Página 1 de 18

Guía Auditoría a TICs

Contraloría Distrital de Santa Marta

TABLA DE CONTENIDO

1 JUSTIFICACIÓN 3
2 OBJETIVO 4
3 EVALUCION DE EQUIPOS Y TECNOLOGÍA 5
3.1 DEFINICIÓN..................................................................................................................5
3.2 ALCANCE.....................................................................................................................5
3.3 OBJETIVOS...................................................................................................................6
3.3.1 OBJETIVO GENERAL................................................................................................6
3.3.2 OBJETIVOS ESPECÍFICOS.........................................................................................6
3.4 NORMAS.......................................................................................................................6
3.4.1 NORMAS PERSONALES............................................................................................6
3.4.2 NORMAS PARA LA EJECUCIÓN DEL TRABAJO..........................................................7
3.4.3 NORMAS PARA LA PREPARACIÓN DEL INFORME......................................................7
4 PROCESO DE EVALUAION DE EQUIPOS Y TECNOLOGÍA 7
4.1 PLANEACIÓN DE LA AUDITORÍA.................................................................................7
4.2 CONOCIMIENTO GENERAL DE LA ENTIDAD...............................................................8
4.3 CONOCIMIENTO DEL ÁREA INFORMÁTICA................................................................8
4.4 MEMORANDO DE PLANEACIÓN..................................................................................8
4.5 EJECUCIÓN..................................................................................................................8
4.5.1 EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO...............................................8
4.5.1.1 Planeación y Organización...............................................................................9
4.5.1.2 Adquisición e implementación.......................................................................10
4.5.1.3 Entrega y soporte............................................................................................10
4.5.1.4 Monitoreo.......................................................................................................10
4.5.1.5 Controles de documentación..........................................................................10
4.5.1.6 Controles de monitoreo..................................................................................10
5 PROCEDIMIENTOS DE AUDITORÍA DE EQUIPOS Y TECNOLOGÍA 11
5.1 PRUEBAS DE CUMPLIMIENTO...................................................................................11
5.2 PRUEBAS SUSTANTIVAS.............................................................................................11
5.3 TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR........................................12
6 INDICADORES DE GESTIÓN 13
7 PAPELES DE TRABAJO 14
7.1 CONCEPTO.................................................................................................................14
7.2 JUSTIFICACIÓN..........................................................................................................14
7.3 OBJETIVOS.................................................................................................................14
7.4 IMPORTANCIA............................................................................................................14
7.5 ARCHIVO PERMANENTE............................................................................................15
7.5.1 OBJETIVO..............................................................................................................15
7.5.2 CARACTERÍSTICAS................................................................................................15
7.5.3 IMPORTANCIA........................................................................................................15
7.5.4 CONTENIDO BÁSICO..............................................................................................15
7.6 ARCHIVO CORRIENTE...............................................................................................15
7.6.1 OBJETIVO..............................................................................................................15
7.6.2 CARACTERÍSTICAS................................................................................................15
7.6.3 IMPORTANCIA........................................................................................................15

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 2 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

7.7 ARCHIVO ADMINISTRATIVO......................................................................................16

7.7.1 OBJETIVO..............................................................................................................16
7.7.2 CARACTERÍSTICAS................................................................................................16
7.7.3 IMPORTANCIA........................................................................................................16
7.7.4 CONTENIDO...........................................................................................................16

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 3 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

1 JUSTIFICACIÓN

La Contraloría Distrital de Santa Marta considera de vital importancia la evaluación de

la gestión de las entidades que vigila frente al adecuado uso y aprovechamiento de los
recursos tecnológicos de informática, así mismo considera necesario evaluar el
cumplimiento de la misión por parte de las Oficinas de Sistemas de las entidades
vigiladas.

