LUCIO AUGUSTO MOLINA FOCAZZIO Certified Information Systems Auditor - CISA Lucio_molina@007mundo.com
Bogot, Ao 2004 2 INDICE Introduccin........................................................................................................................ 4 Por una auditoria y control efectivos. ........................................................................... 5 Auditora de Sistemas, Definicin y Objetivos........................................................... 9 Metodologa Cobit .......................................................................................................11 Resumen Ejecutivo..........................................................................................................12 Marco Referencial (Framework) .....................................................................................12 Los Objetivos de Control................................................................................................13 Las Guas de Auditora....................................................................................................13 Dominios y Procesos de COBIT.....................................................................................13 Objetivos propuestos por William Emory............................................................................14 Administrativa .............................................................................................................15 Soluciones aplicativas y programacin.....................................................................15 Servicios.................................................................................................................15 LISTA DE ALGUNOS OBJETIVOS ............................................................................15 La Auditora a travs del Computador.......................................................................19 DEFINICION....................................................................................................................19 VENTAJAS Y DESVENTAJAS DE LA AUDITORIA A TRAVES DEL COMPUTADOR21 DATOS DE PRUEBA.......................................................................................................21 Enfoques y Tcnicas de Auditora para probar los sistemas de PED................28 TCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR.................................28 TIPOS DE PRUEBA DE AUDITORIA.........................................................................28 ALCANCE DE LAS PRUEBAS DE AUDITORIA.......................................................28 ENFOQUES PARA APLICAR PRUEBAS DE AUDITORIA......................................28 ENFOQUES DE AUDITORIA PARA LOS SISTEMAS DE APLICACIN...............30 CARTAS DE RECOMENDACIONES DE CONTROL INTERNO................41 ASPECTOS GENERALES:...............................................................................................41 ENFOQUE DE LAS CARTAS DE RECOMENDACIONES ...........................................41 Papeles de Trabajo...........................................................................................................46 1. ARCHIVO PERMANENTE:.....................................................................................46 1.1. OBJETIVO:.......................................................................................................46 1.2. CARACTERISTICAS: ......................................................................................46 1.3. IMPORTANCIA: ..............................................................................................46 1.4. CONTENIDO:..................................................................................................46 2. ARCHIVO CORRIENTE:.........................................................................................48 2.1. OBJETIVO:.......................................................................................................48 2.2. CARACTERISTICAS: ......................................................................................49 2.3. IMPORTANCIA: ..............................................................................................49 2.4. CONTENIDO:..................................................................................................49 3. ARCHIVO ADMINISTRATIVO:.........................................................................50 3 MODELO DE PAPELES DE TRABAJO UTILIZADOS DURANTE EL DESARROLLO DE UNA AUDITORIA DE SISTEMAS...................................60 4 Introduccin
El presente documento ha sido elaborado como material de consulta para los estudiantes del Postgrado en Revisora Fiscal y Auditora Interna.
Contiene artculos e informacin que pueden permitir al estudiante entender la importancia de la Auditora de Sistemas y, adicionalmente conocer la forma como el Auditor de Sistemas realiza sus funciones.
Este documento se ha venido actualizando con base en los lineamientos que peridicamente emite ISACA (Information Systems audit. And Control Association) en el mbito mundial.
La intencin es que el estudiante tenga a su disposicin una variedad de objetivos de Auditora de Sistemas as como modelos de los papeles de trabajo que utiliza el Auditor de Sistemas.
Incluimos adems informacin bsica sobre las Tcnicas de Auditora Asistidas por Computador (TAAC'S) que puede utilizar un Auditor en del desarrollo de sus funciones.
5
Por una auditoria y control efectivos. 1
A pesar de su importancia, muchas organizaciones en nuestro medio carecen por completo de auditora y control a los sistemas de procesamiento electrnico de datos. Puntos de partida para su anlisis.
En su existencia, relativamente breve, el computador ha emergido vertiginosamente hasta convertirse en parte integral de la vida de las organizaciones; ha logrado alterar en menos de dos generaciones su estructura y funciones.
Muchos factores han contribuido para que las formas de control requeridas por este nuevo ambiente no se hayan adoptado oportunamente. Los ms significativos tienen que ver con la complejidad tcnica de los modernos sistemas de computo, verdaderas maravillas de la ingeniera, veloces en el proceso y sofisticados tanto en el hardware como en el software.
Los sistemas son diseados, configurados y programados por autnticos especialistas quienes, como es entendible, han estado mas comprometidos con la velocidad del proceso y la elegancia tcnica que con la verificacin y control.
Desde 1976 se ha presentado un creciente inters en el tema de la auditoria y control a sistemas de procesamiento electrnico de datos; sin embargo, muchas organizaciones en nuestro medio carecen por completo de esta funcin o cuando existen no se ajusta a los requerimientos mnimos generados por las capacidades actuales de proceso, los volmenes de datos, la diversidad de programas y la cantidad de usuarios, que hacen ms complejos los sistemas de informacin.
Cada da se ampla el uso del computador en diferentes actividades de la empresa, se producen nuevos programas y el usuario final tiene mayor acceso a la informacin. Todo esto, sumado al vertiginoso desarrollo tecnolgico, nos hace pensar que se amplan las barreras entre los complejos sistemas de informacin y la capacidad para ejercer una auditora y control efectivos.
Es nuestro inters explorar diferentes aspectos relacionados con este tema, desde una definicin comprensiva de la auditoria en informtica o de sistemas, hasta algunas tcnicas que permitan a nuestros clientes evaluar su propia estrategia y el estado actual de esta actividad en sus organizaciones.
Varios son los autores que han escrito sobre este tema y cuyas obras han llegado a nuestro medio. Entre otros pueden destacarse: Elise Jancura, Donald Wuatne, Peter Turning, Gabriel
1 Tomado de la Revista ACTUALIDADES/17 publicada por IBM de Colombia 6 Rotherberg, Ron Weber, Leonard Krauss, Donn Parker, Keagle Davis, William Perry, Javier Kuong, James Martin y F.J. Fitzgeral.
Los temas favoritos han sido El Control, La Auditoria, El Fraude, El Sistema de Informacin Contable y La Seguridad.
Pero no hay duda que la base ms importante de toda esta literatura corresponde al estudio preparado por el Instituto de Auditores Internos de los EE.UU., con datos recopilados por el Stanford Research Institute y con el patrocinio de IBM.
Dada la trascendencia que ha tenido para el desarrollo de la Auditora de Sistemas vale la pena comentar sus ms importantes conclusiones como punto de partida para un anlisis de tan vital tema.
1. La responsabilidad primaria respecto al control interno corresponde a la Alta Gerencia, en tanto que la responsabilidad operacional (exactitud, oportunidad y confiabilidad de la informacin), corresponde al usuario.
No hay duda que la Gerencia de la empresa en el ejercicio de sus cuatro principales tareas administrativas debe estar considerando como recurso importante la informacin, inmediatamente despus del recurso humano. En este orden de ideas deber proyectar su responsabilidad de control a travs de toda la organizacin a fin de que sea manejada, divulgada y salvaguardada de acuerdo con el valor que tiene para la operacin y estabilidad de la empresa. Desde el punto de vista las fallas parecen no ser mayores.
Sin embargo, no se puede estar tan seguro en cuanto a la parte operacional. Con frecuencia no hay un entendimiento claro del valor de la informacin y por lo mismo de los niveles de clasificacin que requiere por la administracin de su confidencialidad.
Se pierde entonces con facilidad el concepto de propiedad, el de autorizacin para el acceso y uso de los datos, el control de almacenamiento y las normas para la divulgacin de la informacin. Control, auditabilidad, recuperacin, respaldo, seguridad y unos cuantos conceptos mas, con mucha frecuencia, no son claves para el usuario, que en muchas ocasiones no esta en capacidad de exigir y/o dar un tratamiento adecuado a datos, informacin, programas y equipos.
2. Es necesario mejorar los controles, esto es, ampliar el cubrimiento de control interno al ambiente de procesamiento de datos. Los conceptos continan siendo los mismos pero la forma en que se debes aplicar es diferente. Se deben identificar y ejecutar programas de control interno con objetivos claramente definidos para:
El desarrollo de nuevos sistemas. 7 Las operaciones de centros de computo. Los cambios de tecnologa. Garantizar huellas confiables de auditoria que permitan evaluar y verificar el proceso. Establecer las relaciones entre las diferentes funciones de la organizacin.
3. Los auditores deben participar en el proceso de desarrollo e implantacin de nuevos sistemas para garantizar el empleo de controles adecuados. Es demasiado tarde realizar esta tarea cuando los sistemas ya han sido instalados, con los problemas adicionales causados por las modificaciones que se reflejan tanto en costos como en tiempo. Adicionalmente facilita la inclusin de herramienta para la auditoria como parte integral de los nuevos sistemas.
4. La verificacin de los controles debe hacerse antes y despus de la instalacin. De aqu la importancia de las pruebas de preinstalacin que permitan comprobar el logro de los requerimientos bsicos no solo del sistema en s, sino tambin la efectividad y operatividad de los controles definidos. Posterior a la instalacin se requieren las revisiones peridicas que deben incluir la verificacin de control y los resultados del proceso.
5. A medida que se incrementan y hacen ms complejos los sistemas de procesamiento de datos se hace necesario que el auditor se involucre ms en todas las fases del proceso.
Bases de datos, procesamiento distribuido, comunicaciones, archivos electrnicos, sistemas integrados, manejo de imgenes, control de proceso, transferencia electrnica de fondos, etc., hacen que la responsabilidad sea compartida por diferentes facilidades y por muchos usuarios con mltiples fuentes de informacin y variedad de recursos tanto en hardware como en software.
El auditor de sistemas debe hacer uso de las herramientas apropiadas, dentro de las cuales la ms valiosa e importante es el computador mismo, y desarrollar habilidades que hacen de l un especialista dentro de la organizacin de auditoria interna.
6. La sexta conclusin se refiere a la importancia de la funcin de Auditora de Sistemas dentro de la organizacin.
Pocos auditores internos tienen tanto el conocimiento como la experiencia requeridos para adelantar auditorias efectivas a los actuales sistemas electrnicos de procesamiento de datos.
Varias organizaciones estn preparando algunos de sus profesionales de sistemas en disciplinas propias de la auditoria.
Otras estn transmitiendo a sus auditores internos conceptos y practicas relacionadas con el procesamiento electrnico de datos.
8 Y finalmente algunas organizaciones mayores estn brindando entrenamiento a sus auditores y reforzando grupos interdisciplinarios con especialistas de sistemas.
7. Se requieren nuevas herramientas y tcnicas de auditoria a medida que los sistemas de informacin se vuelven lgica y tcnicamente ms complejos.
A pesar de que crece el numero de auditores que hacen uso del computador para el ejercicio de su labor, muchos an continan con al concepto de auditoria alrededor o a travs de....
Ya existe una variedad de programas especializados y muchos mtodos funcionales de prueba que permiten satisfacer los objetivos bsicos. Sin embargo, el auditor debe prepararse no solo para hacer uso de estas herramientas sino para desarrollar sus propias ayudas.
8. Finalmente, se establece la necesidad de adelantar evaluaciones peridicas de los programas de auditoria y control, los cuales deben ser iniciados por la alta Gerencia.
Estas revisiones deberan adelantarse en conjunto por parte de las Gerencias de auditoria interna y procesamiento de datos. Con ello se pretende analizar objetivos de auditoria y control, las guas para el control interno, el alcance de la auditoria, y la participacin en el desarrollo e investigacin de nuevos sistemas y la educacin, entre otros.
Tres deberan ser los principales objetivos:
a) Evaluacin de las prcticas actuales de auditoria y control, y una revisin de las capacidades de procesamiento de datos dentro de la funcin de auditoria. b) Identificacin de las tendencias, tanto en el rea de desarrollo como en el uso de nuevas tecnologas. c) Formulacin de programas que permitan optimizar la efectividad de la auditoria con ambiente de procesamiento de datos.
Para llevar a la prctica en forma completa estas condiciones, se requiere la funcin de Auditora de Sistemas, con personal altamente calificado, el cual an es escaso, puesto que no son muchas las instituciones educativas calificadas que ofrecen un programa completo para la formacin de estos profesionales.
9
Auditora de Sistemas, Definicin y Objetivos. 2
En 1982 Ron Weber afirmaba que las metodologas para el control y la auditoria del procesamiento Electrnico de Datos (PED) an estaban en la infancia. A llegado el ao 2000 y deberamos preguntarnos cul es el nivel de madurez que ha adquirido en el medio esta importante funcin.
Ello depende lgicamente del grado de concientizacin alcanzado por quienes tienen la responsabilidad de velar por los activos (tangibles o intangibles) de las organizaciones. Sin embargo, parece que sigue siendo cierto que la tecnologa ha avanzado a una velocidad mayor que el desarrollo de metodologas viables para el ejercicio de la Auditora de Sistemas, para la cual se pretende dar una definicin para tratar de entender en que realmente consiste.
ISACA define la Auditora a los sistemas de informacin como cualquier auditora que involucra la revisin y evaluacin de todos los aspectos (o una porcin de ellos) de los sistemas de informacin automatizados incluyendo procesos no automatizados y las interfases entre ellos.
El mismo Weber la define como: el proceso de recolectar y evaluar evidencias para determinar si un sistema de PED protege los activos, mantiene la integridad de los datos, contribuye al logro de los objetivos de la organizacin en forma efectiva y gasta los recursos eficientemente.
