MDULO AUDITORA INFORMTICA BAJO EL ENFOQUE GUBERNAMENTAL
AUTOR MBA. PERSI WILLIANSH CABRERA ANTN ING.
PIURA - PER ENERO - 2013
INDICE
INTRODUCCIN I. ASPECTOS GENERALES 1.1. Definicin de Auditora 1.2. Auditora Informtica 1.3. Auditor Informtico 1.4. Objetivos de la Auditora Informtica 1.5. Motivos para efectuar una Auditora Informtica 1.6. Problemas ms comunes en los Sistemas de Informacin 1.7. Perfil del Auditor Informtico o de Sistemas 1.8. reas de inters del Auditor Informtico
II. EL CONTROL BAJO EL ENFOQUE GUBERNAMENTAL 2.1. Controles (RC 152-98-CG) 2.2. Proceso de Control 2.3. Control Interno 2.4. Objetivos del Control Interno 2.5. Control Externo 2.6. La Accin de Control 2.7. Sistema Nacional de Control 2.8. Conformacin del Sistema Nacional de Control 2.9. rgano de Auditora Interna 2.10. Sociedades de Auditora 2.11. Por qu hay Riesgos en la Auditora? 2.12. Tipos de Riesgos en la Auditora
III. METODOLOGA DE AUDITORA INFORMTICA 3.1. Definicin de mbitos y Objetivos 3.2. Estudio Inicial 3.3. Determinacin de Perfiles 3.4. Elaboracin de Planes 3.5. Elaboracin de Programa 3.6. Realizacin de las Actividades 3.7. Elaboracin del Informe Final
IV. FASES DE LA AUDITORIA INFORMTICA - ENFOQUE GUBERNAMENTAL 4.1. Fase I - Planeamiento de la Auditora 4.1.1. Planeamiento de la Auditora NAGU 2.20 - R-141-99-CG 4.1.2. Programa de Auditora NAGU 2.30 - R-141-99-CG 4.1.3. Objetivos de Control para Evaluar la Organizacin en el rea de Sistemas 4.1.4. Objetivos de Control para Evaluacin de la Seguridad Fsica y Planes de Contingencia de la Oficina de Sistemas 4.1.5. Objetivos de Control para Evaluacin de Bases de Datos, Archivos y Datos 4.1.6. Objetivos de Control para Evaluacin de Operaciones en el Centro de Procesamiento y rea de Atencin a Usuarios 4.1.7. Objetivos de Control para Evaluacin de Desarrollo y Mantenimiento de Sistemas 4.1.8. Objetivos de Control para Evaluacin de Redes de Comunicaciones 4.2. Fase II Ejecucin de la Auditora 4.2.1. Evidencia (RC 152-98-CG) 4.2.2. Tipos de Evidencia (NAGU 3.40) 4.2.3. Atributos de la evidencia (NAGU 3.40) 4.2.4. Tcnicas de Auditora (RC 152-98-CG) 4.2.5. Confiabilidad de la Evidencia proveniente de Sistemas Computarizados (NAGU 3.40) 4.2.6. Tcnicas de Auditora para evaluar programas de cmputo 4.2.7. Hallazgos de Auditora 4.2.8. Papeles de Trabajo (NAGU 3.50) 4.2.9. Comunicacin de Hallazgos de Auditora (NAGU 3.60) 4.3. Fase III Informe de Auditora 4.3.1. El Informe 4.3.2. Elaboracin Del Informe (NAGU 4.10) 4.3.3. Oportunidad del Informe (NAGU 4.20) 4.3.4. Caractersticas del Informe (NAGU 4.30) 4.3.5. Contenido del Informe (NAGU 4.40) 4.4. Seguimiento
V. BIBLIOGRAFIA VI. ANEXOS Anexo 01 - Ejemplo de Plan de Auditora aplicado a la Oficina Central de Admisin de la Universidad Nacional de Piura. Anexo 02 - Ejemplo de Programa de Auditora aplicado a la Oficina Central de Admisin de la Universidad Nacional de Piura. Anexo 03 - Ejemplo de Plan de Trabajo de Auditora aplicado a la Oficina Central de Admisin de la Universidad Nacional de Piura.
INTRODUCCIN La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el management o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informtica. La Auditora Informtica como tcnica y herramienta de apoyo a la Organizacin, ha facilitado en los ltimos aos el desarrollo en el rea de Sistemas. La informacin cada vez va teniendo ms importancia, y, se le considera como un activo intangible, invaluable e irrecuperable. La Auditora Informtica tambin conocida como Auditora de Sistemas de Informacin es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica, organizacin del rea de informtica, de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la Organizacin que participa en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La Auditora Informtica debe ser realizada por un auditor de sistemas o informtico, miembro especialista del personal profesional designado para la ejecucin de la auditora, para ello debe tener entrenamiento apropiado, conocimiento amplio en temas relacionados, experiencia en ambientes complejos de computacin, su actuacin est regulada por las normas ticas existentes. El presente mdulo es un aporte a la docencia universitaria, dirigido a los profesionales en Ingeniera Informtica o de Sistemas, especialmente para los estudiantes del curso de Sistemas de Control y Auditora Informtica de la Facultad de Ingeniera Industrial - Escuela Profesional de Ingeniera Informtica, de la Universidad Nacional de Piura.
I. ASPECTOS GENERALES
1.1. Definicin de Auditora
1.a.1. Es un proceso sistemtico para obtener y evaluar evidencias de una manera objetiva respecto a las afirmaciones correspondientes a actos econmicos y eventos para determinar el grado de correspondencia entre estas afirmaciones y criterios establecidos y comunicar los resultados a los usuarios interesados.[Kell-Ziegler].
1.a.2. En el ambiente de sistemas, los exmenes de las operaciones que realiza un sistema de cmputo con la finalidad de evaluar la situacin del mismo. Los auditores deben tener la capacidad de validar los reportes y de probar la autenticidad y la precisin de los datos y la informacin que se maneja. [Gonzlez].
1.a.3. En el ambiente contable, representa el examen de los estados financieros de una entidad, con el objeto de que el contador pblico independiente emita una opinin profesional si dichos estados representan la situacin financiera, los resultados de las operaciones, las variaciones en el capital contable y los cambios en la situacin financiera de una empresa, de acuerdo a los principios de la contabilidad generalmente aceptados.
1.2. Auditora Informtica
Concepto 01 La auditora en informtica se desarrolla en funcin de normas, procedimientos y tcnicas definidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada ms se sealarn algunos aspectos bsicos para su entendimiento.
As, la auditora en informtica es: a. Un proceso formal ejecutado por especialistas del rea de auditora y de informtica; se orienta a la verificacin y aseguramiento de las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa de informtica en la organizacin se lleve a cabo de una manera oportuna y eficiente.
b. Las actividades ejecutadas por los profesionales del rea de Informtica y de auditora encaminadas a evaluar el grado de cumplimiento de polticas, controles y procedimientos correspondientes al uso de los recursos de informtica por el personal de la empresa (usuarios, informtica, alta direcci6n, etc.). Dicha evaluaci6n deber ser la pauta para la entrega del informe de auditora en informtica, el cual ha de contener las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y la optimizacin permanente de la tecnologa de informtica en el negocio.
c. El conjunto de acciones" que realiza el personal especializado en las reas de auditora y de informtica para el aseguramiento continuo de que todos los recursos de informtica operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta direccin o niveles ejecutivos la certeza de que la informacin que pasa por el rea se manejan con los conceptos bsicos de integridad, totalidad, exactitud, confiabilidad, etc.
d. Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos (humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la funcin de informtica para garantizar al negocio que dicho conjunto opera con un criterio de integracin y desempeos de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.(Hernndez, 1997).
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. De este modo la auditoria informtica sustenta y confirma la consecucin de los objetivos tradicionales de la auditoria:
Objetivos de proteccin de activos e integridad de datos. Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino tambin los de eficacia y eficiencia.
Concepto 02 Es un examen metdico del servicio informtico, o de un sistema informtico en particular, realizado de una forma puntual y objetiva, a instancias de la direccin y con la intencin de ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio informtico.
En esta definicin hay cuatro palabras que destacan: "examen", "metdico", "puntual" y "objetivo":
La auditora informtica es un examen, pues se verifica o comprueba el sistema informtico actualmente en uso. Este examen es metdico, ya que sigue un plan de trabajo, perfectamente diseado, que permite llegar a conclusiones suficientemente fundamentadas. Este examen es puntual, ya que se realiza en un momento determinado y bajo peticin de la direccin. Este examen es objetivo, ya que se realiza por un equipo externo al servicio de informtica para buscar la objetividad requerida.
El servicio de auditora cubre una serie de actividades (controles, verificaciones, pruebas, etc.) para concluir elaborando un conjunto de recomendaciones y un plan de accin. La elaboracin de este plan de accin es una de las caractersticas que verdaderamente diferencia la auditora informtica del resto de tipos de auditoras.
1.3. Auditor Informtico
El auditor evala y comprueba en determinados momentos del tiempo los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deber emplear software de auditora y otras tcnicas asistidas por ordenador.
El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada.
Se pueden establecer tres grupos de funciones a realizar por un auditor informtico:
Participar en las revisiones durante y despus del diseo, realizacin, implantacin y explotacin de las aplicaciones informticas, as como en las fases anlogas de realizacin de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informticos para verificar su adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacin.
1.4. Objetivos de la Auditora Informtica
El propsito del trabajo de auditora est enmarcado en uno o ms de los siguientes puntos:
a. Verificar el cumplimiento de polticas, normas y procedimientos de orden gubernamental e institucional (adquisicin, contratacin e instalacin de servicios para el desarrollo de la funcin informtica).
b. Comprobar el adecuado uso y resguardo de los recursos informticos de la entidad.
c. Verificar que se efecta el mantenimiento preventivo y correctivo de los recursos informticos, para obtener la confiabilidad e integridad de los sistemas.
d. Comprobar el grado de confiabilidad y privacidad del ambiente informtico.
e. Garantizar la seguridad (personas, datos, programas y los equipos).
f. Verificar controles de seguridad fsica y ambiental.
g. Evaluar controles establecidos para administrar la infraestructura tecnolgica (servidores de datos, aplicaciones, comunicaciones, terminales, impresoras, etc.).
h. Comprobar que los Sistemas de informacin correspondan a los objetivos y requerimientos de la entidad.
i. Comprobar la consistencia y confiabilidad de los sistemas.
j. Verificar los controles involucrados en el software y en los procedimientos manuales de las aplicaciones.
k. Verificar que las rutinas de clculo ejecutadas por las aplicaciones se apliquen correctamente.
