Leccin 5

Etapa de Exploracin y Planificacin

Para realizar una Auditoria de Sistemas de Informacin se debe realizar cuatro (4) etapas:

Exploracin Planificacin Ejecucin Informe

Fig.

5.1 Etapa de Exploracin

La exploracin es la etapa en la cual se realiza el estudio o examen previo al inicio de la Auditora

con el propsito de conocer en detalle las caractersticas de la entidad a auditar para tener los
elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo
hacia las cuestiones que resulten de mayor inters de acuerdo con los objetivos previstos.

Los resultados de la exploracin permiten, adems, hacer la seleccin y las adecuaciones a la

metodologa y programas a utilizar; as como determinar la importancia de las materias que se
habrn de examinar.

Tambin posibilita valorar el grado de fiabilidad del control interno (contable, administrativo y de
los sistemas de informacin) as como que en la etapa de planeamiento se elabore un plan de
trabajo ms eficiente y racional para cada auditor, lo que asegura que la Auditoria de Sistemas
de Informacin habr de realizarse con la debida calidad, economa, eficiencia y eficacia;
propiciando, en buena medida, el xito de su ejecucin.

En la entidad se deben efectuar entrevistas con los principales dirigentes con el propsito de
explicarles el objetivo de la Auditoria de Sistemas de Informacin, y conocer o actualizar en detalle
los datos en cuanto a estructura, cantidad de dependencia, desenvolvimiento de la actividad que
desarrolla, flujo de la produccin o de los servicios que presta y, otros antecedentes
imprescindibles para un adecuado planeamiento del trabajo a ejecutar.

5.1.1 Estudio inicial del entorno auditable

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la
informtica.

Para su realizacin el auditor debe conocer, entre otras cosas:

a. Organizacin del rea de TI

b. Relaciones Jerrquicas y funcionales entre rganos de la Organizacin

El Equipo Auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas

por el organigrama, o por el contrario detectara, por ejemplo: si algn empleado tiene dos
jefes, si hay duplicidad de funciones en dos reas distintas, etc.
La Jerarqua implica la correspondiente subordinacin. Las funcionales por el contrario,
indican relaciones no estrictamente subordinadas.

c. Flujos de informacin

Adems de las corrientes verticales intradepartamentales, la estructura organizativa

cualquiera que sea, produce corrientes de informacin horizontales y oblicuas
extradepartamentales.

Los flujos de informacin entre los grupos de una organizacin son necesarios para su
eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama.

En ocasiones, las organizaciones crean espontneamente canales alternativos de

informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos canales
alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el
organigrama que los representa.

d. Nmero de Puestos de trabajo y el Perfil de cada puesto

El auditor de sistemas comprobar si el personal que trabaja en el rea de TI es idneo y

cumple con el perfil de cada puesto. Adems verificar si realiza las labores (funciones) que
corresponde al puesto que est ocupando.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual implica la
existencia de funciones operativas redundantes.

e. Nmero de personas que conforman el rea de TI

El determinar el nmero de personas por puesto de trabajo es un parmetro que los

auditores de sistemas deben considerar. La inadecuacin del personal determina que el
nmero de personas que realizan las mismas funciones rara vez coincida con la estructura
oficial de la organizacin.
 Ejemplo: Recursos humanos distribuidos en el rea de TI.

f. Entorno operacional

El Equipo de Auditoria de Sistemas de Informacin debe poseer una adecuada referencia del
entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando,
fundamentalmente los siguientes extremos:

f.1 Situacin geogrfica de los Sistemas

Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos en

la empresa. A continuacin, se verificar la existencia de responsables en cada uno de
ellos, as como el uso de los mismos estndares de trabajo.

f.2 Arquitectura y configuracin del Hardware y Software

Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno
de ellos, ya que los mismos deben constituir un Sistema compatible e intercomunicado.
La configuracin de los sistemas esta muy ligada a las polticas de seguridad lgica de
las empresas.

Los auditores en su estudio inicial, deben tener en su poder la distribucin e

interconexin de los equipos.

f.3 Inventario de Hardware y Software

El auditor recabar informacin, en donde figuren todos los elementos fsicos y lgicos
de la instalacin.

Hardware

En cuanto al Hardware figurarn

las CPUs, unidades de control
local y remotas, perifricos de
todo tipo, etc.

Fig.
En una organizacin la distribucin del hardware va depender de las polticas que se
han establecido y la necesidad de cada unidad orgnica.

rea de TI
Fig. Ejemplo del organigrama de la empresa B, donde se ubica el rea de Tecnologa de Informacin, dentro de la
Gerencia de Desarrollo e Investigacin, en este caso.

Pentium Pentium Pentium

Grupo Funcional Notebooks Servers Totales
II III IV
Directorio 8 8
Gerencia de Auditoria
9 12 5 4 1 31
Interna
Gerencia General 2 11 2 6 2 23
Gerencia de Recursos
3 3 6 7 3 22
Humanos
Gerencia de Finanzas 13 4 7 8 1 33
Gerencia de Logstica
2 5 8 3 1 19
y Servicios
Gerencia de
Desarrollo e 25 9 2 1 15 52
Investigacin
Gerencia de
5 8 3 5 3 24
Proyectos y Obras

TOTAL GENERAL 67 52 33 34 26 212

Cuadro Ejemplo de la distribucin de plataforma de cmputo personal.

Fuente Elaboracin propia.
 Grupo Funcional Inyeccin Lser Matricial Totales
Directorio 2 3 5
Gerencia de Auditoria Interna 5 1 6
Gerencia General 7 2 9
Gerencia de Recursos Humanos 2 3 5 10
Gerencia de Finanzas 3 4 6 13
Gerencia de Logstica y Servicios 6 5 5 16
Gerencia de Desarrollo e Investigacin 5 6 4 15
Gerencia de Proyectos y Obras 4 5 2 11

TOTAL GENERAL 34 29 22 85

Cuadro Ejemplo de la distribucin de las impresoras

Fuente Elaboracin propia.
Software

El software es una serie de instrucciones para que una computadora ejecute uno o
varios procesos, como mostrar textos, manipular nmeros, copiar o eliminar
documentos. Al igual que el Hardware empresarial, en una organizacin, la forma de
adquirirlos y distribuirlos representa uno de los mayores retos.

Para su adquisicin es necesario considerar lo establecido en el Plan Estratgico de

Tecnologa de Informacin y/o Plan de Sistemas.

Clasificacin del software en la organizacin

Existen dos (2) maneras de clasificar el software en la organizacin:

a. Software Base o de Sistema

b. Software de Aplicaciones

Software de Aplicacin

Software de Sistema

Hardware
 1
Fig. Clasificacin del software en la organizacin. (Gmez: 2008, 23)

a. Software Base o de Sistema

Software de Sistema esta constituido por los programas que se encargan del control y
administracin de los recursos de cmputo, y por los que permiten la interaccin entre
los usuarios y los sistemas de aplicacin o el hardware.
Ejemplo: los traductores (compiladores, interpretes y ensambladores) y los sistemas
operativos como Windows, XP o vista y varias versiones de Unix, por ejemplo AIX de
IBM o Solaris de Sun. (Gmez: 2008, 23) 2

Los softwares de sistemas mas utilizados (comerciales) son:

Microsoft Windows
Es el nombre de una serie de sistemas operativos
desarrollados por Microsoft desde 1981, ao en que
el proyecto se denominaba "Interface Manager".

Fig.

Linux
Es un sistema operativo diseado por cientos de programadores de todo el planeta,
aunque el principal responsable del proyecto es Linus Tovalds. Su objetivo inicial es
propulsar el software de libre distribucin junto con su cdigo fuente para que
pueda ser modificado por cualquier persona, dando rienda suelta a la creatividad.