Es as como la Auditora de Sistemas soporta el logro de los objetivos de la auditoria tradicional porque los conceptos bsicos se mantienen, en tanto que se da un cambio fundamental en la forma.
La informacin por si misma siempre ha sido un valioso activo pero ahora se obtiene y se administra mediante sofisticados sistemas compuestos por otros activos tales como maquinas, programas, archivos de datos, documentacin, suministros y el recurso humano, el ms importante de todos los recursos.
La integridad de los datos es un concepto fundamental en auditoria y est directamente relacionada con otros atributos o cualidades bsicas de la informacin tales como Confiabilidad, oportunidad, confidencialidad, etc., las cuales se mantienen mediante sistemas de seguridad y que lgicamente presentan un costo para la organizacin.
Por lo tanto los beneficios obtenidos debern exceder los costos correspondientes a los diferentes niveles de control cuyo uso debe estar en relacin directa con su efectividad.
2 Tomado de la Revista ACTUALIDADES publicada por IBM de Colombia 10 Qu tantos controles, depende del valor de los datos y su contenido informativo, con lo cual se define el grado de confidencialidad, mediante el cual el propietario de la informacin establece quien o quienes pueden hacer uso de ella.
Mientras ms alto sea el nivel de confidencialidad, quiere decir que mayor es el valor de la informacin para la toma de decisiones y que por lo tanto se hace mas critica la integridad de los datos.
Que tan eficaz es el sistema PED. Esta en relacin con el cubrimiento de las necesidades y requerimientos de los usuarios.
La accin de Auditora de Sistemas se enfoca normalmente hacia sistemas en operacin pero deber ejercerse durante todo el ciclo del desarrollo especialmente para sistemas complejos o muy costosos donde una evaluacin independiente garantice que se tendrn en cuenta todos los requerimientos del usuario.
Finalmente qu tan eficiente es el sistema, depende de los recursos empleados parar el logro de los objetivos.
Mquinas, sistemas operacionales, trabajos, etc., son recursos escasos requeridos por los diferentes programas de aplicacin, los cuales no pueden considerarse en forma aislada y menos aun si se tiene en cuenta la capacidad del sistema que tiende fcilmente a ser excedida. No es posible optimizar una aplicacin en particular a expensas de otras.
El auditor de sistemas debe asistir a la Gerencia con sus recomendaciones en la racionalizacin del uso y la adquisicin o ampliacin de los recursos dedicados al procesamiento de datos.
Hoy por hoy el auditor de sistemas, o mejor como debera llamarse, el auditor del sistema de informacin, requiere de una formacin especial y de herramientas tcnicamente dispuestas para el adecuado ejercicio de su actividad.
Con frecuencia muchos se han desanimado para regresar a sus tareas ya sean en el rea de sistemas o de auditoria porque no reciben los recursos adecuados y en algunas ocasiones no cuentan con el apoyo que la Gerencia debe darles para una labor productiva.
Por esta razn es tan importante hacer una evaluacin de los objetivos para que esta funcin no se limite, como en el pasado, a la implantacin y evaluacin de controles.
El auditor de hoy debe tener a su alcance la tecnologa del computador como principal herramienta: capacidad para el muestreo estadstico, programas de consulta, microcomputadores con facilidad de procesamiento stand alone y en lnea, documentacin actualizada, comunicaciones, facilidades integradas de prueba, etc. Es posible que se deba regresar a una Auditoria alrededor de..., pero con una mentalidad diferente. 11
De todas maneras el xito de la funcin de auditoria depende del grado de participacin y su contribucin para el logro de los ms importantes objetivos de la organizacin. Por lo tanto para definir sus propios objetivos deber considerarse:
La estructura y los objetivos corporativos. Las caractersticas del sistema de informacin. Las necesidades y los objetivos de otras auditorias. La capacidad y experiencia del auditor y los recursos con que cuenta.
Establecer objetivos de auditoria es la primera accin dentro de una metodologa que incluyen 13 pasos que sern comentados posteriormente.
Puesto que no existen organizaciones iguales, el auditor deber seleccionar de una amplia lista sus propios objetivos pero por lo general corresponden a preocupaciones comunes de auditoria y que pueden estar asociados con uno o ms riesgos.
Las cuatro preocupaciones son:
3 Suficiencia de control interno para garantizar la integridad de las transacciones, su autorizacin, su exactitud, su registro apropiado y la calidad de los resultados.
3 Continuidad para garantizar la presencia de la organizacin en el negocio y la recuperacin en caso de desastre. Los peligros asociados son la perdida o destruccin de los datos y la interrupcin del negocio.
3 Posibilidad de fraude, irregularidades o actos ilegales.
3 Polticas de operacin y suficiencia de los procedimientos. As se garantiza que la organizacin opere efectiva, econmica y eficientemente. Los peligros asociados son: decisiones errneas, perdida de ganancias y desventaja competitiva.
Para ayudar al auditor en la preparacin de sus propios objetivos, ISACF creo la metodologa Cobit (Governance, Control Objectives for Information and Related Technology).
Metodologa Cobit
Alrededor de los aos 90 la Fundacin de Auditora y Control en Sistemas de Informacin (ISACF Information Systems audit. And Control Foundation) reconoci la importante que es la administracin efectiva de la informacin y las tecnologas relacionadas para la supervivencia y xito de las organizaciones. De acuerdo con esto, ISACF inici el proyecto de recopilar 12 informacin sobre auditora, control y seguridad en los sistemas de informacin y analizar sus procesos. Producto de este estudio apareci Cobit en 1998
COBI T es en realidad un acrnimo formado por las siglas derivadas de Governance, Control Objectives for I nformation and Related Technology (objetivos de control para tecnologa de informacin y tecnologas relacionadas).
COBIT es una herramienta que rene normas y estndares de jure y de facto de la ISO, de COSO, IFAC, IIA y AICPA entre otros.
COBIT encadena la tecnologa de la informacin con las prcticas de control y crea un recurso vital para la Gerencia, los profesionales en control y los auditores.
COBIT aplica a todo lo largo de la organizacin incluyendo personal de sistemas, usuarios, minicomputadores, mainframes y sistemas cliente servidor, entre otros. COBIT se basa en que los recursos de tecnologa deben ser administrados y agrupados en procesos naturales con el objeto de proveer informacin actualizada y confiable para que la organizacin logre sus objetivos.
Los usuarios de COBIT son:
La alta Gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de las mismas Los usuarios de TI pueden obtener un aseguramiento sobre la seguridad y el control de productos adquiridos en forma externa Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa Los responsables de TI pueden identificar los controles que requieren establecer en su rea
COBIT est compuesto por los siguientes productos:
Resumen Ejecutivo
El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura bsica de COBIT. Hace una descripcin general de los procesos, los recursos y los criterios de informacin que determinan la columna vertebral de COBIT.
Marco Referencial (Framework)
El marco referencial incluye la introduccin contenida en el resumen ejecutivo, presentando las guas de navegacin que orientan al lector en la exploracin del material de COBIT. El Marco Referencial hace una presentacin ms detallada de los 34 objetivos de control de alto nivel (34 procesos) para los cuatro dominios 13
Los Objetivos de Control
Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel. Se incluyen de 3 a 30 objetivos detallados por cada objetivo de control de alto nivel, totalizando 302.
Las Guas de Auditora
Las guas de Auditora tambin incorporan el resumen ejecutivo y el marco referencial. Hacen una presentacin del proceso generalmente aceptado de Auditora (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y substanciar los riesgos). Este documento incluye guas detalladas para auditar cada uno de los 34 objetivos de alto nivel.
Dominios y Procesos de COBIT
Dominio Planeacin y Organizacin Definir un Plan Estratgico de Tecnologa de Informacin Definir la Arquitectura de Informacin Determinar la direccin tecnolgica Definir la Organizacin y las Relaciones de TI Manejar la Inversin en Tecnologa de Informacin Comunicar la direccin y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar proyectos Administrar Calidad
Dominio Adquisicin e implementacin: Identificar Soluciones Adquirir y Mantener Software de Aplicacin Adquirir y Mantener la Arquitectura de Tecnologa Desarrollar y Mantener Procedimientos relacionados con Tecnologa de Informacin Instalar y Acreditar Sistemas Administrar Cambios
Dominio Prestacin de servicio y soporte: Definir Niveles de Servicio Administrar Servicios prestados por Terceros 14 Administrar Desempeo y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnologa de Informacin Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
Dominio Monitoreo: Monitoreo de los procesos Evaluar qu tan adecuado es el Control Interno Obtener aseguramiento independiente Proporcionar Auditora Independiente.
Objetivos propuestos por William Emory
William Emory ha escrito una lista de 120 puntos que l denomin lista de lavandera. Se pretende conteste ejercicio recolectar todos los posibles objetivos relacionados con el PED.
Muchos podran no ser calificados como objetivos sino mas bien como metas de desempeo o pasos de un trabajo continuado.
Sin embargo se pretende mas bien, ayudar a definir los limites de responsabilidad del auditor y los puntos de contacto con otros grupos de auditoria o de control.
Cuando el auditor elabore su propia lista, deber tener en mente uno o ms procedimientos posibles para lograr cada objetivo y proceder a organizarla de tal manera que los procedimientos sean paralelos a los objetivos y dispuestos de acuerdo a las reas funcionales de PED para que se mantenga:
- La integridad de los datos. - La prevencin contra accesos no autorizados a la informacin. - La disponibilidad del uso de los recursos.
A manera de ejemplo podra usarse un esquema como este, por reas:
15
Administrativa
Organizacin y personal. Planeacin. Anlisis de costos. Desarrollo de procedimiento y controles. Aspectos legales.
Soluciones aplicativas y programacin
Desarrollo de aplicaciones. Mantenimiento del software.
Operacin
Saln del computador. Dispositivos de entrada y salida. Comunicaciones. Soporte tcnico.
Servicios
Soporte de auditoria
LISTA DE ALGUNOS OBJETIVOS
Para ayudar al auditor en la programacin de su propia lista, se incluyen algunos de los objetivos propuestos por W. Emory.
1. Revisar la estructura organizacional para analizar la suficiencia, la separacin de tareas, etc. 2. Probar el cumplimiento de la estructura actual frente a la organizacin definida. 3. Evaluar el desempeo del personal clave. 4. Revisar el programa de entrenamiento. 5. Establecer si los planes de PED estn de acuerdo con los planes corporativos. 6. Revisar los planes de PED. 7. Probar el cumplimiento contra el plan. 8. Verificar que la Gerencia y los usuarios participen en la elaboracin de los planes. 9. Participar en el proceso del plan para expresar las preocupaciones de auditoria. 16 10. Revisar y probar procedimientos de anlisis de costos. 11. Determinar si las cifras base se aplican uniformemente. 12. Revisar el presupuesto y los procedimientos para su aplicacin. 13. Verificar si se han desarrollado estndares para todas las reas de PED. 14. Verificar el cumplimiento de los estndares. 15. Participar en el desarrollo de los estndares. 16. Revisar contratos de hardware y de software. 17. Revisar contratos de servicio. 18. Verificar el cumplimiento de los contratos. 19. Revisar el cubrimiento de los seguros. 20. Revisar los planes para el desarrollo de aplicaciones. 21. Comprobar que existen y se aplican estndares para el diseo de sistemas y compra de software. 22. Revisar la participacin del usuario en el desarrollo de sistemas. 23. Participar en el desarrollo de sistemas. 24. Revisar controles de nuevos sistemas antes de su implantacin. 25. Revisar planes para la implantacin de nuevos sistemas. 26. Revisar la seleccin y uso de lenguajes de programacin. 27. Participar en la prueba de sistemas. 28. Revisar los resultados de las pruebas antes de la implantacin de un nuevo sistema o de los cambios a un sistema existente. 29. Conducir revisiones de post-implantacin. 30. Evaluar los estndares para el mantenimiento del software aplicativo. 31. Revisar y probar los procedimientos de control para verificar que estn acordes con los sistemas en operacin. 32. Probar los procedimientos usados para actualizar la documentacin. 33. Probar los dispositivos de seguridad fsica para proteger la documentacin. 34. Probar la documentacin de respaldo (Back-up). 35. Revisar la seguridad lgica para archivos de datos y programas. 36. Revisar el uso por parte del programador, de libreras privadas o temporales. 37. Verificar el trabajo de mantenimiento contra requerimientos para mantenimiento o modificaciones. 38. Revisar las normas para la operacin del computador y comprobar su cumplimiento. 39. Determinar si el hardware es usado eficientemente. 40. Revisar los reportes administrativos concernientes a la utilizacin del hardware. 41. Verificar que el equipo es usado solamente para trabajos autorizados. 42. Revisar los planes para adquisicin de equipo. 43. Revisar los procedimientos para organizacin de actividades. 44. Hacer inventarios de equipos de PED. 45. Revisar los procedimientos para el mantenimiento del hardware. 46. Revisar las condiciones ambientales. 47. Revisar los planes y programas de seguridad fsica. 48. Revisar los controles de acceso fsico. 17 49. Revisar el procedimiento de la proteccin contra y/o deteccin de desastres. 50. Revisar los procedimientos para la recuperacin en caso de desastre. 51. Probar los procedimientos de recuperacin. 52. Revisar la seguridad para medios que contengan archivos de datos o programas. 53. Probar los procedimientos para la toma de copias de respaldo (Back-up). 54. Revisar los procedimientos para la entrada de datos. 55. Revisar los procedimientos para la distribucin de informacin. 56. Revisar los estndares para el diseo de redes de comunicacin. 57. Participar en el planeamiento de la red. 58. Revisar la seguridad fsica para proteger los componentes de la red. 59. Revisar los dispositivos de seguridad lgica para acceder la red. 60. Revisar los controles para modificacin del software. 61. Revisar la documentacin. 62. Revisar los controles existentes sobre los utilitarios. 63. Revisar y probar los procedimientos para el mantenimiento de las libreras utilizadas en produccin. 64. Determinar la naturaleza y el impacto de servicios recibidos de fuentes externas. 65. Conducir revisiones de auditoria para los servicios recibidos de terceros. 66. Verificar que los usuarios entienden los programas aplicativos. 67. Probar el conocimiento de los usuarios respecto a los dispositivos del control del sistema. 68. Revisar la documentacin del usuario. 69. Evaluar la satisfaccin de los usuarios con las diferentes aplicaciones y con el sistema en general. 70. Probar los procedimientos para el control del flujo de los datos del usuario. 71. Revisar los procedimientos para la distribucin de reportes. 72. Verificar el contenido de los archivos magnticos. 73. Desarrollar programas de computador para asistir a los auditores financieros. 74. Servir de enlace entre los auditores financieros y el departamento de procesamiento de datos. 75. Asistir a los auditores financieros en la interpretacin y evaluacin de los reportes generales por el PED. 76. Proveer entrenamiento bsico a los auditores financieros. 77. Proveer entrenamiento a la gente de PED relacionados con los objetivos de auditoria.
