Material complementario de fundamentacion sobre las normas generales de auditoria de sistemas computacionales.

1. Normas Generales de auditoria
Definición de Norma
Las normas de Auditoría son las indicaciones que en forma obligatoria los
auditores tienen que cumplir en el desempeño de sus funciones de auditoría y
presentan los requisitos personales y profesionales del auditor, además de
orientaciones para la uniformidad en el trabajo con el propósito de lograr un
buen nivel de calidad en el examen. Asì mismo indican lo concerniente a la
elaboración del informe de auditoria.
Normas Generales
Establecen el ámbito y competencia de la auditoría, son de naturaleza personal
y están relacionadas con las cualidades morales, de conocimiento y capacidad
que debe tener el auditor y con la calidad en el trabajo de auditoría.
Son Normas Generales:
1 Capacidad Profesional
El auditor debe tener suficiente capacidad profesional, experiencia técnica y el
entrenamiento adecuado para planear, organizar y ejecutar de la manera más
eficiente y económica el trabajo de auditoría y con calidad profesional.
Para mantenerse actualizado el auditor deberá estar capacitándose
constantemente en todas las áreas relacionadas con su carrera.
Además, los auditores deben reunir ciertos requisitos como:
a) Conocimiento de métodos y técnicas aplicables
b) conocimiento de los principios de contabilidad generalmente aceptados y de
las normas internacionales de auditoría.
c) Habilidad para comunicarse.
d) Experiencia en el ramo.
e) Título profesional correspondiente.
2. Objetividad e Independencia

2. El auditor deberá estar libre de impedimentos e influencias, mantener una
actitud objetiva y absoluta independencia de criterios en la elaboración del
informe de su examen.
La independencia objetiva y mental del auditor es la exigencia y calidad más
importante. La pérdida de tales condiciones elimina por completo la validez de
su informe y su cuestionamiento disminuye considerablemente su credibilidad.
El auditor debe tener la suficiente autonomía de modo que pueda desarrollar la
auditoría con el máximo grado de imparcialidad, sin que haya posibilidades de
efectos negativos en su contra que impidan o limiten su independencia.
En el caso de los auditores internos, se debe responder ante un nivel
jerárquico tal, que le permita a la actividad de auditoría interna cumplir con sus
responsabilidades sin tropiezo alguno.
Para el logro real de la independencia del auditor, éste no debe tener conflicto
de intereses en las áreas auditadas, que limiten su accionar en forma imparcial
y objetiva. Esto significa que se abstendrán de evaluar operaciones en las
cuales anteriormente tuvieron responsabilidades.
3. Confidencialidad del trabajo de Auditoría
El personal de auditoría mantendrá absoluta reserva en el desempeño de sus
funciones, aún después de haber concluido sus labores y solo harán del
conocimiento de su trabajo a su superior inmediato.
En el caso de las auditorías que se desarrollan en el Estado, la Constitución de
la república obliga a la Contraloría a hacer públicos los resultados, so pena de
declararla cómplice si no lo hace.
4. Incompatibilidad de Funciones.
El personal de Auditoría no ejercerá ninguna labor administrativa ni financiera
en las entidades u organismos sujetos a su examen. Ni practicará auditorias en
lugares donde tenga intereses, ya sean económicos o personales.
5. Responsabilidad y Cuidado Profesional
Los auditores son responsables de cumplir con todas las disposiciones legales
y normativas existentes para el desarrollo de una auditoría y emplear
cuidadosamente su criterio profesional. Debe aplicar adecuadamente su criterio
para determinar el alcance de la auditoría, las técnicas y procedimientos de
auditoría, el equipo de trabajo y de elaborar o preparar los informes pertinentes.
6. Designación del personal para la Auditoría
Antes de iniciar una Auditoría o examen especial, se designará por escrito,
mediante una credencial, el equipo responsable de su ejecución, el cual

3. ejercerá su trabajo de acuerdo a los programas de auditoría elaborados y
preparados para ese fin.
7. Control de Calidad.
Se debe garantizar un adecuado control de calidad del trabajo, a través de
una supervisión constante del trabajo, de la preparación continua de los
auditores, capacitándolos y dándoles las herramientas necesarias para que
puedan desarrollar su trabajo sin presiones ni limitaciones.
Normas de Ejecución
Se refieren a las indicaciones técnicas y procedimientos de auditoría y a las
medidas de calidad del trabajo ejecutado por el auditor en una entidad.
Son normas de ejecución:
1. Planeación de la auditoría
El trabajo de auditoría debe planearse adecuadamente para poder alcanzar los
objetivos propuestos con el mínimo de esfuerzos y con la mayor economía. El
plan debe incluir: personal, recursos materiales, objetivos, etc.
El plan de auditoría reflejará las metas del año, los tipos de auditoría a
realizarse, las instituciones probables a auditarse, el alcance de las mismas y
hasta los cálculos económicos.
2. Planeación específica de la Auditoría
Para cada auditoría programada o no, se deberá elaborar un plan de trabajo
específico. Este debe contener:
a) El objetivo general del trabajo
b) Objetivos específicos
c) La naturaleza y alcance del examen, incluyendo el período.
d) Los procedimientos y técnicas de auditoría a realizar.
e) Recursos necesarios, materiales y humanos.
f) Etc.
3. Programa de Auditoría
Para cada auditoría específica se deberá elaborar el programa de auditoría que
incluya los procedimientos a aplicarse, su alcance y personal designado para
ejecutar la auditoría.
Los programas de auditoría deben ser los suficientemente flexibles para
permitir en el transcurso