La Contraloría Distrital de Santa Marta elaboró la presente metodología, con el

propósito de apoyar los procedimientos de Auditoría de Equipos y Tecnología como
parte integral para el ejercicio del control fiscal

Esta metodología está basada en el MANUAL DE AUDITORIAS DE TECNOLOGÍA DE

LA COMUNICACIÓN de la Auditoría General de la República, el que a su vez estuvo
basado en el modelo internacional COBIT (Control Objectives for Information and Related
Technology), el cual se fundamenta en la identificación de procesos de tecnología de
información y sus objetivos de control relacionados, mejorados a partir de los estándares
internacionales técnicos, profesionales, regulatorios, específicos. COBIT orientado a ser
la herramienta de administración de tecnologías de información que ayude al
entendimiento y a la administración de riesgos asociados con tecnología de información y
con tecnologías relacionadas.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 4 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

2 OBJETIVO

El presente manual tiene como objetivo brindar una metodología para auditar los
procesos relacionados con la automatización o sistematización tecnológica de las
entidades vigiladas por la CONTRALORÍA DISTRITAL DE SANTA MARTA. Ilustra sobre
los aspectos que se han de tener en cuenta para realizar una Auditoría de Equipos y
Tecnología como son: la Planeación de la auditoría, la ejecución donde se determina la
forma de evaluar los procesos relacionados con la sistematización de las entidades
vigiladas por la CONTRALORÍA DISTRITAL DE SANTA MARTA mediante la
identificación de los controles y riesgos asociados; así mismo trata sobre la elaboración
del informe, los papeles de trabajo y las técnicas de Auditoría de Equipos y Tecnología.

Este material es de aplicativo para casos particulares puede variar en cuanto al

alcance, contenido, secuencia, extensión y oportunidad de las actividades de auditoría.
Para su correcta utilización, es necesario que los auditores de sistemas tengan en
cuenta los antecedentes generales y específicos del ambiente a evaluar, seleccionando
los procedimientos a aplicar. Como soporte a la función del manual se incluyen, a
manera de anexos, los cuestionarios de control interno, que a pesar de no ser
exhaustivos, se espera se conviertan en una herramienta sólida para el trabajo del
auditor.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 5 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

AUDITORÍA DE EQUPOS Y TECNOLOGÍA

2.1 Definición

La Auditoría de Equipos y Tecnología es el examen objetivo, crítico, sistemático, posterior

y selectivo que se hace a la administración informática de una organización, con el fin de
emitir una opinión acerca de la eficiencia en la adquisición y utilización de los recursos
informáticos, la confiabilidad, integridad, seguridad y oportunidad de la información y la
efectividad de los controles en los sistemas de información.
La administración informática comprende la aplicación del proceso administrativo, en
términos de planeación, organización, dirección y control, expresados en hardware,
software, datos, factor humano y otros recursos asociados a la automatización las
actividades operativas de las organizaciones.

La Auditoría de Equipos y Tecnología como parte integral del ejercicio del control fiscal
debe ser:

 Objetiva, porque requiere un alto grado de independencia mental del auditor, con
relación a los funcionarios y actividades de las entidades auditadas.

 Crítica, porque el auditor requiere de evidencias para poder emitir una opinión sobre
los procesos auditados.

 Sistemática, por cuanto se basa en normas, métodos, procedimientos y técnicas de

Auditoría de Equipos y Tecnología.

 Posterior a las actividades, operaciones y decisiones tomadas por la entidad

vigilada.

 Selectiva a través de muestras. El auditor debe determinar el tamaño de la muestra

para poder, si es del caso, inferir conclusiones generales.

En el Plan General de Auditorías de cada vigencia se establecerá la realización de

Auditorías de Equipos y Tecnología o se integrará a los procesos auditores a realizarse
como una línea de auditoría, así se deberá indicar en el PGA y en los memorando de
encargo y de planeación respectivos.

2.2 Alcance

Estará determinado de acuerdo al objeto a auditar el cual está compuesto básicamente

por todos los recursos informáticos (personas, equipos, aplicaciones, capacitación, etc.), la
información y los controles.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 6 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

2.3 Objetivos

2.3.1 Objetivo General

Efectuar un examen objetivo, crítico, sistémico y selectivo a los sistemas de información

implementados por las Entidades vigiladas por la CONTRALORÍA DISTRITAL DE SANTA
MARTA, con el propósito de conceptuar respecto a la eficiencia, eficacia de estos y la
confiabilidad, consistencia, integridad y oportunidad de la información y efectividad de los
controles sobre dichos sistemas.