RECOMENDACIN
Empiece por dar respuesta a estas preguntas:
Estn formalmente definidos los objetivos de Auditora de Sistemas?
Estn claramente definidas las relaciones entre los auditores de sistemas y los auditores financieros?
18 Si la respuesta es SI, felicitaciones y a cumplir con sus objetivos... pero si la respuesta es NO entonces...
Elabore su propia lista de objetivos, somtala a revisin de diferentes niveles de su organizacin, revise las recomendaciones y presente un plan definitivo a la Gerencia para obtener su aprobacin y respaldo... y no olvide tener en mente los procedimientos para el logro de cada objetivo. 19
La Auditora a travs del Computador
A diferencia de la auditoria alrededor del computador, estas tcnicas permiten al auditor en la medida en que conozca mas las operaciones en el computador, tener menos limitaciones para trabajar.
DEFINICION
Esta tcnica da un gran nfasis a probar el sistema de computador que produce la salida en cambio de probar la salida misma.
El auditor prueba y verifica:
- La efectividad de los procedimientos de control sobre las operaciones de computador y en los programas del computador. - Que el procesamiento interno sea correcto.
Esta tcnica de auditoria requiere dos tareas bsicas que son:
- La revisin y verificacin de las transacciones fuente. - La prueba real de la lgica de los programas de computador y de los controles de programa.
CMO ES LA AUDITORIA A TRAVES DEL COMPUTADOR?
En la figura 1 se ilustra como es la auditoria a travs del computador. Con esto, el auditor asume que el computador es una herramienta y que cuando se programa apropiadamente, produce una salida confiable.
20
Por consiguiente las pruebas de auditoria deben pensarse mas como pruebas lgicas de programacin, que como pruebas de exactitud del computador.
Una de las herramientas clave en la aplicacin de esta tcnica de Auditoria es la preparacin de una serie de transacciones de prueba, normalmente llamadas DATOS DE PRUEBA.
El lote de prueba se corre en el computador, en un ambiente de pruebas previamente instalado y utilizando los mismos programas que fueron utilizados para procesar la aplicacin que esta probando.
La prueba se disea para determinar la efectividad de los controles, exactitud y generalidad de los programas.
21 VENTAJAS Y DESVENTAJAS DE LA AUDITORIA A TRAVES DEL COMPUTADOR
Ventajas 1. Ayuda al auditor a involucrarse mas en el sistema; por consiguiente incrementa su conocimiento y habilidad para realizar auditorias ms complejas en el futuro. 2. Trabaja como una ayuda para realizar pruebas de cumplimiento y en la evaluacin de controles programados. 3. Incremento de servicios a los clientes porque los controles y las operaciones son probadas o, por lo menos, observadas por el auditor. 4. Los resultados de las pruebas son fcilmente identificables y se pueden utilizar como medidas de la confiabilidad del procesamiento interno. 5. Utiliza el computador como una herramienta para realizar las funciones de auditoria.
Las desventajas de esta tcnica son:
1. Requiere tiempo de computador. 2. Requiere conocimientos tcnicos de PED y personal de auditoria ms hbil. 3. Representa una prueba sobre lo hecho (sobre lo conocido) mas que una prueba preventiva. 4. Representa solo una prueba limitada del sistema.
DATOS DE PRUEBA
Los datos de prueba son transacciones simuladas que incluyen idealmente todo tipo de condiciones posibles, incluyendo aquellas que el sistema es incapaz de manejar, debido a la carencia de controles apropiados. Quiere decir esto que la lista de transacciones simuladas debera probar condiciones tanto validas como invalidas.
Los datos de prueba deben ser procesados con los programas regulares del sistema.
Propsito de los datos de prueba.
El auditor no puede ver fsicamente las operaciones y los controles dentro de la caja negra (programas de aplicacin), pero puede ver un listado de los resultados de la prueba donde por ejemplo, algunas transacciones que deberan ser rechazadas no lo fueron, o donde condiciones de overflow causaron errores o donde transacciones fuera de limite fueron procesadas como si fueran correctas (Ej. .transacciones de clientes que exceden el limite de crdito). El auditor tambin puede determinar si la caja negra esta procesando apropiadamente las transacciones validas.
El uso de los datos de prueba abre ventanas en la caja negra, porque las transacciones simuladas se procesan en el sistema de computador y generan resultados que son comparados por el 22 auditor con resultados esperados manualmente con anterioridad. Es decir antes de ejecutar el lote de prueba, el auditor calcula los resultados que debera obtener y luego los compara con los obtenidos en la prueba.
Como preparar los datos de prueba
Generalmente, los datos de prueba se aplican de la siguiente manera:
1. Se debe revisar todo el sistema de controles. 2. Sobre la base de esta revisin se disean las transacciones para probar aspectos seleccionados del sistema o todo el sistema. 3. Los datos de prueba se transcriben a los formatos de entrada al sistema. 4. Los datos se convierten (graban) a medios utilizables por el computador. El auditor debe verificar la conversin mediante rutinas de balanceo o en listados de validacin que se produzcan. Adems debe guardar el medio magntico que contiene la informacin hasta cuando realice la prueba. 5. Los datos deben procesarse con los programas de la aplicacin que estn vigentes. El auditor debera estar presente durante el proceso de los datos para asegurar que: a) no se introduzca informacin adicional, b) se utilizan los procedimientos de operacin estndar, c) no ocurra alguna irregularidad cuando se efecta la prueba, d) Todos los documentos impresos (hardcopy) que se produzcan sean retenidos por el auditor. 6. Los resultados obtenidos en el punto 5, se deben comparar con los resultados predeterminados.
Controles de auditoria sobre los programas de computador que estn siendo probados.
El principal objetivo del uso del lote de prueba es verificar la operacin de los programas de computador de los clientes para ver si operan como se piensa (desea).
El auditor debe asegurarse que el programa que est probando es el mismo que est actualmente en produccin. Esta seguridad se puede obtener mediante la verificacin previa de los procedimientos de Control de Cambios a Programas y de la fecha de actualizacin del programa o programas a probar, las cuales deben coincidir con la fecha de los programas en Produccin.
Aplicacin de los datos de prueba
El auditor debe tener el diseo de los registros de transacciones para preparar sus transacciones de prueba. Este diseo debe contener el nombre de cada campo, el tamao y su configuracin (numero o alfanumrico). El auditor incluye sus propios datos en los campos apropiados para producir resultados predeterminados. Si los resultados de las pruebas no estn de acuerdo con 23 los resultados esperados se debe hacer una investigacin mas profunda para determinar la razn para las variaciones.
Los siguientes son algunos tems que normalmente deberan ser incluidos en la aplicacin de datos de prueba.
1. Verificar si se producen totales de control y se devuelven a la mesa de control. Por ejemplo: si se procesan 100 registros de prueba, el total de control debe indicar 100. 2. Tratar de procesar una transaccin sensitiva sin la debida autorizacin y observar si el sistema la rechaza (por ejemplo cambiar el limite de crdito). 3. Hacer chequeos numricos, alfabticos y caracteres especiales. 4. Entrar a un campo con signo negativo y observar si se procesa realmente con este signo. En algunos sistemas sin controles apropiados, el signo negativo se convierte en positivo. Hacer comprobaciones de validez. Por ejemplo entrar un cdigo invalido o un departamento con cdigo equivocado. 5. Hacer pruebas de racionalidad y de limite. Ejemplo: empleado que trabaja mas de 48 horas por semana; retiro por mas de $50.000 sin autorizacin apropiada. 6. Cuando las transacciones deben estar ordenadas por numero de secuencia, ingresar transacciones en desorden. 7. Incluir un numero de cuenta dgito de chequeo predeterminado y ver si se procesa normalmente. 8. Uso de diferentes unidades de medida. Ejemplo: pies por libras. 9. Incluir diversos campos con datos incompletos o inexistentes. 10. Insertar caracteres en campos que causen condiciones de overflow 11. Tratar de leer o escribir un archivo equivocado.
Los archivos que se van a probar, deben ser copiados al ambiente de pruebas como archivos especiales de trabajo con el fin de permitir todo tipo de pruebas.
Ventajas y desventajas de los datos de prueba.
1. No se requiere que el auditor tenga grandes conocimientos tcnicos. 2. Tiene buena aplicacin donde son pocas las variaciones y combinaciones de transacciones. 3. Da una evaluacin y verificacin objetiva de los controles de programa y de otras operaciones que serian impracticables por otros medios. 4. Los datos de prueba se podran correr sorpresivamente para descubrir la posible modificacin de programas sin autorizacin e incrementar la efectividad de otras pruebas realizadas.
Las desventajas son:
24 1. Se requiere bastante tiempo y esfuerzo para preparar y mantener un lote de datos de prueba representativo. Cualquier cambio en programas, diseo de registros y sistema, implican cambiar los datos de prueba. 2. En algunos casos el auditor puede no probar el sistema que realmente esta en produccin. 3. En un sistema complejo con gran variedad de transacciones es difcil anticipar todas las condiciones significativas y las variedades que deberan probarse. 4. El auditor debe estar bastante relacionado con la lgica de programacin que est probando. 5. La prueba en si misma no detecta todos los errores. Cuando los programas son complejos, pueden existir infinidad de rutas y es muy difcil seguirlas todas. 6. Hay una probabilidad muy alta que el lote no detecte manipulaciones inadecuadas de una cuenta o cantidad especifica.
Sugerencias para desarrollar Datos de Prueba.
Para archivos maestros:
1. Duplicar registros. 2. Proceso de registros. 3. Cargar e intentar procesar archivos equivocados.
Para registros nuevos:
1. Crear un registro nuevo antes del primer registro existente en el maestro (test de low- sequence). 2. Crear un registro nuevo despus del ultimo registro existente en el maestro (test de high- sequence). 3. Crear tres o cuatro registros nuevos con llaves consecutivas dentro de registros que no existen. 4. Crear un registro para una divisin inexistente, un departamento, una planta, un tem de inventario, empleado, cliente, y as sucesivamente. 5. Crear dos o ms registros de cabecera, uno inmediatamente despus del otro. 6. Crear un registro nuevo con llaves ceros. 7. Crear un registro nuevo con llaves nueves. 8. Crear un registro nuevo, pero incompleto. (Por ejemplo: Solo uno o dos campos de diez posibles)
Para transacciones:
1. Crear transacciones para el primer registro del archivo. 2. Crear transacciones para el ultimo registro del archivo. 3. Crear transacciones para otros registros diferentes al primero y el ultimo del archivo. 4. Crear transacciones para un registro nuevo creado en la misma corrida. 25 5. Crear transacciones para varios registros consecutivos. 6. Crear varios tipos de transacciones para un mismo registro. 7. Intentar crear transacciones para registros inexistentes que fueron menores en secuencia que el menor registro existente; mayores en secuencia que el ultimo registro existente, y entre registros existentes, as como para varios registros consecutivos no existentes. 8. Crear transacciones de tal manera que los totales se hagan negativos y verificar el efecto en otros campos del registro. 9. Crear cantidades demasiado grandes para crear overflow. Examine los resultados. 10. Si se utiliza un registro de encabezado seguido por registros de detalle, cree registros detallados para el primer registro del archivo, el ultimo registro, dos registros consecutivos, un registro no existente y varios registros inexistentes.
Para borrar registros e inactivos:
1. Eliminar el primer registro de cada archivo. 2. Eliminar el ultimo registro de cada archivo. 3. Eliminar 3 o 4 registros consecutivos de cada archivo. 4. Intentar acceder un registrar inexistente. 5. Codificar un registro como inactivo e intentar grabar datos al mismo registro en la misma corrida. 6. Volver activo un registro inactivo y crearle transacciones en la misma corrida.
Para Fechas:
1. Asegurarse que todos los campos de datos de fechas se han actualizado correctamente. 2. Crear fechas con meses 00 y 13, das 0 y 32 y un ao invalido. 3. Crear fechas que estn fuera de los intervalos de actualizacin. Ejemplo: en un periodo mensual, hacer intervalos de mas de 30 das. 4. Hacer dos corridas de actualizacin con la misma fecha.
