PROCESO EVALUACION INSTITUCIONAL Fecha de Revisión 7 de junio de 2007

SUBPROCESO EVALUACION INDEPENDIENTE Fecha de Aprobación Res.159-25 junio 2007

INSTRUCTIVO - GUÍA PARA LA PREPARACIÓN

DE AUDITORÍA A PROCESOS DE TECNOLOGIA Versión 1
INFORMATICA (Sin software)
INS – EV – EI - 052 Página 1

1.1 INSTRUCTIVO - GUÍA PARA LA PREPARACIÓN DE UNA AUDITORÍA A

PROCESOS DE TECNOLOGÍA INFORMÁTICA TI (Sin software)

GUÍA

Para la Preparación de las actividades de auditoría in situ sobre los procesos de

Tecnología Informática que se hayan definido en el plan de visita.

1 DESCRIPCIÓN

La labor de preparación de una Auditoria incluye las actividades previas previstas

en el Plan de Visita de Auditoría a procesos de TI, la distribución de tareas en el
equipo auditor, la preparación de los documentos de trabajo, la preparación de la
pruebas a realizar y la inclusión en el archivo de la visita.

2 OBJETIVOS

Preparar la verificación del cumplimiento de las normas y políticas que regulan los
diversos procesos de TI a nivel institucional, en un Sistema de Información o una
dependencia, determinar la gestión y los resultados de la misma, analizar los
hechos y soportar adecuadamente las afirmaciones del auditor. Verificar la
efectividad de los controles de tecnología informática, sistemas de información y la
Oficina de Sistemas.

3 REQUISITOS

Designación del equipo auditor y haber desarrollado las actividades previstas en el

Instructivo – Guía para la Elaboración del Plan de Visita de Auditoría a Procesos
de Tecnología de Información.

4 OPERACIÓN

La Preparación de las actividades de auditoría in situ garantiza el éxito de la

revisión al favorecer un examen confiable del objeto a auditar.
Se debe considerar lo siguiente:

4.1 Preparación de los documentos de trabajo

Los documentos de trabajo permitirán la generación de los Registros, incluyen los

formatos de registro de actas, estadísticas, documentos de sistemas de
información, procesos de TI, gestión de la dependencia revisada y demás que se
consideren necesarios.

Con el propósito de aportar a las diversas áreas y lectores se incluyen a manera

de ejemplo algunas guías (Formatos de Registro) que han sido personalizadas por
la entidad, las cuales se pueden convertir en 1 ó más Formatos de Registro
dependiendo de las fuentes de las cuales se obtenga la información y el momento,
para ser Registro cada Formato debe estar firmado.

Los Formatos de registro a preparar incluyen:

 Soportes de los procesos

 Plan Operativo Anual POA
 Plan de Mejoramiento de área, proceso, sistema
 Informe de la visita anterior e información de seguimiento
 Formato de Registro REG-EV-EI-050 Plan de Visita de Auditoría a procesos de
TI

Se debe considerar para la personalización de los formatos de registro a cada

visita a procesos de TI:

‫ﻡ‬ La estructura organizacional y la división de competencias definida.

‫ﻡ‬ La organización de competencias para cada sistema de información.
‫ﻡ‬ La normatividad interna que exista sobre los objetivos de control a ser
valorados para que sean pertinentes y focalizado el levantamiento de
información.
‫ﻡ‬ Los procesos documentados que existan sobre el sistema de información,
proceso o dependencia a ser auditado.
‫ﻡ‬ La situación o coyuntura que se desea revisar

Además es necesario:

 Revisar el informe de la pasada visita de auditoría (si se ha efectuado)

 Obtener y revisar el POA de la dependencia en la Oficina de Planeación
(solicitarlo vía correo electrónico y preferiblemente obtener la copia en medio
magnético)
 Obtener y revisar Mapa de Riesgos de la dependencia, procesos de TI o
sistema de información a ser revisado
 Obtener y revisar el Mejorando de la dependencia, con el servidor de la Oficina
de Control Interno encargado (solicitarlo vía correo electrónico y
preferiblemente obtener la copia en medio magnético)
 Abrir en el archivo de gestión la carpeta de la visita
 Guardar en medio magnético para su utilización posterior

Las pruebas corresponden a la constatación física, verificación de documentación

y tratamiento de información, sirven para generar evidencias y se constituyen en
registros (o papeles de trabajo).

Las pruebas desde el software corresponden igualmente a las guías de auditoría

incluidas en el software precitadas, entre ellas hay pruebas de cumplimiento, que
valoran la atención y ceñimiento a políticas estatales e institucionales para el
funcionamiento de la entidad y los procesos de TI, y las pruebas sustantivas que
verifican directamente la operación de la TI y la exactitud de las afirmaciones
técnicas.

5 PAPELES DE TRABAJO

Permanentes:

Ver primer Instructivo de este Capítulo.

Corrientes:

 Formato de Registro REG-EV-EI-050 Plan de Visita de Auditoría a procesos de

TI
 Formato REG-EV-EI-051 Lista de chequeo Procesos de TI Soportes de los
procesos de TI
 Soportes de los procesos de TI
 Soportes de procesos misionales, conexos, administrativos y financieros que
funcionan sobre una base de TI
 Informe de la visita anterior e información de seguimiento
 POA de la dependencia visitada
 Plan de Mejoramiento de Proceso de la dependencia visitada