1 Andrs Gmez De Silva Garza (2008) Introduccin a la Computacin, Cengage Learning Editores S.A., Mxico D.F.

2 Andrs Gmez De Silva Garza (2008) Introduccin a la Computacin, Cengage Learning Editores S.A., Mxico D.F.
 Fig.

Novell
(Inc.) es una compaa de origen estadounidense dedicada al software,
especficamente en el rea de sistemas operativos de redes, como Novell Netware.
 Fig.

b. Software de Aplicaciones

Software de Aplicacin esta compuesto por los programas que le permiten a una
computadora realizar actividades especificas de procesamiento de informacin y ofrecer
una funcionalidad a los usuarios finales. (Gmez: 2008, 24) 3

Este tipo de software puede ser clasificado en las siguientes categoras:

Software de Productividad, ejemplo: los procesadores de texto, hojas de calculo,

administradores de bases de datos, editores de paginas Web, los programas que
soportan el desarrollo de presentaciones multimedia, los programas de estadstica
y los de ingeniera asistida por computadora.

Software para Negocios, pueden ser software Estndar o Especifico.

o Ejemplo Software Estndar: sistemas de nomina o de finanzas, los sistemas
para la Planificacin de los Recursos Empresariales (ERP), la cadena de
suministro (SCM) y las relaciones con los clientes (CRM).
o Ejemplo Software Especfico: es aquel que es desarrollado a la medida de una
empresa para satisfacer necesidades particulares de esta.

Software Educativo, tenemos los libros electrnicos, los programas tutoriales que
capacitan al usuario sobre temas especficos y los programas de referencia como
las enciclopedias electrnicas.

Software de Entretenimiento, tenemos los juegos electrnicos.

Relacin de software de aplicaciones personal

Tipo de
Explicacin Ejemplo Proveedor
Software
Procesamiento Crea, edita e imprime documentos con texto Word Microsoft
de texto WordPerfect Corel
Hoja de clculo Proporciona una amplia gama de funciones Excel Microsoft
incorporadas para clculos estadsticos, Lotus 1-2-3 Lotus/IBM
financieros, lgicos, de base de datos, grficas Quattro Pro Originalmente
y datos y tiempo desarrollado por
Barland

Base de datos Almacena, manipula y recupera datos Access Microsoft

Approach Lotus/IBM
FoxPro Microsoft
DBase Barland

3 Andrs Gmez De Silva Garza (2008) Introduccin a la Computacin, Cengage Learning Editores S.A., Mxico D.F.
 Servicios de Obtiene una amplia gama de informacin de los America Online America Online
informacin en servicios comerciales Compuserve Compuserve
lnea Prodigy Prodigy

Grficas Desarrolla grficas, ilustraciones y dibujos Ilustrator Adobe

FreeHand Macromedia

Administracin Planea, programa, asigna y controla personas y Project for Windows Microsoft
de proyectos recursos (dinero, tiempo y tecnologa) On Target Symantec
necesarios para completar un proyecto de Project Schedule Scitor
acuerdo con el programa Time Line Symantec

Administracin Lleva un registro de los ingresos y los gastos e Managing Meca Software
financiera informa a los monitores, y planea presupuestos Your Money
(algunos programas tienen caractersticas de Quicken Intuit
administracin de carteras de inversin).

Autoedicin Trabaja con computadoras personales e QuarkXpress Quark

impresoras de alta resolucin para crear salidas Publisher Microsoft
impresas de alta calidad, entre ellas textos y PageMaker Adobe
grficas; se pueden integrarse archivos de arte Ventura Publisher Corel
y de textos en las pginas editadas

Creatividad Ayuda a producir ideas innovadoras y creativas Organizer Macromedia

y a la resolucin de problemas. El software no Notes Lotus
propone soluciones, pero proporciona una
estructura que conduce al pensamiento
creativo. El software lleva a los usuarios a
travs de una rutina: primero da nombre a un
problema, despus organiza ideas y deseos, y
por ltimo ofrece nueva informacin para
sugerir diferentes ideas o soluciones.

Cuadro Software de aplicaciones personal. (Stair: 2000, 158) 4

Relacin de software de aplicaciones empresarial

Los softwares de aplicaciones de acuerdo al rea son:

rea de Contabilidad
Los sistemas de informacin para contabilidad incluyen funciones que reflejan el
desempeo actualizado de la organizacin en trminos financieros. Los sistemas
Contables y Financieros mayormente utilizados son:

4Ralph M. Stair (2000), Principios de Sistemas de Informacin: Enfoque Administrativo, International Thomson
Editores S.A., Mxico.
 PDT: Es el documento llevado a
travs de medios electrnicos,
presentando mensualmente a travs
del medio informtico desarrollado
por la SUNAT, en el que se encuentra
registrada la informacin de los
trabajadores, pensionistas,
prestadores de servicios, prestador
de servicios modalidad formativa,
personal de terceros y
derechohabientes.

Fig.

SIAF: El Sistema Integrado de

Administracin Financiera es un
sistema asociado a la ejecucin del
presupuesto anual (gastos, ingresos,
control de deuda interna y externa,
etc.)

Fig.

SISCONT: Es un sistema contable

financiero, permite gestin de Caja
Chica, Gestin de crditos y
cobranzas. Con Siscont todos los
procesos son ejecutados en lnea.

Fig.

rea de Auditora y Control

Los sistemas de Auditora y Control utilizados son:
 SCG (Ex SAGU): El Sistema de
Control Gubernamental es un
sistema desarrollado por la
Contralora General que permite el
registro bsico de la informacin
referidos a los Planes de Control
(PAC), labores de control e informes
de control.

Fig.

EKIPU: Es un sistema que permite

administrar electrnicamente las
acciones de control, actividades de
control y proyectos de gestin.

Fig.

ACL: Es la herramienta CAATT

(Herramientas y Tcnicas de
Auditora Asistidas por
Computador), reconocida por la
comunidad global de auditores como
la solucin de software preferida
para la extraccin y anlisis de
datos, deteccin de errores y
fraudes y monitoreo del riesgo.

Fig.

rea de Ingeniera
Los sistemas de informacin para Ingeniera ayudan a los ingenieros a disear
productos nuevos y a simular como funcionan. Los sistemas para ingeniera son:
 GIS: Un Sistema de
Informacin Geogrfica es una
coleccin organizada de
hardware, software, datos
geogrficos y personal,
diseado para capturar,
almacenar, consultar, analizar,
desplegar y mostrar resultados
en todas sus formas sobre la
informacin geogrficamente
referenciada con el fin de
resolver problemas complejos
de planificacin y gestin. En el
mercado existe Software GIS:
Fig.
Arc GIS, Map Info, Autodesk
Map, Geomedia, entre otros.

Autodesk AutoCAD: es un
programa de diseo asistido
por computadora (CAD
"Computer Aided Design"; en
ingls, Diseo Asistido por
computadora) para dibujo en
2D y 3D. Actualmente es
desarrollado y comercializado
por la empresa Autodesk.

Fig.

rea de Recursos Humanos, Logstica y Finanzas

Uno de los sistemas utilizados es:
 SAP R/3: (Systeme,
Anwendungen und Produkte
y/o Sistemas, Aplicaciones y
Productos). Es un sistema
integrado de gestin que
permite controlar todos los
procesos que se llevan a
cabo en una empresa, a
travs de mdulos.

Fig.
f.4 Comunicacin y Redes de Comunicacin

En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas

principales de las lneas, as como de los accesos a la red pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la empresa.

Es importante mencionar que las telecomunicaciones son esenciales para las

operaciones empresariales, ya que nos permite la transmisin de datos e informacin
de un punto a otro.

f.5 Diseo de las Aplicaciones, base de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informticos realizados en la empresa auditada. Para ello
debern conocer lo siguiente:

a. Volumen, antigedad y complejidad de las Aplicaciones

b. Metodologa del Diseo en las Aplicaciones

Se clasificar globalmente la existencia total o parcial de metodologas en el

desarrollo de las aplicaciones. Si se han utilizado varias a lo largo del tiempo se
pondr de manifiesto.

