top of page

Papeles de Trabajo

Los papeles de trabajo son el conjunto de documentos que contienen La información obtenida por el auditor en su revisión, así como los resultados de  los procedimientos y observaciones y pruebas de auditoria aplicados; con ellos e sustentan las observaciones, recomendaciones, opiniones y concusiones contenidas en el informe correspondiente para así formar su opinión y juicio de una auditoria

 

Clasificación Papeles De Trabajo

De acuerdo a su contenido o valor los papeles de trabajo puede clasificarse en archivo permanente o expediente continuo de auditoria y papeles de trabajo actuales

  • Archivo Permanente O Expediente Continúo De Auditoria

En este archivo se concentran los documentos relativos a los antecedentes, constitución, organización, operación, normatividad jurídica y contable, actas y documentos de entrega esta información al actualizarse, podrá ser de ayuda para futuras revisiones y consultas de auditoria

  • Papeles De Trabajo Del Periodo

Se obtienen en el transcurso de la auditoria, en ellos de deja constancia y evidencia del proceso de planeación y del programa de auditoria claro con la supervisión realizada de la persona que aplico los procedimientos y la fecha de realizado cada trabajo respectivamente, en el informe debe constar las recomendaciones formuladas y las conclusiones a las que se queda en acuerdo.

 

Objetivos De Los Papeles De Trabajo

 

  • Registrar de manera ordenada, sistemática y detallada los procedimientos y actividades realizados por el auditor

  • Documentar el trabajo efectuado para un futura consulta o referencia

  • Proporcionar la base para la rendición de informes

  • Facilitar la planeación, ejecución, supervisión y revisión del trabajo de auditoria

  • Dejar constancia de que se cumplieron todos los objetivos de la auditoria y del trabajo efectuado generando conformidad con las normas de auditoria  de la entidad que realiza el proceso

  • Minimizar esfuerzos en auditorias posteriores

  • Estudiar modificaciones a los procedimientos y el programa de auditoria para próximas revisiones.

 

Contenido de los Papeles De Trabajo

 

  • Hoja de identificación

  • Dictamen preliminar

  • Resumen de las desviaciones encontradas

  • Programa de resumen de auditoria de trabajo

  • Guía de auditoria

  • Inventarios

  • Respaldo de datos

 

Características De Los Papeles De Trabajo En Auditoria

 

  • Incluir el programa de trabajo y de ser más apropiado relacionarse con índices cruzados

  • Contener índices, marcas y referencias adecuadas, y todas las cedulas y resúmenes pertinentes

  • Estar fechados y firmados por el personal que los haya preparado

  • Ser supervisados y tener constancia de ello

  • Ser completos y exactos, a fin de que muestre la naturaleza y alcance del trabajo realizado donde se sustenten debidamente los resultados y recomendaciones que se presenten en el informe de  auditoria

  • Redactarse con precisión y claridad para no requerir explicaciones adicionales

  • Ser pertinente, por lo cual debe poseer solo la información necesaria para el cumplimiento de los objetivos de la auditoria

​

Herramientas de recolección de datos  papeles de trabajo

​

  • Netwrix auditor

  • Excel

  • Acces

  • Aurora

  • Computer Assisted Audit Techniques CAAT

Los papeles de trabajo son el conjunto de documentos que contienen La información obtenida por el auditor en su revisión, así como los resultados de  los procedimientos y observaciones y pruebas de auditoria aplicados; con ellos e sustentan las observaciones, recomendaciones, opiniones y concusiones contenidas en el informe correspondiente para así formar su opinión y juicio de una auditoria

 

Clasificación Papeles De Trabajo

De acuerdo a su contenido o valor los papeles de trabajo puede clasificarse en archivo permanente o expediente continuo de auditoria y papeles de trabajo actuales

  • Archivo Permanente O Expediente Continúo De Auditoria

En este archivo se concentran los documentos relativos a los antecedentes, constitución, organización, operación, normatividad jurídica y contable, actas y documentos de entrega esta información al actualizarse, podrá ser de ayuda para futuras revisiones y consultas de auditoria

  • Papeles De Trabajo Del Periodo

Se obtienen en el transcurso de la auditoria, en ellos de deja constancia y evidencia del proceso de planeación y del programa de auditoria claro con la supervisión realizada de la persona que aplico los procedimientos y la fecha de realizado cada trabajo respectivamente, en el informe debe constar las recomendaciones formuladas y las conclusiones a las que se queda en acuerdo.