1.5. Motivos para efectuar una Auditora Informtica
Entre los principales justificativos o motivos de una auditora informtica encontramos:
a. Aumento del presupuesto del Departamento de Sistemas. b. Desconocimiento de la situacin informtica de la empresa. c. Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. d. Descubrimientos de fraudes efectuados con el uso del computador. e. Falta de una planificacin informtica. Falta de visin. f. Organizacin que no funciona correctamente, debido a falta de polticas, objetivos, normas, metodologa, estndares, delegacin de autoridad, asignacin de tareas y adecuada administracin del recurso humano. g. Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados. h. Falta de documentacin o documentacin incompleta de sistemas.
1.6. Problemas ms comunes en los Sistemas de Informacin
a. Falta de estndares en el desarrollo, anlisis y la programacin. b. Inadecuadas especificaciones tcnicas. c. Diseo deficiente. d. Problemas en la conversin e implementacin. e. Control dbil en las fases de elaboracin del sistema. f. Inexperiencia en el anlisis, diseo y la programacin. g. Nueva tecnologa no usada o usada incorrectamente.
1.7. Perfil del Auditor Informtico o de Sistemas
Los cambios permanentes en la tecnologa informtica obligan a que el auditor de sistemas se mantenga al da, capacitndose en aspectos tales como bases de datos, redes y comunicaciones, proyectos, tcnicas de programacin, metodologas de desarrollo de sistemas.
Adems de los conocimientos tecnolgicos, debe tener una despierta curiosidad intelectual, una mentalidad investigativa y conservar un alto espritu de imparcialidad.
Cualidades Profesionales y ticas Profesin Actividades y Conocimientos Deseables Informtico Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotacin y en Desarrollo de Proyectos. Conocedor de Sistemas. Experto en desarrollo de proyectos Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologas de Desarrollo ms importantes. Experto en Sistemas Experto en Sistemas Operativos y Software Bsico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotacin. Experto en Bases de Datos y Administracin de las mismas Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes Experto en software de comunicacin Alta especializacin dentro de la tcnica de sistemas. Conocimientos profundos de redes. Experto en explotacin y gestin de CPDs Responsable de algn Centro de Cmputo. Amplia experiencia en Automatizacin de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Experto en Organizacin Experto organizador y coordinador. Especialista en el anlisis de flujos de informacin. Experto en Evaluacin de Costes Informtico con conocimiento de Gestin de Costes.
1.8. reas de inters del Auditor Informtico
Si se tiene en cuenta que el objetivo bsico que se busca con la adquisicin y utilizacin del computador es el de entregar informacin confiable, til y oportuna, el mbito del auditor debe abarcar reas donde hace presencia el computador y aqullas que puedan afectar el cumplimiento de dicho objetivo, tales como:
La Gerencia de Sistemas. La organizacin y el personal del rea de informtica. El rea del computador. Las aplicaciones. Los estndares de documentacin y desarrollo de sistemas. La operacin del computador. La gerencia financiera. Los planes de desarrollo informtico. Los controles y la seguridad en general. Los archivos maestros y de transacciones. La Red de Comunicaciones y de Datos. La Internet / Intranet. Los microcomputadores. La Transferencia Electrnica de Documentos. La administracin de la base de datos Otros.
II. EL CONTROL BAJO EL ENFOQUE GUBERNAMENTAL
2.1. Controles (RC 152-98-CG)
Se entiende por controles al conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, rdenes impartidas y principios admitidos.
Controles de Carcter General: Controles de Adquisicin, Organizacin, Desarrollo, Administracin fsica y lgica, Documentacin y de Seguridad.
Controles de Carcter Especfico: Controles de Aplicaciones (Entrada, Proceso y Salida), Bases de Datos, de Procesamiento Distribuido y de Microcomputadores.
2.2. Proceso de Control
Medir el estado real de los recursos despus de aplicar la accin fruto de nuestras decisiones. Determinar las variaciones entre lo real y lo presupuestado y analizar las causas de dichas variaciones. Emprender las acciones correctivas necesarias.
2.3. Control Interno 1
El control interno comprende las acciones de cautela previa, simultnea y de verificacin posterior que realiza la entidad sujeta a control, con la finalidad que la gestin de sus recursos, bienes y operaciones se efecte correcta y eficientemente. Su ejercicio es previo, simultneo y posterior.
2.4. Objetivos del Control Interno
Proteccin de Activos. Obtencin de Informacin adecuada. (toma de decisiones) Promocin de la eficiencia administrativa. Estimular la adhesin a las polticas de la direccin o empresa. (compromiso)
2.5. Control Externo 2
Conjunto de polticas, normas, mtodos y procedimientos tcnicos, que compete aplicar a la Contralora General u otro rgano del Sistema por encargo o designacin de sta, con el objeto de supervisar, vigilar y verificar la gestin, la captacin y el uso de los recursos y bienes del Estado. Se realiza fundamentalmente mediante acciones de control con carcter selectivo y posterior.
2.6. La Accin de Control 3
La accin de control es la herramienta esencial del Sistema, por la cual el personal tcnico de sus rganos conformantes, mediante la
1 Ley 27785. Art. 7 2 Ley 27785. Art. 8 3 Ley 27785. Art. 10 aplicacin de las normas, procedimientos y principios que regulan el control gubernamental, efecta la verificacin y evaluacin, objetiva y sistemtica, de los actos y resultados producidos por la entidad en la gestin y ejecucin de los recursos, bienes y operaciones institucionales.
2.7. Sistema Nacional de Control 4
Es el conjunto de rganos de control, normas, mtodos y procedimientos, estructurados e integrados funcionalmente, destinados a conducir y desarrollar el ejercicio del control gubernamental en forma descentralizada. Su actuacin comprende todas las actividades y acciones en los campos administrativo, presupuestal, operativo y financiero de las entidades y alcanza al personal que presta servicios en ellas, independientemente del rgimen que las regule.
2.8. Conformacin del Sistema Nacional de Control 5
a. La Contralora General b. Todas las unidades orgnicas responsables de la funcin de control gubernamental de las entidades que se mencionan en el Artculo 3 de la presente Ley, c. Las sociedades de auditora externa independientes, designadas por la Contralora General y contratadas, durante un perodo determinado, para realizar servicios de auditora econmica, financiera, de sistemas informticos, de medio ambiente y otros.
2.9. rgano de Auditora Interna 6
4 Ley 27785. Art. 12 5 Ley 27785. Art. 13 6 Ley 27785. Art. 17 Las entidades comprendidas en los incisos a), b), c) y d) del Artculo 3 de la presente Ley, as como las empresas en las que el Estado tenga una participacin accionaria total o mayoritaria, tendrn necesariamente un rgano de Auditora Interna ubicado en el mayor nivel jerrquico de la estructura de la entidad, el cual constituye la unidad especializada responsable de llevar a cabo el con-trol gubernamental en la entidad.
2.10. Sociedades de Auditora 7
Son personas jurdicas calificadas e independientes en la realizacin de labores de control posterior externo, designadas por la Contralora General, previo Concurso Pblico de Mritos, y contratadas por las entidades para examinar las actividades y operaciones de las mismas, opinar sobre la razonabilidad de sus estados financieros, as como evaluar la gestin, captacin y uso de los recursos asignados.
2.11. Por qu hay Riesgos en la Auditora?
a. Probabilidad de un mal anlisis b. Probabilidad de auditor inapropiado c. Probabilidad que el auditor emita un diagnostico equivocado (mala percepcin)
2.12. Tipos de Riesgos en la Auditora
a. Riesgo Inherente Es la Probabilidad de que algunas de las afirmaciones estn sujetas a errores, aunque la calidad del control interno sobre ellas sea buena.
7 Ley 27785. Art. 20 Esta posibilidad exige especial cuidado en el alcance y profundidad de las pruebas sustantivas que se apliquen a las cuentas que involucran este riesgo.
b. Riesgo de Control Esta dado por la probabilidad de que los procedimientos de control establecidos en el sistema de control interno no eviten realmente la posibilidad de errores, o que no los detecte oportunamente. Control sobre el Control.
c. Riesgo de Deteccin Es la Probabilidad de que los auditores externos no detecten errores importantes en la aplicacin de procedimientos de auditora.
III. METODOLOGA DE AUDITORA INFORMTICA
3.1. Definicin de mbitos y Objetivos
Consiste en una serie de reuniones o entrevistas con el que solicita la realizacin de la auditora y se le prepara un documento en el que figuran las alternativas siguientes:
a. Desarrollo de la totalidad de la funcin de auditora en la empresa, revisando incluso la utilidad para los usuarios finales, por medio de muestreos o entrevistas. b. Auditoria exclusiva de sistemas. c. Auditoria de algn subsistema o aplicacin, su adecuacin, utilizacin, eficacia, etc. d. Auditoria de alguna funcin en particular como, por ejemplo, la seguridad y privacidad. e. Auditoria de la metodologa de anlisis y desarrollo de sistemas.
3.2. Estudio Inicial
Se deber realizar un estudio global que permita conocer volmenes y complejidad de las tareas a realizar. El trabajo se realiza a travs de entrevistas, cuestionarios y, posiblemente, muestreos para obtener una idea de la dimensin y complejidad del mbito de estudio, lo que permitir estimar esfuerzos
3.3. Determinacin de Perfiles
Perfiles tcnicos precisos de las personas que habrn de colaborar en la realizacin de la auditoria. Fundamentalmente se tratara de: 1. Expertos en comunicacin 2. Expertos en base de datos 3. Expertos en configuracin de hardware; adecuacin y medidas de eficacia y rendimiento. 4. Expertos en organizacin y realizacin del trabajo administrativo 5. Tcnicos computacionales en general 6. Psiclogos
Del mismo modo se estimarn los recursos materiales necesarios en cuanto a: 1. Software a. Paquetes de auditoria b. Compiladores c. Lenguajes d. Utilitarios e. Informes contables 2. Hardware f. Tiempo de uso de computadora g. Equipos especficos
3.4. Elaboracin de Planes
Se llevar a cabo la elaboracin de un plan, en el que se indicar: 1. Listas de actividades a realizar, as como perfiles de las personas para ejecutarlas e inventarios de medios necesarios. 2. Esfuerzos estimados para cada actividad por cada recurso. 3. Se deben basar en lo siguiente para la realizacin de la auditoria: a. Personal tcnico y administrativo b. Software (equipo, tiempo de mquina) c. Presupuesto inicial d. Contenido (aspectos) de los informes finales
3.5. Elaboracin de Programa
Un plan se convierte en programa cuando las actividades pasan de estar asignadas a recurso tipo (perfiles) a ser asignadas a recursos concretos (personas u organizaciones), con fechas de iniciacin y terminacin previstas para la realizacin. Como resultado de esta etapa se obtendr: el programa, el calendario y el presupuesto.