2.3.2 Objetivos Específicos

 Evaluar el cumplimiento en la ejecución del plan estratégico de sistemas

 Evaluar la administración del recurso humano, el perfil profesional de los funcionarios
del área de informática.
 Evaluar los programas de capacitación tanto para los usuarios como para los
profesionales del área de informática
 Revisar y verificar las políticas de seguridad establecidas por la administración para el
área de informática.
 Comprobar que los sistemas de información hayan sido desarrollados siguiendo
parámetros y normas de economía eficiencia y eficacia
 Revisar que los programas o aplicaciones para computador no tengan rutinas que
permitan fraude o que produzcan errores en los resultados
 Verificar que se estén utilizando las versiones autorizadas de los programas en
producción
 Evaluar y conceptuar sobre el sistema de control interno existente en el área de
informática
 Evaluar y conceptualizar sobre los procedimientos de backup, mantenimiento de
equipos, plan de contingencia, seguridades físicas ambientales, seguridades lógicas,
gerencia y administración de la red de información, proyectos especiales, además de
evaluar el aspecto técnico de la contratación de software y hardware.
 Evaluar y conceptualizar sobre la existencia de página web en la entidad,
funcionalidad, trámites, ofertas y servicios ofrecidos, calidad de la información,
actualización, accesibilidad y uso.
 Evaluar y conceptualizar sobre la efectividad, eficacia y economía de las acciones,
programas, planes y mecanismos aplicados para la promoción del acceso y uso de las
Tecnologías de la Información y las Comunicaciones y la infraestructura tecnológica que
soporta el cumplimiento de la estrategia “Gobierno en Línea”.

2.3.3 Normas Personales

El examen y evaluación de la actividad, área o ente auditado, deberá llevarse a cabo por
una persona o grupo de personas que posean suficiente entrenamiento técnico y
formación académica, esto es, que sean profesionales idóneos en la materia.

En el transcurso de la ejecución de la Auditoría de Tecnología de la Información y de las

comunicaciones y la correspondiente preparación de informes, el auditor deberá mantener
una actitud ética y una postura mental completamente independiente.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 7 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

En la ejecución del trabajo y en la preparación de los informes, el auditor ha de observar el

esmero y la diligencia profesional que requieran las circunstancias para garantizar óptimos
niveles de calidad en los resultados.

2.3.4 Normas para la ejecución del trabajo

Toda actividad de auditoría debe planearse técnicamente antes de su ejecución y el

trabajo ha de ser debidamente supervisado.

Los resultados de la evaluación del sistema de control interno, determinaran el alcance de

las pruebas de auditoría; por lo tanto deberá practicarse un apropiado estudio y
evaluación al sistema de control interno informático.

El auditor ha de obtener evidencia suficiente y competente para expresar una opinión

sobre el objeto auditado, mediante la aplicación de técnicas de auditoría que estime
conveniente.

2.3.5 Normas para la preparación del informe

El informe debe ser claro, preciso, conciso, veraz y objetivo, presentar hechos reales
debidamente sustentados.

El auditor de sistemas deberá expresar su opinión sobre el grado de confiabilidad,

integridad, oportunidad, utilidad y consistencia de los sistemas de información
automatizados.

3 PROCESO DE LA AUDITORÍA DE EQUIPOS Y TECNOLOGÍA

La realización de una Auditoría de Tecnología de la Información y de las comunicaciones

contempla las mismas fases que se deben seguir en cualquier tipo de auditoría. Estas
son: Planeación, ejecución e informe.

3.1 Planeación de la Auditoría

La Auditoría de Tecnología de la Información y de las comunicaciones requiere de una

adecuada planeación, con el fin de definir claramente los objetivos y el alcance del trabajo,
las técnicas y herramientas a utilizar, los recursos humanos, financieros y técnicos que se
emplearán, así como los plazo para realizar la evaluación (cronograma).

El objetivo de la planeación es el de proveer al auditor de un conocimiento general de los

procesos sistematizados de la organización, una evaluación preliminar de las fortalezas y
debilidades y una lista de materias relacionadas con el área que sean de potencial
significancia para ser examinadas en la fase de ejecución.