 

Objetivos De Los Papeles De Trabajo

 

  • Registrar de manera ordenada, sistemática y detallada los procedimientos y actividades realizados por el auditor

  • Documentar el trabajo efectuado para un futura consulta o referencia

  • Proporcionar la base para la rendición de informes

  • Facilitar la planeación, ejecución, supervisión y revisión del trabajo de auditoria

  • Dejar constancia de que se cumplieron todos los objetivos de la auditoria y del trabajo efectuado generando conformidad con las normas de auditoria  de la entidad que realiza el proceso

  • Minimizar esfuerzos en auditorias posteriores

  • Estudiar modificaciones a los procedimientos y el programa de auditoria para próximas revisiones.

 

Contenido de los Papeles De Trabajo

 

  • Hoja de identificación

  • Dictamen preliminar

  • Resumen de las desviaciones encontradas

  • Programa de resumen de auditoria de trabajo

  • Guía de auditoria

  • Inventarios

  • Respaldo de datos

 

Características De Los Papeles De Trabajo En Auditoria

 

  • Incluir el programa de trabajo y de ser más apropiado relacionarse con índices cruzados

  • Contener índices, marcas y referencias adecuadas, y todas las cedulas y resúmenes pertinentes

  • Estar fechados y firmados por el personal que los haya preparado

  • Ser supervisados y tener constancia de ello

  • Ser completos y exactos, a fin de que muestre la naturaleza y alcance del trabajo realizado donde se sustenten debidamente los resultados y recomendaciones que se presenten en el informe de  auditoria

  • Redactarse con precisión y claridad para no requerir explicaciones adicionales

  • Ser pertinente, por lo cual debe poseer solo la información necesaria para el cumplimiento de los objetivos de la auditoria

​

Herramientas de recolección de datos  papeles de trabajo

​

  • Netwrix auditor

  • Excel

  • Acces

  • Aurora

  • Computer Assisted Audit Techniques CAAT

Una reseña sobre ISACA y su relación con Cobit

​

ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información.

​

ISACA fue fundada en el año 1967 cuando un grupo de auditores en sistemas informáticos percibieron la necesidad de centralizar la fuente de información y metodología para el área de operación. Fue en 1969 que el grupo se formalizó a asociación, originalmente incorporada como EDP Auditors   Association.

Los capítulos proporcionan educación y formación constante, recursos compartidos, promoción, creación de redes y otros beneficios.

Relación De Cobit Con Isaca

  • COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima generación de guías sobre el Gobierno y la Administración de la información y los Activos Tecnológicos de las Organizaciones

  • El COBIT 5 Task Force: Incluye expertos de los distintos grupos profesionales y comités que componen ISACA

  • ISACA desarrolla y mantiene el internacionalmente reconocido marco de referencia COBIT, ayudar a los profesionales de TI y líderes empresariales a cumplir con sus responsabilidades de gobierno de TI, mientras que la entrega de valor al negocio.

  • Son los custodios del framework COBIT.

  • COBIT es una guía de mejores prácticas presentado como framework, dirigida a la gestión de tecnología de la información (TI). Mantenido por ISACA y el IT Governance Institute.

 

Reseña Cobit

​

COBIT 5 reúne a los cinco principios que permiten a la empresa de construir una gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete facilitadores que optimiza la información y la inversión en tecnología y el uso para el beneficio de las partes interesadas.

Cobit ayuda a las empresas a crear valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos permitiendo que la información y la tecnología relacionada pueda ser gobernada y administrada de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos.

Los principios y los facilitadores de COBIT 5 son de carácter genérico y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o en el sector público.

 

Versiones Cobit

​

COBIT tienes 5 versiones que hasta la fecha han tenido gran impacto en la vida cotidiana del ser humano en las empresas.

COBIT fue creado por Asociación para la Auditoría y Control de Sistemas de Información (ISACA Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI IT Governance Institute creado por ISACA en 1992).

COBIT 1

En 1996, la primera edición de COBIT fue publicada. Esta incluía la colección y análisis de fuentes internacionales reconocidas y fue realizada por equipos en Europa, Estados Unidos y Australia.