3.6. Realizacin de las Actividades
Se puede comenzar la realizacin de la auditoria, teniendo en cuenta que puede abordarse: a. Por temas o funciones. Por ejemplo, realizando en primer lugar todos los trabajos relacionados con seguridad; en segundo lugar, todos los relacionados con estructura de datos, etc. b. Por organizaciones auditadas, por ejemplo, se hace el estudio completo de la seccin Anlisis y Diseo y luego de la seccin Programacin etc.
3.7. Elaboracin del Informe Final
En cada fase del trabajo se entregan borradores de los informes, a las personas implicadas, ya que puede haber existido algn error de apreciacin, que en la crtica y validacin del borrador, debera detectarse. A partir de una sistematizacin de estos informes parciales, se obtiene el informe final cuyo contenido consistir en: 1) Presentacin 2) Definicin de mbitos y objetivos. 3) Enumeracin de temas, componentes, aplicaciones, etc., Considerados. 4) Anlisis Situacin prevista Situacin real Tendencias Puntos dbiles y amenazas que suponen Puntos fuertes y oportunidades 5) Recomendaciones Descripcin Plan de implantacin Beneficios Plan de seguimiento y control
El informe debe contener lo siguiente: (Otro Formato) 1) Motivos de la Auditoria 2) Objetivos 3) Alcance 4) Estructura Orgnico-Funcional del rea Informtica 5) Configuracin del Hardware y Software instalado 6) Control Interno 7) Resultados de la Auditoria
IV. FASES DE LA AUDITORIA INFORMTICA - ENFOQUE GUBERNAMENTAL
4.1. Fase I - Planeamiento de la Auditora
Definir adecuadamente los objetivos y el alcance del trabajo, las tcnicas y herramientas a utilizar, los recursos humanos y tcnicos que se emplearn, as como los plazos para realizar el examen.
Proveer conocimiento sobre la importancia de los Sistemas de Informacin en la organizacin, una evaluacin preliminar de sus fortalezas y debilidades y una lista de materias relacionadas con el rea, que sean de potencial significancia y que debern ser examinadas en la fase de ejecucin.
La fase de planeacin se compone de actividades importantes tales como: a. Conocimiento General de la Entidad b. Evaluacin del Sistema de Control Interno de la Gerencia de Sistemas de Informacin c. Programa de Auditora
a) Conocimiento General de la Entidad
Conocer y estudiar en forma general la entidad y la funcin informtica: informacin relacionada con la organizacin, sus objetivos, reglamentos, normas, funciones, estructura del rea de Sistemas, sus equipos, aplicaciones, etc.
b) Evaluacin del Sistema de Control Interno del rea de Sistemas
Evaluar los mtodos y procedimientos de administracin y proteccin de recursos informticos, la confiabilidad de los registros, la eficiencia de las operaciones y la adhesin a las polticas informticas establecidas por la organizacin. Para lo cual utilizamos los Controles de Carcter General y Controles de Carcter Especfico. Se debe ir de lo general a lo particular.
c) Programa de Auditora
Toma en cuenta los aspectos a cubrir en la fase de ejecucin de la Auditora y la disposicin en tiempo, modo y lugar de los recursos necesarios para llevarla a cabo:
1) Evaluacin de Organizacin en el rea de Sistemas. 2) Evaluacin de la Seguridad Fsica y Planes de Contingencia de la Oficina de Sistemas. 3) Evaluacin de Bases de Datos, Archivos y Datos. 4) Evaluacin de Operaciones (Centro de Procesamiento y rea de atencin a usuarios). 5) Evaluacin de Desarrollo y Mantenimiento de Sistemas. 6) Evaluacin de Redes de Comunicaciones.
4.1.1. Planeamiento de la Auditora NAGU 2.20
El trabajo del auditor debe ser adecuadamente planeado a fin de asegurar la realizacin de una auditora de calidad, debe estar basado en el conocimiento de las actividades que ejecuta la entidad a examinar, as como el anlisis del entorno en que se desarrolla, el tipo de auditora a efectuarse y las disposiciones legales vigentes y aplicables.
Implica la preparacin de una estrategia general con la finalidad de que el auditor actualice su conocimiento y comprensin del entorno en que se desarrolla la entidad, las actividades que ejecuta y la estructura de control interno, as como determinar las reas crticas, potenciales hallazgos y programar la naturaleza, oportunidad y alcance de los procedimientos a aplicar.
Debe incluir la revisin de la informacin relacionada con la gestin de la entidad a examinar, con relacin a los objetivos, metas y programas previstos en el perodo bajo examen, as como el seguimiento de la implementacin de las recomendaciones efectuadas como resultados de las observaciones formuladas con anterioridad.
La informacin que necesita el auditor para el planeamiento de la auditora vara de acuerdo con los objetivos de la misma y con las reas de la entidad sujeta a examen.
El planeamiento se inicia a partir de la evaluacin de la informacin que contiene el archivo permanente y debe continuar con la ejecucin de un programa de actividades en las instalaciones de las reas de la entidad que permita completar la informacin necesaria para la mejor comprensin y conocimiento de sus principales objetivos, funciones, estructura de control interno, procesos, bienes y/o servicios producidos, recursos utilizados y sistemas administrativos.
Durante la ejecucin de esta etapa de la auditora, as como al concluir la recoleccin y estudio de la informacin, el auditor documentar su trabajo mediante:
a. La actualizacin del Archivo Permanente. b. Emisin del plan y programas de auditora para ejecutar el trabajo de campo, en el que se precisarn los objetivos de la auditora, su alcance, criterios de materialidad, cronograma de actividades, recursos necesarios y su costo, informes a emitir, participacin de especialistas, entre otros.
La responsabilidad por la preparacin, revisin y aprobacin del Planeamiento corresponde a los niveles gerenciales competentes, tomndose en cuenta las Normas Internacionales de Auditora vigentes y aplicables para el planeamiento de la auditora.
4.1.2. Programa de Auditora NAGU 2.30
Para cada auditora gubernamental se prepararn programas especficos que incluyan los objetivos, procedimientos que deben aplicarse, naturaleza, alcance y oportunidad de su ejecucin, as como el personal encargado de su desarrollo.
Los programas de auditora comprenden una relacin lgica, secuencial y ordenada de los procedimientos a ejecutarse, su alcance, el personal y el momento en que debern ser aplicados, a efectos de obtener evidencia competente, suficiente y relevante, necesaria para alcanzar el logro de los objetivos de auditora.
Deben ser lo suficientemente flexibles para permitir modificaciones durante el proceso de la auditora que a juicio del auditor encargado y supervisor, se consideren pertinentes.
Los programas de auditora guan la accin del auditor, sustentan la determinacin de los recursos necesarios para efectuar la auditora, su costo y los plazos que demanda su ejecucin; as mismo, permiten la evaluacin de su avance y que los resultados estn de acuerdo con los objetivos propuestos.
El programa de auditora debe ser lo suficientemente detallado de manera que sirva de gua al auditor y como medio para supervisar y controlar la adecuada ejecucin del trabajo.
Un procedimiento de auditora es la instruccin detallada para la recopilacin de evidencia que se ha de obtener durante la ejecucin de la auditora, deben desarrollarse en trminos especficos para que puedan ser utilizados por los auditores a cargo de su ejecucin, su contenido debe corresponder a la aplicacin de una tcnica de auditora.
Los cambios que se hagan a los programas de auditora, deben ser evaluados adecuadamente en funcin de los objetivos previstos y las circunstancias que pueden originar su modificacin, debiendo documentarse apropiadamente.
La responsabilidad de la elaboracin y modificacin de los programas de auditora, corresponde al auditor supervisor y al nivel jerrquico superior.
4.1.3. Objetivos de Control para Evaluar la Organizacin en el rea de Sistemas
a) Verificar que la estructura organizacional considere la separacin de funciones entre el personal del rea de informtica y el personal de las reas usuarias en lo que respecta a: Responsabilidad por la generacin de las transacciones enviadas a proceso. Mantenimiento de los manuales y custodia de bienes. Controles sobre la exactitud los datos de entrada y salida. Responsabilidad de definir y aprobar especificaciones para el desarrollo de sistemas nuevos, como para las modificaciones de sistemas en explotacin. b) Comprobar la eficiencia del rea de informtica y que sus recursos sean tambin administrados apropiadamente.
c) Confirmar la existencia de una buena planificacin, organizacin, control, estandarizacin, etc., dentro del rea; que todos los proyectos sean abordados por medio de un estudio de factibilidad previo, y que no se decidan por la MODA que impera en el mercado o que traten de imponer proveedores de equipos.
d) Verificar que la eficiencia siempre se tiene en cuenta dentro del rea de informtica, ya que se trata de un rea costosa, debido a factores tales como: Tecnologa costosa Especialistas escasos y de altas remuneraciones. Cambios tecnolgicos y rpidos. Obsolescencia de los sistemas en corto plazo (3 aos max) Insumos de alto costo. Desarrollo lento de sistemas de informacin.
e) Verificar la segregacin adecuada de funciones dentro del rea de Informtica, de tal manera que se garantice la compatibilidad en la ejecucin de las mismas.
f) Confirmar que existe un Comit Directivo y un Comit de Usuarios de Sistemas de Informacin integrado por representantes de las diferentes reas. Estos comits tendrn como funcin elaborar y controlar el Plan Estratgico de Sistemas.
g) Comprobar que la Oficina de Informtica considera los siguientes elementos de planificacin que contribuyan a mejorar el control: Cronogramas de actividades. Informacin individual de las actividades. Racionalizacin en el uso de los recursos y sucesos operacionales. Informe mensual sobre el cumplimiento y estado de los proyectos.
h) Verificar la existencia de una planificacin y de una metodologa de Desarrollo, Mantenimiento y Control, con el fin de evitar las siguientes fallas: Dificultades en el desarrollo y mantenimiento de sistemas. Incentivo para el surgimiento de personas "imprescindibles" dentro de la organizacin. Exceso de tiempo o injustificacin de atrasos en el desarrollo de sistemas. Problemas en el cumplimiento de la entrega de resultados a las reas usuarias. Garantizar que estn descritos los procedimientos de planificacin, desarrollo, mantenimiento y operacin de sistemas y que estn controlados con mtodos simples y funcionales.