La fase de planeación básicamente comprende:

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 8 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

 Conocimiento general de la Entidad

 Conocimiento del área de informática
 Programa de trabajo

3.2 Conocimiento general de la Entidad

Esta etapa permite conocer y estudiar en forma general la entidad y el desarrollo

tecnológico en el área de informática, para lo cual es necesario obtener información
relacionada con la organización que a criterio del auditor sea suficiente para conocer sus
objetivos, reglamentos, normas, funciones, los sistemas de información automatizados, la
arquitectura de red, las aplicaciones existentes, relaciones con las demás entidades
públicas, etc.

3.3 Conocimiento del área informática

Para el auditor de sistemas es de vital importancia conocer la infraestructura del área

informática, con el fin de poder hacer la planeación de su trabajo en forma efectiva.
Básicamente el conocimiento del área informática implica la ubicación dentro del
organigrama, responsabilidades, perfil técnico de los responsables, segregación de
funciones, procedimientos, políticas, distribución física de los equipos, sistemas de
seguridad y áreas usuarias, inventario informático, costos de los recursos informáticos,
entre otros.

3.4 Memorando de Encargo

Los programas que se expresan como actividades de evaluación y conforman el

memorando de planeación, contienen la definición de las actividades o aspectos a cubrir
en la fase de ejecución de la auditoría, la disposición de tiempo, modo y lugar de los
recursos necesarios y su justificación para llevar a cabo la auditoría.

3.5 Ejecución

Esta fase consiste en ejecutar los programas de trabajo establecidos, mediante la

evaluación del sistema de control interno del área de informática y la evaluación de la
gestión de la entidad en la administración de los recursos de tecnológicos de información,
además de la realización de pruebas para que el auditor pueda emitir su concepto.

3.5.1 Evaluación del Sistema de Control Interno

Se debe identificar y evaluar que los controles implementados por la entidad permitan la
prevención y detección oportuna de acontecimientos que impidan el cabal cumplimiento
de las políticas, procedimientos, planes, y objetivos de la entidad y que tengan directa
relación con la información tecnológica y de sistemas.

Se debe evaluar si el control cumple con los principios de:

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 9 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

 Efectividad: Se refiere a la información que es relevante para la entidad y debe ser

entregada de manera correcta, oportuna, consistente y usable.

 Eficiencia: Se refiere a la provisión de información a través del uso óptimo de los

recursos (más productivo y económico).
 Confidencialidad: Relativa a la protección de la información sensitiva de su
revelación no autorizada.

 Integridad: Se refiere a la exactitud y suficiencia de la información, así como su

validez, en concordancia con los valores y expectativas de la entidad.

 Disponibilidad: Se refiere a que la información debe estar disponible cuando sea

requerida por los procesos de la entidad ahora y en el futuro. Involucra la
salvaguarda de los recursos y sus capacidades asociadas.

 Cumplimiento: Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos

contractuales, a los que están sujetos los procesos de la entidad.

 Confiabilidad: Se refiere a la provisión de la información apropiada a la alta

gerencia, para operar la entidad, tomar decisiones y evaluar la gestión realizada.

 Planeación: Que las decisiones tomadas sobre la adquisición e implantación de

recursos informáticos obedezca a las políticas de la entidad y se encuentren
enmarcados dentro de un plan estratégico.

Los recursos que deben ser evaluados en el cumplimiento de los anteriores principios
se han identificado como:

 Datos: Los elementos de datos internos, externos, estructurados, no

estructurados, gráficos, sonidos, etc.

 Aplicaciones: Es la suma de procedimientos manuales y programados.

 Tecnología: Cubre hardware, software, sistemas operativos, sistemas de
administración de base de datos, redes, multimedia, etc

 Instalaciones: Recursos para alojar y dar soporte a los sistemas de

información.

 Personal: Habilidades del personal, conocimientos, conciencia y productividad

para planear, organizar, adquirir, entregar, soportar, y monitorear servicios y
sistemas de información.