Interfaz:

En software, parte de un programa que permite el flujo de informacin entre un

usuario y la aplicacin. Esa parte de un programa est constituida por un conjunto
de comandos y mtodos que permiten estas intercomunicaciones.
Una interaz puede ser del tipo GUI, o lnea de comandos, etc. Tambin puede ser
a partir de un hardware, por ejemplo, el monitor, el teclado y el mouse, son
interfaces entre el usuario y el ordenador.
 Fig.
Cdigo fuente:

El cdigo fuente de un programa informtico (o software) es un conjunto de lneas

de texto que son las instrucciones que debe seguir la computadora para ejecutar
dicho programa.

El cdigo fuente de un programa est escrito por un programador en algn lenguaje

de programacin, pero en este primer estado no es directamente ejecutable por la
computadora, sino que debe ser traducido a otro lenguaje (el lenguaje mquina o
cdigo objeto) que s pueda ser ejecutado por el hardware de la computadora. Para
esta traduccin se usan los llamados compiladores, ensambladores, intrpretes y
otros sistemas de traduccin.
 Fig.

Cumpliendo con estndares de programacin

Cuando se programa (cdigo fuente) se debe hacer respetando los estndares de

programacin a fin de que cualquier programador, analista, etc. lo pueda
comprender.

A continuacin se muestra el estndar para una subrutina interna 5:

Fig.

c. Documentacin

La existencia de una adecuada documentacin de las aplicaciones proporciona

beneficios tangibles e inmediatos muy importantes. La documentacin de
programas disminuye el mantenimiento de los mismos.

d. Cantidad y complejidad de la Base de Datos 6 y Ficheros 7

5 Definicin de Subrutina: es una porcin de cdigo que forma parte de un programa ms grande. Esa porcin
de cdigo realiza una tarea especfica, relativamente independiente del resto del cdigo.
6 Definicin de Base de Datos: es un conjunto de datos pertenecientes a un mismo contexto y almacenados
sistemticamente para su posterior uso.

7 Definicin de Fichero: es una unidad de informacin en la que se almacena el resultado.

El auditor recabar informacin de tamao y caractersticas de las bases de datos,
clasificndolas en relacin y jerarquas. Hallar un promedio de nmero de accesos
a ellas por hora o das. Esta operacin se repetir con los ficheros, as como la
frecuencia de actualizaciones de los mismos.

Estos datos proporcionan una visin aceptable de las caractersticas de la carga

informtica.

Fig.
 Fig.

5.2 Etapa de Planificacin

El trabajo del auditor debe ser adecuadamente planificado a fin de asegurar la realizacin de una
auditoria de alta calidad y debe estar basado tanto en el conocimiento de la actividad que
desarrolla la entidad a examinar como de las disposiciones legales que la afectan.

La Planificacin de la auditoria comporta el desarrollo de una estrategia global en base

al objetivo y alcance del encargo y la forma en que se espera que responda la
organizacin de la entidad. (Mira: 2006, 21) 8

8 Juan Carlos Mira Navarro (2006) Apuntes de Auditoria, VimLatex, Espaa.

 Consiste fundamentalmente en prever el futuro y con base en ello plantear cursos
alternativos de accin, evaluarlos y as definir lo adecuado a seguir para alcanzar
determinado objetivo. Por lo tanto, puede comprender el establecimiento de polticas,
procedimientos, programas, presupuestos, pronsticos o de cualquier otro elemento que
tiende a precisar las caractersticas y condiciones del curso de accin.
Al planear se decide de antemano que hacer, como hacerlo, cuando y quien deber
llevarlo a cabo. (Cardozo: 2006, 21) 9

La planificacin de una auditoria implica desarrollar una estrategia general para su conduccin a
fin de asegurar que el auditor tenga un cabal conocimiento y comprensin de las actividades,
sistemas de control e informacin y disposiciones legales aplicables a la entidad; que le permitan
evaluar el nivel de riesgo de auditoria as como determinar y programar la naturaleza, oportunidad
y alcance de los procedimientos a aplicar.

La planificacin de la auditoria debe incluir la evaluacin de los resultados de la gestin de la

entidad a examinar, en relacin a los objetivos, metas y programas previstos.

La informacin que necesita el auditor para planificar la auditoria varia de acuerdo con los
objetivos de la misma y con la entidad sujeta a examen.

En determinados casos se puede realizar un estudio preliminar (Exploracin) de la entidad antes

de preparar el plan para ejecutar el trabajo de campo. El estudio preliminar constituye un mtodo
de apoyo eficaz para seleccionar las reas especficas donde se va a practicar la auditoria y para
obtener informacin sobre la organizacin, programas, actividades y funciones de la entidad,
aunque sin someterla a una verificacin detallada.

Al concluir la recoleccin y estudio de informacin del auditor documentar su trabajo mediante

la descripcin de las actividades de la entidad, resumidas en los papeles de trabajo, sustentadas
con la documentacin obtenida de la entidad, como flujogramas sobre los procedimientos de las
reas ms significativas, etc.

5.2.1 Definicin de Planeacin de la Auditoria de Sistemas de Informacin (Tamayo:

2003, 21) 10

La planeacin de la Auditoria de Sistemas de Informacin debe entenderse como la proyeccin

del trabajo de auditoria, definiendo su norte e indicando las pautas a seguir para lograr su

9Hernn Cardozo Cuenca (2006) Auditoria del sector solidario: Aplicacin de normas internacionales, Ecoe Ediciones,
Colombia.

10Alonso Tamayo Alzate (2003) Auditoria de Sistemas de Informacin: una visin prctica, Centro de Publicaciones
Universidad Nacional de Colombia Sede Manizales, Colombia.
desarrollo, por lo tanto debe responder a los siguientes interrogantes: Qu se debe hacer? Qu
aspectos se van a auditar? Cundo se debe hacer? Cmo se va a realizar? Qu recursos
demandar? De qu recursos se dispone?, cuestionamientos que de ser respondidos adecuada
y oportunamente, conducen a la optimizacin de recursos, evitando la improvisacin y desfases
en la estimacin.

5.2.2 Objetivos de la Planeacin de la Auditoria de Sistemas de Informacin (Tamayo:

2003, 21-22) 11

Brindar un plan que oriente el desarrollo de la Auditoria de Sistemas de Informacin mediante

la identificacin de requerimientos, de tal forma que contribuya eficiente y eficazmente en la
realizacin de todas las actividades, minimizando costos y evitando duplicidad de esfuerzos.
Comparar las actividades o tareas ejecutadas con las actividades proyectadas,
retroalimentando el sistema mediante el anlisis de las desviaciones encontradas y
determinando sus posibles causas, para posteriormente realizar los ajustes necesarios.
Comprometer a los directivos de la empresa con su desarrollo, asignacin de recursos y puesta
en marcha de la funcin de auditoria.
Suministrar informacin consistente, actualizada, permanente y necesaria, propiciando el
desarrollo armnico de la Auditoria de Sistemas de Informacin.
Propender por la optimizacin de recursos tcnicos, humanos, econmicos, logsticos y
tiempo.
Evitar la improvisacin.

Una manera de representar lo expuesto seria:

Fig. Objetivos de la Planeacin de la Auditoria de Sistemas de Informacin (Tamayo: 2003, 22) 12

11 Alonso Tamayo Alzate (2003) Auditoria de Sistemas de Informacin: una visin prctica, Centro de Publicaciones
Universidad Nacional de Colombia Sede Manizales, Colombia.
12 Alonso Tamayo Alzate (2003) Auditoria de Sistemas de Informacin: una visin prctica, Centro de Publicaciones

Universidad Nacional de Colombia Sede Manizales, Colombia.