 

 

Características del cobit 1

  •  Tenía unos Objetivos de Control

  •  Guías o Directrices de Auditoría

 

COBIT 2

En 1998, fue publicada la segunda edición; su cambio principal fue la adición de las guías de gestión.

Características del cobit 2

  •  Guías de Autoevaluación

  •  Actualización de la versión automatizada

  •  Referencias y material de apoyo adicional

 

COBIT 3

 Para el año 2000, la tercera edición fue publicada y en el 2003, la versión en línea ya se encontraba disponible en el sitio de ISACA. Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado para soportar el incremento del control gerencial, introducir el manejo del desempeño y mayor desarrollo del Gobierno de TI.

Características del cobit 3

  • Incorporación de las Guías de Controles

  • Mejoras en los objetivos de control

  •  Identificación de indicadores de desempeño

 

COBIT 4.1

En diciembre de 2005, la cuarta edición fue publicada y en Mayo de 2007, se liberó la versión 4.1. En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios:

 

Planificación y Organización

 

Proporciona la dirección para la entrega de soluciones y la entrega de servicios.

 

Adquisición e Implementación

Proporciona soluciones y las desarrolla para convertirlas en servicios.

 

Entrega y Soporte

Monitorea todos los procesos para asegurar que se sigue con la dirección establecida.

Supervisión y Evaluación (Monitor and Evaluate)

 

COBIT 5.0

Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de referencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de valor para las empresas.

​

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas en esta norma. Este nuevo marco de referencia viene integrado principalmente del Modelo de Negocios para la Seguridad de la Información (BMIS, Business Model for Information Security) y el Marco de Referencia para el Aseguramiento de la Tecnología de la Información (ITAF, Information Technology Assurance Framework).

Cubo De Cobit

 

Los recursos de TI son manejados por procesos de TI para lograr metas que respondan a los requerimientos del negocio.

Dominio: Planear Y Organizar (Po)

​

  • PO1 Definir el plan estratégico de TI.

  • PO2 Definir la arquitectura de la información

  • PO3 Determinar la dirección tecnológica.

  • PO4 Definir procesos, organización y relaciones de TI.

  • PO5 Administrar la inversión en TI.

  • PO6 Comunicar las aspiraciones y la dirección de la gerencia.

  • PO7 Administrar recursos humanos de TI.

 

Dominio: Adquirir E Implementar (Ai)

​

  • AI1 Identificar soluciones automatizadas.

  • AI2 Adquirir y mantener el software aplicativo.

  • AI3 Adquirir y mantener la infraestructura tecnológica

  • AI4 Facilitar la operación y el uso.

  • AI5 Adquirir recursos de TI.

  • AI6 Administrar cambios.

  • AI7 Instalar y acreditar soluciones y cambios.

 

Dominio: Entregar Y Dar Soporte (Ds)

​

  • DS1 Definir y administrar niveles de servicio.

  • DS2 Administrar servicios de terceros.

  • DS3 Administrar desempeño y capacidad.

  • DS4 Garantizar la continuidad del servicio.

  • DS5 Garantizar la seguridad de los sistemas.

  • DS6 Identificar y asignar costos.

  • DS7 Educar y entrenar a los usuarios.

  • DS8 Administrar la mesa de servicio y los incidentes.

  • DS9 Administrar la configuración.

  • DS10 Administrar los problemas.

  • DS11 Administrar los datos.

  • DS12 Administrar el ambiente físico.

  • DS13 Administrar las operaciones.

 

Dominio: Monitorear Y Evaluar (Me)

​

  • ME1 Monitorear y evaluar el desempeño de TI.

  • ME2 Monitorear y evaluar el control interno

  • ME3 Garantizar cumplimiento regulatorio.

  • ME4 Proporcionar gobierno de TI.

 

 

Características de la información Cobit

​

  • Efectividad

La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.