4. del examen, modificaciones, mejoras y ajustes, a juicio del encargado o
supervisor y con la debida aprobación por parte de los responsables o
superiores.
4. Archivo Permanente
Para cada entidad u organismo se organizará un archivo permanente de
papeles de trabajo que contenga la información básica que pueda ser utilizada
en futuros auditorías o exámenes especiales.
El archivo permanente contendrá copias o extractos de la información aplicable
a la empresa u organismo y principalmente:
a) Disposiciones legales y normativas
b) Manuales, organigramas y reglamentos internos.
c) Estatutos de constitución de la empresa.
d) Contratos a largo plazo
e) Análisis del activo fijo.
f) Etc.
5. Evaluación del Control Interno
Se deberá efectuar una cuidadosa comprensión y evaluación del Control
Interno de la entidad u organismo para formular recomendaciones que permitan
su fortalecimiento y mejoras, y para determinar las áreas que necesitan un
examen más detallado, y para establecer la naturaleza, oportunidad, alcance
y profundidad de las pruebas a aplicar mediante procedimientos de auditoría.
6. Evaluación del cumplimiento de las leyes y Reglamentos Aplicables
En la ejecución de toda auditoría debe avaluarse el cumplimiento de las leyes y
reglamentos aplicables a los
sistemas de administración financiera y otras áreas de la entidad. Esta norma
es aplicable más al sector estatal, donde se persigue con mayor rigurosidad su
cumplimiento, so pena de sanciones si no lo hacen.
7. Obtención de Evidencia suficiente, Competente y Pertinente
El auditor debe tener evidencia suficiente, competente y pertinente a través de
la aplicación de procedimientos de auditoría que le permitan sustentar sus
opiniones, comentarios, conclusiones y recomendaciones sobre una base
objetiva. El auditor deberá conocer con propiedad, las diferentes técnicas de
recopilación de evidencias que existen en auditoría, como son: la observación,
el examen físico, la confirmación, el recálcalo, indagación al cliente, la
documentación y el análisis.
Además de los diferentes tipos de evidencia que existen en auditoría.
8. Papeles de Trabajo de Auditoría

5. Toda información que soporta el proceso de auditoría y el informe, estará
documentada en los papeles de trabajo. Los papeles de trabajo son el principal
soporte del auditor para sustentar su informe de auditoría, por tanto, debe
conocer y dominar con profundidad las técnicas para la elaboración de cédulas
de trabajo: sumarias y de detalle o analíticas. Utilizar adecuadamente las
marcas y saber utilizar los índices respectivos para cada cuenta o grupo de
cuentas.
9. Permanencia del Equipo de Auditoría
El equipo de Auditoría permanecerá en las oficinas de la entidad examinada
hasta la conclusión del trabajo o de las tareas asignadas a cada persona. Los
auditores no podrán comenzar otro trabajo, si el primero no ha concluido, ni
abandonarán el trabajo encomendado para continuarlo otro día, a menos que
sea por fuerza mayor y que está debidamente autorizado.
10. Carta de Gerencia o de Salvaguarda
El Auditor debe obtener una "Carta de Gerencia" de la máxima autoridad
auditada, donde esta da fe de haber entregado toda la información solicitada.
11. Supervisión de la Auditoría
El trabajo desarrollado por los auditores será debidamente supervisado, en
forma sistemática y oportuna y por personal calificado.
El equipo de trabajo deberá ser orientado debidamente de los objetivos, del
alcance y de los procedimientos de auditoría a aplicarse.
Todas las tareas de supervisión deben quedar plasmadas en los papeles de
trabajo, desde la supervisión realizada en la planeación, en la ejecución y hasta
en la fase del informe. Esto garantiza un control de calidad eficiente al trabajo
del equipo de auditoría.
12. Evaluación del Riesgo de Auditoría
Cuando se practica una auditoría financiera, es necesario evaluar los riesgos
posibles. El riesgo de auditoría es la posibilidad de que el auditor llegue a
conclusiones equivocadas acerca de los datos presentados para su examen.
Todo auditor sabe que existen riesgos de que existan cifras que no se
correspondan con las presentadas por la empresa y que no puedan ser
detectadas por el equipo. Estos riesgos pueden ser: Inherente, de Control y de
Detección.
Normas del informe de Auditoría
Establecen todo lo relativo al informe de auditoría; fecha, contenido, tipos y
estructura.
1. Oportunidad en la comunicación de los Resultados

6. Durante la ejecución del trabajo, los auditores deben discutir con los
funcionarios de la entidad auditada, los
informes parciales que contengan los hallazgos que se vayan obteniendo a fin
de que adopten las medidas correctivas pertinentes. Los resultados finales
deberán trasmitirse en el menor tiempo posible a través de un informe escrito
aprobado por el auditor jefe y el cual también deberá ser discutido con los
funcionarios de la entidad auditada.
En el sector público, se obliga al auditor a que esté en contacto
constantemente con el auditado, permitiendo a éste su derecho a la defensa y
al debido proceso.
2. Tipos y Contenido de la Auditoría
Al finalizar el examen el auditor debe presentar por escrito un informe que
describa el alcance y los objetivos de la auditoría, además, Comentarios
Conclusiones y Recomendaciones sobre los hallazgos relacionados con los
objetivos de la auditoría.
El informe puede ser:
a) Sobre los resultados de una auditoría financiera
b) Sobre los resultados de una auditoría operacional
c) Sobre los resultados de una auditoría especial
d) Sobre los resultados de una auditoría ambiental
e) Etc.
Si el examen es sobre estados financieros, la opinión que se expresa en el
informe puede ser:
a) Opinión limpia
b) Opinión con salvedades
c) Opinión adversa
d) Abstención de opinión
En el contenido se reflejan los "hallazgos" y estos se refieren a cualquier
situación deficiente y relevante que se determine por medio de la aplicación de
procedimientos de auditoría.
Los hallazgos encontrados, en el sector público, deben ser presentados con
sus atributos correspondientes, que son: Condición, Criterio, Causa y Efecto.
Además de indicar la opinión del auditado y las recomendaciones relativas al
hallazgo.
En la determinación de los hallazgos, juega un papel determinante la
"materialidad" o "Importancia Relativa" y que es el máximo error posible que el
auditor puede permitir para definir si la diferencia encontrada es o no,
significativa y por lo tanto es considerada como hallazgo.
3. Estructura del Informe de Auditoría