5.2.3 Plan de Auditoria de Sistemas de Informacin

El memorndum de Planeamiento, resume las decisiones ms significativas del proceso

de planeamiento de la auditoria. La preparacin del memorndum de Planeamiento es
responsabilidad del auditor encargado y del supervisor, la revisin y aprobacin a los
niveles gerenciales competentes. (Contralora General: 1998, 57) 13

En esta etapa se elabora el Plan de Auditoria de Sistemas de Informacin cuya estructura bsica
contendr:

a. Origen de la Auditoria de Sistemas de Informacin

b. Antecedentes de la Entidad
c. Objetivos de la Auditoria de Sistemas de Informacin
d. Alcance de la Auditoria de Sistemas de Informacin
e. Criterios de Auditoria a utilizar
f. Recursos de Personal
g. Presupuesto de tiempo
h. Informes a emitir y fechas de entrega.
i. Fecha y firma

A continuacin se detalla la estructura del Plan de Auditoria de Sistemas de Informacin:

a. Origen de la Auditoria de Sistemas de Informacin

Se menciona el sustento que motiv realizar dicha Auditoria de Sistemas de Informacin.

La Contralora General de la Repblica y los rganos de Auditora Interna conformantes

del Sistema Nacional de Control, planificarn sus actividades de auditora a travs de sus
Planes Anuales, aplicando criterios de materialidad, economa, objetividad y oportunidad,
y evaluarn peridicamente la ejecucin de sus planes. (Contralora General: 1995,
134409) 14

Ejemplo:

La Auditoria de Sistemas de Informacin se lleva a cabo en cumplimiento del Plan Anual

de Control 2008 del rgano de Control Institucional de INICTEL, el mismo que fuera
visado en principio por el Titular de la Empresa y posteriormente aprobado por la
Contralora General de la Repblica, mediante Resolucin de Contralora No. 006-2008-
CG de fecha 09.Ene.2008.

13 Contralora General de la Repblica (1998) Resolucin de Contralora N 152-1998-CG Manual de Auditoria

Gubernamental, publicado por la CGR, Per.
14 Contralora General de la Repblica (1995) Resolucin de Contralora N 162-1995-CG Normas de Auditoria

Gubernamental, publicado por la CGR en el diario oficial El Peruano, Per.

b. Antecedentes de la Entidad

Se menciona una breve descripcin de la entidad y sus actividades principales.

(Contralora General: 1998, 57) 15

Ejemplo:

AGUAS ANDINAS, es una Empresa Estatal, creada mediante Decreto Legislativo No.182,
constituida como Sociedad Annima e inscrita en la Ficha No. 38655 de los Registros
Pblicos de Lima.

Se rige por lo establecido en su Estatuto y la Ley General de Sociedades, con las

excepciones sealadas en la Ley de la Actividad Empresarial del Estado y su Reglamento
y las disposiciones que rigen a las entidades prestadoras de Servicio de Saneamiento y
las dems normas aplicables.

Con fecha 19 de abril del 2002, la Junta General de Accionistas de AGUAS ANDINAS,
aprob la modificacin de los artculos 5, 7 y 34 de su Estatuto, los cuales fueron
inscritos el 10 de abril del 2005, en la Partida No. 01205409 Asiento B00007 del Registro
de Personas Jurdicas de los Registros Pblicos de Lima.

La actividad principal de AGUAS ANDINAS es la captacin, potabilizacion y distribucin

de agua para uso domstico, industrial y comercial, servicios de Alcantarillado Sanitario
y Pluvial, Servicios de disposicin sanitaria de excretas y acciones de proteccin del
medio ambiente, vinculadas a los proyectos que ejecuta para el cumplimiento de sus
fines; siendo su responsabilidad la provincia de Huaral.

c. Objetivos de la Auditoria de Sistemas de Informacin

Los Objetivos del examen son los resultados que se espera alcanzar. (Contralora
General: 1998, 57) 16

Los objetivos se dividen en dos (2):

Objetivos Generales.-

El Objetivo General es el propsito primordial que se quiere alcanzar al realizar la Auditoria

de Sistemas de Informacin, expresndose de manera global.

Objetivos Especficos.-

15 Contralora General de la Repblica (1998) Resolucin de Contralora N 152-1998-CG Manual de Auditoria

Gubernamental, publicado por la CGR, Per.
16 Contralora General de la Repblica (1998) Resolucin de Contralora N 152-1998-CG Manual de Auditoria

Gubernamental, publicado por la CGR, Per.

Describen los aspectos especficos, los que sumados dan respuesta al objetivo general de la
Auditoria.

Representacin matemtica:
Oe1 + Oe2 + + OeN = OG

Ejemplo: Empresa AGUAS ANDINAS

Objetivo General

Evaluar la Gestin del Equipo Informtica respecto al cumplimiento de metas, planes y

normas vigentes. As como, el grado de asesoramiento y asistencia tcnica que brinda a
la empresa AGUAS ANDINAS; y el grado de seguridad fsica y lgica que existe respecto
a la custodia del hardware y software.

Objetivos Especficos

o Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e

Indicadores de Gestin, Plan de Sistemas de Informacin y normativas vigentes
aplicables al Equipo Informtica.
o Evaluar el asesoramiento y asistencia tcnica que brinda el Equipo Informtica como
rgano de asesoramiento y asistencia tcnica a la empresa AGUAS ANDINAS.
o Determinar el grado de seguridad fsica y lgica que custodia el Equipo Informtica
respecto al hardware y software de la empresa.

Ejemplo: Empresa INICTEL

Objetivo General

Verificar que la Entidad cumpla con las medidas para garantizar la legalidad de las
adquisiciones de programas de software.

Objetivos Especficos

o Determinar si la estructura del control interno establecido asegura que el software

utilizado sea legal y que se utilice en cumplimiento de los trminos de la licencia.
o Establecer la idoneidad de los procesos para controlar los costos asociados con el
activo.
o Determinar si los planes y acciones estn contribuyendo a mejorar el rendimiento de
los activos y la organizacin.
 Ejemplo: Universidad Privada Jos Carlos Mariategui

Objetivo General

Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los equipos

de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en
el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos
alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir
para una adecuada toma de decisiones.

Objetivos Especficos

o Evaluar el diseo y prueba de los sistemas del rea de Informtica

o Determinar la veracidad de la informacin del rea de Informtica
o Evaluar los procedimientos de control de operacin, analizar su estandarizacin y
evaluar el cumplimiento de los mismos.
o Evaluar la forma como se administran los dispositivos de almacenamiento bsico del
rea de Informtica
o Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
o Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden
dentro del departamento de cmputo.

Relacin de los Objetivos Generales y los Especficos

Los Objetivos Generales dan origen a los objetivos especficos.

Los Objetivos Especficos identifican las acciones que el auditor informtico va a realizar
para alcanzar el objetivo general.
Los Objetivos Especficos no deben sobrepasar en el contexto al Objetivo General.
Si la relacin de Objetivos Especficos planteados son incompletos respecto al Objetivo
General, entonces la investigacin tambin lo ser.
Los objetivos Especficos son los que se realizan y no el Objetivo General.

Aspectos a considerar para formular los Objetivos de la Auditoria de Sistemas de

Informacin

Para formular los objetivos se debe considerar:

Criterio del Auditor Informtico.

Deben estar dirigidos a los elementos bsicos del problema a solucionar.
Deben ser medibles y observables.
Deben ser claros y precisos.
 Deben ser expresados en verbos en infinitivo: Identificar, Evaluar, Determinar, Establecer,
Distinguir, Medir, Analizar, etc.

d. Alcance de la Auditoria de Sistemas de Informacin

Se determina como alcance al:

Grado de extensin de las labores de auditora que incluye reas, aspectos y periodos
a examinar. (Contralora General: 1998, 57) 17

La determinacin del alcance implica la seleccin de aquellas reas o asuntos que sern
revisados y la profundidad que tendrn las pruebas a realizar en la fase de ejecucin. Esta
decisin debe ser adoptada teniendo en cuenta la materialidad, sensibilidad, riesgo y costo de
la auditora, as como la trascendencia de los posibles resultados a informar.

