializados del sistema computacional, de las instalaciones o de cualquier otro aspecto relacionado con el rea de sistemas; tambin se debe anexar lo relacionado con el procesamiento de informacin o con cualquier otra actividad informtica. Asimismo, el auditor debe anexar cualquier otro documento que a su juicio sea de importancia para la auditora y que necesite conservar; por ejemplo, comprobantes de viticos, oficios de presentacin, correspondencia, minutas de reuniones, nombramientos y cualquier otro tipo de documentos tiles para la auditora. En este ejemplo se maneja el programa especializado QuickTime for Windows, versin 21.1.57@ de Apple Computer Inc., que se utiliza para verificar el contenido y funcionamiento del equipo de cmputo y de sus componentes. La composicin de esta utilera se presenta nicamente para ejemplificar alguno de los muchos productos que pueden ser incluidos como documentos en el legajo de papeles de trabajo de una auditora de sistemas computacionales. En el siguiente ejemplo se presenta un anlisis de la velocidad de procesamiento de una PC, en relacin con los parmetros compatibles con IBM en AT y XT (1993). COMIT@* es una marca registrada por Comunications Software by Tradenw Inc., y es otro ejemplo de los documentos de apoyo para el auditor de sistemas que se pueden anexar al legajo de papeles de trabajo.

2.2) Claves del auditor para marcar papeles de trabajo

Son las marcas de carcter informal que utiliza exclusivamente el auditor o el grupo de auditores que realizan la auditora, con el fin de facilitar la uniformidad de los papeles de trabajo y para identificarlos mejor. El auditor en jefe puede imponer el uso de estos smbolos o pueden ser utilizados por acuerdo del grupo, aunque tambin puede suceder que no sean utilizados en una auditora. Su utilidad radica en que tienen un significado preciso que todos los auditores conocen y utilizan para destacar aspectos importantes de los documentos que van revisando, y en que sirven como identificadores uniformes de todas las actividades que se desarrollan durante una evaluacin; as, cuando alguien del grupo de auditores encuentra algn documento con estas marcas, sabe que ste ya ha sido revisado o que tiene una caracterstica especial en la cual se tiene que advertir alguna observacin, de acuerdo con el significado de los smbolos. Todos los auditores deben utilizar los mismos smbolos al hacer anotaciones en los documentos que evalen.* Tambin ayudan al auditor a realizar un resumen de observaciones para identificar de manera rpida y sencilla las posibles desviaciones; el simple uso de estas marcas tambin le permite estandarizar su trabajo, siempre y cuando sean las mismas para toda la revisin. Con el uso de estos smbolos tambin se evita el abuso en la recopilacin de copias intiles de papeles de evaluacin y documentos oficiales, los cuales sirven para identificar los aspectos revisados, como apoyo para la evaluacin o para cualquier otro aspecto similar poco importante. Con el uso de estas marcas se hace ms sencilla la revisin de documentos impresos en papel, de disquetes, bases de datos y de todo lo relacionado con los sistemas evaluados. Es conveniente aclarar que no existe algn convenio formal respecto al tipo de marcas utilizadas entre un auditor y otro, sino que su diseo y uso es producto de las experiencias de auditoras anteriores compartidas entre los auditores. Sin embargo,

por sentido comn se unifican las marcas o smbolos que se utilizan en los papeles de trabajo; entre estas marcas destacan las siguientes: Propuesta de smbolos convencionales utilizados en una auditora de sistemas computacionales

Es importante destacar que los smbolos anteriormente presentados son producto de la experiencia en la aplicacin de auditoras de sistemas, pero su uso no es una obligacin ni pretendemos estandarizarlos, nuestra nica intencin es presentarlos como referencia y ejemplo a seguir. Sin embargo, por su utilidad y validez comprobadas en las evaluaciones de sistemas, sugerimos al lector que estudie y adopte aquellos que ms convengan a sus intereses. Es de suma importancia enfatizar que estos smbolos se deben disear en forma conjunta, se deben anotar en un mismo documento y distribuir copias entre los participantes de la auditora; tambin se debe vigilar constantemente que los auditores apliquen estos smbolos con el mismo criterio. Con esto se garantizan la uniformidad y continuiad de la evaluacin.