7. Los resultados de las auditorías se pueden presentar de dos formas:
Tipos Contenido del informe corto
a) Informe Corto 1. Párrafo del alcance
b) Informe Largo 2.Párrafo con salvedades (si las hay)
3. Párrafo de opinión
4. Firma, Fecha
En la Contraloría General de la República de Nicaragua, se utiliza la siguiente
estructura del Informe de Auditoría:
Informe Largo
1. Fecha del informe y destinatario
2. Párrafo Introductorio
3. Objetivo de la Auditoría
4. Párrafo del alcance y metodología
5. Aclaraciones del examen practicado
6. Conclusión
7. Explicación de resultados
8. Firma
4. Tono Constructivo del Informe
Los informes de auditoría deberán provocar una reacción positiva en las
conclusiones y recomendaciones formuladas. No se deberá utilizar lenguaje
despectivo ni destructivo, sin dejar de formular el criterio juicioso del auditor.
5. Objetividad del Informe
Los comentarios y conclusiones deberán presentarse de manera objetiva e
imparcial. Presentando la realidad encontrada, sin tratar de salvar la
responsabilidad de algún funcionario o empleado de la entidad auditada.
6. Precisión y Razonabilidad del Informe
Los informes deben prepararse en lenguaje sencillo y fácilmente entendible,
tratando los asuntos en forma breve y deben coincidir con los hechos
observados. Estas características
permitirán hacer un seguimiento correcto a las recomendaciones planteadas y
efectuar las evaluaciones pertinentes a las acciones correctivas que se adopten
en cada caso.
7. Informe sobre la evaluación del Control Interno
Los auditores deberán informar por escrito los resultados de la evaluación del
Control Interno de la entidad. Este informe podrá incluirse en el Informe de
Auditoría o presentarse por separado; De haber existido limitaciones para su
evaluación, el auditor deberá detallarlo en su informe.

8. 8. Contenido del Informe sobre el Control Interno
El informe del auditor sobre el Control Interno debe asegurar:
1. Que ha examinado los Estados Financieros
2. Que la auditoría se realizó de acuerdo con las normas de auditoría
generalmente aceptadas.
3. Que se consideró el Control Interno para determinar los procedimientos de
auditoría, con el fin de expresar una opinión sobre los estados financieros y no
para proporcionar seguridad del Sistema de Control Interno.
4. Que el establecimiento y mantenimiento del sistema de Control Interno son
responsabilidad de la Administración.
5. Explicación de los objetivos y limitaciones inherentes del control Interno.
6. Descripción de las políticas y procedimientos importantes del Control Interno
7. Definición y alcance del trabajo
8. Definición y descripción de las condiciones observadas
9. Descripción de las debilidades importantes observadas y las
recomendaciones correspondientes.
9. Declaraciones en el Informe sobre el cumplimiento de Leyes y Reglamentos
aplicables.
Las divulgaciones en el informe sobre cumplimiento legal y reglamentario
deben estar estructuradas conforme a las normas de auditoría y normas
específicas. Se deberá señalar todos los casos importantes de incumplimiento
y todos los actos ilícitos o indicios de ilegalidades que puedan conducir a un
proceso penal.
10. Difusión y Trámite del Informe.
La oficina de Auditoría o el auditor responsable del equipo de auditoría deberá
presentar el informe de
auditoría por escrito al funcionario responsable de la entidad auditada y al
organismo o autoridad que haya solicitado la auditoría. Todas las personas
auditadas deberán tener conocimiento de los resultados finales de la auditoria
efectuada a su área.
Normas del informe de Auditoría
Establecen todo lo relativo al informe de auditoría; fecha, contenido, tipos y
estructura.
1. Oportunidad en la comunicación de los Resultados
Durante la ejecución del trabajo, los auditores deben discutir con los
funcionarios de la entidad auditada, los
Informes parciales que contengan los hallazgos que se vayan obteniendo a fin
de que adopten las medidas correctivas pertinentes. Los resultados finales
deberán trasmitirse en el menor tiempo posible a través de un informe escrito
aprobado por el auditor jefe y el cual también deberá ser discutido con los
funcionarios de la entidad auditada.

9. En el sector público, se obliga al auditor a que esté en contacto
constantemente con el auditado, permitiendo a éste su derecho a la defensa y
al debido proceso.
2. Tipos y Contenido de la Auditoría
Al finalizar el examen el auditor debe presentar por escrito un informe que
describa el alcance y los objetivos de la auditoría, además, Comentarios
Conclusiones y Recomendaciones sobre los hallazgos relacionados con los
objetivos de la auditoría.
El informe puede ser:
a) Sobre los resultados de una auditoría financiera
b) Sobre los resultados de una auditoría operacional
c) Sobre los resultados de una auditoría especial
d) Sobre los resultados de una auditoría ambiental
e) Etc.
Si el examen es sobre estados financieros, la opinión que se expresa en el
informe puede ser:
a) Opinión limpia
b) Opinión con salvedades
c) Opinión adversa
d) Abstención de opinión
En el contenido se reflejan los "hallazgos" y estos se refieren a cualquier
situación deficiente y relevante que se determine por medio de la aplicación de
procedimientos de auditoría.
Los hallazgos encontrados, en el sector público, deben ser presentados con
sus atributos correspondientes, que son: Condición, Criterio, Causa y Efecto.
Además de indicar la opinión del auditado y las recomendaciones relativas al
hallazgo.
En la determinación de los hallazgos, juega un papel determinante la
"materialidad" o "Importancia Relativa" y que es el máximo error posible que el
auditor puede permitir para definir si la diferencia encontrada es o no,
significativa y por lo tanto es considerada como hallazgo.
3. Estructura del Informe de Auditoría
Los resultados de las auditorías se pueden presentar de dos formas:
Tipos Contenido del informe corto
a) Informe Corto 1. Párrafo del alcance
b) Informe Largo 2. Párrafo con salvedades (si las hay)
3. Párrafo de opinión
4. Firma, Fecha