Asimismo, a efectos de acotar el trabajo del auditor, resulta muy beneficioso para ambas
partes expresar las excepciones de alcance de la Auditoria, es decir cuales materias, funciones
u organizaciones no van a ser auditadas.

Ejemplo:

De acuerdo a los asuntos que sern examinados, se ha determinado evaluar

selectivamente las operaciones realizadas en las siguientes unidades orgnicas:

Gerencia de Desarrollo e Investigacin

o Equipo Informtica

Gerencia de Logstica y Servicios

o Equipo Planeamiento y Adquisicin de Bienes
o Equipo Servicios Generales

Gerencia Comercial
o Equipo(s) Comercial(es)
o Equipo Micromedicin y Registros
o Equipo Servicios y Clientes Especiales
o Equipo Gestin Comercial

e. Criterios de Auditoria a Utilizar

17Contralora General de la Repblica (1998) Resolucin de Contralora N 152-1998-CG Manual de Auditoria

Gubernamental, publicado por la CGR, Per.
 Es la Normativa aplicable a la entidad, especialmente relacionadas con las reas materia
de evaluacin. (Contralora General: 1998, 57) 18

Ejemplo:

Las principales disposiciones legales y reglamentacin interna, que regula las

actividades de las unidades orgnicas examinadas y que tienen relacin con el alcance
y objetivos de la presente accin de control, son entre otras las siguientes:

Decreto Legislativo N 822 del 23.Abr.1996, Ley sobre el Derecho de Autor.

Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la

Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la
informacin. 2. Edicin en todas las entidades integrantes del Sistema Nacional de
Informtica aprobada por Resolucin Ministerial N 246-2007-PCM de fecha de
publicacin 25.Ago.2007.

Normas y Procedimientos Internacionales basados en COBIT (Objetivos de Control

para la Informacin y Tecnologas relacionadas), encargado de investigar, desarrollar,
publicar y promover un conjunto de objetivos de control en tecnologa de informacin
con autoridad, actualizados, de carcter internacional y aceptados generalmente para
el uso cotidiano de Gerentes y auditores.

Normas de Control Interno para el Sector Pblico, aprobadas por Resolucin de

Contralora N 320-2006-CG de fecha de publicacin 03.Nov.2006; y el Cdigo Marco
de Control Interno de las empresas del Estado aprobado mediante Acuerdo de
Directorio N 001-2006/028-FONAFE.

Resolucin Ministerial N 073-2004-PCM del 16.Mar.2004, Gua para la Administracin

Eficiente del Software Legal en la Administracin Pblica.

Resolucin de Gerencia General de SEDAPAL N 264-2002-GG del 31.Jul.2002, Gua

para la Actualizacin de la Pgina Web de la Empresa.

Resolucin Jefatural N 229-95-INEI, que aprueba la Directiva N 011-95-INEI/SJI

Recomendaciones Tcnicas para la elaboracin de Planes de Sistemas de
Informacin en la Administracin Pblica del 14.Set.1996.

Plan de la Gestin Corporativa de Tecnologas de Informacin y Comunicaciones para

las empresas bajo el mbito del FONAFE: Periodo 2008 _ 2011, aprobado a travs
de la Resolucin de Direccin Ejecutiva N 059-2008/DE-FONAFE del 21.Oct.2008.

f. Recursos de Personal

18Contralora General de la Repblica (1998) Resolucin de Contralora N 152-1998-CG Manual de Auditoria

Gubernamental, publicado por la CGR, Per.
 Personal, nombre y categora de los auditores que conforman el Equipo de Auditoria de
Sistemas de Informacin. Asimismo, las tareas asignadas a cada uno, de acuerdo a su
capacidad y experiencia. Asimismo, considerar la participacin de otros profesionales y/o
especialistas, de acuerdo a las reas materia de evaluacin. (Contralora General: 1998,
57) 19

Ejemplo:

La conformacin del equipo de auditores designados para la realizacin del presente

examen especial es el siguiente:

Nombres y Apellidos Cargo Funcin

ING. Walter Zuiga Paredes Gerente de Auditoria Interna Gerente

CPC. Felix Sandoval Linares Jefe de Equipo Auditoria Supervisor

ING. Mario Muoz Rojas Auditor Principal Auditor Encargado

ING. Jos Zapata Poma Especialista de Auditoria Integrante

ING. Sara Rina gamboa Especialista de Auditoria Integrante

Cuadro
Fuente: Elaboracin propia.
Equipo de Auditoria de Sistemas de Informacin

El personal de auditora representa el material humano ms importante para el desempeo de

esta funcin. El logro de altos niveles de calidad en el ejercicio de la auditora gubernamental
depende de la profesionalidad, capacidad, experiencia, disciplina y mstica de los auditores. Las
responsabilidades funcionales de los cargos de Supervisor, Auditor encargado y el resto de
personal de auditora son:

Funciones del Equipo de Auditoria de Sistemas de Informacin (Contralora General:

1998, 16-17) 20

Responsabilidades del supervisor

El Supervisor asiste a los niveles gerenciales en las tareas de auditora que requieren un
alto nivel de experiencia y juicio profesional. Por lo tanto, es responsable de:

revisar y aprobar los procedimientos de auditora planeados, segn se documente en

el Programa de Auditora antes del comienzo del trabajo significativo en el campo;

19Contralora General de la Repblica (1998) Resolucin de Contralora N 152-1998-CG Manual de Auditoria

Gubernamental, publicado por la CGR, Per.

20Contralora General de la Repblica (1998) Resolucin de Contralora N 152-1998-CG Manual de Auditoria

Gubernamental, publicado por la CGR, Per.
 concertar la programacin del personal profesional para mantener la oportunidad en el
desempeo de la auditora;
vigilar el progreso de la auditora, en comparacin con los presupuestos de tiempo
aprobados y, controlar los costos de la auditora;
solucionar los problemas identificados por el Jefe de Equipo y el personal de auditora;
supervisar y asesorar al Jefe de Equipo y proveer orientacin a otros miembros del
personal profesional cuando se requiera; y,
supervisar la elaboracin del Informe de Auditora; y,
revisar los papeles de trabajo de la auditora.
Cautelar el cumplimiento de las normas de auditora gubernamental-NAGU y las
orientaciones contenidas en el Manual de Auditora Gubernamental aprobado por la
Contralora General de la Repblica.

Responsabilidades del auditor encargado

El Jefe de Equipo trabaja con el personal de auditora en las oficinas de la entidad auditada,
administra el trabajo en el campo y desarrolla los procedimientos de auditora que
considere son los ms apropiados. Por lo tanto, es responsable de:

preparar los documentos relacionados con la fase de planeamiento;

identificar los problemas de contabilidad y auditora para discutirlos con el supervisor;
brindar supervisin, asesoramiento y asistencia al personal de auditora con rapidez,
ayudndole a comprender los objetivos y las implicancias del trabajo;
revisar los papeles de trabajo que prepare el personal de auditora, efectuar el
seguimiento de los aspectos importantes resultantes de la revisin y evaluar la
suficiencia y propiedad de la evidencia obtenida;
redactar el informe de auditora.
cumplir y hacer cumplir las normas de auditora gubernamental-NAGU y las
orientaciones contenidas en el Manual de Auditora Gubernamental aprobado por la
Contralora General de la Repblica.