Para pruebas de lgica y proceso:
1. Verificar todos los clculos que producen promedios o porcentajes con pequeos, medianos y grandes valores. 2. Crear una condicin para todas las rutinas de divisin con cero como denominador. 3. Crear datos de prueba para valores menores que el mnimo y mayores que el mximo permitidos. 4. Crear datos para todas las excepciones y errores. 5. Crear datos que incluyan excepciones mltiples y errores en la misma transaccin. 6. Crear datos para los valores mnimos y mximos de cada campo.
Para programas de validacin. Los datos de prueba para campos alfabticos incluirn:
26 1. Campo completamente lleno de letras. 2. Campo completamente en blanco. 3. nicamente nmeros 4. La primera posicin alfabtica 5. Primera posicin en blanco. 6. Mezcla de caracteres numricos
Datos de prueba para los campos de cantidad o valor incluirn:
1. Campo lleno de nueves. 2. Campo lleno de ceros. 3. Campo lleno de blancos. 4. Exacto el limite inferior, si lo hay. 5. Exacto limite superior, si lo hay. 6. Una cantidad o valor tpica entre los limites. 7. Valor superior al limite, si lo hay (diferente de nueves). 8. Valor inferior al limite, si lo hay (diferente de ceros). 9. Valor con signo errado (+ o -). 10. Datos alfabticos en cada campo.
Para programas de actualizacin:
1. Disear datos para crear varios registros maestros completos. 2. Crear datos para cambiar un registro maestro inexistente. 3. Disear datos para crear datos con la misma llave de otro existente. 4. Crear datos con un registro cuya llave sea ceros. 5. Crear datos con un registro cuya llave sea nueves. 6. Crear uno o dos tem para establecer un registro del archivo maestro nuevo pero incompleto. 7. Disear datos para crear un nuevo registro en el archivo maestro y hacerle cambios posteriormente en la misma corrida.
Para programas de proceso:
1. Entrar datos que produzcan resultados de clculos con valores pequeos, medianos y muy grandes. 2. Entrar datos que creen condiciones de divisin o multiplicacin por cero. 3. Entrar datos que originen desbalanceo del registro de control de lote. Examinar resultados. 4. Disear varias entradas contables ilgicas (ejemplo: Crdito a gastos de depreciacin y debido a cuentas por cobrar) 5. Entrar datos que causen overflow.
27 Para programas de reportes:
1. Incluir datos de prueba con valores negativos para asegurar que se imprimen los signos para cada campo, en cada lnea de detalle y en las lneas de total. 2. Crear datos con nueves en todo el campo para asegurar que se imprimen y que no se ponen en otros. 3. Entrar datos de prueba con solo ceros para probar la supresin de ceros no significativos en la impresin. 4. Verificar todas las sumas y resultados de los clculos. 28
Enfoques y Tcnicas de Auditora para probar los sistemas de PED
TCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR
TIPOS DE PRUEBA DE AUDITORIA
- Sustantivas v con el computador v sin el computador
- De cumplimiento
v con el computador v sin el computador
ALCANCE DE LAS PRUEBAS DE AUDITORIA
- Comportamiento del sistema ante situaciones normales.
v de normal ocurrencia para la operacin o negocio v previstas y establecidas para el funcionamiento normal del sistema
- Comportamiento del sistema ante situaciones fuera de lo normal.
v generalmente no consideradas ni previstas en el diseo del sistema por ser obvias, de sentido comn v exticas o extremas, como por ejemplo:
Fechas invalidas. Insuficiencia de tamao en campos de valor. Perdida de dgitos en cargue o traslado de acumuladores. Validez de campos. Valores negativos. Inconsistencias entre diferentes campos de un mismo archivo.
ENFOQUES PARA APLICAR PRUEBAS DE AUDITORIA
1. HISTORICO / ESTATICO
Tiempo de la prueba posterior al tiempo de los eventos ( tp no pertenece te) 29 Auditoria a la informacin sobre hechos cumplidos. Generalmente se limita a revisar lo conocido (por qu ha ocurrido?) Auditoria detrs de lo conocido. o Se cumplieron los controles establecidos? o La informacin sobre las transacciones que ocurrieron durante un periodo de tiempo se proceso en forma completa, exacta y oportuna?
Tcnicas aplicables en sistemas Batch y On-line.
o Datos de prueba. o Sistemas de evaluacin de un caso base. o Simulacin en Paralelo o Software de auditoria (paquetes o software hecho a la medida):
Seleccin de transacciones. Confirmacin de saldos. Registros extendidos. Examen de archivos. Reportes de excepcin. ACL, IDEA, SPSS, SAS
- Programas de utilidad (Utilities). - Otras sin utilizar el computador.
2. ON-LINE / SIMULTANEO / SOBRE LA MARCHA
Tiempo de prueba = tiempo de los eventos (tp = te). Auditoria en tiempo real, simultanea a los hechos que son objeto de la auditoria. Permite un enfoque ms dinmico de la auditoria, porque la oportunidad de las pruebas y el trabajo de la auditoria se ejecuta sobre informacin actual no histrica.
o La informacin cumple con los controles establecidos para su procesamiento? o La informacin refleja un hecho econmico, normal y permisible?
La auditoria puede actuar mas oportunamente, anticiparse a los acontecimientos. Tcnicas aplicables en sistemas On-line, tiempo real.
o ITF (Facilidad de la prueba integrada o enfoque de la mini compaa o entidad ficticia). o Mdulos de auditoria encajados en los programas de aplicacin (SARF y SCARF). o Simulacin paralela encajada en la aplicacin On-line. o Segmento de base de datos del auditor. 30 o En general, requiere el uso de software de auditoria
Paquetes de software de auditoria. Programas de computador hechos a la medida. Uso de programas de utilidad (Utilities).
ENFOQUES DE AUDITORIA PARA LOS SISTEMAS DE APLICACIN
A. Para sistemas existentes (aplicaciones en produccin)
1. Si el auditor no estuvo involucrado en el desarrollo de la aplicacin.
- Uso de herramientas y tcnicas aplicables despus del evento. Paquetes, ITF, datos de prueba, caso base, simulacin paralela, etc. - Uso de manuales, generalmente anticuados, desactualizados.
2. El auditor estuvo involucrado (participo) en el desarrollo de la aplicacin.
- Emplea rutinas de auditora construidas como parte del sistema. Enfoque al momento, On-line / simultaneo. - Complementa con tcnicas aplicables para despus del evento.
B. Para nuevos sistemas
1. Plan de auditabilidad externa al sistema de aplicacin.
- Enfoque despus del evento. - Tambin enfoque al momento, simulacin paralela no encajada, pero simultanea.-
2. Creacin de auditabilidad en el sistema con mdulos.
Incorporados y componentes dinmicos.
- Sistema de auditoria por computador. - Mdulos incorporados, registros extendidos, ITF, sealizacin y rastreo (Snapshot y Tracing), sistemas duales, etc.
31
32 PROCEDIMIENTOS DE AUDITORIA PARA APLICACIONES EN FUNCIONAMIENTO
AREAS DE EXPOSICION ALCANCE PUNTOS DE CONTROL (DE EXPOSICIN) METODOS DE AUDITORIA 1. Generacin de transacciones en la fuente de informacin. Preparacin manual y el procesamiento de las transacciones antes de ser entradas a computador. 1. Registro de datos en los documentos fuente. - Revisin de procedimientos utilizados. 2. Autorizacin de transacciones. - Observacin en las reas del usuario. 3. Preparacin de entradas para el PED. - Rastreo manual de transacciones. 4. Retencin de documentos fuente. - Revisin del transporte de documentos y registros. 5. Manejo de errores. - Revisin de reportes de errores en el input, preparados por el computador. 6. Las personas: Identificacin, autorizacin, autenticacin. - Verificacin de documentos fuente. - Comparacin de datos fuente con registros del computador. - Software generalizado de auditoria (para seleccionar transacciones y lotes). - Mdulos (subrutinas) de auditoria encajadas dentro de los programas de aplicacin, para seleccionar transacciones continuamente. - Revisin a separacin de funciones.
33
PROCEDIMIENTOS DE AUDITORIA PARA APLICACIONES EN FUNCIONAMIENTO
AREAS DE EXPOSICION ALCANCE PUNTOS DE CONTROL (DE EXPOSICIN) METODOS DE AUDITORIA 2. Transporte de documentos fuente al centro de PD Traslado de documentos desde la fuente de la informacin al centro de PD y viceversa. 1. Seguridades previstas para el transporte fsico. - Observaciones en las fuentes de la informacin y en el rea de recepcin de documentos en el PED. 2. Medidas para prevenir prdida o extravi de documentos. - Examen de registros y documentos de control que se utilicen. 3. planeacin de transporte. - Revisin y anlisis de procedimientos establecidos. 4. Medios de transporte. 5. Las personas. 3. entradas de transacciones a procesamiento electrnico de datos (Batch y On-line). Grabacin (captura), entrada de datos por terminal, validacin del input, procedimientos para manejo y correccin de errores en PD. 1. Entrada de datos On-line. - Revisin y evaluacin de procedimientos escritos ( en las reas del usuario y en PD). 2. Entrada de datos en forma batch. - Seleccin de transacciones, rastreo manual y verificacin. 3. Validacin de datos de las transacciones. - Revisin a separacin de funciones. 4. Manejo de errores en los datos de las transacciones. - Observaciones y revisiones de hojas de control de lote, hojas de ruta y registros usados en el balanceo y reconciliacin del procesamiento de entradas.
5. Las personas. - Software generalizado de auditoria para seleccionar transacciones y lotes o paquetes. - Mdulos de auditoria encajados para 34 seleccionar transacciones. - Paquete de datos de prueba. - Facilidad de la prueba integrada (mini compaa).
PROCEDIMIENTOS DE AUDITORIA PARA APLICACIONES EN FUNCIONAMIENTO
AREAS DE EXPOSICION ALCANCE PUNTOS DE CONTROL (DE EXPOSICIN) METODOS DE AUDITORIA 4. Comunicacin de datos. El flujo de datos entre las terminales remotas y el centro de procesamiento de datos. 1. Entrada de mensajes. - Verificar mantenimiento preventivo a los equipos y a la red de comunicacin de datos. 2. Transmisin de mensajes.
- Revisar procedimientos de reporte de fallas de operacin de la red. 3. Recepcin y contabilidad de mensajes. - Rastreo de log y reportes de errores. 4. Las personas. - Entrevistas con los usuarios da le red. 5. Las lneas de comunicacin. - Uso de la ITF o enfoque de mini compaa. 6. Modems. 7. Software de comunicacin. - Software generalizado de auditoria para seleccionar transacciones. 8. Log de comunicaciones. - Revisin a separacin de funciones. 5. Procesamiento de las transacciones en el computador. Programas de computador que procesan los datos despus de ser validado el input. 1. Controles para prevenir errores y omisiones (integridad del procesamiento). - Observaciones al rea de operacin del computador. 2. Restauracin y recuperacin del procesamiento. - Revisin del log de consola. 3. Controles para asegurar exactitud y confiabilidad de los clculos que se efecten. - Mtodo de datos de prueba.
4. El operador del computador. - Mtodo del caso base. 35 5. Controles para garantizar seguridad y privacidad. - ITF o mini compaa. - Tagging, Mapping y Tracing. - Programas de seleccin de transacciones en listados o por pantalla.
PROCEDIMIENTOS DE AUDITORIA PARA APLICACIONES EN FUNCIONAMIENTO
AREAS DE EXPOSICION ALCANCE PUNTOS DE CONTROL (DE EXPOSICIN) METODOS DE AUDITORIA 6. Manejo de errores. - Mdulos de auditoria incorporados (subrutinas). 7. Las personas. - Software de auditoria generalizado para examinar archivos y obtener evidencias. 8. Mantenimiento y actualizacin de archivos maestros. - Simulacin paralela. - Revisin a separacin de funciones. 9. Reorganizacin de archivos maestros y cargue / actualizacin de acumuladores en fechas de corte. 10. Transacciones generales internamente.
6. Almacenamiento y recuperacin de datos y de programas. Almacenamiento de programas y de archivos de datos (maestros y de transacciones). 1. Identificacin, localizacin y control de archivos de datos y de programas. - Software generalizado de auditoria para extraer y rastrear registros. 2. procedimientos de respaldo (backup) de archivos maestros y de transacciones en fechas de corte. - Examen de procedimientos de backup y manejo de archivo en bibliotecas. 36 3. Acceso lgico y fsico a los archivos y libreras de programas. - Revisin de log de seguridad y de registros de librera de medios. 4. Manejo de errores. - Revisin de salidas del SMF. 5. Las personas. - Revisin de separacin de funciones. 6. Las bibliotecas de medios magnticos. - Observacin e inspeccin de las reas de biblioteca. 7. Procedimiento de transporte de archivos a las bibliotecas.