4.1.4. Objetivos de Control para Evaluacin de la Seguridad Fsica y Planes de Contingencia de la Oficina de Sistemas
a) Establecer la continuidad de operaciones de negocio que se apoyan en la OFICINA DE SISTEMAS, mediante la verificacin de los planes para la "Prevencin y Recuperacin de Desastres", as como la seguridad fsica de las instalaciones, equipos, programas y medios de almacenamiento del rea de informtica.
b) Comprobar el diseo y la implantacin de un plan de contingencia para garantizar a los usuarios la continua prestacin del servicio, an en circunstancias de emergencia en las que por problemas tcnicos no se pueda prestar el servicio con la misma eficiencia que en circunstancias normales.
c) Verificar la existencia de controles sobre el acceso fsico y de procedimientos de respaldo, los cuales permiten minimizar los riesgos derivados de: Utilizacin no autorizada de los elementos computacionales. Robo de informacin, programas, equipos archivos de la entidad. Destruccin, modificacin revelacin premeditada o accidental de informacin, programas equipos. Prdida de grandes cantidades de informacin histrica o del perodo corriente, de difcil recuperacin o elevado costo.
4.1.5. Objetivos de Control para Evaluacin de Bases de Datos, Archivos y Datos
a) Verificar que la informacin almacenada en las bases de datos y que es de gran valor para la entidad, est protegida contra su prdida o robo.
b) Comprobar la seguridad para la proteccin de los datos contra el acceso accidental o intencional por parte de individuos no autorizados y contra su indebida destruccin o alteracin.
c) Identificar las medidas de seguridad empleadas para conservar correctos los datos en la base de datos, con el fin de mantener su integridad.
d) Confirmar las medidas implementadas para conservar ms de una copia de seguridad de cada archivo en prevencin de posibles fallos.
e) Examinar los procedimientos con los que cuenta el sistema de base de datos para evitar la inconsistencia de los datos, reduciendo al mnimo la redundancia y preservando en todo momento la integridad de los datos
4.1.6. Objetivos de Control para Evaluacin de Operaciones en el Centro de Procesamiento y rea de Atencin a Usuarios
a) Verificar el control del rea de operaciones de los centros de procesamiento de datos y las reas de atencin a usuarios, dado que son puntos claves y hay que tenerlos presentes en la OFICINA DE SISTEMAS.
b) Controlar que estas reas sean eficientes y eficaces, es fundamental, ya que tiene consecuencias inmediatas en el mantenimiento de la continuidad de las operaciones de la OFICINA DE SISTEMAS.
4.1.7. Objetivos de Control para Evaluacin de Desarrollo y Mantenimiento de Sistemas
a) Verificar los procedimientos establecidos por el rea de Sistemas y que permiten al Grupo de desarrollo garantizar que los sistemas sean eficientes, eficaces, y confiables, cuando entren en produccin normal (explotacin).
b) Comprobar que los procedimientos incluyen pistas de Auditora y Control en los sistemas. Por otra parte, cabe sealar que los recursos de esta rea son los que ms inciden en los costos del procesamiento de la informacin. Es fundamental, que el rea cumpla con los plazos estipulados en el desarrollo de los sistemas, para garantizar buenos resultados, ya que entregar informacin correcta y oportuna es fundamental para la toma de decisiones.
4.1.8. Objetivos de Control para Evaluacin de Redes de Comunicaciones
a) Evaluar la forma de comunicacin entre los usuarios y sistemas basados en el computador.
b) Evaluar cmo se afecta globalmente la seguridad de los datos, a medida en que las comunicaciones y procesamiento de datos continan expandindose, teniendo en cuenta el incremento en la proliferacin de computadores personales, terminales porttiles que acceden sistemas por redes.
4.2. Fase II Ejecucin de la Auditora
Los procedimientos de auditora son operaciones especificas que se aplican en una auditoria e incluyen tcnicas y practicas consideradas necesarias de acuerdo con las circunstancias.
4.2.1. Evidencia (RC 152-98-CG)
Se denomina evidencia al conjunto de hechos comprobados, suficientes, competentes y pertinentes que sustentan las conclusiones del auditor. Es la informacin especfica obtenida durante la labor de auditora| a travs de observacin, inspeccin, entrevistas y examen de los registros. El termino evidencia incluye documentos, fotografas, anlisis de hechos efectuados por el auditor y en general, todo material usado para determinar si los criterios de auditora son alcanzados. El equipo de auditora se aboca a la obtencin de evidencias y realizar pruebas sobre las mismas aplica procedimientos y tcnicas de auditora, desarrolla hallazgos, observaciones, conclusiones y recomendaciones.
4.2.2. Tipos de Evidencia (NAGU 3.40)
En trminos generales la evidencia de auditora puede clasificarse en cuatro tipos:
a) Evidencia Fsica b) Evidencia Testimonial c) Evidencia Documental d) Evidencia Analtica
a) Evidencia Fsica Se da por medio de una inspeccin u observacin directa de: Actividades ejecutadas por las personas. Documentos y registros. Hechos relativos al objetivo del examen.
La evidencia fsica se documenta en un memorndum que resume los asuntos revisados, papeles de trabajo que muestran la naturaleza y alcance de la verificacin practicada pudiendo ser el resultado de una inspeccin y estar representadas por fotografas, cuadros, mapas u otras representaciones grficas. Ejemplo en la verificacin de saldos y/o cruces de informacin (magntico versus fsico).
b) Evidencia Testimonial Es la informacin obtenida de otros a travs de cartas o declaraciones recibidas en respuesta a indagaciones o por medio de entrevistas. El resultado de las entrevistas pueden expresarse en un memorndum basado en notas tomadas durante ellas. Las declaraciones de funcionarios de la entidad son fuentes valiosas de informacin y proporcionas elementos de juicio que no sern fciles de obtener a travs de una prueba de auditora.
c) Evidencia Documental Es la informacin obtenida de la entidad bajo auditora e incluye, comprobantes de pago, facturas, contratos, cheques y, en el caso de empresas estatales, acuerdos de Directorio. La confiabilidad del documento depende de la forma como fue creado y su propia naturaleza.
Los documentos se clasifican en: Externos: Aquellos que se originan fuera de la entidad (facturas de vendedores y correspondencia que se recibe). Internos: Aquellos que se originan dentro de la entidad (registros contables, correspondencia que se enva, guas de recepcin y comunicacin interna).
d) Evidencia Analtica Se obtiene al analizar o verificar la informacin. La confiabilidad de evidencia analtica depende en gran parte de la importancia de la informacin comparable. Puede originarse de: Computaciones Comparaciones con: Normas establecidas. Operaciones anteriores. Otras operaciones, transacciones o rendimiento. Leyes o reglamentos. Raciocinio Anlisis de la informacin dividida en sus componentes.
4.2.3. Atributos de la evidencia (NAGU 3.40)
El auditor debe obtener evidencia suficiente, competente y relevante mediante la aplicacin de pruebas de control y procedimientos sustantivos que le permitan fundamentar razonablemente los juicios y conclusiones que formule respecto al organismo, programa, actividad o funcin que sea objeto de auditora. La evidencia deber someterse a revisin para asegurarse que cumpla con los requisitos bsicos de suficiencia, competencia y relevancia. Los papeles de trabajo debern mostrar los detalles de la evidencia y revelar la forma en que se obtuvo. Caractersticas de la Evidencia:
a) Suficiencia. Es suficiente la evidencia objetiva y convincente que basta para sustentar los hallazgos, conclusiones y recomendaciones expresadas en el Informe. La evidencia ser suficiente cuando por los resultados de la aplicacin de procedimientos de auditora se comprueben razonablemente los hechos revelados. Para determinar si la evidencia es suficiente se requiere aplicar el criterio profesional. Cuando sea conveniente, se podrn emplear mtodos estadsticos con ese propsito.
b) Competencia. Para que sea competente, la evidencia debe ser vlida y confiable. A fin de evaluar la competencia de la evidencia, se deber considerar cuidadosamente si existen razones para dudar de su validez o de su integridad. De ser as, deber obtener evidencia adicional o revelar esa situacin en su informe. Los siguientes supuestos constituyen algunos criterios tiles para juzgar si la evidencia es competente:
La evidencia que se obtiene de fuentes independientes es ms confiable que la obtenida del propio organismo auditado. La evidencia que se obtiene cuando se ha establecido un sistema de control interno apropiado es ms confiable que aquella que se obtiene cuando el sistema de control interno es deficiente, no es satisfactorio o no se ha establecido. Los documentos originales son ms confiables que sus copias. La evidencia testimonial que se obtiene en circunstancias que permite a los informantes expresarse libremente merece ms crdito que aquella que se obtiene en circunstancias comprometedoras (por ejemplo, cuando los informantes pueden sentirse intimidados).
c) Relevancia. Se refiere a la relacin que existe entre la evidencia y su uso. La informacin que se utilice para demostrar o refutar un hecho ser relevante si guarda relacin lgica y patente con ese hecho. Si no lo hace, ser irrelevante y, por consiguiente, no podr incluirse como evidencia. Cuando se estime conveniente, el auditor deber obtener de los funcionarios de la entidad auditada declaraciones por escrito respecto a la relevancia y competencia de la evidencia que haya obtenido.
La adecuada recopilacin u obtencin de evidencia que cumpla con los requisitos de suficiencia, competencia y relevancia, debe permitir identificar y sustentar apropiadamente las presuntas responsabilidades que se establezcan como resultado del trabajo auditor, as como las infracciones graves, muy graves y leves incurridas; por lo que se deber cuidar especialmente su correspondiente acreditacin.