10. En la Contraloría General de la República de Nicaragua, se utiliza la siguiente
estructura del Informe de Auditoría:
Informe Largo
1. Fecha del informe y destinatario
2. Párrafo Introductorio
3. Objetivo de la Auditoría
4. Párrafo del alcance y metodología
5. Aclaraciones del examen practicado
6. Conclusión
7. Explicación de resultados
8. Firma
4. Tono Constructivo del Informe
Los informes de auditoría deberán provocar una reacción positiva en las
conclusiones y recomendaciones formuladas. No se deberá utilizar lenguaje
despectivo ni destructivo, sin dejar de formular el criterio juicioso del auditor.
5. Objetividad del Informe
Los comentarios y conclusiones deberán presentarse de manera objetiva e
imparcial. Presentando la realidad encontrada, sin tratar de salvar la
responsabilidad de algún funcionario o empleado de la entidad auditada.
6. Precisión y Razonabilidad del Informe
Los informes deben prepararse en lenguaje sencillo y fácilmente entendible,
tratando los asuntos en forma breve y deben coincidir con los hechos
observados. Estas características
permitirán hacer un seguimiento correcto a las recomendaciones planteadas y
efectuar las evaluaciones pertinentes a las acciones correctivas que se adopten
en cada caso.
7. Informe sobre la evaluación del Control Interno
Los auditores deberán informar por escrito los resultados de la evaluación del
Control Interno de la entidad. Este informe podrá incluirse en el Informe de
Auditoría o presentarse por separado; De haber existido limitaciones para su
evaluación, el auditor deberá detallarlo en su informe.
8. Contenido del Informe sobre el Control Interno
El informe del auditor sobre el Control Interno debe asegurar:
1. Que ha examinado los Estados Financieros
2. Que la auditoría se realizó de acuerdo con las normas de auditoría
generalmente aceptadas.
3. Que se consideró el Control Interno para determinar los procedimientos de
auditoría, con el fin de expresar una opinión sobre los estados financieros y no
para proporcionar seguridad del Sistema de Control Interno.

11. 4. Que el establecimiento y mantenimiento del sistema de Control Interno son
responsabilidad de la Administración.
5. Explicación de los objetivos y limitaciones inherentes del control Interno.
6. Descripción de las políticas y procedimientos importantes del Control Interno
7. Definición y alcance del trabajo
8. Definición y descripción de las condiciones observadas
9. Descripción de las debilidades importantes observadas y las
recomendaciones correspondientes.
9. Declaraciones en el Informe sobre el cumplimiento de Leyes y Reglamentos
aplicables.
Las divulgaciones en el informe sobre cumplimiento legal y reglamentario
deben estar estructuradas conforme a las normas de auditoría y normas
específicas. Se deberá señalar todos los casos importantes de incumplimiento
y todos los actos ilícitos o indicios de ilegalidades que puedan conducir a un
proceso penal.
10. Difusión y Trámite del Informe.
La oficina de Auditoría o el auditor responsable del equipo de auditoría deberá
presentar el informe de
auditoría por escrito al funcionario responsable de la entidad auditada y al
organismo o autoridad que haya solicitado la auditoría. Todas las personas
auditadas deberán tener conocimiento de los resultados finales de la auditoria
efectuada a su àrea.
INTRODUCCIÓN
La Asociación de Auditoría y Control de Sistemas de Información
ha determinado que la naturaleza especializada de la auditoría de
los sistemas de información y las habilidades necesarias para
llevar a cabo este tipo de auditorías, requieren el desarrollo y la
promulgación de Normas Generales para la Auditoría de los
Sistemas de Información.
La auditoría de los sistemas de información se define como
cualquier auditoría que abarca la revisión y evaluación de todos
los aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las
interfaces correspondientes.
Las normas promulgadas por la Asociación de Auditoría y Control
de Sistemas de Información son aplicables al trabajo de auditoría
realizado por miembros de la Asociación de Auditoría y Control de
Sistemas de Información y por las personas que han recibido la
designación de Auditor Certificado de Sistemas de Información.
OBJETIVOS

12. Los objetivos de estas normas son los de informar a los auditores
del nivel mínimo de rendimiento aceptable para satisfacer las
responsabilidades profesionales establecidas en el Código de
Ética Profesional y de informar a la gerencia y a otras partes
interesadas de las expectativas de la profesión con respecto al
trabajo de aquellos que la ejercen.
NORMAS GENERALES PARA LOS SISTEMAS DE AUDITORÍA DE
LA INFORMACIÓN
010.010 Responsabilidad, autoridad y rendimiento de cuentas
La responsabilidad, la autoridad y el rendimiento de cuentas
abarcados por la función de auditoría de los sistemas de
información se documentarán de la manera apropiada en un título
de auditoría o carta de contratación.
020 Independencia
020.010 Independencia profesional
En todas las cuestiones relacionadas con la auditoría, el auditor
de sistemas de información deberá ser independiente de la
organización auditada tanto en actitud como en apariencia.
020.020 Relación organizativa
La función de auditoría de los sistemas de información deberá ser
lo suficientemente independiente del área que se está auditando
para permitir completar de manera objetiva la auditoría.
030 Ética y normas profesionales
030.010 Código de Ética Profesional
El auditor de sistemas de información deberá acatar el Código de
Ética Profesional de la Asociación de Auditoría y Control de
Sistemas de Información.
030.020 Atención profesional correspondiente
En todos los aspectos del trabajo del auditor de sistemas de
información, se deberá ejercer la atención profesional
correspondiente y el cumplimiento de las normas aplicables de
auditoría profesional.
040 Idoneidad
040.010 Habilidades y conocimientos
El auditor de sistemas de información debe ser técnicamente
idóneo, y tener las habilidades y los conocimientos necesarios
para realizar el trabajo como auditor.
040.020 Educación profesional continua
El auditor de sistemas de información deberá mantener la