PROCEDIMIENTOS DE AUDITORIA PARA CENTROS DE SERVICIOS DE COMPUTADOR
AREAS DE AUDITORIA PUNTOS DE CONTROL PROCEDIMIENTOS DE AUDITORIA
1. Control de entradas / salidas de informacin. 1. Mtodos de planeacin de la produccin. 2. Procedimientos de control de E / s. 3. Procedimientos de control de la produccin. 4. Procedimientos para el manejo de errores. 5. Distribucin de reportes. 6. Personas. - Anlisis de procedimientos establecidos. - Examen de log y registros que se mantengan. - Observacin para determinar cumplimiento de procedimientos establecidos. - Rastreo del flujo de los datos a travs de la funcin de control de E / s para probar si los procedimientos son apropiados. - Entrevista con los usuarios de PD. 2. Biblioteca de medios magnticos. 1. Seguridad fsica y controles de acceso. 2. Registro y control de inventario. 3. Backup y almacenamiento fuera de la instalacin. (Off-site) 4. Retencin, limpieza y reciclaje. 5. Procedimientos establecidos. 6. Bibliotecarios. - Uso de guas de control. - Observacin. - Revisin de registros y logs de inventario - Rastreo de archivos de backup y de polticas de retencin para una o ms aplicaciones especificas. - Uso de sistemas de inventario automatizado 37 que proporcionan listados. 3. Separacin de funciones Incompatibles. 1. En produccin. 2. En operacin del computador. 3. En biblioteca de medios magnticos. 4. En generacin de transacciones. 5. En desarrollo y mantenimiento de aplicaciones. - Revisin del grafico de la organizacin. - Entrevistas. - Observacin. - Rastreo de flujo de transacciones relacionadas. - Examen de logs y de registros de control. - Anlisis de registros del Job Accounting (SMF). 4. Controles ambientales y de seguridad fsica. 1. Temperatura y humedad. 2. Fuente de potencia estable. 3. Fuente de potencia alternativa (UPSs). 4. Proteccin contra incendios. 5. Control de acceso fsico. 6. Procedimientos para liberacin de datos, reportes y programas de computador. 7. Seguros contra accidente e interrupcin del negocio. - Examen de documentos relativos a provisiones para contingencias. - Simular un desastre. - Examen de backups. - Examen de procedimientos establecidos. - Observacin. - Entrevistas.
PROCEDIMIENTOS DE AUDITORIA PARA CENTROS DE SERVICIOS DE COMPUTADOR
AREAS DE AUDITORIA PUNTOS DE CONTROL PROCEDIMIENTOS DE AUDITORIA
5. Planes para recuperacin de desastres. 1. Asignacin de responsabilidades. 2. Planes de accin para emergencias. 3. Uso de instalaciones y archivo de backup. 4. Puntos y tcnicas de control para asegurar la integridad de los datos y programas durante la transicin. 5. Procedimientos para el transporte de backups de datos, programas y documentacin desde el sitio del almacenamiento hasta el centro de procesamiento. - Examen de documentos relativos a provisiones para contingencias. - Examen de documentos relativos a provisiones para contingencias. - Simular un desastre. - Examen de backups. - Examen de procedimientos establecidos. - Observacin. - Entrevistas. 6. Reportes de malfuncionamiento y mantenimiento preventivo de los equipos. 1. Registro y reporte de fallas. 2. Planeacin de mantenimiento preventivo de hardware y software. - Examen de reportes de malfuncionamiento y de las acciones correctivas utilizadas. - Revisar el plan de mantenimiento preventivo. 38 3. Correccin del mal funcionamiento. 4. El personal tcnico de mantenimiento. 5. El personal de operacin de equipos. - Examinar contratos de mantenimiento. - Entrevistas con el personal de operacin y mantenimiento. 7. Planeacin de la sistematizacin de la empresa. 1. Carga y proyecciones de utilizacin de equipos. 2. Planes de trabajo y asignacin de recursos de personal. 3. Planeacin estratgica de la sistematizacin (Plan maestro). 4. Revisin peridica de planes y proyecciones. 5. Participacin de la direccin de la empresa (comit de sistemas). - Revisin y examen de los documentos de planeacin anual preparada y aprobada por la administracin de PD. - Anlisis del plan estratgico. - Revisin de planes de inversin de capitales, equipos o de arrendamiento a largo plazo. 8. Procedimientos de cargos y facturacin de costos de sistematizacin. 1. Job Acounting. 2. Algoritmos de facturacin. 3. Reconciliacin de la facturacin. 4. Declaraciones peridicas de facturacin al usuario. - Rastreo de la informacin generada por el software de Job Accounting (SMF). - Revisin del algoritmo de facturacin. - Revisin de las tablas de porcentaje utilizadas. - Rastreo de las cuentas hacia atrs, hasta los registros de Job Accounting. - Reconciliacin de los costos totales de PD con los costos cargados mensualmente. - Revisin de tendencias de facturacin para algunas aplicaciones.
PROCEDIMIENTOS DE AUDITORIA PARA CENTROS DE SERVICIOS DE COMPUTADOR
AREAS DE AUDITORIA PUNTOS DE CONTROL PROCEDIMIENTOS DE AUDITORIA
9. Seguridad lgica de los archivos de datos y de programas. 1. Proteccin de archivos a travs del sistema. 2. Procedimientos de control y administracin de passwords. 3. Software de control de acceso. 4. Categoras de clasificacin de la informacin. 5. Niveles de autorizacin de usuarios. - Observacin. - Entrevistas. - Examen de proteccin lgica establecida para archivos crticos. - Comprobacin de la operacin de controles proporcionados por el sistema operacional. 39 6. Administrador de seguridad. 7. Programas de utilidad de acceso restringido. - Examen del procedimiento utilizado para control y administracin de passwords. - Examen del procedimiento establecido para el uso de utilities. - Examen de log de actividad del sistema. 10. Documentacin para el manejo de sistemas 1. Documentacin tcnica de las aplicaciones. 2. Documentacin tcnica de los programas. 3. Instrucciones para la operacin del computador. 4. Instrucciones para el manejo de la biblioteca de medios magnticos. 5. Instrucciones para el control de entradas y salidas de PD. 6. Documentacin tcnica del software del sistema. - Entrevistas. - Examen de documentacin existente. - Observacin de las operaciones. - Elaboracin de inventario de documentacin. - Confirmacin del nivel de actualizacin del software del sistema. 11. Programa de control de cambios al software (de aplicacin y el sistema) 1. Procedimiento y formas de solicitud y autorizacin de cambios. 2. Procedimientos de aprobacin de acceso a libreras de programas fuente. 3. Prueba y certificacin de los resultados de las pruebas. 4. Procedimientos de reentrada de programas modificados a las libreras de produccin (objeto). 5. Registro y control de cambios no programados. - Pruebas de cumplimiento: uso de informacin de contabilidad (SMF por ejemplo), comparacin de cdigos, rastreo y revisin de documentos de autorizacin. - Revis in de pistas existentes sobre documentos de autorizacin de cambios. - Anlisis de reportes sobre cambios de emergencia. - Entrevistas - Anlisis de procedimientos establecidos.
PROCEDIMIENTOS DE AUDITORIA PARA CENTROS DE SERVICIOS DE COMPUTADOR
AREAS DE AUDITORIA PUNTOS DE CONTROL PROCEDIMIENTOS DE AUDITORIA
12. Estndares y guas de sistemas. 1. Normas para el desarrollo y mantenimiento de - Observacin. 40 aplicaciones. 2. Normas para elaboracin de manuales para el personal de sistemas y del usuario. 3. Normas para la programacin de computadores. 4. Nomenclaturas para programas y archivos. 5. Lenguaje de procedimientos (JCL). 6. Normas para el diseo y mantenimiento de controles. - Entrevistas. - Anlisis de procedimientos, normas y polticas establecidas. - Pruebas de cumplimiento. - Uso de guas de sistemas. - Uso de guas de control. 13. Otros controles administrativos y organizacionales. 1. Organigrama. 2. Asignacin de funciones. 3. Planes de trabajo, vacaciones y capacitacin. 4. Registro y control de inventario de equipos. - Entrevistas. - Anlisis de informacin sobre el personal de sistemas. - Anlisis de informacin proporcionada por la Gerencia de PD. - Verificacin de inventarios y registros de activos fijos.
CARTAS DE RECOMENDACIONES DE CONTROL INTERNO
Aspectos generales.
Enfoque de las cartas de recomendaciones.
Redaccin de la carta.
A quien debe ser dirigida la carta.
Seguimiento de la carta de recomendaciones.
ASPECTOS GENERALES:
La carta de recomendaciones de control interno (tambin llamada informe de visita) es un documento elaborado por los auditores (revisores fiscales, auditores externos y auditores internos) con base a la evaluacin del control interno que se lleva a cabo en cumplimiento de las normas de auditoria generalmente aceptadas; a travs de dicho documento, los auditores hacen llegar a los gerentes y administradores de la empresa, sus puntos de vista sobre el control interno, los procedimientos y el sistema de contabilidad y las polticas de administracin utilizadas por la compaa, con el propsito de que al aplicar las recomendaciones y sugerencias de los auditores, se fortalezcan los controles y en consecuencia se protejan mejor los intereses de la empresa.
Las cartas de control interno cubren bsicamente los siguientes aspectos:
1. Debilidades en los sistemas de control interno. 2. Desviaciones de los procedimientos y polticas establecidas. 3. Ausencias de control interno. 4. Falta de aplicacin o aplicacin incorrecta de los principios y practicas de contabilidad de aceptacin general. 5. Procedimientos de administracin inadecuados. 6. Inobservancia de disposiciones legales que pongan en peligro el funcionamiento de la empresa.
ENFOQUE DE LAS CARTAS DE RECOMENDACIONES
Debido a que las cartas de control interno contienen generalmente criticas que de alguna u otra manera afectan a los empleados que intervienen en los procedimientos y transacciones 42 cuestionadas, es conveniente tener en cuenta los siguientes aspectos para lograr que tales criticas sean bien recibidas:
Tener un conocimiento completo sobre la situacin cuestionada y haber hecho una cuidadosa apreciacin de los hechos.
No debemos aventurarnos en casos que no dominemos perfectamente el tema. Ninguna critica debe ser hecha, ni sugerencia alguna ofrecida, sin el completo conocimiento y la cuidadosa apreciacin de los hechos. Antes de la emisin de la carta final se considera invariablemente necesario discutir las criticas y sugerencias propuestas con las personas responsables dentro de la organizacin, quien tenga conocimiento de los hechos.
Nuestras conclusiones deben estar respaldadas con hecho concretos y evidentes. No debemos referirnos a un hecho aislado, sino a situaciones que constituyan normas y procedimientos generales.
No ser apasionados ni inclinarnos a favor de persona alguna. No dejarnos influenciar por ejecutivos o empleados que tengan inters en sealar una situacin determinada.
Evitar asuntos de poca importancia.
Es conveniente analizar con detenimiento cada deficiencia con el fin de incluir en la carta de control interno solo los asuntos que por su importancia y valor practico contribuyan a que dicho documento sea de inters para la empresa.
El incluir asuntos rutinarios y de poca importancia puede restar el efecto de inters y trascendencia que deben tener todas las cartas de control interno.
Enfocar las observaciones de manera practica y flexible.
Las sugerencias sobre el control interno y sistemas de contabilidad deben ser practicas y estar de acuerdo con las condiciones existentes. No debemos pretender hacer valer nuestros gustos o preferencias personales. Hay que ser flexible en todos aquellos puntos en que los argumentos expuestos por la empresa ante una situacin dada, nos convenza de hacer una cosa en forma determinada, siempre que estn de acuerdo con las buenas prcticas de contabilidad y de control interno.
Tener en cuenta el tamao y la magnitud de la empresa.
Hay que tener presente el tamao y la organizacin de la empresa u otras limitaciones parecidas de forma tal que nuestras observaciones y criticas estn acordes con los volmenes 43 de transacciones. No debemos olvidar que un problema de las mismas caractersticas en una empresa grande y en una empresa pequea puede requerir de soluciones diferentes. Algunos ejemplos de estas situaciones se describen a continuacin:
v Cuando por falta de empleados no es posible establecer una divisin de funciones para estrechar el control interno y que el contador no prepare conciliaciones bancarias.
v Cuando el cajero no deposita inmediatamente el dinero sobrante en el pago de una nomina por sueldos no reclamados, pero sin embargo, el contador mantiene un control sobre los sueldos no reclamados.
En tales casos, debemos evaluar los procedimientos sustitutivos que la empresa tiene en practica y recomendar los que puedan solucionar el problema sin contratiempos para el negocio, aunque no sean estos los procedimientos clsicos, siempre que sean aceptables.
En pequeas empresas, negocios de un solo dueo, la intervencin directa de su propietario en la administracin y el control que este ejerce sobre todas las fases del negocio, son factores a considerar en la redaccin de una carta de recomendaciones.
Enfocar las criticas hacia soluciones que favorezcan a la empresa y no a los auditores.
Algunas veces deseamos sugerir a la empresa un cambio, pero es para satisfacer un gusto o una preferencia personal sobre la forma de hacer una cosa determinada. Hay muchas formas de hacer un mismo trabajo y por eso no debemos empearnos en que se haga segn nuestro criterio. Hay que tener presente que lo importante en una auditoria es el resultado, no el sistema, o el medio de llegar a ese resultado.
A veces argumentamos que no podemos desarrollar un trabajo de auditoria con facilidad, por que el sistema no se adapta a nuestros requerimientos desde el punto de vista de la auditoria. Hay que pensar que el sistema, normas y procedimientos de trabajo son para el uso de los empleados de la empresa durante todo el ao y es para ellos que se establecen esos procedimientos, no para la facilidad de los auditores que intervienen durante un corto periodo.
Reflexionar sobre el enfoque de la carta de control interno.
Desafortunadamente algunos auditores restringen sus cartas de recomendaciones a sugerencias de rutina como las que aparecen mecnicamente durante la revisin. Algunos ejemplos son:
v Problema de caja chica. v Omisin de sellar pagado fecha, en los documentos al momento de ser pagados. 44 v Cuentas bancarias no reconciliadas mensualmente. v Estados de cuanta no enviados mensualmente a los clientes. v Registros de archivos fijos detallados inadecuadamente. v Controles deficientes sobre cuentas por pagar. v Debilidades en los procedimientos de nomina de sueldos. v Falta de limpieza en los libros de contabilidad. v Carencia del libro oficial de inventarios. v Seguros de manejo.