4.2.4. Tcnicas de Auditora (RC 152-98-CG)
Las tcnicas de auditora son mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener evidencia necesaria que fundamenta su opinin. Las tcnicas ms utilizadas al realizar al realizar pruebas de transacciones y saldos son: 1. Tcnicas de Verificacin Ocular 2. Tcnicas de Verificacin Oral 3. Tcnicas de Verificacin Escrita 4. Tcnicas de Verificacin Documental 5. Tcnicas de Verificacin Fsica
1. Tcnicas de Verificacin Ocular
a) Comparacin.- Es el acto de observar la similitud o diferencia existente entre dos o ms elementos. Dentro de la fase de ejecucin se efectan la comparacin de resultados contra criterios aceptables facilitando de esa forma la evaluacin por el auditor y la elaboracin de observaciones, conclusiones y recomendaciones.
b) Observacin.- Es el examen ocular realizado para cerciorarse como se ejecutan las operaciones. Esta tcnica es de utilidad en todas las fases de la auditoria por cuyo intermedio el auditor se cerciorara de ciertos hechos y circunstancias en especial las relacionadas con la forma de ejecucin de las operaciones apreciando personalmente de manera abierta o directa.
2. Tcnicas de Verificacin Oral
a) Indagacin.- Es el acto de obtener informacin verbal sobre un asunto mediante averiguaciones directas o conversaciones con los funcionarios de la entidad. Es de especial utilidad la indagacin en la auditoria cuando se examinan reas especificas no documentadas, sin embargo, sus resultados por si solos no constituyen evidencia suficiente.
b) Entrevista.- Pueden ser efectuadas al personal de la entidad auditada o personas beneficiarias de los programas o proyectos. Para obtener mejores resultados debe prepararse apropiadamente, especificar quienes sern entrevistados, definir las preguntas a formular, alertar al entrevistado acerca del propsito y puntos hacer abordados.
c) Encuesta.- Pueden ser tiles para recopilar informacin de un gran universo de datos o grupos de personas. Pueden ser enviadas por correo u otro mtodo a las personas. Su ventaja principal radica en la economa en trminos de costo y tiempo sin embrago su desventaja se manifiesta en su inflexibilidad al no obtener ms de lo que se pide, lo cual en ciertos casos puede ser muy costoso.
3. Tcnica de Verificacin Escrita
a) Analizar.- Consiste en la separacin y evaluacin critica, objetiva y minuciosa de los elementos o partes que conforman una operacin, actividad, transaccin o proceso con el fin de establecer su naturaleza, su relacin y conformidad con los criterios normativos y tcnicos existentes. Los procedimientos de anlisis estn referidos a la comparacin de cantidades, porcentajes y otros.
b) Confirmacin.- Permite comprobar la autenticidad de los registros y documentos analizados a travs de informacin directa y por escrito, otorgada por funcionarios que participan o realizan las operaciones sujetas a examen por lo que estn a disposicin de opinar e informar en forma vlida y veraz sobre ellas.
c) Tabulacin.- Consiste en agrupar los resultados obtenidos en reas, segmentos o elementos examinados de manera que se facilite la elaboracin de conclusiones.
d) Conciliacin.- Implica hacer que concuerden dos conjuntos de datos relacionados, separados o independientes. Esta tcnica consiste en analizar la informacin producida por diferentes unidades operativas o entidades, respecto de una misma operacin o actividad.
4. Tcnicas de Verificacin Documental
a) Comprobacin.- Se aplica en el curso de un examen con el objetivo de verificar la existencia, legalidad, autenticidad y legitimidad de las operaciones efectuadas por una entidad mediante la verificacin de los documentos que las justifican.
b) Computacin.- se utiliza para verificar la exactitud y correccin aritmtica de una operacin o resultado. Se prueba solamente la exactitud de un clculo, por lo tanto, se requiere de otras pruebas adicionales para establecer la validez de los datos que forman parte de una operacin.
c) Rastreo.- Se utiliza para dar seguimiento y controlar una operacin de manera progresiva de un punto a otro de un proceso interno determinado o de un proceso a otro realizado por una unidad operativa dada. Se dividen en dos: Rastreo progresivo Rastreo regresivo
d) Revisin selectiva.- Consiste en el examen ocular rpido de una parte de los datos o partidas que conforman un universo homogneo en ciertas reas, actividades o documentos elaborados.
5. Tcnicas de Verificacin Fsica
a) Inspeccin.- Es el examen fsico y ocular de activos, obras, documentos y valores con el objetivo de establecer su existencia y autenticidad. La aplicacin de esta tcnica es de mucha utilidad, especialmente en cuanto a la constatacin de efectivo, valores, activo fsico y otros equivalentes.
4.2.5. Confiabilidad de la Evidencia proveniente de Sistemas Computarizados (NAGU 3.40)
Cuando la informacin procesada por medios electrnicos, constituya una parte importante o integral de la auditora y su confiabilidad sea esencial para cumplir los objetivos del examen, se deber tener certeza de la importancia y de la confiabilidad de esa informacin. Para determinar la confiabilidad de la informacin, el auditor:
a) Podr efectuar una revisin de los controles generales de los sistemas computarizados y de los relacionados especficamente con sus aplicaciones, que incluya todas las pruebas que sean permitidas; o b) Si no se revisa los controles generales y los relacionados con las aplicaciones o comprueba que esos controles no son confiables, podr practicar pruebas adicionales o emplear otros procedimientos.
Cuando el auditor utilice los datos procesados por medios electrnicos o los incluya en su informe a manera de antecedentes o con fines informativos, por no ser significativos para los resultados de la auditora, bastar generalmente que en el informe se cite la fuente de esos datos para cumplir las normas relacionadas con la exactitud e integridad de su informe.
4.2.6. Tcnicas de Auditora para evaluar programas de cmputo
a) Pruebas de Recorrido. b) Comparacin de cifras en el sistema. c) Evaluacin operativa y funcional de los Sistemas de Informacin. d) Evaluacin de la calidad de la informacin. e) Control de datos rechazados. f) Dgito de verificacin. g) Evaluacin de entradas preprocesadas al sistema. h) Evaluacin de transacciones ficticias. i) Evaluacin de controles internos en aplicaciones crticas. j) Pistas de auditora k) Evaluacin de la oportunidad, razonabilidad, privacidad y seguridad de la informacin.
4.2.7. Hallazgos de Auditora
Los hallazgos de auditora se refieren a presuntas deficiencias o irregularidades identificadas como resultado de la aplicacin de los criterios de auditora. El objetivo es permitir identificar hechos o circunstancias importantes que inciden en la gestin de recursos en la entidad, programa o proyecto bajo examen que merecen ser comunicados en el informe. El auditor debe estar capacitado en las tcnicas para desarrollar hallazgos en forma objetiva y realista. Al realizar su trabajo debe considerar los factores siguientes:
1. Situacin.- Los hechos encontrados en la auditora indicativos de que no se cumpli con uno o ms criterios. 2. Criterio.- El marco de referencia para evaluar la situacin. Es principalmente una ley, reglamento, carta circular, memorando, procedimiento, norma de control interno, norma de sana administracin, principio de contabilidad generalmente aceptado, opinin de un experto o juicio del auditor.
3. Efecto.- Lo que significa, real o potencialmente, no cumplir con el criterio.
4. Causa.- La razn fundamental por la cual ocurri la situacin.
Al final de cada hallazgo se hace referencia a las recomendaciones que se incluyen en el informe para que se tomen las medidas necesarias sobre los errores, irregularidades o actos ilegales sealados.
Los hallazgos se pueden categorizar de la siguiente manera:
1. No Conformidad.- Incumplimiento de un requisito, que puede ser del Sistema de Gestin de Calidad de la Organizacin, de una norma estndar, de una norma institucional y/o gubernamental. Este tipo de desviacin afecta la conformidad del producto o servicio y deben ser resueltas de manera inmediata.
2. Desviacin.- Son incumplimientos como los anteriores pero que no afectan la calidad del producto o servicio. Se trata de fallos no sistemticos.
3. Observacin.- Se trata de un hallazgo que no incumple ningn requisito de la norma, o del que no se tiene una evidencia objetiva.
4.2.8. Papeles de Trabajo (NAGU 3.50)
El auditor gubernamental debe organizar un registro completo y detallado de la labor efectuada y las conclusiones alcanzadas, en forma de papeles de trabajo. Los papeles de trabajo constituyen el vnculo entre el trabajo de planeamiento y ejecucin de auditora. Por tanto, debern contener la evidencia necesaria para fundamentar los hallazgos, opiniones y conclusiones que se presenten en el informe. Podrn incluir medios de almacenamiento magnticos, electrnicos, informticos y otros. No hay nada que sustituya a una comprensin adecuada de los objetivos de la auditora, las razones por las cuales se emprender determinada tarea y la forma en que esa tarea contribuir al cumplimiento de los objetivos. Esa comprensin se logra cuando el auditor dispone de papeles de trabajo debidamente planificados y organizados y, recibe instrucciones idneas de sus supervisores. La prctica de indicar claramente en los papeles de trabajo los fines que se persigan, ser muy til para asegurarse de que la informacin obtenida estar relacionada directamente con los objetivos de la auditora y del informe correspondiente.
PROPSITO DE LOS PAPELES DE TRABAJO a. Contribuir a la planeacin y realizacin de la auditora. b. Proporcionar el principal sustento del informe del auditor. c. Permitir una adecuada ejecucin, revisin y supervisin del trabajo de auditora. d. Constituir la evidencia del trabajo realizado y el soporte de las conclusiones, comentarios y recomendaciones incluidas en el informe y como prueba preconstituida para los procesos judiciales, de ser el caso. e. Permitir las revisiones de calidad de la auditora.
PROPIEDAD Y CUSTODIA DE LOS PAPELES DE TRABAJO Los papeles de trabajo son propiedad de los rganos conformantes del Sistema Nacional de Control, y de las sociedades de Auditora, cuyos exmenes practicados contaron con la autorizacin de la Contralora General, destacndose que en el caso de auditoras practicadas por Sociedades de Auditora contratadas directamente por el organismo rector del Sistema, los papeles de trabajo sern de propiedad de la Contralora General de la Repblica.
4.2.9. Comunicacin de Hallazgos de Auditora (NAGU 3.60)
Durante el proceso de la auditora en la entidad examinada, se deben comunicar oportunamente los hallazgos a las personas comprometidas en los mismos, a fin que en un plazo fijado, presenten sus aclaraciones o comentarios sustentados documentadamente para su evaluacin oportuna y consideracin en el informe correspondiente.