13. idoneidad técnica por medio de la educación profesional continua
correspondiente.
050 Planificación
050.010 Planificación de la auditoría
El auditor de sistemas de información deberá planificar el trabajo
de auditoría de los sistemas de información para satisfacer los
objetivos de la auditoría y para cumplir con las normas aplicables
de auditoría profesional.
060 Ejecución del trabajo de auditoría
060.010 Supervisión
El personal de auditoría de los sistemas de información debe
recibir la supervisión apropiada para proporcionar la garantía de
que se cumpla con los objetivos de la auditoría y que se
satisfagan las normas aplicables de auditoría profesional.
060.020 Evidencia
Durante el transcurso de una auditoría, el auditor de sistemas de
información deberá obtener evidencia suficiente, confiable,
relevante y útil para lograr de manera eficaz los objetivos de la
auditoría. Los hallazgos y conclusiones de la auditoría se deberán
apoyar por medio de un análisis e interpretación apropiados de
dicha evidencia.
070 Informes
070.010 Contenido y formato de los informes
En el momento de completar el trabajo de auditoría, el auditor de
sistemas de información deberá proporcionar un informe, de
formato apropiado, a los destinatarios en cuestión. El informe de
auditoría deberá enunciar el alcance, los objetivos, el período de
cobertura y la naturaleza y amplitud del trabajo de auditoría
realizado. El informe deberá identificar la organización, los
destinatarios en cuestión y cualquier restricción con respecto a su
circulación. El informe deberá enunciar los hallazgos, las
conclusiones y las recomendaciones, y cualquier reserva o
consideración que tuviera el auditor con respecto a la auditoría.
080 Actividades de seguimiento
080.010 Seguimiento
El auditor de sistemas de información deberá solicitar y evaluar la
información apropiada con respecto a hallazgos, conclusiones y
recomendaciones relevantes anteriores para determinar si se han
implementado las acciones apropiadas de manera oportuna.
Métodos, técnicas y herramientas de auditoría.

14. Las auditorías informáticas se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la
información necesaria para la emisión de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de
cuestionarios pre impresos que se envían a las personas concretas que el
auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas áreas a auditar.
Sobre esta base, se estudia y analiza la documentación recibida, de modo que
tal análisis determine a su vez la información que deberá elaborar el propio
auditor. El cruzamiento de ambos tipos de información es una de las bases
fundamentales de la auditoría.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan
adquirido por otro medios la información que aquellos pre impresos hubieran
proporcionado.
Entrevistas:
El auditor comienza a continuación las relaciones personales con el auditado.
Lo hace de tres formas:
1. Mediante la petición de documentación concreta sobre alguna materia de su
responsabilidad.
2. Mediante “entrevistas” en las que no se sigue un plan predeterminado ni un
método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor;
en ellas, éste recoge más información, y mejor matizada, que la proporcionada
por medios propios puramente técnicos o por las respuestas escritas a
cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y
auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que
hace un auditor, interroga y se interroga a sí mismo. El auditor informático
experto entrevista al auditado siguiendo un cuidadoso sistema previamente
establecido, consistente en que bajo la forma de una conversación correcta y lo

15. menos tensa posible, el auditado conteste sencillamente y con pulcritud a una
serie de preguntas variadas, también sencillas.
Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una
preparación muy elaborada y sistematizada, y que es diferente para cada caso
particular.
Tunning:
Es el conjunto de técnicas de observación y de medidas encaminadas a la
evaluación del comportamiento de los Subsistemas y del Sistema en su
conjunto. Las acciones de tunning deben diferenciarse de los controles
habituales que realiza el personal de Técnica de Sistemas. El tunning posee
una naturaleza más revisora, estableciéndose previamente planes y programas
de actuación según los síntomas observados.
Optimización de los Sistemas y Subsistemas:
Técnica de Sistemas debe realizar acciones permanentes de optimización
como consecuencia de la realización de tunnings pre programados o
específicos. El auditor verificará que las acciones de optimización* fueron
efectivas y no comprometieron la Operatividad de los Sistemas ni el plancrítico
de producción diaria de Explotación.
Optimización:
Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no
tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va
cargando, la Aplicación se va poniendo cada vez más lenta; porque todas las
referencias a tablas es cada vez más grande, la información que está moviendo
es cada vez mayor, entonces la Aplicación se tiende a poner lenta. Lo que se
tiene que hacer es un análisis de performance, para luego optimizarla, mejorar
el rendimiento de dicha Aplicación.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus
cuestionarios en función de los escenarios auditados. Tiene claro lo que
necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de
análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de
someter al auditado a unas preguntas estereotipadas que no conducen a nada.
Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en

16. realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de
sus Checklists.
Según la claridad de las preguntas y el talante del auditor, el auditado
responderá desde posiciones muy distintas y con disposición muy variable. El
auditado, habitualmente informático de profesión, percibe con cierta facilidad el
perfil técnico y los conocimientos del auditor, precisamente a través de las
preguntas que éste le formula.
El auditor deberá aplicar la Checklist de modo que el auditado responda clara y
escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en
los casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor
amplitud un tema concreto, y en cualquier caso, se deberá evitar
absolutamente la presión sobre el mismo.
El entrevistado no debe percibir un excesivo formalismo en las preguntas. El
auditor, por su parte, tomará las notas imprescindibles en presencia del
auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de
“filosofía” de calificación o evaluación:
a. Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango
preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el
5 el valor más positivo)
Ejemplo de Checklist de rango:
Se supone que se está realizando una auditoría sobre la seguridad física de
una instalación y, dentro de ella, se analiza el control de los accesos de
personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que
figuran a continuación, en donde las respuestas tiene los siguientes
significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.