Los puntos antes mencionados son importantes y, en definitiva, deben ser incluidos en las cartas de recomendaciones. Sin embargo la carta no debe restringirse en si, a tales puntos, sino que tambin debe incluir sugerencias que provengan de un estudio completo de los procedimientos de las empresas y del uso de la reflexin. Unos pocos ejemplos de tales puntos son:
v Medios de reducir el trabajo de oficina. v Posibilidad de un sistema mecanizado o automatizado para ahorrar tiempo y trabajo y la implantacin de sistemas mas adecuados. v Mejoramiento de los procedimientos o controles internos a travs de una mejor distribucin del trabajo o reasignacin de funciones. v Aceleracin del trabajo a travs de formularios mejor diseados o la combinacin de formularios existentes. v Mejoras en los procedimientos de inventario perpetuo y fsico. v Posible eliminacin de ciertos datos contables no utilizados por la Gerencia. v Mejoramiento de los informes y estados financieros internos. Proporcionar a la empresa (cuando sea aplicable y no exista la posibilidad de obtener este trabajo adicional), formas de impresos y de estados financieros para informes a la Gerencia. v Mejoras en la contabilidad de costos. v Utilidad de los presupuestos. v Normas para preparar un manual de procedimientos o sealar cambios de importancia en el cdigo de cuentas para que los estados financieros sean ms significativos. v Cobertura de seguros insuficiente.
Estos y muchos otros asuntos podran incluirse en las cartas de recomendaciones. Sin dejar de prestar atencin a los asuntos de pura rutina, debemos dirigir la atencin de la empresa a aquellos asuntos que positivamente habrn de producirle una ventaja inmediata.
Conclusin sobre el enfoque de las cartas de recomendaciones.
Los trminos generales, en las cartas de recomendaciones, se deben incluir aquellos aspectos que los funcionarios y empleados de la empresa puedan palpar como beneficios positivos y que al ponerlos en practica, van a ser vistos y sus consecuencias observadas.
45 Como ya se ha dicho, una carta de recomendaciones produce a veces resquemores y malestar en las personas que se sienten aludidas con nuestras criticas. Por eso siempre debemos sealar asuntos positivos y de verdadero valor.
Por otra parte si las practicas errneas que hemos sealado han sido corregidas de acuerdo con nuestras sugerencias y se han conseguido los resultados deseados, es lgico que esas personas se sientan halagadas si nosotros sealamos en otra carta lo que se ha hecho en atencin a nuestras sugerencias y los resultados positivos que se han obtenido. Esto, como poltica, dar mas importancia aun a las cartas de recomendaciones y producir el efecto de mejorar nuestras relaciones con los funcionarios y empleados de la empresa, eliminado cualquier aspereza que pudiera existir hacia nosotros. Este es el medio del cual nos podemos valer para decirle a la empresa en una forma muy sutil, que las cartas de recomendaciones son de un valor extraordinario y que por consiguiente siempre debern prestarles atencin. 46
Papeles de Trabajo
1. ARCHIVO PERMANENTE:
1.1. OBJETIVO:
Mantener organizada y disponible la informacin que refleja las caractersticas y el funcionamiento de la entidad o de las reas objeto de estudio y evaluacin, para consulta por parte de los auditores.
1.2. CARACTERISTICAS:
1.1.1 Contiene, segn los parmetros fijados por el director del departamento, la informacin importante para comprender en forma exacta, rpida y sencilla las reas objeto de auditoria. 1.1.2 Son de valor constante. 1.1.3 Se conforma completamente una sola vez (en la primera auditoria). Despus se le efecta mantenimiento y actualizacin. 1.1.4 Se elabora uno por uno:
v Cada aplicacin. v Centro de procesamiento (centro de computo) v rea especifica evaluada.
1.3. IMPORTANCIA:
v Son de fuente de consulta permanente, gil y eficaz para atender las necesidades de informacin de los auditores. v Constituyen la base sobre la cual los auditores proyectan trabajos de revisin especficos y resuelven dudas.
1.4. CONTENIDO:
1.4.1. CENTROS DE PROCESAMIENTO DE DATOS:
v ndice.
v Organigrama del departamento de sistemas.
v Funciones por cargo.
47 v Plano de la distribucin fsica del rea (electrnica, elctrica, hidrulica y seguridad fsica y lgica)
v Informacin bsica sobre equipos PED utilizados
v Informacin bsica disponible.
v Configuracin de los equipos.
v Lista de aplicaciones en produccin.
v Lista de normas de seguridad establecidas para el centro de procesamiento.
v Plan de contingencia.
v Plan de mantenimiento de equipos.
v Plan estratgico de sistematizacin.
v Normas, estndares y procedimientos generales de sistemas.
1.4.2. APLICACIONES EN FUNCIONAMIENTO
v ndice.
v Macrodiagrama de los procesos manuales y automatizados de la aplicacin.
v Muestra de los documentos fuente.
v Muestra de los informes producidos por la aplicacin.
v Inventario de informes producidos.
v Lista de programas de computador.
v Diseos de captura o consulta.
v Descripcin de los diseos de registros de archivos maestros y de movimiento.
v Copia o referencia a normas legales y polticas de la compaa que rigen el funcionamiento de la aplicacin.
48 v Diagrama de los procesos computarizados.
v Plan de ejecucin de procesos. Procesos alternos.
v Descripcin de clculos importantes efectuados por los programas de aplicacin.
v Clasificacin de los datos de los archivos maestros, diferenciando los reportados, de los calculados por el sistema.
1.4.3. APLICACIONES EN DESARROLLO:
v ndice.
v Notas sobre el examen de los documentos que contienen el anlisis del sistema actual.
v Copia de las especificaciones funcionales del proyecto en desarrollo.
v Diseo conceptual del nuevo sistema.
v Resultado de los anlisis de costo / beneficio.
v Copia del plan de trabajo para el desarrollo del proyecto.
v Diseo de archivos y reportes.
v Diseo de documentos fuente.
v Lista de programas de la aplicacin.
v Lista o copia de la documentacin de la aplicacin.
v Copia o referencia a normas legales y polticas de la compaa, que rigen el funcionamiento de la aplicacin.
2. ARCHIVO CORRIENTE:
2.1. OBJETIVO:
Contener la documentacin detallada de cada trabajo de auditoria que se realice.
49 2.2. CARACTERISTICAS:
2.2.1. No es actualizable.
2.2.2. Debe elaborarse completamente cada vez que se realice una auditoria.
2.2.3. El de la ultima versin, es el de valor actual.
2.2.4. Se elabora uno por cada trabajo de auditoria.
2.3. IMPORTANCIA:
2.3.1. Sirven como evidencia de los objetivos y el alcance de cada trabajo realizado y de los procedimientos de auditoria.
2.3.2. Constituyen el soporte de os informes que emite el auditor.
2.3.3. Sirve de ayuda para la discusin del informe con los responsables de las reas auditadas.
2.3.4. Sirve de punto de partida para el seguimiento del trabajo y la ejecucin de la siguiente auditoria.
2.3.5. Sirven de referencia y consulta mientras estn vigentes.
2.4. CONTENIDO:
2.4.1. CENTROS DE PROCESAMIENTO DE INFORMACIN:
v ndice.
v Memorando de planeacin de la auditoria.
v Programa de trabajo.
v Lista de comprobacin o planillas de anlisis de riesgos para evaluacin del control interno.
v Programa de auditoria.
v Diseo de pruebas de auditoria. 50
v Resultados de las pruebas y anlisis de las mismas.
v Planillas de observaciones, para discusin con las reas afectadas y con la Gerencia.
v Informe con los resultados de la auditoria.
v Puntos de inters y sugerencias para las prximas revisiones.
2.4.2. APLICACIONES EN FUNCIONAMIENTO:
El archivo debe contener los mismos tem definidos para centros de procesamiento de informacin.
2.4.3. APLICACIONES EN DESARROLLO:
v ndice.
v Memorando de planeacin de la auditoria.
v Programas de trabajo.
v Programas de auditoria.
v Lista de evaluaciones de controles.
v Planillas de observaciones, para discusin con la Gerencia.
v Informe con los resultados de la auditoria.
3. ARCHIVO ADMINISTRATIVO:
3.1. OBJETIVO:
Mantener un registro actualizado de los planes, herramientas, estndares de trabajo y recursos disponibles para la administracin y el desarrollo continuado de la Auditora de Sistemas.
3.2. CARACTERISTICAS:
51 3.2.1. Es el resultado de la planeacin y el desarrollo alcanzado por la Auditora de Sistemas como funcin permanente dentro de la empresa.
3.2.2. Contiene los elementos necesarios para tomar las decisiones sobre que auditar, con qu recursos, como adelantar el trabajo, donde y cuando.
3.2.3. Se mantiene y actualiza constantemente.
3.3. IMPORTANCIA:
3.3.1. Reflejan el grado de desarrollo alcanzado por la Auditora de Sistemas.
3.3.2. Es un archivo de uso y consulta permanente.
3.3.3. Sirven de referencia histrica del trabajo desarrollado a travs del tiempo.
3.3.4. Es una herramienta de organizacin para la direccin de la Auditora de Sistemas.
3.4. CONTENIDO:
- Estndares de trabajo (manual de Auditora de Sistemas):
Objetivos, funciones y responsabilidades del rea. Metodologa para hacer trabajos de Auditora de Sistemas. Normas para en diseo, elaboracin, organizacin, archivo y destruccin de papeles de trabajo. Guas sobre procedimientos de auditoria. Guas para evaluacin del control interno. Normas para el desarrollo, documentacin y mantenimiento del software de auditoria. Inventario y diseo de formas especiales para uso de Auditora de Sistemas.
- Planes de trabajo.
- Trabajos en que se debe dar soporte a otras reas de auditoria
- Inventario de programas de computador desarrolladas para fines de auditoria.
- Inventario de informes y memorandos emitidos por Auditora de Sistemas.
- Inventario y localizacin de archivos de papeles de trabajo. 52
- Registros de control de inventario de medios magnticos, administrados por la Auditora de Sistemas.
- Inventario y localizacin de fuentes bibliografas disponibles en la biblioteca de la Auditora de Sistemas.
PAPELES DE TRABAJO
LOS PAPELES DE TRABAJO SON LOS DOCUMENTOS QUE PREPARA U OBTIENE EL AUDITOR PARA RESPALDAR SU INFORME Y CUMPLIR ASI CON NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS
53
CONTENIDO DE LOS PAPELES DE TRABAJO
1. Documentacin de la planeacin y supervisin del trabajo. 2. Documentacin que respalda la revisin y evaluacin del control interno. 3. Documentacin de los procedimientos de auditoria aplicados.
Programas de auditoria. Indicacin de los procedimientos.
4. Documentacin y evidencia de respaldo.
resmenes de saldos clculos revisiones analticas excepciones encontradas confirmaciones memorandos
5. Documentacin de conclusiones
respecto al alcance del trabajo respecto a excepciones encontradas respecto a hechos poco comunes
54 6. Sugerencias para el prximo examen
QUE DEBEN INCLUIR UN PAPEL DE TRABAJO?
Todo papel de trabajo debe contener lo siguiente:
1. Nombre de la entidad.
2. Nombre de la cuenta bajo examen.
3. Fecha del informe.
4. Referencia (codificacin) del papel de trabajo.
5. Iniciales de las personas que lo prepararon y revisaron.
6. Fecha en que se prepar el papel de trabajo.
55 7. Las fuentes de informacin.
8. Indicaciones claras y concisas de los procedimientos de auditoria realizados.
9. Conclusin del trabajo realizado.
CLASIFICACION
Los papeles de trabajo segn su naturaleza se clasifican en:
Archivo permanente Archivo general del periodo examinado Archivo detallado por reas de trabajo
56
PROPSITO DE LOS PAPELES DE TRABAJO
1. Proporcionar evidencia del examen efectuado por el auditor.
2. Proporcionar evidencia de la planeacin del trabajo.
3. Proporcionar evidencia del entendimiento y evaluacin del control interno.
4. Proporcionar evidencia de la naturaleza del alcance de las pruebas de auditoria.
5. Soportar el informe del auditor.
57 6. Proporcionar una base para la revisin del trabajo.
ARCHIVO PERMANENTE
CONJUNTO DE INFORMACIN UTILIZABLE POR VARIOS AOS.
INFORMACIN QUE CONTIENE:
I. Estructura de la organizacin.
Escrituras de Constitucin. Estatutos. Organigrama general.
II. Contratos.
Convenios de prestamos Contratos de arrendamiento 58 Contratos de servicios
III. Procedimientos contables.
Manual de contabilidad Practicas contables
ARCHIVO PERMANENTE... Continuacin
IV. Informacin contable de uso continuo.
Detalle por aos del impuesto sobre renta. Control de amortizaciones. Detalle de obligaciones bancarias a largo plazo.
V. Otras informaciones.
Extractos o copias de las actas que sean importantes.
59
ARCHIVO GENERAL DEL PERIODO EXAMINADO
Informacin para el uso de la auditoria del periodo corriente.
Informacin que contiene:
Planeacin.
Correspondencia.
Estados financieros de la compaa.
Balance clasificado por el auditor.
Detalle de los ajustes y reclasificaciones.
Las debilidades y recomendaciones sobre el control 60 interno.
Cartas de abogados.
Presupuesto y control del tiempo.