Para los efectos de esta norma, los hallazgos de auditora se refieren a presuntas deficiencias o irregularidades identificadas como resultado de la aplicacin de los procedimientos de auditora. Los hallazgos de auditora con criterios de materialidad o significacin econmica debidamente desarrollados, referenciados y documentados constarn en los papeles de trabajo. En los hallazgos de auditora a ser comunicados, se considerarn los atributos: Condicin, Criterio, Causa y Efecto del hallazgo; estos ltimos dos elementos podrn ser excluidos de la comunicacin cuando la naturaleza del hallazgo y el tipo de auditora gubernamental lo exija. La comunicacin de los hallazgos de auditora durante el desarrollo del trabajo de campo, es el proceso mediante el cual, una vez evidenciadas las presuntas deficiencias o irregularidades, se cumple con hacer de conocimiento a las personas comprendidas en los mismos, estn o no prestando servicios en la entidad examinada, para brindarles la oportunidad de presentar sus aclaraciones o comentarios debidamente documentados. En la redaccin de los hallazgos de auditora, se debe utilizar lenguaje sencillo y fcilmente entendible, tratando los asuntos en forma objetiva, concreta y concisa. La comunicacin se efecta por escrito en forma personal y reservada, a la persona directamente vinculada con el hallazgo, debiendo acreditarse su recepcin. En caso de no ser ubicadas las personas comprendidas en los hallazgos materia de comunicacin, sern citados a travs del Diario Oficial El Peruano u otro de mayor circulacin de la localidad en que se encuentra la entidad auditada. El plazo para la entrega de las aclaraciones o descargos debidamente documentados ser establecido de acuerdo con las disposiciones correspondientes.
EXCEPCIN A fin de no poner en riesgo los resultados de la investigacin del Ministerio Pblico y Poder Judicial a iniciarse y en resguardo de un ejercicio efectivo del derecho de defensa ante las autoridades competentes, se excepta de la comunicacin de hallazgos a quienes se encuentren comprendidos en los indicios razonables de comisin de delito o de responsabilidad civil determinados, emitindose directamente el Informe Especial Legal y remitindolo a los organismos legales competentes.
4.3. Fase III Informe de Auditora
4.3.1. El Informe
Es la culminacin de una auditora o revisin. Representa el aspecto crtico del proceso porque es la representacin fidedigna, visible en que terceros pueden confiar. As pues, debe mostrar claramente el alcance del trabajo realizado y la responsabilidad que se asume en cuanto a la razonabilidad de los Sistemas. Una vez reunida la evidencia, el auditor debe depurar y juzgar con el mayor celo profesional a fin de obtener las conclusiones adecuadas. Al emitir su opinin, terceras personas depositan su confianza en l.
Los informes que se emitan deben tener en consideracin los siguientes criterios (Segn el MAGU)
Claridad: los informes deben ser fciles de entender y estar libres de ambigedades o vaguedades.
Objetividad: los informes deben estar libres de prejuicios.
Precisin: los informes no deben ser ms largos de lo necesario. No deben existir prrafos o secciones demasiado detalladas que no se adecuen con claridad al contenido del informe. Muchos detalles quitan mrito al informe y pueden desvirtuar y confundir al usuario de este.
Equidad: los informes deben ser equilibrados y reflejar un adecuado conocimiento de los problemas significativos sobre la habilidad de la entidad auditada, para administrar sus operaciones.
4.3.2. Elaboracin Del Informe (NAGU 4.10)
Como producto final del trabajo de campo, la comisin auditora proceder a la elaboracin del informe correspondiente, considerando las caractersticas y estructura sealadas en las Normas de Auditoria Gubernamental.
El informe es el documento escrito mediante el cual la Comisin de Auditora expone el resultado final de su trabajo, a travs de juicios fundamentados en las evidencias obtenidas durante la fase de ejecucin, con la finalidad de brindar suficiente informacin a los funcionarios de la entidad auditada y estamentos pertinentes, sobre las deficiencias o desviaciones ms significativas, e incluir las recomendaciones que permitan promover mejoras en la conduccin de las actividades u operaciones del rea o reas examinadas. Las deficiencias referidas a aspectos de control interno, se revelaran en el Memorndum de Control Interno, de acuerdo a lo prescrito en la norma correspondiente.
Con el propsito de adelantar el inicio oportuno del procedimiento sancionador, la adopcin de recomendaciones que lo ameriten o para atender requerimientos de organismos autnomos cuando corresponda, la comisin auditora podr elaborar, asimismo, informes que expongan el resultado final que, en relacin a determinada deficiencia o desviacin significativa u otro objetivo de control, hubiera obtenido previamente a la culminacin de la etapa de ejecucin de la auditora. En tal caso, deber dejarse constancia de su emisin en la seccin Introduccin, pargrafo Otros aspectos de importancia, del informe que exponga el resultado integral de la accin de control.
Las caractersticas y estructura especficas del informe, segn el tipo de auditora, que deben ser materia de cumplimiento, se encuentran establecidas en las NAGU 4.20, 4.30, 4.40, as como en la NAGU 4.50 Informe Especial, en su caso.
4.3.3. Oportunidad del Informe (NAGU 4.20)
La comisin auditora deber adecuarse a los plazos estipulados en el programa correspondiente, a fin que el informe pueda emitirse en el tiempo previsto, permitiendo que la informacin en l revelada sea utilizada oportunamente por el titular de la entidad y/o autoridades de los niveles apropiados del Estado. En tal sentido, la Comisin Auditora debe prever que la elaboracin del informe concluya en el plazo otorgado, a fin de permitir su emisin oportuna y tener presente ese propsito al ejecutar la accin de control.
4.3.4. Caractersticas del Informe (NAGU 4.30)
Los informes que se emitan deben caracterizarse por su alta calidad, para lo cual se deber tener especial cuidado en la redaccin, as como en la concisin, exactitud y objetividad al exponer los hechos. El informe debe redactarse en forma narrativa, de manera ordenada, sistemtica y lgica, empleando un tono constructivo; cuidando de utilizar un lenguaje sencillo y fcilmente entendible a fin de permitir su comprensin incluso por los usuarios que no tengan conocimientos detallados sobre los temas incluidos en el mismo. De considerarse pertinente, se incluirn grficos, fotos y/o cuadros que apoyen a la exposicin. La exactitud requiere que la evidencia presentada fluya de los papeles de trabajo y que las observaciones sean correctamente expuestas. Se basa en la necesidad de asegurarse que la informacin que se presenta sea confiable a fin de evitar errores en la presentacin de los hechos o en el significado de los mismos, que podran restar credibilidad y generar cuestionamiento a la validez sustancial del informe.
4.3.5. Contenido del Informe (NAGU 4.40)
El contenido del informe expondr ordenada y apropiadamente los resultados de la accin de control, sealando que se realiz de acuerdo a las Normas de Auditoria Gubernamental y mostrando los beneficios que reportar a la entidad.
Esta norma tiene por finalidad regular el contenido del Informe de la accin de control, trtese sta de una auditora financiera (informe largo), auditora de gestin o examen especial segn sea el caso, con el objeto de asegurar que su denominacin, estructura y el desarrollo de sus resultados guarden la debida uniformidad, ordenamiento, consistencia y calidad, para fines de su mxima utilidad por la entidad examinada.
Adicionalmente se emitir una "Sntesis Gerencial" del Informe. El informe debe presentar la siguiente estructura.
ESTRUCTURA I. INTRODUCCIN Informacin general concerniente a la accin de control y a la entidad examinada.
1. Origen del examen Antecedentes o razones que motivaron la realizacin de la accin de control; debindose hacer mencin al documento y fecha de acreditacin.
2. Naturaleza y Objetivos del Examen Naturaleza o tipo de la accin de control practicada (auditora financiera, auditora de gestin o examen especial), as como los objetivos previstos respecto de la misma. Los objetivos estn referidos a lo que espera lograrse como resultado del examen. Al exponerlos se darn a conocer los lmites de la auditora, a fin de evitar interpretaciones errneas en los casos en que los objetivos hayan sido particularmente limitados o puntuales sobre determinados aspectos de la gestin.
3. Alcance del examen Cobertura y profundidad del trabajo realizado para el logro de los objetivos de la accin de control, precisando el periodo y reas de la entidad examinadas, mbito geogrfico donde se realiz el examen y, asimismo, dejndose constancia que ste se llev a cabo de acuerdo con las Normas de Auditora Gubernamental. De ser el caso, el auditor revelar las limitaciones al alcance del examen que se presenten en el proceso del trabajo. Si se emplean datos que no hayan sido verificados, ese hecho deber manifestarse. Tambin debern revelarse las modificaciones efectuadas al enfoque de la auditora como consecuencia de las limitaciones de la informacin o del alcance de la auditora. Asimismo, debe revelarse que las irregularidades con dao econmico y/o indicios razonables de comisin de delito, son materia de un informe especial legal.
4. Antecedentes y base legal de la entidad Aspectos de mayor relevancia que guarden vinculacin directa con la accin de control realizada, as como las principales normas legales que le(s) sean de aplicacin.
5. Comunicacin de hallazgos Se deber indicar haberse dado cumplimiento a la comunicacin oportuna de los hallazgos efectuada al personal que labora o haya laborado en la entidad comprendido en ellos.
6. Memorndum de Control Interno Se indicar que durante la accin de control se ha emitido el Memorndum de Control Interno, en el cual se inform al titular sobre la efectividad de los controles internos implantados en la entidad. Dicho documento as como el reporte de las acciones correctivas que en virtud del mismo se hayan adoptado, se deber adjuntar como anexo del informe.
7. Otros Aspectos de Importancia Podr referirse informacin verificada que la Comisin Auditora, basada en su opinin profesional competente, considere de importancia o significacin, cuya revelacin permita mostrar la objetividad e imparcialidad del trabajo desarrollado por la Comisin; tal como:
a. El reconocimiento de las dificultades o limitaciones, de carcter excepcional, en las que se desenvolvi la gestin realizada por los responsables de la entidad o rea examinada,
b. El reconocimiento de logros significativos alcanzados durante la gestin examinada,
c. La adopcin de correctivos por la propia administracin, durante la ejecucin de la accin de control, que hayan permitido superar hechos observables,
d. Informar de aquellos asuntos importantes que requieran un trabajo adicional, siempre que no se encuentren directamente comprendidos en los objetivos de la accin de control,
e. Eventos posteriores a la ejecucin del trabajo de campo que hayan sido de conocimiento de la comisin auditora y que afecten o modifiquen el funcionamiento de la entidad o de las reas examinadas.
f. La indicacin de los informes que se hubieran emitido previamente a la culminacin de la etapa de ejecucin de la auditora, de ser tal el caso.