17. 4 : Aceptable.
5 : Correcto.
Se figuran posibles respuestas de los auditados. Las preguntas deben
sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta
con que el auditor lleve un pequeño guión. La cumplimentación de la Checklist
no debe realizarse en presencia del auditado.
Las Checklists de rango son adecuadas si el equipo auditor no es muy grande
y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una
mayor precisión en la evaluación que en la checklist binaria. Sin embargo, la
bondad del método depende excesivamente de la formación y competencia del
equipo auditor.
El método de trabajo del auditor pasa por las siguientes etapas:
· Alcance y Objetivos de la Auditoría Informática.
· Estudio inicial del entorno auditable.
· Determinación de los recursos necesarios para realizar la auditoría.
· Elaboración del plan y de los Programas de Trabajo.
· Actividades propiamente dichas de la auditoría.
· Confección y redacción del Informe Final.
· Redacción de la Carta de Introducción o Carta de Presentación del Informe
final.
Definición de Alcance y Objetivos
El alcance de la auditoría expresa los límites de la misma. Debe existir un
acuerdo muy preciso entre auditores y clientes sobre las funciones, las
materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes
expresar las excepciones de alcance de la auditoría, es decir cuales materias,
funciones u organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del
Informe Final.
Las personas que realizan la auditoría han de conocer con la mayor exactitud
posible los objetivos a los que su tarea debe llegar. Deben comprender los
deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser
cumplidas.
Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los
objetivos generales y comunes de a toda auditoría Informática: La operatividad
de los Sistemas y los Controles Generales de Gestión Informática.
Estudio Inicial

18. Para realizar dicho estudio ha de examinarse las funciones y actividades
generales de la informática.
Para su realización el auditor debe conocer lo siguiente:
Organización:
Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién
ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:
1) Organigrama:
El organigrama expresa la estructura oficial de la organización a auditar.
Si se descubriera que existe un organigrama fáctico diferente al oficial, se
pondrá de manifiesto tal circunstancia.
2) Departamentos:
Se entiende como departamento a los órganos que siguen inmediatamente a la
Dirección. El equipo auditor describirá brevemente las funciones de cada uno
de ellos.
3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:
El equipo auditor verificará si se cumplen las relaciones funcionales y
Jerárquicas previstas por el organigrama, o por el contrario detectará, por
ejemplo, si algún empleado tiene dos jefes.
Las de Jerarquía implican la correspondiente subordinación. Las funcionales
por el contrario, indican relaciones no estrictamente subordinadles.
4. Flujos de Información:
Además de las corrientes verticales interdepartamentales, la estructura
organizativa cualquiera que sea, produce corrientes de información
horizontales y oblicuas extra departamentales.
Los flujos de información entre los grupos de una organización son necesarios
para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el
propio organigrama.
En ocasiones, las organizaciones crean espontáneamente canales alternativos
de información, sin los cuales las funciones no podrían ejercerse con eficacia;
estos canales alternativos se producen porque hay pequeños o grandes fallos
en la estructura y en el organigrama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a
afinidades personales o simple comodidad. Estos flujos de información son
indeseables y producen graves perturbaciones en la organización.

19. 5. Número de Puestos de trabajo
El equipo auditor comprobará que los nombres de los Puesto de los Puestos de
Trabajo de la organización corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo
cual indica la existencia de funciones operativas redundantes.
Esta situación pone de manifiesto deficiencias estructurales; los auditores
darán a conocer tal circunstancia y expresarán el número de puestos de trabajo
verdaderamente diferentes.
6. Número de personas por Puesto de Trabajo
Es un parámetro que los auditores informáticos deben considerar. La
inadecuación del personal determina que el número de personas que realizan
las mismas funciones rara vez coincida con la estructura oficial de la
organización.
Entorno Operacional
El equipo de auditoría informática debe poseer una adecuada referencia del
entorno en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los
siguientes extremos:
a. Situación geográfica de los Sistemas:
Se determinará la ubicación geográfica de los distintos Centros de Proceso de
Datos en la empresa. A continuación, se verificará la existencia de
responsables en cada unos de ellos, así como el uso de los mismos estándares
de trabajo.
b) Arquitectura y configuración de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuración elegida para
cada uno de ellos, ya que los mismos deben constituir un sistema compatible e
intercomunicado. La configuración de los sistemas está muy ligada a las
políticas de seguridad lógica de las compañías.