MODELO DE PAPELES DE TRABAJO UTILIZADOS DURANTE EL DESARROLLO DE UNA AUDITORIA DE SISTEMAS
61
NOMBRE DE LA ENTIDAD REFERENCIA: AP-000
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO PERMANENTE
INDICE (1/2)
- A. HOJA INDICE. AP-000
- B. PAPELES DE TRABAJO. AP-100
- DECRETO, LEY DE CREACIN O ESCRITURA AP-101 - DESCRIPCIN DE RAZON SOCIAL Y OBJETIVOS AP-102 - LEYES Y REGLAMENTOS AP-103 - ESTATUTOS Y REGLAMENTOS INTERNOS AP-104 - ESTRUCTURA ORGANIZACIONAL, ORGANIGRAMAS, FUNCIONES AP-105 - PLANES O PROYECTOS INSTITUCIONALES AP-106 - EVALUACIONES ANTERIORES DE CONTROL INTERNO AP-107 - INFORMES ESTADSTICOS DE LA ENTIDAD AP-108 - INFORME ANUAL DE LA GERENCIA AP-109 - INFORMES Y EVALUACIONES DE LA CONTRALORA AP-110 - OTROS AP-111
- C. PAPELES DE TRABAJO RELACIONADOS CON EL AREA DE SISTEMAS AP-200 - ESTRUCTURA ORGANIZACIONAL Y FUNCIONES AP-201 - CONFORMACIN DEL COMIT DE INFORMATICA Y FUNCIONES AP-202 - NORMAS Y REGLAMENTOS AP-203 - PLAN INFORMATIVO A CORTO, MEDIANO Y LARGO PLAZO AP-204 - LISTA DE PROGRAMAS OPERATIVOS Y APLICATIVOS AP-205 - ESTANDARES PARA ANLISIS, DISEO, DESARROLLO, DOCUMENTACIN Y OPERACIONES DE APLICACIONES AP-206 - INVENTARIO DE EQUIPOS DE COMPUTO, CONFIGURACIN Y UBICACIN AP-207 - PLAN GENERAL DE SEGURIDAD AP-208 - POLIZAS DE SEGURO AP-209 - CONVENIOS DE RESPALDO AP-210
REALIZO: FECHA: SUPERVISO: FECHA:
62 NOMBRE DE LA ENTIDAD REFERENCIA: AP-000
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO PERMANENTE
INDICE (2/2)
- CONTRATOS DE ADQUISICIN Y MANTENIMIENTO DE EQUIPOS Y PROGRAMAS AP-211
- PROCEDIMIENTOS DE PROTECCIN DE PROGRAMAS, ARCHIVOS DE DATOS Y EQUIPOS AP-212
- DESCRIPCIN DE UNA APLICACIN EN PARTICULAR AP-213
- CONTRATOS CON SERVICIOS EXTERNOS DE PROCESAMIENTO DE DATOS AP-214
- ACTA DE INFORMES DEL DESARROLLO INFORMATIVO AP-215
- OTROS
REALIZO: FECHA: SUPERVISO: FECHA: 63
NOMBRE DE LA ENTIDAD REFERENCIA: AC-000
AUDITORIA DE SISTEMAS HOJA______ DE______
ENTIDAD: ARCHIVO CORRIENTE
64
INDICE
__A. HOJA INDICE AC- 000
__B. PLAN DE TRABAJO AC-050
__C. PROGRAMAS Y CRONOGRAMA DE TRABAJO AC-100
__D. DISTRIBUCION DE TAREAS POR INTEGRANTE AC-150
__E. CORRESPONDENCIA ENVIADA Y RECIBIDA AC- 200
__F. EVALUACIN DE CONTROL INTERNO DE SISTEMAS AC-250
__G. DISEO DE PRUEBAS DE AUDITORIA AC- 300
__H. DOCUMENTACIN, RESULTADO Y ANALISIS DE PRUEBAS AC-350
__I. PRUEBAS, PLANILLAS, REPORTES, ETC. ALMACENADOS EN MEDIOS MAGNETICOS AC-400
__J. RESULTADO DE LA SUPERVISIN (ESTADO DEL TRABAJO, DIFICULTADES Y SOLUCIONES PLANTEADAS) AC-450
__K. INFORME DE AUDITORIA AC- 500
__L. OTROS AC- 550
REALIZO: FECHA: SUPERVISO: FECHA: 65
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO CORRIENTE
PLAN DE TRABAJO DE AUDITORIA
2. DESCRIPCIN DEL AREA A AUDITAR
- OBJETIVOS - ESTRUCTURA - SISTEMAS - TAMAO DE LAS OPERACIONES - OTROS
3. OBJETIVOS DE LA AUDITORIA
- OBJETIVOS - ENFOQUE DE LA AUDITORIA - ALCANCE DEL TRABAJO - OTROS
4. DESCRIPCIN DE AREAS CRITICAS
5. PROGRAMAS DE AUDITORIA
- OBJETIVOS POR AREA DE CONTROL - PROCEDIMIENTOS POR AREA DE CONTROL - CRONOGRAMA DE ACTIVIDADES
6. RECURSOS NECESARIOS
- PERSONAL - ESPECIALISTAS - PRESUPUESTO DE TIEMPO - COMPUTADOR CENTRAL / MICROS, SOFTWARE, ETC. - OTROS
66
REALIZO: FECHA: SUPERVISO: FECHA:
NOMBRE DE LA ENTIDAD REFERENCIA: AC-
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO CORRIENTE
PROGRAMA DE AUDITORIA
OBJETIVOS Y PROCEDIMIENTOS
REF. P / T
67
REALIZO: FECHA: SUPERVISO: FECHA:
NOMBRE DE LA ENTIDAD REFERENCIA: AC-
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO CORRIENTE
68
ASPECTOS DE LA ENTIDAD QUE DEBEN CONOCERSE
- 1. LA GERENCIA DE SISTEMAS LA OFICINA DE SISTEMAS
- 2. LA ORGANIZACIN EN GENERAL
- 3. EL AREA DEL COMPUTADOR
- 4. LOS EQUIPOS DE COMPUTO Y MICROCOMPUTADORES REGLAMENTACIN
- 5. LAS APLICACIONES EN PRODUCCIN
- 6. LAS APLICACIONES EN DESARROLLO
- 7. LOS ESTANDARES EN DESARROLLO
- 8. LA OPERACIN DEL COMPUTADOR
- 9. LOS CONTROLES Y EL AMBIENTE DE SEGURIDAD EN GENERAL
- 10. LOS PLANES DE DESARROLLO
- PLAN ESTRATGICO A LARGO PLAZO
- PLAN TACTICO A CORTO PLAZO
- 11. ARCHIVOS MAGNETICOS POLTICAS DE RETENCION DE DATOS PROCEDIMIENTOS DE BACK-UP
- 12. DOCUMENTACIN DE SISTEMAS
- 13. REGLAMENTACIN DE SISTEMAS
- 14. OTROS (DETALLAR)
REALIZO: FECHA: SUPERVISO: FECHA:
NOMBRE DE LA ENTIDAD REFERENCIA: AC-
AUDITORIA DE SISTEMAS HOJA______ DE______ 69
AREA: ARCHIVO CORRIENTE
LISTA DE CHEQUEO DE LA INFORMACIN REQUERIDA (1/2)
1. PLAN ESTRATGICO PED 2. PLAN TACTICO PED 3. POLTICAS DEL AREA PED 4. REPORTES DE AUDITORIA 5. INVENTARIO DE EQUIPOS DE COMPUTO 6. INVENTARIO DE APLICACIONES 7. PROCEDIMIENTOS DE PLANEACION PED 8. REPORTES DE SEGUIMIENTO: - DE OPERACIONES PED - DE PERSONAL PED 9. REVISIN POST-IMPLANTACION DE RECURSOS Y SERVICIOS PED 10. REPORTES DE AUDITORIA SOBRE RECURSOS Y SERVICIOS PED 11. DOCUMENTACIN DE ESTANDARES DE OPERACIN 12. DOCUMENTACIN DE ESTANDARES DE DESARROLLO 13. DOCUMENTACIN SOBRE PLANES DE ENTRENAMIENTO 14. ACTAS DEL COMIT DE SISTEMAS 15. COMPARACIN DE COSTOS CON OTROS SECTORES 16. ESTUDIOS DE REQUERIMIENTOS DE EQUIPOS 17. ESTUDIOS DE REQUERIMIENTOS DE APLICACIONES 18. ANLISIS COSTO-BENEFICIO 19. ESTUDIOS DE FACTIBILIDAD 20. CRITERIOS DE SELECCIN DE PERSONAL 21. ACTAS DEL COMIT DE SISTEMAS SOBRE ADQUISICIN 22. CONTRATOS DE SERVICIOS PED 23. CONTRATOS DE MANTENIMIENTO 24. EVALUACIN DE ADQUISICIONES 25. PROCEDIMIENTOS DE OPERACIN PED 26. DOCUMENTACIN DE PRODUCCIN 27. PROCEDIMIENTOS DE LIBRERIAS 28. CRONOGRAMAS DE PRODUCCIN 29. TIEMPOS DE USO DE EQUIPOS PED 30. REPORTES DE PROBLEMAS OPERACIONALES 31. PROCEDIMIENTOS DE MANTENIMIENTO Y APLICACIONES 32. PROCEDIMIENTOS DE RECUPERACIN Y BACK-UP REF. P / T
REALIZO: FECHA: SUPERVISO: FECHA:
NOMBRE DE LA ENTIDAD REFERENCIA: AC-
70 AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO CORRIENTE
LISTA DE CHEQUEO DE LA INFORMACIN REQUERIDA (2/2)
33. PROPUESTAS DE USUARIOS PARA NUEVOS PROYECTOS 34. REPORTES DE AUDITORIA SOBRE DESARROLLO DE SISTEMAS 35. METODOLOGIA PARA DESARROLLO DE SISTEMAS 36. METODOLOGA PARA ADMINISTRACIN DE PROYECTOS DE SISTEMAS 37. PLAN DE SISTEMAS A CORTO PLAZO EN RELACION CON EL DESARROLLO 38. ESTANDARES DE DOCUMENTACIN 39. ESTANDARES DE DISEO Y PROGRAMACIN 40. REPORTES DE SEGUIMIENTO SOBRE PROYECTOS 41. ANLISIS DE LAS NECESIDADES DE LOS USUARIOS 42. DOCUMENTACIN SOBRE LA INICIACIN Y ESTADO ACTUAL DE LOS PROYECTOS 43. PLANES DE IMPLEMENTACION 44. REVISIONES POST-IMPLEMENTACION 45. EVALUACIONES DEL AREA DE SISTEMAS 46. PLAN DE CONTINGENCIAS 47. MANUALES DE SISTEMAS 48. DOCUMENTACIN SOBRE FUNCIONAMIENTO DE BASES DE DATOS, SISTEMAS DE REDES, TRANSMISIONES DE DATOS, ETC. 49. OTROS (DETALLAR)
REF . P / T
REALIZO: FECHA: SUPERVISO: FECHA:
71
NOMBRE DE LA ENTIDAD REFERENCIA: AP-
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO PERMANENTE
72 REALIZO: FECHA: SUPERVISO: FECHA: 73
NOMBRE DE LA ENTIDAD REFERENCIA: AC-
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO CORRIENTE
CUESTIONARIO PARA LA AUDITORIA INTERNA
1. EXISTE UN GRUPO DE AUDITORIA INTERNA EN LA ENTIDAD?
2. LA AUDITORIA INTERNA REALIZA AUDITORIA A LA FUNCION PED?
3. LA AUDITORIA INTERNA TIENE UN PLAN ANUAL PARA REVISAR EL AREA PED?
4. USA LA AUDITORIA INTERNA TCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR (TAACS) U OTRA TCNICA ESPECIAL EN EL TRANSCURSO DE SU AUDITORIA PED?.
CONSIDERAR:
PAQUETES DE AUDITORIA CUESTIONARIOS ESPECIALES TEST DE RECURSOS INTEGRADO PRUEBAS DE ESCRITORIO GENERADORES DE REPORTES PROGRAMAS ESCRITOS ESPECIALMENTE OTROS (DETALLAR)
5. LA AUDITORIA INTERNA PARTICIPA EN LAS ETAPAS DE DESARROLLO DE NUEVAS APLICACIONES? CMO?
CONSIDERAR:
- REVISIN DEL DISEO DEL SISTEMA - PARTICIPACIN EN LOS COMITES DE REVISIN DEL DISEO - AUDITORIA POST-IMPLEMENTACION - AUDITORIA DE SEGURIDAD AL PROCESAMIENTO DE LOS DATOS - OTROS (DETALLAR)
6. LA AUDITORIA INTERNA REVISA Y EVALUA LOS PROCEDIMIENTOS PARA EL CAMBIO DE PROGRAMAS Y APLICACIONES PED? CMO?
7. EXISTE ALGUN OTRO GRUPO QUE REALIZA AUDITORIA PED ADEMAS DEL GRUPO INTERNO DE AUDITORIA? CUL?
3. DESCRIPCIN EQUIPO PRINCIPAL: Marca-Modelo: CPU: Tamao de Memoria: Precio de Compra o Arriendo Anual:
4. TIPO DE PROCESAMIENTO: SI NO COMENTARIOS ---- ---- ------------------------
Batch
En Lnea
Procesamiento Distribuido
Procesamiento Compartido
5. DESCRIPCIN DEL SISTEMA OPERATIVO:
6. PRINCIPAL SOFTWARE UTILITARIO:
76
REALIZO: FECHA: SUPERVISO: FECHA: 77
NOMBRE DE LA ENTIDAD REFERENCIA: AC-
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO CORRIENTE
DESCRIPCIN DEL PAPEL DE TRABAJO:
INVENTARIO DE RECURSOS INFORMATICOS (2/2)
7. LENGUAJES DE PROGRAMACIN UTILIZADOS (Indique el % de utilizacin aprox.):
8. UTILIZACIN DEL COMPUTADOR (En que se usa , con % aprox.):
9. PERIFRICOS:
Tipos y modelos de unidades de cinta:
Tipos de discos y cantidad de almacenamiento:
Tipo y numero de terminales remotas:
Tipo y numero de impresoras:
Otros:
(incluya si es factible, diagramas de configuracin del equipo principal y de redes)
78 REALIZO: FECHA: SUPERVISO: FECHA: 80 NOMBRE DE LA ENTIDAD REFERENCIA: AC-
AUDITORIA DE SISTEMAS HOJA___ DE ___
AREA: ARCHIVO CORRIENTE
COSTOS DE APLICACIONES EN DESARROLLO
NOMBRE DE LA APLICACION
PROBLEMA QUE RESUELVE / PROYECTO O ACTIVIDAD
TIPO DE SISTEMA
IMPORTANCI A COSTO TOTAL DE ADQUISI- CIN O DESARROLL O
COSTO ANUAL DE OPERACIN EST.