Si alguno de los aspectos considerados en este punto por la comisin auditora, demandara una exposicin o desarrollo extenso, ser incluido como anexo del Informe. Dichos aspectos, asimismo, podrn dar lugar a la formulacin de conclusiones y/o recomendaciones, si hubiere mrito para ello.
II. OBSERVACIONES En esta parte del Informe, la Comisin Auditora desarrollar las observaciones que, como consecuencia del trabajo de campo realizado y la aplicacin de los procedimientos de control gubernamental, hayan sido determinadas como tales. Las observaciones, para su mejor comprensin, se presentarn de manera ordenada, sistemtica, lgica y numerada correlativamente, evitando el uso de calificativos innecesarios y describiendo apropiadamente sus elementos o atributos caractersticos. Dicha presentacin considerar los siguientes aspectos:
1. Sumilla Es el ttulo o encabezamiento que identifica el asunto materia de la observacin. 2. Elementos de la observacin (condicin, criterio, efecto y causa) Son los atributos propios de toda observacin, los cuales deben ser desarrollados objetiva y consistentemente.
3. Comentarios y/o aclaraciones del personal comprendido en las observaciones Son las respuestas brindadas a la comunicacin de los hallazgos respectivos, por el personal comprendido finalmente en la observacin.
4. Evaluacin de los comentarios y/o aclaraciones presentados Es el resultado del anlisis realizado por la Comisin Auditora sobre los comentarios y/o aclaraciones y documentacin presentada por el personal comprendido en la observacin, debiendo sustentarse los argumentos invocados y consignarse la opinin resultante de dicha evaluacin.
La mencionada opinin incluir, al trmino del desarrollo de cada observacin, la identificacin de las presuntas responsabilidades administrativas funcionales por la comisin de infracciones graves y muy graves a que hubiera lugar, de acuerdo con lo establecido por el Titulo II Infracciones por responsabilidad administrativa funcional del Reglamento de la Ley N 29622, con indicacin del artculo e inciso aplicable en cada caso. Asimismo, se identificar separadamente la existencia de presuntas infracciones leves, indicndose en este caso que las mismas corresponden ser derivadas a los titulares de las entidades auditadas para su procesamiento y sancin correspondiente.
La identificacin de responsabilidad administrativa funcional se efectuar por cada persona comprendida en la observacin, describiendo los hechos y criterios que sustentan la presunta comisin de la infraccin, cualquiera sea su tipo. Si los hechos dieran lugar a la identificacin de ms de una infraccin, todas stas deben ser necesariamente consignadas y sustentadas, en cada caso.
De considerarse la existencia de indicios razonables de la comisin de delito o de perjuicio econmico, se dejar constancia expresa que tal aspecto es tratado en el Informe Especial correspondiente.
III. CONCLUSIONES En este rubro la Comisin Auditora deber expresar las conclusiones del Informe de la accin de control, entendindose como tales los juicios de carcter profesional, basados en las observaciones establecidas, que se formulan como consecuencia del examen practicado a la entidad auditada.
IV. RECOMENDACIONES Las recomendaciones constituyen las medidas especficas indicadas a la administracin de la entidad, orientadas a promover la superacin de las causas y las observaciones evidenciadas durante el examen. Sern dirigidas al Titular o en su caso a los funcionarios pblicos que tengan competencia para disponer su aplicacin.
Las recomendaciones se formularn con orientacin constructiva para propiciar el mejoramiento de la gestin de la entidad y el desempeo de los funcionarios y servidores pblicos a su servicio, con nfasis en contribuir al logro de los objetivos institucionales dentro de parmetros de economa, eficiencia y eficacia; aplicando criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de costo proporcional a los beneficios esperados.
Para efecto de su presentacin, las recomendaciones se realizarn siguiendo el orden jerrquico de los funcionarios responsables a quienes va dirigida, referencindolas en su caso a las conclusiones, o aspectos distintos a stas, que las han originado.
Tambin se incluir como recomendacin, cuando existiera mrito de acuerdo a los hechos revelados en las observaciones, el procesamiento de las presuntas responsabilidades administrativas que se hubiesen identificado en el Informe, conforme a las disposiciones contenidas en la Ley N 29622, su reglamento y la normativa que la Contralora General apruebe sobre la materia, teniendo en cuenta las consideraciones siguientes:
a) De haberse identificado presuntas responsabilidades administrativas funcionales por la comisin de infracciones graves y muy graves se recomendar que el informe con los recaudos y evidencias documentales correspondientes, sea de conocimiento del rgano Instructor de la Contralora General de la Repblica a travs del nivel gerencial competente, para fines del inicio del procedimiento sancionador; debiendo sealarse expresamente la competencia legal exclusiva que al respecto concierne al citado rgano Instructor y el impedimento subsecuente de la entidad para disponer el deslinde de responsabilidad por los mismos hechos, lo que deber ser puesto de conocimiento del titular de la entidad auditada.
b) De haberse identificado presuntas responsabilidades administrativas funcionales por la comisin de infracciones leves, se recomendar al titular de la entidad auditada que disponga su procesamiento y la aplicacin de las sanciones correspondientes, conforme al marco legal aplicable.
V. ANEXOS A fin de lograr el mximo de concisin y claridad en el informe, se presentarn como anexos cuando sean necesarios, los informes emitidos por profesionales y/o especialistas debido a su importancia que complementen o amplen las observaciones significativas contenidas en el mismo. Asimismo se incluir un Cuadro como anexo, en el que se consignen a los responsables con indicacin del nombre y nmero de observacin. En lo que respecta a las observaciones con responsabilidad administrativa, nicamente se incluirn como anexos aquellos documentos que no obran en la entidad examinada.
FIRMA El informe deber ser firmado por el auditor encargado, el supervisor y los niveles gerenciales correspondientes de la Contralora General de la Repblica. En el caso de los rganos de auditora interna, por el auditor encargado, el supervisor y el jefe del respectivo rgano.
Los Informes emitidos por las Sociedades de Auditora sern suscritos por el socio participante y auditor responsable de la auditora. De ameritarlo por la naturaleza y contenido del Informe, tambin ser suscrito por el abogado u otro profesional y/o especialista participante en la accin de control.
SNTESIS GERENCIAL Adicionalmente al Informe de la accin de control, podr emitirse una Sntesis Gerencial del Informe, de contenido necesariamente breve y preciso. La Alta Direccin de la Contralora General de la Repblica y el Titular del rgano de Auditora Interna, podr eximir a la Comisin Auditora de la emisin de dicha Sntesis.
4.4. Fase IV Seguimiento
Esta fase cierra el ciclo del proceso de auditora, en la cual se efectuar el anlisis y evaluacin del acatamiento de las entidades del estado a las recomendaciones formuladas por la Contralora General de la Repblica. Para su ejecucin se debe cumplir todo el ciclo de auditora.
V. BIBLIOGRAFA
1. Gonzlez, Gonzalo. "Informtica 11 Coleccin Ciencia Educativa". Nueva Imagen. 2. Hernndez, Enrique. 1997. "Auditoria Informtica: Un Enfoque Metodolgico y Prctico. Continental. Mxico. 3. Kell, Walter y Ziegler, Richard. "Auditoria Moderna" Continental. 4. Piattini, Mario G. y Del Peso, Emilio. 1998. "Auditoria Informtica: Un Enfoque Prctico". Computec RAMA. Madrid, Espaa. 5. http://www.oocities.org/mx/acadentorno/aui1.pdf
REFERENCIAS NORMAS LEGALES
1. Ley Orgnica del Sistema Nacional de Control y de la Contralora General de la Repblica. Ley 27785. 2. Manual de Auditora Gubernamental. Resolucin Contralora N 152- 98-CG 3. Normas de Auditora Gubernamental. Resolucin Contralora N 162-95-CG y sus modificatorias por Resoluciones de Contralora N 246-95, 112-97-CG, 141-99-CG, 259-2000-CG, 012-2002-CG, 089- 2002-CG y 309-2011-CG 4. Ley de Control Interno de las Entidades del Estado. Ley 28716. 5. Ley que incorpora al Cdigo Penal los Delitos Informticos. Ley 27309. 6. Normas de Control Interno. Resolucin de Contralora General N 320-2006-CG 7. Gua para la Implementacin del Sistema de Control Interno de las entidades del Estado. Resolucin de Contralora General N 458- 2008-CG. 8. Norma Tcnica Peruana NTP - ISO / IEC 17799. 9. Gestin de la Continuidad del Negocio. CIRCULAR N G- 139 -2009 10. Gestin de la Seguridad de la Informacin. CIRCULAR N G- 140 - 2009
REFERENCIAS WEB PARA CONSULTAS
1. Instituto Nacional de Estadstica e Informtica "Plan de Contingencias y Seguridad de la Informacin". http://www.inei.gob.pe/web/metodologias/attach/lib611/0300.htm 2. Jos Alfredo Jimnez "Evaluacin de la Seguridad de un Sistema de Informacin. http://www.ilustrados.com/publicaciones/EpyppFyEAyLgAPFJNN.ph p 3. Horacio Quinn Eduardo. La Auditoria informatica dentro de las etapas de Anlisis de Sistemas Administrativos. http://www.monografias.com/trabajos5/audi/audi.shtml#redes 4. D' Sousa Carmen. Auditora de Sistemas. http://www.monografias.com/trabajos11/siste/siste.shtml#eva 5. CAIB. 21/01/2002. Auditora Informtica. http://dmi.uib.es/~bbuades/auditoria/index.htm
VI. ANEXOS
ANEXO 01 ACCION DE CONTROL N 001-2013-OFICINA CENTRAL DE ADMISION DE LA UNIVERSIDAD NACIONAL DE PIURA
PLAN DE EXAMEN ESPECIAL
I. ORIGEN DEL EXAMEN: Este examen se efecta en cumplimiento de las acciones de control programadas en el Plan Anual de Control 2013 de la Universidad Nacional de Piura.
II. ANTECEDENTES DE LA ENTIDAD Y DE LOS ASUNTOS A SER EXAMINADOS
Las principales funciones de realiza la Oficina Central de Admisin (OCA) son: Dirigir, organizar, administrar y evaluar los concursos de admisin en sus diferentes modalidades. Preparar el presupuesto del concurso de admisin. Preparar el prospecto de admisin. Proponer un modelo de examen a la Comisin de Supervisin. Proponer el cuadro de vacantes ofrecidas para los procesos de admisin, previo anlisis de las demanda, por los servicios que brinda la Universidad. Controlar la inscripcin de postulantes a los procesos de admisin. Publicar los resultados por cada examen. Elaborar las estadsticas de resultados por cada examen. Efectuar la publicacin de solucionarios. Preparar el banco de preguntas. Apoyar a la evaluacin de exmenes de IDEPUNP.