20. Los auditores, en su estudio inicial, deben tener en su poder la distribución e
interconexión de los equipos.
c. Inventario de Hardware y Software:
El auditor recabará información escrita, en donde figuren todos los elementos
físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs,
unidades de control local y remotas, periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos del
Sistema, desde el software básico hasta los programas de utilidad adquiridos o
desarrollados internamente. Suele ser habitual clasificarlos en facturables y no
facturables.
d) Comunicación y Redes de Comunicación:
En el estudio inicial los auditores dispondrán del número, situación y
características principales de las líneas, así como de los accesos a la red
pública de comunicaciones.
Igualmente, poseerán información de las Redes Locales de la Empresa.
Aplicaciones bases de datos y archivos
El estudio inicial que han de realizar los auditores se cierra y culmina con una
idea general de los procesos informáticos realizados en la empresa auditada.
Para ello deberán conocer lo siguiente:
a. Volumen, antigüedad y complejidad de las Aplicaciones
b. Metodología del Diseño
Se clasificará globalmente la existencia total o parcial de metodología en el
desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo
se pondrá de manifiesto.
c. Documentación
La existencia de una adecuada documentación de las aplicaciones proporciona
beneficios tangibles e inmediatos muy importantes.

21. La documentación de programas disminuye gravemente el mantenimiento de
los mismos.
d. Cantidad y complejidad de Bases de Datos y Ficheros.
El auditor recabará información de tamaño y características de las Bases de
Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número
de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros,
así como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visión aceptable de las características de la
carga informática.
Determinación de recursos de la auditoría Informática
Mediante los resultados del estudio inicial realizado se procede a determinar
los recursos humanos y materiales que han de emplearse en la auditoría.
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son
proporcionados por el cliente. Las herramientas software propias del equipo
van a utilizarse igualmente en el sistema auditado, por lo que han de
convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales Software
Programas propios de la auditoria: Son muy potentes y Flexibles.
Habitualmente se añaden a las ejecuciones de los procesos del cliente para
verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la
actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los
datos ya existentes.
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.

22. Para lo cual habrá de convenir, tiempo de máquina, espacio de disco,
impresoras ocupadas, etc.
Proceso de auditoria
Análisis Preliminar del Control Interno
Este análisis reviste de vital importancia en esta etapa, porque de su resultado
se comprenderá la naturaleza y extensión del plan de auditoría y la valoración y
oportunidad de los procedimientos a utilizarse durante el examen.
Análisis de los Riesgos y la Materialidad.
El Riesgo en auditoría representa la posibilidad de que el auditor exprese una
opinión errada en su informe debido a que los estados financieros o la
información suministrada a él estén afectados por una distorsión material o
normativa.
En auditoría se conocen tres tipos de riesgo: Inherente, de Control y de
Detección. El riesgo inherente es la posibilidad de que existan errores
significativos en la información auditada, al margen de la efectividad del control
interno relacionado; son errores que no se pueden prever. El riesgo de control
está relacionado con la posibilidad de que los controles internos imperantes no
preveen o detecten fallas que se están dando en sus sistemas y que se pueden
remediar con controles internos más efectivos. El riesgo de detección están
relacionados con el trabajo del auditor, y es que éste en la utilización de los
procedimientos de auditoría, no detecte errores en la información que le
suministran. El riesgo de auditoria se encuentra así: RA = RI x RC x RD
Esta clasificación de los riesgos en auditoría puede tener sus variantes; por
ejemplo, en Taylor y Glezze se mencionan el riesgo alfa(riesgo del rechazo
indebido) y el riesgo beta(riesgo de la aceptación indebida)
La SAS No 39. Menciona el Riesgo Ultimo como una combinación de dos
riesgos: el que se cometan errores de importancia en el proceso contable y el
de que estos errores no sean detectados por el auditor. Se describe también
como el riesgo de que en el saldo de una cuenta, exista un error monetario
mayor que el que se pueda tolerar(Materialidad) y que el auditor no pueda
detectarlo.
La Materialidad es el error monetario máximo que puede existir en el saldo de
una cuenta sin dar lugar a que los estados financieros estén sustancialmente
deformados. A la materialidad también se le conoce como Importancia Relativa.
Planeación Específica de la Auditoría.
Para cada auditoría que se va a practicar, se debe elaborar un plan. Esto lo
contemplan las Normas para la ejecución. Este plan debe ser técnico y
administrativo. El plan administrativo debe contemplar todo lo referente a

23. cálculos monetarios a cobrar, personal que conformarán los equipos de
auditoría, horas
Elaboración de Programa de Auditoría
Cada miembro del equipo de auditoría debe tener en sus manos el programa
detallado de los objetivos y procedimientos de auditoría objeto de su examen.
Ejemplo: si un auditor va a examinar el efectivo y otro va a examinar las
cuentas x cobrar, cada uno debe tener los objetivos que se persiguen con el
examen y los procedimientos que se corresponden para el logro de esos
objetivos planteados. Es decir, que debe haber un programa de auditoría para
la auditoría del efectivo y un programa de auditoría para la auditoría de
cuentas x cobrar, y así sucesivamente. De esto se deduce que un programa
de auditoria debe contener dos aspectos fundamentales: Objetivos de la
auditoria y Procedimientos a aplicar durante el examen de auditoria.
También se pueden elaborar programas de auditoria no por áreas específicas,
sino por ciclos transaccionales.
Ejecución: En esta fase se realizan diferentes tipos de pruebas y análisis a los
estados financieros para determinar su razonabilidad. Se detectan los errores,
si los hay, se evalúan los resultados de las pruebas y se identifican los
hallazgos. Se elaboran las conclusiones y recomendaciones y se las
comunican a las autoridades de la entidad auditada.
Aunque las tres fases son importantes, esta fase viene a ser el centro de lo que
es el trabajo de auditoría, donde se realizan todas las pruebas y se utilizan
todas las técnicas o procedimientos para encontrar las evidencias de auditoría
que sustentarán el informe de auditoría.
Técnicas y herramientas de recolección de datos
Técnicas y herramientas de evaluación de datos
Se utilizan múltiples herramientas y técnicas tradicionales de la auditoria
También se deben conocer otras herramientas, técnicas y procedimientos
específicos.
Estas son algunas de las técnicas de auditoria computacional
1 guías de evaluación.
2 ponderaciones
3 modelos de simulación
4 evaluaciones
5 Diagramas del circulo de observación
6 lista de verificación
7 análisis de la diagramación
8 diagrama de seguimiento de la auditoria de sistemas computacionales
9 programas de revisión por computadora