Una vez finalice la fase de evaluación del Sistema de Control Interno, debe ser revisado
el memorando de planeación de manera que puedan incluirse ajustes a las siguientes
fases de la ejecución de la auditoría, de ser necesario para incluir otras áreas críticas
identificadas.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 10 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

3.5.1.1 Planeación y Organización

Se deben evaluar los controles existentes para la ejecución de las evaluaciones, la

administración de los sistemas de información, dirección y administración del área de
sistemas, administración de proyectos, administración del recurso humano.

3.5.1.2 Adquisición e implementación

Se refiere a aquellos procedimientos implementados por la entidad para hacer más

efectiva, eficiente y económica la adquisición de recursos tecnológicos de sistemas.

Se debe identificar los controles existentes para los contratos de adquisición de

software (aplicaciones, licencias, sistemas operativos, correo electrónico, etc.), y
hardware (equipos, redes, etc).

3.5.1.3 Entrega y soporte

Se evalúa los controles que tiene la entidad para garantizar que se cumpla con el objeto
de los contratos de outsourcing y servicios prestados.

Se evalúan los programas de capacitación de los usuarios, la atención a los usuarios, la

administración de la configuración, de los datos, de las instalaciones, operaciones.

3.5.1.4 Monitoreo

Se refiere a la evaluación de los procedimientos implementados por la entidad para

hacer un seguimiento y una auditoría interna de todos los procesos relacionados con la
informática, bien sea día a día o en forma periódica para verificar su efectividad.
Igualmente a los procedimientos que se han incorporado a los sistemas de información
tecnológica para hacer un seguimiento de las actividades realizadas por los usuarios.

3.5.1.5 Controles de documentación

La Entidad debe tener políticas claras y por escrito sobre la documentación del área de
sistemas y el Plan estratégico de sistemas de información. Los sistemas de aplicación, los
programas del sistema operativo, los equipos de cómputo, las redes de datos, los
periféricos, las funciones y responsabilidades, la operación del centro de cómputo, las
decisiones de cambios de equipos y aplicaciones, los estándares para el diseño y
desarrollo, entre otras, deben estar suficientemente documentadas para la comprensión
completa y exacta de las actividades de sistemas de información automatizados y su
impacto en los usuarios.

3.5.1.6 Controles de monitoreo

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 11 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

Se debe determinar si la entidad tiene establecidos procedimientos internos de auditoría

donde se pueda establecer las acciones realizadas por cada usuario y en qué momento
fueron realizados.

Dichos controles pueden estar incluidos, de un modo intrínseco, en las actividades

recurrentes de una entidad o consistir en una evaluación periódica independiente,
llevada a cabo normalmente por la dirección. La frecuencia de estas evaluaciones
depende del juicio de la dirección. Mediante estos controles podremos detectar errores
significativos y realizar un control continuo de la fiabilidad y de la eficacia de los
procesos informáticos.

4 PROCEDIMIENTOS DE AUDITORÍA DE TIC

Los procedimientos en auditoría requieren de técnicas que ayuden a establecer la

eficiencia en la adquisición y utilización de los recursos informáticos, la consistencia,
integridad y oportunidad de la información y la efectividad de los controles.

Las pruebas de auditoría constituyen la base con que el auditor obtiene evidencias
adecuadas que le permiten estructurar los hallazgos, los cuales fundamentan las
conclusiones de la ejecución de la auditoria.

Es de destacar que los conocimientos y las herramientas que el auditor moderno utiliza
deben estar acordes con el avance tecnológico que en materia informática, cada día
evolucionan, tanto a nivel de software como hardware, disponibles en el mercado. Es por
eso que el auditor debe mantenerse en una permanente tarea de actualización.

Las pruebas que se pueden realizar sobre los sistemas son pruebas sustantivas y
pruebas de cumplimiento.

4.1 Pruebas de Cumplimiento

Se usan para determinar si un procedimiento de control prescrito está funcionando

efectivamente y consisten en verificar:

 La aplicación de leyes o reglamentos y de los procedimientos establecidos en los

manuales y que éstos se encuentren actualizados.
 El conocimiento por parte del personal, de los manuales y de las políticas del
ambiente informático.
 La existencia del plan estratégico de sistemas, informes o memorandos
preparados por el Departamento de Informática.
 Si han sido implantadas las recomendaciones emitidas por auditorías anteriores.