Responsabilidades del personal de auditora (Integrantes)

El personal de auditora es responsable de desempear el trabajo que se le encargue en

el transcurso del examen y rinde informe ante el Jefe de Equipo. Sus responsabilidades
estn referidas a:

comprender y desempear los procedimientos de auditora que le sean asignados;

elaborar los papeles de trabajo en forma apropiada.
informar al Jefe de Equipo sobre asuntos o problemas en aspectos de auditora o
contabilidad que detecte; y,
formular recomendaciones para mejorar la metodologa y el desarrollo de la auditora;
cumplir con las normas de auditora gubernamental-NAGU en el ejercicio de su trabajo
y las orientaciones contenidas en el Manual de Auditora Gubernamental aprobado por
la Contralora General de la Repblica.
 Es importante mencionar que por la naturaleza de la Auditoria de Sistemas de Informacin,
se requiere que el personal sea de la Carrera Profesional de Ingeniera de Sistemas. A
continuacin se especifica algunas especialidades:

Especialidad Actividades y conocimientos deseables

Con experiencia amplia en ramas distintas. Deseable que su labor se

Informtico Generalista haya desarrollado en Explotacin y en Desarrollo de Proyectos.
Conocedor de Sistemas.

Amplia experiencia como responsable de proyectos. Experto analista.

Experto en Desarrollo de Proyectos
Conocedor de las metodologas de Desarrollo ms importantes.

Experto en Sistemas Operativos y software bsico. Conocedor de los

Tcnico de Sistemas
Experto en Base de datos
Administracin de las mismas
productos equivalentes en el mercado. Amplios conocimientos de
Explotacin.
Con experiencia en el mantenimiento de Base de Datos. Conocimiento
y
de productos compatibles y equivalentes. Buenos conocimientos de
explotacin.

Alta especializacin dentro de la tcnica de sistemas. Conocimientos

Experto en Software de Comunicacin
profundos de redes. Experto en subsistemas de teleproceso.

Responsable de algn Centro de clculo. Amplia experiencia en

Experto en Explotacin y Gestin de
automatizacin de trabajos. Experto en relaciones humanas. Buenos
CPDs
conocimientos de los sistemas.

Experto organizador y coordinador. Especialista en el anlisis de flujos

Tcnico de Organizacin
de informacin.

Tcnico de evaluacin de Costes Economista con conocimientos de informtica. Gestin de costes.

Cuadro

g. Presupuesto de Tiempo

Se determina para el cumplimiento de los objetivos planteados el cronograma de ejecucin de este

Informe.

Ejemplo:

Para el desarrollo del presente examen especial, si no se presentan imponderables y/o

imprevistos, se estima la utilizacin de 68 das tiles, desde el 25 Febrero al 20 de Mayo 2010,
desagregado en las siguientes actividades:

Periodo Total das

ETAPAS DE LA AUDITORA
Inicio Trmino tiles

Planificacin 25/02/2010 06/03/2010 06

Memorndum de Planeamiento 03

Programa de Auditoria 03
 Ejecucin de la Auditoria de Sistemas 07/03/2010 05/05/2010 52
de Informacin
Revisin de documentos 11
Constataciones Fsicas 08
Proceso de Informacin 23
Comunicacin de Hallazgos 05
Evaluacin de Descargos 05
Informe Final 06/05/2010 20/05/2010 10
Elaboracin del Informe 07
Sustentacin del Informe 02
Elevacin del Informe 01

TOTAL DE DAS TILES 68

Cuadro

h. Informes a emitir y fechas de entrega

Se determina la fecha de emisin del Informe Final de la Auditoria de Sistemas de Informacin realizada
y adems a quienes va ir dirigido dicho Informe.

Ejemplo:

Como resultado del examen especial, elaborado de acuerdo a las NAGU 4.10, 4.20, 4.30 y 4.40,
se emitir un informe que ser elevado a la Gerencia de Auditora Interna, para su aprobacin y
se estima presentar el informe final el 19 de mayo del 2010, a las entidades siguientes:
Contralora General de la Repblica.
FONAFE.
Ministerio de Vivienda, Construccin y Saneamiento.
Al Titular de la Entidad.

i. Fecha y Firma
Finalmente se registra la fecha que se concluye de elaborar el Plan y se suscribe las firmas
correspondientes para darle valor.
Ejemplo del Plan de Auditoria Informtico. Elaboracin propia.

Gerencia de Auditoria Interna

 PLAN DE AUDITORIA INFORMATICO
EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2009

I. ORIGEN DE LA AUDITORIA DE SISTEMAS DE INFORMACIN

La Auditoria de Sistemas de Informacin se lleva a cabo en cumplimiento del Plan Anual de

Control 2010 del rgano de Control Institucional de AGUAS ANDINAS, el mismo que fuera
visado en principio por el Titular de la Empresa y posteriormente aprobado por la
Contralora General de la Repblica, mediante Resolucin de Contralora No. 010-2010-CG
de fecha 09.Ene.2010.

II. ANTECEDENTES DE LA ENTIDAD

AGUAS ANDINAS, es una Empresa Estatal de Derecho Privado de propiedad del Estado,
creada mediante Decreto Legislativo No.150, constituida como Sociedad Annima e inscrita
en la Ficha No. 3722 de los Registros Pblicos de Lima.

Se rige por lo establecido en su Estatuto y la Ley General de Sociedades, con las excepciones
sealadas en la Ley de la Actividad Empresarial del Estado y su Reglamento y las
disposiciones que rigen a las entidades prestadoras de Servicio de Saneamiento y las dems
normas aplicables.

Con fecha 05 de mayo del 2000, la Junta General de Accionistas de AGUAS ANDINAS,
aprob la modificacin de los artculos 10, 11, 12,15, 20 y 40 de su Estatuto, los
cuales fueron inscritos el 14 de agosto del 2002, en la Partida No. 02005000 Asiento B00008
del Registro de Personas Jurdicas de los Registros Pblicos de Lima.

Posteriormente, con fecha 02 de abril del 2004, la Junta General de Accionistas de AGUAS
ANDINAS, aprob la modificacin del artculo 7 del Estatuto, que fue inscrito el 15 de junio
del 2004, en la Partida No. 02005409 Asiento B0008 del Registro de Personas Jurdicas de
los Registros Pblicos de Lima.

La actividad principal de AGUAS ANDINAS es la captacin, potabilizacin y distribucin de

agua para uso domstico, industrial y comercial, servicios de Alcantarillado Sanitario y
Pluvial, Servicios de disposicin sanitaria de excretas y acciones de proteccin del medio
ambiente, vinculadas a los proyectos que ejecuta para el cumplimiento de sus fines; siendo
su responsabilidad las provincias de Lima y del Callao, pudiendo extenderse a otras
jurisdicciones, dichos servicios estn regulados por la Ley No. 26338, Ley General de
Servicios de Saneamiento promulgada el 24 de julio de 1994 y su Reglamento, aprobado
por Decreto Supremo No. 09-95 PRES del 28 de agosto de 1998.

AGUAS ANDINAS se encuentra en el mbito de la Ley No. 24984, Ley de la Actividad

Empresarial del Estado, promulgada en diciembre de 1998, modificada por la Ley No. 27170,
Ley del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado, publicada
en setiembre de 1999, las cuales definen el rgimen econmico, financiero y laboral de la
 empresa, as como la relacin con los diversos niveles de gobierno y sistemas
administrativos. Asimismo, la Superintendencia Nacional de Servicios de Saneamiento -
SUNASS, es la encargada de fijar las tarifas y otros aspectos regulatorios.

III. OBJETIVOS DE LA AUDITORIA DE SISTEMAS DE INFORMACIN

Objetivo General

Evaluar la Gestin del Equipo Informtica respecto al cumplimiento de metas, planes y

normas vigentes. As como, el grado de asesoramiento y asistencia tcnica que brinda a la
empresa AGUAS ANDINAS; y el grado de seguridad fsica y lgica que existe respecto a la
custodia del hardware y software.

Objetivos Especficos

1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e

Indicadores de Gestin, Plan de Sistemas de Informacin y normativas vigentes
aplicables al Equipo Informtica.