24. Normas y éticas profesionales
El conjunto de normas éticas profesionales entendidas como los principios de
orden moral que deben guiar la actuación de todo profesional, cobran una
importancia especial tratándose del desempeño de los árbitros en controversias
médicas. De esta manera se establecen las reglas de conducta para que los
árbitros puedan garantizar a las partes un proceso institucional con estricto
apego a la ética y promover un proceso arbitral confiable
para la resolución de los conflictos.
El proceso arbitral es un acto voluntario, en un terreno neutral e imparcial y
ayuda a las partes en conflicto a resolver sus diferencias. El rol del árbitro
consiste en facilitar el diálogo entre las partes promoviendo el entendimiento;
las ayudará a identificar sus puntos de controversia y a buscar en forma
creativa las distintas posibilidades para lograr un acuerdo satisfactorio entre las
mismas.
El respeto a las normas de ética profesional por parte de los árbitros tiene
singular importancia, ya que constituye un vehículo esencial para mantener la
dignidad de éstos y el prestigio de la institución como mecanismos alternativo
de solución de conflictos, tomando siempre como base la misión institucional
de propiciar relaciones sanas entre los profesionales de la salud y sus
pacientes.
El árbitro debe estar altamente calificado para que con una percepción humana
pueda evitar la confrontación de las partes en conflicto con argumentos
sólidamente sustentados en la les artis médica y apegados a derecho.
Importancia de la ética del auditor
Uno de los pilares fundamentales para el ejercicio de la profesión en cualquier
parte del mundo, es “La Ética Profesional”, por ende, nuestra mayor atención y
preocupación como auditores Autorizados debe centrarse en contar con los
medios necesarios para dar a conocer los lineamientos básicos contenidos en
el “Código de Ética Profesional” emitido por el Consejo Técnico Nacional de
Auditoria y Contabilidad (CTNAC).
Los auditores internos tenemos el compromiso de frenar las conductas
inapropiadas, convertirnos en un dique de contención, en una barrera
protectora; a través de promover la integridad y transparencia en todos los
niveles de la organización y creando conciencia acerca de la importancia e
impacto de este mal. Indiscutiblemente que para combatir los graves problemas
de Ética que afectan a todas las entidades, tenemos la responsabilidad de
contestar el llamado:

25. Definición de la norma
Las Declaraciones de Normas de Auditoría o SAS (Statements on Auditing
Standards) son interpretaciones de las normas de auditoría generalmente
aceptadas que tienen obligatoriedad para los socios del American Institute of
Certified Public Accountants AICPA, pero se han convertido en estándar
internacional, especialmente en nuestro continente. Las Declaraciones de
Normas de Auditoría son emitidas por la Junta de Normas de Auditoría
(Auditing Standard Board ASB).
En Colombia las Normas de Auditoría de General Aceptación (NAGA) fueron
elevadas a categoría de Normas Legales por el artículo séptimo de la ley 43 de
1990 el cual reza:
De las normas de auditoría generalmente aceptadas: se
relacionan con las cualidades profesionales del Contador
Público, con el empleo de su buen juicio en la ejecución de su
examen y en su informe referente al mismo. [Ley 43, 7° ]
En otras palabras, aunque la Ley no plantea una definición propiamente dicha,
se puede afirmar que las Normas de Auditoría de General Aceptación (NAGA)
se consideran como el conjunto de cualidades personales y requisitos
profesionales que debe poseer el Contador Público y todos aquellos
procedimientos técnicos que debe observar al realizar su trabajo de Auditoría y
al emitir su dictamen o informe, para brindarles y garantizarle a los usuarios del
mismo un trabajo de calidad.
Son normas de Auditoría todas aquellas medidas establecidas por la profesión
y por la Ley, que fijan la calidad, la manera como se deben ejecutar los
procedimientos y los objetivos que se deben alcanzar en el examen. Se
refieren a las calidades del Contador Público como profesional y lo ejercitado
por él en el desarrollo de su trabajo y en la redacción de su informe. Las
normas de Auditoría se definen como aquellos requisitos mínimos, de orden
general, que deben observarse en la realización de un trabajo de auditoría de
calidad profesional.
El SAS-1 trata en una forma amplia el tema de responsabilidades profesionales
del auditor independiente. Estas responsabilidades son descritas en el
contexto de las tres normas generales, las tres normas de ejecución del trabajo
y las cuatro normas sobre la información.
PRINCIPIOS Y VALORES ETICOS DE UN AUDITOR

26. Los principios éticos son parte del comportamiento moral, de la cultura, de las
virtudes, de la actitud y de la conducta de las personas en general, y de los
profesionales en funciones específicas, en particular.
La Dirección General de Control Interno considera que el comportamiento ético,
así
como las relaciones personales, es la base fundamental para el ejercicio de las
atribuciones del Auditor Interno del I.P.A.P.C. La participación ética de los
profesionales en funciones específicas y de los servidores públicos en general,
se asegura respetando un conjunto de valores o principios morales.
El Auditor Interno debe abstenerse de realizar cualquier acto cuando éste
genere
Conflicto con las disposiciones de este Código, las normas del Control Interno o
el
Marco de lealtad en el servicio del Instituto, o afecte negativamente la
reputación de la Dirección, tomando en cuenta la importancia de la tarea que la
Institución le
Encomienda, que es la búsqueda de la verdad en forma totalmente objetiva.
Está
Impedido de participar en la administración Activa donde ejerce el control.