4.2 Pruebas Sustantivas

Se usan para determinar que existe una seguridad razonable sobre la validez de la
información producida.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 12 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

El desarrollo de las pruebas es logrado mediante la aplicación de una o varias técnicas

de auditoría, ya sea simultánea o secuencialmente, tales como:

 Analizar registros.
 Hacer operaciones.
 Comparar archivos.
 Estratificar archivos.
 Seleccionar una muestra aleatoria.
 Resumir información.
 Generar reportes.
 Construir archivos de prueba.
 Extraer información de un archivo.
 Realizar análisis estadísticos.
 Simular parte del sistema o el sistema completo.

4.3 Procedimientos de auditoría asistidas por computador

Unas de las herramientas más útiles para adelantar tanto pruebas de cumplimiento
como pruebas sustantivas son las que se conocen como técnicas de auditoría asistidas
por computador (TAAC's), las cuales se orientan hacia los datos, las aplicaciones, los
equipos y programas, y permiten seleccionar y procesar la información necesaria para
fines específicos de la auditoría facilitando la aplicación de métodos de muestreo
estadístico, aumentar el alcance de las pruebas y verificar la integridad de los datos en
la población auditada.

Las técnicas asistidas por computador (TAAC) sirven para probar controles en
aplicaciones, seleccionar y monitorear transacciones, verificar datos, analizar programas
de las aplicaciones, auditar centros de procesamiento de información, auditar el
desarrollo de aplicaciones.

 Procedimientos para probar controles en aplicaciones

Son utilizados para evaluar los controles en aplicaciones sistematizadas y para probar el
cumplimiento de los controles existentes en las aplicaciones.

Las pruebas que se pueden realizar son:

 Evaluación del caso base: Elaborar archivo de prueba y verificar la exactitud de los
procesos. Se realiza la prueba en todo el ciclo del sistema.

 Operación paralela: Esta prueba busca verificar el buen desempeño de nuevas

aplicaciones, identificar resultados no esperados, comparar lo antiguo con lo nuevo
operando conjuntamente.

 Prueba integrada: Esta técnica implica tener como mínimo la misma capacidad
tecnológica en la cual está la aplicación en producción. Se debe procesar archivos de
prueba en aplicaciones en producción y comparar los resultados reales vs. los
esperados.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 13 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

 Simulación paralela: Codificar rutinas que simulen la lógica del programa real, se
debe considerar el porcentaje de error en los resultados de la simulación. Se emplea
generalmente software generalizado de auditoría y programas a la medida.

 Técnicas para seleccionar y monitorear transacciones

Para realizar estas pruebas se debe realizar con transacciones de entrada, verificar la
existencia de módulos de auditoría para evaluarlos.

 Procedimientos para auditar centros de procesamiento de información:

Se debe hacer un análisis de datos del JOB accounting, verificar si existe un plan de
contingencia y si existen las suficientes medidas de seguridad para salvaguardar y
proteger los recursos tecnológicos de informática.

Para realizar la evaluación del sistema de información tecnológica se propone hacerlo

mediante la utilización de los cuestionarios anexos a la presente metodología, los
cuales se han desarrollado teniendo en cuenta los tipos de control. Es necesario aclarar
que estos cuestionarios no son excluyentes ni exhaustivos, por tanto, los auditores de
sistemas de la Auditoría deben realizar labores de depuración y actualización de
manera periódica, de tal forma que nunca pierdan vigencia.