2. Evaluar el asesoramiento y asistencia tcnica que brinda el Equipo Informtica como

rgano de asesoramiento y asistencia tcnica a la empresa AGUAS ANDINAS.

3. Determinar el grado de seguridad fsica y lgica que custodia el Equipo Informtica

respecto al hardware y software de la empresa.

IV. ALCANCE DE LA AUDITORIA DE SISTEMAS DE INFORMACIN

En concordancia con los objetivos previstos, en la presente Auditoria que comprendi la

revisin y evaluacin selectiva del 01.Ene.2009 a la fecha, a la Gestin del Equipo
Informtica respecto al cumplimiento de metas, planes y normas vigentes, estandarizacin
de procedimientos, as como su racionalidad en el uso de los recursos.

Para efecto del desarrollo del presente examen, se aplicaron normas y criterios tcnicos
establecidos en las Normas de Auditoria Gubernamental (NAGU), aprobada con Resolucin
de Contralora No. 162-95-CG del 22.Set.1995 y su modificatoria Resolucin de Contralora
No. 259-2000-CG del 07.Dic.2000; el Manual de Auditoria Gubernamental (MAGU),
aprobado con Resolucin de Contralora No. 152-98-CG del 18.Dic.1998 y las Normas de
Control Interno aprobadas con Resolucin de Contralora No. 320-2006-CG del 30.Oct.2006,
y de otros Procedimientos de Auditoria que se consideraron necesarios de acuerdo a las
circunstancias.

De acuerdo a los asuntos que sern examinados, se ha determinado evaluar selectivamente

las operaciones realizadas en las siguientes unidades orgnicas:

Gerencia de Desarrollo e Investigacin

 Equipo Informtica

Gerencia de Logstica y Servicios

Equipo Planeamiento y Adquisicin de Bienes
Equipo Servicios Generales

Gerencia Comercial
Equipo(s) Comercial(es)
Equipo Micromedicin y Registros
Equipo Servicios y Clientes Especiales
Equipo Gestin Comercial

V. CRITERIOS DE AUDITORA A UTILIZAR

Las principales disposiciones legales y reglamentacin interna, que regula las actividades
de las unidades orgnicas examinadas y que tienen relacin con el alcance y objetivos de
la presente accin de control, son entre otras las siguientes:

Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la Informacin.

Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. 2.
Edicin en todas las entidades integrantes del Sistema Nacional de Informtica
aprobada por Resolucin Ministerial No. 246-2007-PCM de fecha de publicacin
25.Ago.2007.

Normas y Procedimientos Internacionales basados en COBIT (Objetivos de Control para

la Informacin y Tecnologas relacionadas), encargado de investigar, desarrollar,
publicar y promover un conjunto de objetivos de control en tecnologa de informacin
con autoridad, actualizados, de carcter internacional y aceptados generalmente para
el uso cotidiano de Gerentes y auditores.

Normas de Auditoria Gubernamental NAGU, aprobado con Resolucin de Contralora

General de la Repblica No. 259-2000-CG. del 13.Dic.2000.

Normas de Control Interno para el Sector Pblico, aprobadas por Resolucin de

Contralora No. 320-2006-CG de fecha de publicacin 03.Nov.2006; y el Cdigo Marco
de Control Interno de las empresas del Estado aprobado mediante Acuerdo de
Directorio No. 001-2006/028-FONAFE.

Decreto Legislativo No. 822 del 23.Abr.1996, Ley sobre el Derecho de Autor.

Resolucin Ministerial No. 073-2004-PCM del 16.Mar.2004, Gua para la

Administracin Eficiente del Software Legal en la Administracin Pblica.

Resolucin de Gerencia General de AGUAS ANDINAS No. 264-2003-GG del

31.Jul.2002, Gua para la Actualizacin de la Pgina Web de la Empresa.
 Resolucin Jefatural No. 229-95-INEI, que aprueba la Directiva No. 011-95-INEI/SJI
Recomendaciones Tcnicas para la elaboracin de Planes de Sistemas de Informacin
en la Administracin Pblica del 14.Set.1996.

Manual de Organizacin y Responsabilidades General (MORG), aprobado con

Resolucin de Gerencia General No. 505-2007-GG del 25.Jul.2006.

Manual de Auditoria Gubernamental MAGU, aprobado con Resolucin de Contralora

General de la Repblica No. 152-98-CG. del 18.Dic.1998.

Plan de la Gestin Corporativa de Tecnologas de Informacin y Comunicaciones para

las empresas bajo el mbito del FONAFE: Periodo 2008 _ 2011, aprobado a travs de
la Resolucin de Direccin Ejecutiva No. 059-2008/DE-FONAFE del 21.Oct.2008.

VI. RECURSOS DE PERSONAL

La conformacin del equipo de auditores designados para la realizacin del presente

examen especial es el siguiente:

Nombres y Apellidos Cargo Funcin

CPC. Walter Zuiga Paredes Gerente de Auditoria Interna Gerente

ING. Felix Sandoval Linares Jefe de Equipo Auditoria Supervisor

ING. Mario Muoz Rojas Auditor Principal Auditor Encargado

ING. Jos Zapata Poma Especialista de Auditoria Integrante

ING. Sara Rina gamboa Especialista de Auditoria Integrante

Cuadro

VII. PRESUPUESTO DE TIEMPO

Para el desarrollo del presente examen especial, si no se presentan imponderables y/o

imprevistos, se estima la utilizacin de 65 das tiles, desde el 25 Febrero al 20 de Mayo
2009, desagregado en las siguientes actividades:

Periodo Total das

ETAPAS DE LA AUDITORA
Inicio Trmino tiles

Planificacin 25/02/2010 06/03/2010 06

Memorndum de Planeamiento 03
Programa de Auditoria 03
 Ejecucin de la Auditoria de Sistemas de
07/03/2010 05/05/2010 52
Informacin
Revisin de documentos 11
Constataciones Fsicas 08
Proceso de Informacin 23
Comunicacin de Hallazgos 05
Evaluacin de Descargos 05

Informe Final 06/05/2010 20/05/2010 10

Elaboracin del Informe 07

Sustentacin del Informe 02
Elevacin del Informe 01
TOTAL DE DAS TILES 68

Cuadro

VIII. INFORME A EMITIR Y FECHA DE ENTREGA

Como resultado del examen especial, elaborado de acuerdo a las NAGU 4.10, 4.20, 4.30 y
4.40, se emitir un informe que ser elevado a la Gerencia de Auditora Interna, para su
aprobacin y se estima presentar el informe final el 19 de mayo del 2010, a las entidades
siguientes:

Contralora General de la Repblica.

FONAFE.
Ministerio de Vivienda, Construccin y Saneamiento.
Al Titular de la Entidad.

IX. FECHA Y FIRMA

Lima, 02 de Marzo del 2010

______________________________ ________________________________
ING. Mario Muoz Rojas ING. Felix Sandoval Linares
Encargado de Comisin Supervisor de Comisin

El Gerente de Auditora Interna aprueba el presente Plan de la Auditoria de Sistemas de

Informacin a realizarse y luego de las coordinaciones previas hace suyo su contenido.
 ____________________________________
CPC. Walter Zuiga Paredes
Gerente de Auditoria Interna

5.2.4 Programa de Auditoria

Es un enunciado lgicamente ordenado y clasificado de los procedimientos de auditora

que han de emplearse e incluyen la extensin que se les ha de dar y la oportunidad en
que se han de explicar. (Cardozo: 2006, 19) 21

Un programa de auditora es un plan detallado del trabajo que debe comunicar, tan precisamente
como sea posible el trabajo a ser ejecutado.

Tambin es un listado de procedimientos a ser realizados, con el objeto de comparar los sistemas
y controles existentes con criterios de auditora y, recolectar evidencia para sustentar las
observaciones de auditora. Los programas de auditora proporcionan una base para la asignacin
de tiempo y recursos. Los estimados de tiempo son ms fciles de preparar cuando los
procedimientos de auditora han sido identificados.