TOTALES
81
PARA CADA APLICACIN PRINCIPAL, ESTIMAR EL COSTO DE ADQUISICIN E IMPLEMENTACION Y MOSTRAR LOS COSTOS OPERACIONALES POR AO.
EN LA COLUMNA TIPO DE SISTEMA ESCRIBA LA ORIENTACIN GENERAL DEL SISTEMA. ESTE BIEN PUEDE SER OPERACIONAL, FINANCIERA, ADMINISTRATIVA, GENERAL, TCNICA, ETC.
EN LA COLUMNA IMPORTANCIA COLOCAR: C SI ES CRITICA, S SI ES SIGNIFICANTE, O U SI ES UTIL. PERO LOS USUARIOS PUEDEN CONTINUAR SIN ELLA POR UN PERIODO CONSIDERABLE.
REALIZO: FECHA: SUPERVISO: FECHA: NOMBRE DE LA ENTIDAD REFERENCIA: AC-
AUDITORIA DE SISTEMAS HOJA___ DE ___
AREA: ARCHIVO CORRIENTE
COSTOS DE APLICACIONES EN PRODUCCIN
NOMBRE DE LA APLICACION
PROBLEMA QUE RESUELVE / PROYECTO O ACTIVIDAD
TIPO DE SISTEMA
IMPORTANCI A COSTO TOTAL DE ADQUISICI N O DESARROLL O
COSTO ANUAL DE OPERACIN
82
TOTALES
PARA CADA APLICACIN PRINCIPAL, ESTIMAR EL COSTO DE ADQUISICIN E IMPLEMENTACI ON Y MOSTRAR LOS COSTOS OPERACIONALES POR AO.
EN LA COLUMNA TIPO DE SISTEMA ESCRIBA LA ORIENTACIN GENERAL DEL SISTEMA. ESTE BIEN PUEDE SER OPERACIONAL, FINANCIERA, ADMINISTRATIVA, GENERAL, TCNICA, ETC.
EN LA COLUMNA IMPORTANCIA COLOCAR: C SI ES CRITICA, S SI ES SIGNIFICANTE, O U SI ES UTIL. PERO LOS USUARIOS PUEDEN CONTINUAR SIN ELLA POR UN PERIODO CONSIDERABLE.
REALIZO: FECHA: SUPERVISO: FECHA:
NOMBRE DE LA ENTIDAD REFERENCIA: AC-
AUDITORIA DE SISTEMAS HOJA______ DE______
AREA: ARCHIVO CORRIENTE
83 GUIA PARA LLEVAR A CABO UNA ENTREVISTA
NOMBRE ___________________________________________________
POSICIN DENTRO DE LA ENTIDAD __________________________
GRUPO _____________________________________________________
PUNTAJE ASIGNADO 0. BAJO RIESGO 1. MEDIANO RIESGO 2. ALTO RIESGO FACTOR # 1 MAQUINA FACTOR # 9 EDAD DE LA APLICACION 88 FACTOR # 2 CANTIDAD DE REGISTROS FACTOR # 10 TIEMPO DE VIDA ESPERADO FACTOR # 3 FECHA DE LA ULTIMA AUDITORIA FACTOR # 11 SISTEMA OPERACIONAL FACTOR # 4 MODO DE PROCESAMIENTO FACTOR # 12 PERCEPCION DE RIESGO FACTOR # 5 GENERA INFORMACIN A ENTIDADES EXTERNAS FACTOR # 13 CONTROL DE ACCESO FACTOR # 6 INTERFASES FACTOR # 14 DOCUMENTACION FACTOR # 7 IMPORTANCIA DE LA INFORMACIN FACTOR # 15 ENTRADAS FACTOR # 8 RED O STAND ALONE FACTOR # 16 SALIDAS 89
FACTOR DE RIESGO
VALO R PESO RELATIVO (%) APLICACIONES DE FUNCIONAMIENTO I. MAQUINA DONDE CORRE LA APLICACIN 1. IBM 2. SUN 3. Microcomputador
0 1 2
8 II. CANTIDAD DE REGISTROS QUE MANEJA 1. Menos de 40.000 2. Entre 40.001 y 70.000 3. Mas de 70.000
0 1 2
6 III. TIEMPO DE LA ULTIMA AUDITORIA 1. Menos de 1 ao 2. Entre 2 y 3 aos 3. Mas de 3 aos
0 1 2
7 I. MODO DE PROCESAMIENTO 1. Batch 2. Linear 3. Bach y Linear
0 1 2
5 V. GENERA INFORMACIN PARA ENTIDADES EXTERNAS 1. Ninguna 2. De 2 a 4 aplicaciones 3. Mas de 4 aplicaciones
0 1 2
8 VI. RELACION CON OTRAS APLICACIONES (INTERFASES) 1. Ninguna 2. De 2 a 4 aplicaciones 3. Mas de 4 aplicaciones
0 1 2
10 VII. IMPORTANCIA DE LA INFORMACIN QUE MANEJA 1. Sin valor comercial 2. Hasta 1.5 millones de dlares 3. Mas de 1.5 millones de dlares
0 1 2
7 VIII. FUNCION EN RED/STAND ALONE 1. Stand/alone 2. Red
0 1
5 IX. EDAD DE LA APLICACION 1. Menos de 1 ao 2. Mas de 1 ao 3. Entre 1 y 3 aos
0 1 2
10 X. TIEMPO ESPERADO DE VIDA 90 1. Entre 1 y 2 aos 2. Entre 2 y 3 aos 3. Mas de tres aos 0 1 2 6
FACTORES DE RIESGO
VALOR PESO RELATIV O % XI. SISTEMA OPERATIVO SOBRE EL CUAL FUNCIONA 1. Propietario 2. Windows / Dos
0 1
5 XII. PERCEPCIN DE RIESGO 1. Bajo 2. Mediano 3. Alto
0 1 2
8 XIII. CONTROL DE ACCESO 1. Dbil 2. Regular 3. Buena
0 1 2
7 XIV. DOCUMENTACIN 1. Existe actualizada 2. Existe desactualizada 3. No existe
0 1 2
8 XV. ENTRADAS 1. Entre 1 y 2 entradas 2. Entre 2 y 4 entradas 3. Mas de 4 entradas
0 1 2
5 XIV. SALIDAS 1. Entre 1 y 2 salidas 2. Entre 2 y 4 salidas 3. Mas de 4 salidas
0 1 2
5
El orden de los tem a auditar se puede observar en la matriz numero 2.
91
ORDEN DE PRIORIDAD DE LAS APLICACIONES EN FUNCIONAMIENTO QUE SERAN AUDITADAS DURANTE EL AO XXXX
MATRIZ No 2
FACTORES APLICADOS FACTORES A REVISAR TIEMPO ESTIMADO NUMERO DE PERSONAS CUENTAS CORRIENTES - Control de acceso - Cambio de programas - Procedimientos para Back-ups - Entradas de datos
60 das
1 CONTABILIDAD - Integridad de la informacin - Procedimientos de respaldo - Salidas de datos
60 das
1 CARTERA - Integridad de la informacin - Control de acceso - Entrada de datos
60 das
1 COMERCIO EXTERIOR - Entradas al sistema - Salidas del sistema - Clculos
60 das
1 NOMINA - Control de acceso - Perfiles del usuario - Copias de respaldo
60 das
1
TARJETAS DE CREDITO - Controles de acceso - Procedimientos de Back-up - Pistas de auditoria - Control de mantenimiento a programas
60 das
1 CDTS - Entrada de datos - Clculos - Copias de respaldo
60 das
1
ACCIONISTAS - Liquidaciones - Datos de entrada - Datos de salida
60 das
1
92
NOTA:
- Todas las aplicaciones en funcionamiento son In-House por el cual no fue considerado como factor evaluativo. - Para todas las aplicaciones se evala los estndares de seguridad y las pistas de auditoria, dado que son iguales para todas. - Todas las aplicaciones tienen los mismos procedimientos de respaldo o back-up.
AUDITORIA ADMINISTRATIVA MATRIZ No 3 AREA ASPECTOS A REVISAR TIEMPO ESTIMADO No DE AUDITORES Procedimientos para adquisicin de Hardware y software - Verificar la existencia de procedimientos. - Polticas de evaluacin de las propuestas.
10 das
1 Estndares de desarrollo - Verificar la existencia de los estndares. - Evaluacin del cumplimiento.
Permanente
1 Estndares de seguridad en el desarrollo de aplicaciones - Verificar si las aplicaciones se desarrollan con estndares de seguridad.
5 das
1 Procedimientos de backup - verificar la existencia de procedimientos, actualizacin y adecuacin de los mismos
5 das
1 Procedimientos de cambio de programas - Conductos regulares para cambio a programas y liberacin de los mismos
Permanente
1 Manuales de funciones de sistemas. - Verificar la existencia de manuales de funciones de cada uno de los cargos y distribucin de los mismos.
10 das
1 Estndares de documentacin y actualizacin de aplicaciones. - Verificar si los manuales de las aplicaciones existen y se encuentran actualizados
10 das
1 93 - Evaluar los estndares de documentacin.
Seguimientos de reclamos a sistemas - Evaluar las cusas de los reclamos o fallas del sistema y la oportunidad de la solucin.
Permanente
1 Logro de objetivos propuestos - Evaluar si los objetivos propuestos en el Dpto. se cumplen y satisfacen las necesidades del usuario
Permanente
1 Auditoria organizacional de sistemas - Verificar la segregacin de funciones - Planeacin de actividades.
10 das
1
AUDITORIA AL CENTRO DE COMPUTO MATRIZ No 4
FACTORES ASPECTOS A REVISAR TIEMPO ESTIMADO NUMERO DE PERSONAS 1. Plan de contingencias - Seguridad de equipos - Seguridad de cintas - Seguridad de cartuchos backup - Estado UPS - Plan contra incendio - Plan contra inundaciones - Plan contra robo
5 das
1 2. Seguridad de acceso
- Sistema control de acceso electrnico - Estado Brazo mecnico - Claves de acceso
1 da
1 3. Ubicacin fsica
- Nivel del piso - Fuentes de calor - Fuentes de agua - Fuentes de polvo
1 da
1 4. Microcomputadore s
- Procedimientos - Mantenimientos preventivos y correctivos - Controles de acceso
1 da
1 94 - Software legal 5. Transmisin de datos
- Controles fsicos y lgicos - Procedimientos - Estndares
1 da
1 6. Cintoteca
- Proteccin temperatura, polvo y humedad - Pruebas fsicas y de contenido a las cintas - Acceso a la cinto teca - Cinto teca alterna
1 da
1 7. rea de produccin
- Reportes fallas de sistemas - Log diario - Bitcora - Reportes diarios a auditoria
1 da
1
AUDITORIA COMUNICACIONES MATRIZ No 5
FACTORES ASPECTOS A REVISAR TIEMPO ESTIMADO No DE AUDITORES 1. Instalacin de la red
- Instalacin correcta del software del servidor - Hardware de comunicacin (cables, mdems) - Instalacin de software en las estaciones de trabajo 2 das
3 das
3 das
1 2. Configuracin de la red
- Asignaciones de usuarios de la red - Organizacin de la estructura de disco - Administracin de la seguridad de la red
1 da 1 da
2 das
1 3. Operaciones con la red
- Impresiones - Adaptacin del software aplicativo a la red - Procesos en la red - Produccin de salidas de la red
1 da 5 das
4 das 2 das
1 4. Plan de contingencias - Seguridad de la red - Copias de respaldo 2 das 1 da
1 95 - Backup del equipo 1 da 5. Entorno de la red
- Ubicacin fsica - Configuracin de los elementos de la red 2 das
2 das
1
AUDITORIA NUEVOS PROYECTOS MATRIZ No 6
FACTORES ASPECTOS A REVISAR TIEMPO ESTIMADO No DE AUDITORES 1. APLICACIONES
- Cumple trminos de referencia - Fcil de actualizacin - Estndares - Reportes - Portables - Parametrizables
RESOLUCION ARCSA de 2021 010 AKRG Buenas Practicas de Almacenamiento Distribucion y Transporte para Establecimientos Farmaceuticos y Establecimiento de Dispositivos Medicos