5 INDICADORES DE GESTIÓN

NOMBRE CALCULO RESULTADO

Eficacia en la No. actividades desarrolladas Evaluar el cumplimiento
gestión No. Actividades planeadas (pesi) del Plan Estratégico de
Sistemas (PESI)
Efectividad No. aplicativos documentados Identifica si existe una
de Total aplicativos adecuada
documentació documentación
n Aplicativos
Cubrimiento No. puntos de red Cubrimiento de la red
No. Equipos
Eficiencia de No de computadores en uso Verifica la productividad
los recursos Total de computadores de los equipos. Se debe
tecnológicos medir teniendo en
cuenta los aplicativos
existentes
Eficiencia en No. Microcomputadores Verifica la adecuada
la distribución No. funcionarios que necesitan distribución de los
del recurso computador recursos
tecnológico
Legalidad No de licencias adquiridas Verifica que el software
No de aplicativos instalados instalado cuente con la
licencia

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 14 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

NOMBRE CALCULO RESULTADO

legalidad No. de licencias por software Se puede establecer si el
No equipos en que está instalado software está
debidamente licenciado
Capacitación No. de usuarios capacitados Determina la efectividad
Total de usuarios en la capacitación
Conectividad No. Puntos de red x 100 Determina el porcentaje
de recursos No. Computadores de cubrimiento de las
compartidos redes de datos

6 PAPELES DE TRABAJO

6.1 Concepto

Conjunto organizado de documentos que contienen:

- El producto de la planeación, la recopilación de información, el análisis y la

síntesis de los trabajos de auditoría realizados.
- Evidencias válidas y suficientes de los trabajos de auditoría realizados.
- La documentación de los trabajos que realizan los auditores en el campo
de los sistemas de información computarizados.

6.2 Justificación

La tercera de las normas de auditoría generalmente aceptada, relativa a la ejecución del

trabajo hace referencia a que:

“Se obtendrá material de prueba suficiente y adecuado, por medio de la inspección,

observación, investigación, indagación y confirmación, para lograr una base razonable y
así poder expresar una opinión en relación con el objeto auditado.”

6.3 Objetivos

- Recopilar evidencias de los trabajos realizados.

- Facilitar la supervisión del trabajo.
- Garantizar la objetividad de las observaciones, conclusiones y
recomendaciones que se incluyan en el informe del auditor.

6.4 Importancia

- Reflejan la calidad del trabajo realizado.

- Indican la medida en que se logran los objetivos de auditoría.
- Sirve para controlar la calidad de los trabajos de auditoría.
- Reflejan las capacidades y el profesionalismo del auditor.
- Constituyen un registro permanente del desempeño del auditor.
- Son fuente de consulta y punto de partida para futuros trabajos de
auditoría.
- Sirven de ayuda para la capacitación y el desarrollo profesional de los
auditores.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 15 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

- Sirven de parámetro para evaluar el desempeño de los auditores.

- Garantizan la continuidad y el progreso de la auditoría.
- Constituyen los insumos de donde brotan los informes del auditor.
- Sirven de referencia histórica de los trabajos de auditoría.
- Promueven la estandarización y facilitan el trabajo de los auditores.

Para la realización de las pruebas con el fin de obtener evidencia suficiente sobre el objeto
auditado, el auditor diseñará los papeles de trabajo que estime convenientes y con el
criterio que le exija cada una de las circunstancias. Los papeles de trabajo generalmente
se organizan en el archivo permanente, el archivo corriente y el archivo administrativo.

6.5 Archivo permanente

6.5.1 Objetivo

Mantener organizada y disponible para consultas rápidas la información que

refleja las características y el funcionamiento real de las áreas que son objeto
de estudio y evaluación por parte de la Auditoría de Tecnología de la
Información y de las comunicaciones.

6.5.2 Características

- Contienen la información de vital importancia que se considere necesaria

para comprender en forma exacta, rápida y sencilla las características de
las áreas objeto de auditoría.
- Son de valor constante.
- La primera vez se elabora completamente, después se mantiene y se
actualiza.

6.5.3 Importancia

- Son fuentes de consulta permanente, ágil y eficaz para atender las

necesidades de información por parte de los auditores.
- Son la base sobre la cual los auditores proyectan trabajos de revisión
específicos y resuelven situaciones de emergencia (imprevistas).

6.5.4 Contenido básico

- Antecedentes generales de la organización.

- Antecedentes generales del área informática.
- Organigrama vigente del área informática.
- Compilación del manual de funciones y procedimientos.
- Estándares de documentación.
- Estándares de control de calidad.
- Relación de los sistemas de información y aplicaciones.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 16 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

6.6 Archivo corriente

6.6.1 Objetivo: Contar con documentación detallada de cada trabajo de auditoría que se
realice.

6.6.2 Características

- Son archivos de una sola vez. No son actualizados.