El programa de auditora es preparado por el auditor encargado y el supervisor, el que seala las
tareas especficas que deben ser cumplidas por el equipo de auditora para llevar a cabo el examen,
los responsables de su ejecucin, as como los plazos fijados para cada actividad.

Por su naturaleza, los programas de auditora, al igual que el plan de auditora son reservados,
siendo necesario mantener la debida confidencialidad durante y despus del trabajo. Ninguna
persona no relacionada o autorizada por la supervisin o nivel gerencial correspondiente, debe
tener acceso a los programas de trabajo de la auditora.

Finalidad de la Elaboracin de los Programas de Auditoria

El Programa de auditora proporciona al auditor:

Una lista detallada del trabajo a realizar.
Ofrece un registro permanente de las pruebas de auditora llevadas a cabo.
Muestra que personas ejecutaron las labores encomendadas.
Mediante referencia cruzada asegura que todos los aspectos significativos del sistema de
control interno de la entidad han sido cubiertos, con el objeto de determinar si est funcionando
de conformidad con lo establecido. (Contralora General: 1998, 57-58) 22

21Hernn Cardozo Cuenca (2006) Auditoria del sector solidario: Aplicacin de normas internacionales, Ecoe Ediciones,
Colombia.
22 Contralora General de la Repblica (1998) Resolucin de Contralora N 152-1998-CG Manual de Auditoria

Gubernamental, publicado por la CGR, Per.

Propsitos del Programa de Auditoria

El programa de auditora tiene diversos propsitos:

a) Identifica los procedimientos planeados de auditora al nivel de detalle que se consideran

apropiados para orientar con efectividad y eficiencia al equipo de auditora;
b) Facilita la delegacin, supervisin y revisin;
c) Coordina el desempeo de los procedimientos de auditora planeados; y,
d) Documenta la ejecucin de los procedimientos de auditora aplicados. (Contralora General:
1998, 58) 23
Ejemplo de Programa de Auditoria de Sistemas de Informacin de la empresa AGUAS
ANDINAS. Elaboracin propia.

Gerencia de Auditora Interna

PROGRAMA DE AUDITORIA DE SISTEMAS DE INFORMACIN

EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2009

Nombre de la Entidad : AGUAS ANDINAS

Fecha de Ejecucin : Del 25.Feb.2010 al 20.May.2010
Alcance de la Auditoria de Sistemas de Informacin : Del 01.Ene.2009 al 31.Dic.2009

PROGRAMADO EJECUTADO
PROCEDIMIENTOS Hecho Ref.
Nombre Fecha Fecha
Por P/T

OBJETIVO GENERAL

Evaluar la Gestin del Equipo Informtica respecto al cumplimiento de

metas, planes y normas vigentes. As como, el grado de asesoramiento
y asistencia tcnica que brinda a la empresa AGUAS ANDINAS; y el
grado de seguridad fsica y lgica que existe respecto a la custodia del
hardware y software.

23Contralora General de la Repblica (1998) Resolucin de Contralora N 152-1998-CG Manual de Auditoria

Gubernamental, publicado por la CGR, Per.
 Procedimientos:

1. Remisin del Memorndum al Presidente del Directorio de AGUAS

MMR ANDINAS donde se pone de conocimiento el inicio de la Auditoria MMR 25.Feb
25.Feb de Sistemas de Informacin, solicitndole las facilidades del caso,
para el logro de los objetivos de esta Comisin de Auditoria.

MMR 2. Solicitud a las reas examinadas, informacin documentada MMR 07.Mar

JZP 07.Mar necesaria, para desarrollar el trabajo de campo. JZP

MMR 3. Realizar la Inspeccin de Campo a fin de obtener informacin MMR 10.Mar

JZP 10.Mar relevante, suficiente y competente que nos permita alcanzar el JZP
SRG objetivo de esta actividad. SRG

MMR 4. Formular el Cuestionario de Control Interno. MMR 14.Mar

14.Mar
SRG 5. Tomar muestras de la documentacin a evaluar, de acuerdo a SRG 16.Mar
16.Mar criterios de materialidad.

JZP 6. Aplicar procedimientos de Auditoria, para el desarrollo de la JZP 18.Mar

SRG 18.Mar Auditoria de Sistemas de Informacin SRG

OBJETIVOS ESPECIFICOS

Objetivo Especfico N 1

1. Evaluar el cumplimiento de las metas y objetivos formulados en

el Plan Operativo e Indicadores de Gestin, Plan de Sistemas de
Informacin y normativas vigentes aplicables al Equipo
Informtica.

1.1 Revisar si se ha cumplido con las metas formuladas en el

Plan Operativo e Indicadores.
JZP JZP 07.Mar
07.Mar 1.2 Revisar si se ha cumplido con el Plan de Sistemas de
JZP Informacin. JZP 10.Mar
10.Mar
JZP 1.3 Revisar si se ha cumplido con las normativas principales JZP
vigentes aplicables al Equipo Informtica. 15.Mar
15.Mar
1.4 Verificar si existe un planeamiento a mediano y largo plazo
JZP respecto a la adquisicin y servicios que se realiza. JZP 20.Mar
20.Mar
JZP 1.5 Verificar el grado de cumplimiento a la Gua para la JZP 30.Mar
30.Mar Administracin Eficiente del Software Legal en la
Administracin Pblica, conforme a lo establecido en la
Resolucin Ministerial No. 073-2004-PCM del 16.Mar.2004.

Objetivo Especfico N 2

2. Evaluar el asesoramiento y asistencia tcnica que brinda el Equipo

Informtica como rgano de asesoramiento y asistencia tcnica a
la empresa AGUAS ANDINAS.
SRG 2.1 Determinar si el grado de desarrollo, operatividad SRG 07.Mar
07.Mar y mantenimiento de los recursos informticos permite la
atencin de los requerimientos de servicio informticos a la
Gerencia Comercial de AGUAS ANDINAS para el
cumplimiento de sus metas y objetivos.
SRG SRG 10.Mar
10.Mar 2.2 Verificar si la entidad efecta evaluaciones peridicas
(comprobaciones y/o encuestas planificadas) a los usuarios
del software a fin de determinar sus necesidades futuras que
le permita ayudar a identificar y programar la compra de
SRG licencias y/o equipos de cmputo. SRG 15.Mar
15.Mar
2.3 Verificar si se efecta campaas de difusin internas de la
prohibicin del uso indebido de software y capacitacin del
personal respecto al uso de determinados sistemas y/o
programas.

Objetivo Especfico N 3

3. Determinar el grado de seguridad fsica y lgica que custodia el

JZP Equipo Informtica respecto al hardware y software de la JZP 05.Abr
05.Abr empresa.

SRG 3.1 Revisar y evaluar la seguridad fsica de los equipos, SRG 05.Abr
05.Abr programas y sistemas de la Empresa.
JZP JZP 15.Abr
15.Abr 3.2 Revisar y evaluar la seguridad lgica para el acceso a la red.

SRG 3.3 Verificar el grado de eficiencia en la supervisin por parte SRG 15.Abr
15.Abr del Equipo Informtica a Mesa de Ayuda (Help Desk).

3.4 Verificar si el rea de informtica cuenta con un Plan de

Contingencia, que permita garantizar la continuidad de las
operaciones y la integridad de la informacin.

Lima, 06 de Marzo del 2010

_____________________________ ________________________________
ING. Mario Muoz Rojas ING. Felix Sandoval Linares
Encargado de Comisin Supervisor de Comisin

El Gerente de Auditora Interna aprueba el presente Plan de la Auditoria de Sistemas de

Informacin a realizarse y luego de las coordinaciones previas hace suyo su contenido.
____________________________________
CPC. Walter Zuiga paredes
Gerente de Auditoria Interna