2.3) Cuadros, estadsticas y documentos concentradores de informacin

En esta parte se presentan todos los documentos del legajo de papeles de trabajo que servirn de soporte para presentar la informacin recopilada durante la auditora y que es conveniente destacar por su importancia, por su nivel de informacin o por cualquier otro aspecto que resulte determinante para la evaluacin y para comprobar las desviaciones plasmadas en las situaciones detectadas y en las situaciones importantes. Por lo general estos documentos son complemento de alguna revisin y sirven para identificar y comprobar desviaciones y situaciones. Dichos documentos pueden ser estadsticas, grficas o cuadros en los cuales se concentran y se comparan datos tales como listados de resultados de un proceso y listados de seguimiento de las actividades, operaciones y tareas que se realizan con

un sistema computacional, as como los concentrados de informacin estadstica, las bitcoras de seguimiento y reportes, y en s cualquier dato que pueda ser incluido en las estadsticas. A continuacin presentaremos algunos documentos que pueden ser considerados dentro de este rubro:

2.3.1) Cuadro de concentracin estadstica

Consumo de horas de impresin por semana

Es un cuadro (columnas y filas) en donde se anotan datos tiles tales como operaciones aritmticas, matemticas y/o estadsticas que le darn algn significado a la evaluacin. En el ejemplo se presenta un cuadro con el consumo de horas de impresin semanales de las impresoras de las diferentes reas de una empresa. Con el anlisis de estos datos se podran optimizar las impresoras mediante un pool de impresin o una red con impresoras compartidas, segn sea el caso que se presente en la realidad.

2.3.2) Cuadro de comparacin de informacin

Es un cuadro de concentracin estadstica de datos, en el que se comparan los resultados contra parmetros normales previamente definidos; esta comparacin nos dar un criterio de evaluacin para esos rangos. En el ejemplo de la tabla se hace la comparacin del tiempo programado de impresin contra el tiempo real.

2.3.3) Grficas de cualquier tipo

Es la representacin grfica de la informacin que proporciona un valor significativo a los datos.

El propsito de estas grficas es representar los datos en forma visual. En el ejemplo la grfica representa ingresos contra consumos, a fin de sealar la llamada oferta y demanda.

stos fueron slo algunos ejemplos de cuadros de concentracin de datos en forma estadstica y grfica; pero existen muchos tipos de cuadros y grficas que se utilizan en una auditora, de acuerdo a las necesidades de evaluacin de los sistemas computacionales de una empresa.

2.4) Diagramas de sistemas

Es la representacin grfica del procedimiento que se sigue para realizar una serie de operaciones y actividades debidamente coordinadas entre s. En el ambiente de sistemas, este diagrama es la representacin grfica de un procedimiento de sistematizacin, el cual est representado por lneas de flujo y smbolos que representan algn tipo de actividad, de documento o de una decisin. Esta simbologa se acuerda previamente, para que quienes la vean la interpreten de la misma manera.

2.4.1) Diagrama de flujo

En este tipo de diagramas se sealan los procedimientos por medio de smbolos adoptados para ejemplificar el flujo que siguen los datos.

Cabe sealar que estos smbolos son convencionales, por ejemplo: Para decisin se ocupa el rombo. Para el flujo se utilizan lneas con o sin flechas que sealan el seguimiento de las aciones. Para representar impresin se utiliza una hoja cortada. En el ejemplo se ve un procedimiento para iniciar un sistema de consulta en el que se incluyen passwords, mdulos de acceso y mdulos de usuario, as como el flujo que se sigue para entrar al sistema. El uso de los diagramas de flujo es una de las principales herramientas que utiliza un auditor para la evaluacin de programas, bases de datos, programacin de sistemas y cualquier otro desarrollo de sistemas de la empresa, debido a que permite seguir perfectamente los datos.

7.4.2) Diccionario de datos

ste es otro de los documentos importantes para el auditor, ya que le ayuda a identificar el contenido y composicin de las bases de datos, su forma, el tamao de los archivos, el nmero de dgitos por cada registro que ingresa a la computadora y dems caractersticas que componen una base de datos.

En el ejemplo se observa un diccionario de datos que contiene la identificacin del campo, su descripcin, el tipo de datos que admite y el tamao de los datos que ingresan. Para el auditor es muy importante identificar y evaluar la correcta elaboracin de las bases de datos, y una forma de realizarlo es por medio de los diccionarios de bases de datos, ya que stos le ayudan a identificar la forma en que se realizaron estos archivos y la forma en que se utilizan.

2.1.3) Modelos
Estos documentos son muy importantes en la evaluacin de los sistemas computacionales, ya que ayudan al auditor a representar la realidad de lo que va a evaluar.

En su acepcin bsica, modelo es la representacin grfica o a escala de una cosa, idea, o de la realidad. Para el caso concreto de los sistemas, el modelo representa la abstraccin grfica de la realidad que el analista o programador conceptualiza para plasmarla en un documento. De hecho, en estricto sentido, todas las grficas y diagramas de flujo aqu mostrados son modelos que representan la realidad.

En la figura se ejemplifican las principales caractersticas de cualquier modelo utilizado en la programacin orientada a objetos, incluyendo la descripcin de los procedimientos resentados.