- Deben elaborarse completamente cada vez que se realice la auditoría.
- El de la última revisión es el del valor actual.

6.6.3 Importancia

- Sirve como evidencia de los objetivos y el alcance de cada trabajo

realizado y de los procedimientos de auditoría utilizados.
- Son el soporte de los informes que emite el auditor.
- Sirve de ayuda para la discusión del informe con los responsables de las
áreas auditadas y terceros interesados.
- Sirve de referencia histórica y archivística vigente.
- Sirve de punto de partida para la siguiente auditoría.

7.6.4 Contenido

- Las evaluaciones de auditoría.

- Objetivos de la auditoría.
- Criterios de auditoría para cada uno de ellos.
- Evaluación del sistema de control interno.
- Procedimientos de auditoría.
- Relación de hallazgos.
- Recomendaciones.
- informe.

6.7 Archivo administrativo

6.7.1 Objetivo

Mantener un registro actualizado de los planes, herramientas, estándares de

trabajo y recursos disponibles para la administración y el desarrollo continuado
de la Auditoría de Equipos y Tecnología.

6.7.2 Características

- Contiene la definición juiciosamente elaborada de que auditar, con que

auditar, como auditar, donde auditar, cuando auditar y con quien auditar.
- Es el resultado de la planeación y el desarrollo alcanzado por la Auditoría
de Equipos y Tecnología como función permanente dentro de la empresa.

6.7.3 Importancia

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta
Página 17 de 18
Guía Auditoría a TICs
Contraloría Distrital de Santa Marta

- Reflejan la competencia administrativa y técnica del director de la Auditoría

de Tecnología de la Información y de las comunicaciones.
- Reflejan el grado de desarrollo alcanzado por la Auditoría de Equipos y
Tecnología.
- Constituyen el resultado de la gestión de la auditoría de la empresa en el
campo de los sistemas de información computarizados.
- Sirven de referencia archivística e histórica del trabajo desarrollado a través
del tiempo.

6.7.4 Contenido

- Objetivos de trabajo (manual de Auditoría de Tecnología de la Información

y de las comunicaciones).
- Objetivos, funciones y responsabilidades definidas para la Auditoría.
- Metodología para abordar trabajos de Auditoría de Tecnología de la
Información y de las comunicaciones (pasos que deben seguirse).
- Normas para el diseño, elaboración, organización, archivo y destrucción de
papeles de trabajo.
- Normas para el diseño, elaboración y distribución de informes y
memorandos de auditoría.
- Guías para análisis de riesgos y evaluación del sistema de control interno
existente.
- Normas para el desarrollo, documentación y mantenimiento de software de
auditoría (con paquetes o hecho a la medida de la empresa).
- Normas para el diseño y documentación de pruebas de auditoría utilizando
el computador.
- Organización actual de la Auditoría de Tecnología de la Información y de
las comunicaciones
- Plan de trabajo anual.
- Archivo de planes de trabajo de años anteriores (histórico).
- Inventario de trabajos realizados en años anteriores (histórico).
- Clasificación actual de las áreas objeto de auditoría.
- Inventario de programas y guías de Auditoría de TICs.
- Inventario de informes y memorandos de Auditoría emitidos en años
anteriores.
- Inventario y localización e identificación de archivos de papeles de trabajo.
- Inventario de programas de computador en producción desarrollados para
fines de auditoría (por aplicación).
- Histórico de evaluaciones de desempeño de los auditores.
- Histórico de reuniones con la gerencia de sistemas.
- Archivos permanentes con la documentación de los programas de
computador desarrollados para fines de auditoría ( por aplicación ).
- Inventario y localización de fuentes bibliográficas disponibles en la
biblioteca de la Auditoría de Tecnología de la Información y de las
comunicaciones.

Metodología Elaborada por la Auditoría General de la República basada en el modelo

internacional COBIT y adaptada por la Contraloría Distrital de Santa Marta