  • Eficacia

Se debe proveer información mediante el empleo (optimo) de los recursos (la forma más productiva y optima)

 

  • Confidencialidad

Protección de la información sensible contra divulgación no autorizada

 

  • Integridad

Refiere a lo exacto y completo de la información así como su validez de acuerdo a las expectativas de la empresa

 

  • Disponibilidad

La accesibilidad a la información cuando sea requerida por los procesos del negocio y salvaguardada de los recursos y capacidades asociadas a la misma

 

  • Cumplimiento

El debido uso y cumplimiento de las leyes, regulacionesy compromisos contractuales con los cuales está comprometida la empresa

 

  • Confiabilidad

Proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades

COBIT ( Objetivos de control para la información y tecnología relacionada):

 

La versión 4.1 se compone de 4 dominios, 34 procesos y 220 objetivos de control para una adecuada alineación de los objetivos con el propósito del negocio.

Para el caso de Cobit Versión 5.0 que es la versión más reciente se compone de 5 dominios, 37 procesos y 208 objetivos de control  se dividen en 15 prácticas de gobierno y 192 prácticas de administración, que es el equivalente a las 210 objetivos de control de COBIT 4.1, 22 prácticas de administración de VAL IT y a 9 prácticas de administración de Risk IT.

 

DOMINIO ENTREGAR Y DAR SOPORTE (DS)

En el dominio entregar y dar soporte está orientado a la operación de los servicios ofrecidos desde la entrega, la administración de seguridad, continuidad, el soporte de los servicios entregados a los usuarios, la administración de los datos y de las instalaciones operativas.

​

2.1 - DS1 Definir y Administrar los Niveles de Servicio

​

En el objetivo DS1 se debe contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso también incluye el monitoreo y la notificación oportuna a los Interesados, sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineación entre los servicios de TI y los requerimientos de negocio relacionados.

​

  • Control sobre el proceso TI de:

Definir y manejar niveles de servicio.

  • Que satisface el requerimiento del negocio de TI para:

Asegurar la alineación de los servicios claves de TI con la estrategia del negocio.

​

  • Se enfoca en:

La identificación de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiento de los niveles de servicio.

​

  • Se logra con:

La formalización de acuerdos internos y externos en línea con los requerimientos y las capacidades de entrega.

La notificación del cumplimiento de los niveles de servicio (reportes y reuniones).

La identificación y comunicación de requerimientos de servicios actualizados y nuevos para planeación estratégica.

 

  • Y se mide con:

El porcentaje de Interesados satisfechos de que la entrega del servicio cumple con los niveles previamente  acordados.

El número de servicios entregados que no están en el catálogo.

El número de reuniones formales de revisión del Acuerdo de Niveles de Servicio (SLA) con las personas de negocio por año.

DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio

​

En este objetivo el cliente y el auditor deben constar y formalizar el proceso del cómo se llevaran la alineación y entendimiento generalizado de todos los avances en los proceso de TI,  incluyendo los roles, tareas y responsabilidades de los proveedores externos e internos y de los clientes.

Una empresa de productos de aseo ha decido tercerizar los servicios de mesa de ayuda, para esto ha decidido contratar una empresa que brinda servicios de outsorcing tecnológico, para definir los servicios requeridos se deben llevar a cabo las reuniones de entendimiento entre las partes interesadas con el objetivo de establecer los tiempos de respuesta para cada servicio entregado, los servicios que se deben entregar, la definición de roles y responsabilidades. Esta información acordada debe quedar por escrito en un contrato de prestación de servicios firmado por el cliente y el prestador de servicio con el objetivo de que se cumplan cada uno de los acuerdos y en caso de presentarse algún incumplimiento por las partes interesadas se hagan efectivas las penalidades.

Para cada ANS se deben establecer los indicadores de gestión los cuales nos permiten medir el cumplimiento de la entrega del servicio.

SERVICIOS ACORDADOS POR LAS PARTES INTERESADAS:

De acuerdo a las reuniones se establecen los servicios que deben ser prestados por el proveedor de servicios:

Nivel de Impacto definido para la atención de los incidentes y requerimientos:

Tiempo de respuesta por cada nivel de impacto establecido -(ANS):

DS1.2 Definición de Servicio

​

En este objetivo se definirá el catálogo de servicios que se tomara en cuenta las cualidades y características del servicio, donde se enfocaran los  requerimientos del negocio y el cliente.

Se realiza el establecimiento del catalogo de los servicios ofrecidos por el proveedor de servicios que prestara el servicio de outsorcing de Mesa de Ayuda:

bottom of page