Los asuntos que sern examinados son los siguientes:
Evaluar el Sistema de Calificacin y Admisin con el cumplimiento de los objetivos organizacionales. Verificar que el Sistema de Calificacin y Admisin cumpla con las normas establecidas por la Universidad Nacional de Piura. Evaluar la base de datos del Sistema. Verificar la existencia de planes de contingencias adecuados a las necesidades de la Institucin.
FUENTE: REGLAMENTO GENERAL DE LA UNP ABROBADA BAJO RESOLUCION DE CONSEJO UNIVERISTARIO N 887-CU-2006
III. OBJETIVOS Y ALCANCE DEL EXAMEN
Los objetivos planteados para la ejecucin del Examen Especial son: 1) Verificar que los requerimientos del Sistema sean acordes con los objetivos de la Oficina Central de Admisin.
2) Evaluar la base de datos del Sistema de Calificacin y Admisin
3) Comprobar si existe una herramienta de prevencin, mitigacin, control y respuesta ante posibles contingencias que puedan afectar el correcto funcionamiento del Sistema.
IV. PROGRAMA DE PROCEDIMIENTOS A EJECUTAR EN EL EXAMEN
Objetivo N 01: Verificar que los requerimientos del Sistema sean acordes con los objetivos de la Oficina Central de Admisin.
Procedimientos de Auditoria: 1. Solicitar a la Jefatura de la Oficina Central de Admisin, la documentacin funcional y tcnica del Sistema de Calificacin y Admisin, el Plan Estratgico y el Plan Operativo Anual de la Oficina.
2. Recopilar y analizar los procedimientos administrativos de cada rea que conforma la Oficina (flujo de informacin, formatos, reportes y consultas)
3. Evaluar la informacin brindada por el sistema contra las necesidades y requerimientos de los usuarios.
Objetivo N 02: Evaluar la base de datos del Sistema de Calificacin y Admisin
Procedimientos de Auditoria: 1. Solicitar la documentacin sobre el anlisis, diseo lgico y fsico de la base de datos.
2. Analizar las llaves, redundancias, control existente en la base de datos.
3. Evaluar la seguridad de la base de datos a nivel lgico y fsico.
4. Evaluar si existen procedimientos de respaldo y de recuperacin de datos.
Objetivo N 03: Comprobar si existe una herramienta de prevencin, mitigacin, control y respuesta ante posibles contingencias que puedan afectar el correcto funcionamiento del Sistema.
Procedimientos de Auditoria: 1. Determinar si existe un plan de contingencia donde se establezcan los procedimientos a utilizarse para evitar interrupciones en las operaciones de la Oficina.
2. Verificar que la documentacin relacionada al plan de contingencia se encuentre actualizada.
3. Verificar si el plan de contingencia aprobado, se ha distribuido entre el personal responsable y asimismo se tengan copias de dicho documento por prevencin.
4. Determinar si se efectan revisiones y se realizan pruebas del plan de contingencias cada vez que se produzcan cambios en la configuracin de los equipos.
Nota: los procedimientos establecidos en ente programa, no son limitativos durante la ejecucin de la Auditoria, pudiendo utilizarse otros procedimientos que sean necesarios segn las circunstancias.
V. CRITERIOS DE AUDITORIA A UTILIZAR
Este examen se realizara de acuerdo a los documentos de gestin administrativa: Plan Estratgico 2009 2013, Plan Operativo Anual, MOF, ROF, CAP, Reglamento General de Admisin; y tambin con las normas que nos brinda el estado: Gua de Control Interno, Norma BS 25999 (Normas de Continuidad del Negocio), MAGU (Manual de Auditoria Gubernamental), NAGU (Normas de Auditoria Gubernamental), Norma Tcnica Peruana NTP 17799. Leyes Internacionales como la Ley Cobit, MAPROS de la Oficina Central de Admisin as como otras Normas y Directivas que sean necesarias de acuerdo a las circunstancias.
VI. RECURSO DE PERSONAL Y ESPECIALISTAS
El personal del rgano de Auditoria Interna que participara en el examen es el siguiente: Kelly Tatiana Delgado Seminario Auditor Luis Enrique Escobar Mogolln Supervisor Juan Luis Guayanal Hurtado Especialista Miguel Angel Atarama LaChira Especialista Jimy Monja Ancajima Especialista
VII. INFORMES A EMITIR Y FECHA DE ENTREGA
Se emitir un informe en el cual se expondrn los resultados del examen especial, la fecha de entrega del informe ser el 31/07/2013
IX. PROGRAMACION DE HORAS GRUPO AUDITOR HORAS TOTALES Kelly Tatiana Delgado Seminario 20 Luis Enrique Escobar Mogolln 20 Juan Luis Guayanal Hurtado 20 Miguel Angel Atarama LaChira 15 Jimy Monja Ancajima 15
------------------------------------------ ------------------------------------------ KELLY DELGADO SEMINARIO LUIS ESCOBAR MOGOLLON Auditor Supervisor
ANEXO 02
PROGRAMA DETALLADO DE AUDITORIA
Nombre de la Entidad : UNIVERSIDAD NACIONAL DE PIURA - OFICINA CENTRAL DE ADMISIN Fecha de auditora : ................................................................................................. PROGRAMADO AREA DE INFORMATICA TERMINADO NOMBRE H/S Ref PT Hecho por H/S
MAL-KDS
KDS
MAL-KDS LEM
5
8
5 10
Objetivo N1: Verificar que los requerimientos del Sistema sean acordes con los objetivos de la Oficina Central de Admisin. Criterio: - Reglamento de Organizacin y Funciones (ROF) - Plan Estratgico 2009 2013 - Plan Operativo 2012. - Reglamento General UNP. - Reglamento General de Admisin. - Mapro OCA
Procedimientos de Auditoria:
1. Solicitar a la Jefatura de la Oficina Central de Admisin, la documentacin funcional y tcnica del Sistema de Calificacin y Admisin, el Plan Estratgico y el Plan Operativo Anual de la Oficina.
2. Recopilar y analizar los procedimientos administrativos de cada rea que conforma la Oficina (flujo de informacin, formatos, reportes y consultas)
3. Evaluar la informacin brindada por el sistema contra las necesidades y requerimientos de los usuarios.
Objetivo N2: Evaluar la base de datos del Sistema de Calificacin y Admisin
Criterio: - Norma Tcnica Peruana NTP 17799 - Normas de Control Interno - Ley Cobit
PT001
PT002
PT003 PT004
MAL-KDS
KDS
MAL-KDS LEM
3
10
3 12
JMA
LEM-JMA
LEM
LEM
JGH
JGH - JMA
JGH - JMA
JGH - JMA
5
10
15
10
8
10
5
5
Procedimientos de Auditoria:
1. Solicitar la documentacin sobre el anlisis, diseo lgico y fsico de la base de datos.
2. Analizar las llaves, redundancias, control existente en la base de datos.
3. Evaluar la seguridad de la base de datos a nivel lgico y fsico.
4. Evaluar si existen procedimientos de respaldo y de recuperacin de datos.
Objetivo N3: Comprobar si existe una herramienta de prevencin, mitigacin, control y respuesta ante posibles contingencias que puedan afectar el correcto funcionamiento del Sistema. Criterio: - Ley Cobit - Norma Tcnica Peruana - Norma BS 25999
Procedimientos de Auditoria: 1. Determinar si existe un plan de contingencia donde se establezcan los procedimientos a utilizarse para evitar interrupciones en las operaciones de la Oficina.
2. Verificar que la documentacin relacionada al plan de contingencia se encuentre actualizada.
3. Verificar si el plan de contingencia aprobado, se ha distribuido entre el personal responsable y asimismo se tengan copias de dicho documento por prevencin.
4. Determinar si se efectan revisiones y se realizan pruebas del plan de contingencias cada vez que se produzcan cambios en la configuracin de los equipos.
PT005
PT006
PT007
PT007
PT008
JMA
JGH
JGH - JMA
JGH - JMA
JGH - JMA
3
5
5
6
5 ANEXO 03
PAPEL DE TRABAJO
Unidad Administrativa: Oficina Central de Admisin UNP (OCA) Elabor: MAL Referencia: PT001 Revis: KDS Cdula: Sistema de Admisin y Calificacin
Objetivo de Control: Verificar que los requerimientos del Sistema sean acordes con los objetivos de la Oficina Central de Admisin. Procedimiento: Se envi una solicitud dirigida al Jefe de OCA, el Sr. Cesar Haro Diaz el da xx de xx del 2013 solicitando la documentacin funcional y tcnica del Sistema de Calificacin y Admisin, el Plan Estratgico y el Plan Operativo Anual de la Oficina. Con aprobacin del jefe de la OCA se procedi al recojo de la informacin necesaria para el proceso de auditora, posteriormente se prosigui con la firma del acta respectiva por parte de los involucrados.
Informacin Obtenida: - Plan Estratgico de la Oficina Central de Admisin 2009 - 2013 - Manual de Organizacin y Funciones OCA. - Plan Operativo Institucional.
Observaciones: Situacin: Parte de la informacin requerida no se encontraba disponible, La informacin obtenida estaba sin aprobacin de los entes superiores de la Universidad Nacional de Piura.
Criterio: No se cumple la norma 1.3 Administracin Estratgica correspondiente a la Normas de Control Interno 320-2006-CG.
Causa: Falta de inters por parte de los miembros de OCA en presentar y elaborar los documentos de Gestin pertinentes.
Efecto: Falta de eficiencia en la OCA lo que origina mayores costos y baja productividad de la dependencia.
Conclusin: - Falta de inters de los miembros de la Oficina en elaborar, actualizar y normar los documentos de gestin para su debida aprobacin.
Recomendaciones:
- Elaborar y/o actualizar los documentos de gestin para su posterior aprobacin y distribucin.
Anexos: - Solicitud Aprobada por el Jefe de OCA. - Acta de Apertura de Auditoria - Acta de Entrega de Documentos de Gestin.
Elabor: MAL Supervis: KDS Fecha: xx de xx de xxxx Fecha: xx de xx de xxxx