Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Entrada
Consiste en la recopilación de todos los datos requeridos, ordenándolos en una
forma adecuada para su procesamiento. En esta etapa los datos deben
“registrarse” de una manera adecuada para el sistema de procesamiento que se
utilice.
Proceso
Es la etapa en la cual se realizan o ejecutan todos los cálculos o pasos necesarios
con los datos de entrada. En esta etapa se realizan labores como: Clasificación,
cálculo, comparación y análisis.
Salida
Es el resultado del procesamiento de datos o representación de la información
deseada.
Ciclo Extendido del PED
Se conoce así al ciclo Básico más otras dos etapas que son:
Documentos Fuente:
Se refiere al origen y la forma como se registra, pudiendo ser grande, pequeño,
manuscrito, impreso, etc.
Almacenamiento de Datos:
Al finalizar el ciclo del procesamiento o dentro del mismo, es un punto donde se
obtienen resultados intermedios, se almacenan datos de manera que se puedan
recuperar rápidamente.
Controles
Riesgos que amenazan la información:
Externos
Son riesgos naturales como por ejemplo: temblor, incendio, inundación, tormenta,
riesgos humanos ejemplo: robo, sabotaje, motines sociales, fraude, riesgos
materiales ejemplo: desperfectos en el equipo y fallas de energía.
Internos
Robo de (papelería y útiles, recursos, información de datos, programas)
Sabotaje destrucción de (datos y/o recursos, voluntaria o involuntaria)
huelgas fraude.
Ambiente débil de control propicio para el fraude:
Poca o ninguna restricción física en el acceso al equipo
Carencia de un Depto. de auditoría interna
Control absoluto sobre las actividades desarrolladas por el PED
Falta de documentación sobre los sistemas y programas en producción.
Errores corregidos mediante solicitudes verbales
Cambios en línea a los datos contenidos en el sistema
Poco o ningún control sobre el uso de reportes elaborados por el PED
Uso del PED en horario nocturno, sin ninguna supervisión sobre las
funciones que se realizan.
Poco o ningún control sobre el consumo y circulación de suministros.
Los Deptos. usuarios no revisan la información procesada y preparada por
el PED
Solicitudes verbales de cambios de programas. Programas fuente que
permanecen en el sistema.
Presencia en el directorio de programas ajenos a la producción de la
empresa.
Poca o ninguna rotación de personal, ausencia de planes de vacaciones,
etc.
Procesamiento de datos fuera del ámbito de la empresa, con gran flujo de
documentos e información sin ningún control.
Definiciones de control
“Control” puede usarse de diferentes formas: comprobación, examen, inspección,
verificación, dirección, gobierno, mando.
En el campo de la administración de empresas se suele utilizar ambos
significados:
Acto aislado y simple de verificación (sentido estricto)
Función de la dirección de empresas (sentido amplio).
“Es una medida y corrección del desempeño de las actividades de los
subordinados para asegurar que los objetivos y planes de la empresa, diseñados
para lograrlo, se están llevando a cabo.”
La función de control:
Control es todo lo que tiende a evitar errores.
Control es todo lo que tiende a minimizar riesgos.
Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de
una organización obtengan los objetivos previstos, dentro de los límites prefijados.
No se limita exclusivamente a verificar en qué medida se logra un objetivo.
El control íntegramente considerado debe considerar que los actos logren los
resultados previstos y no solamente señalar las eventuales desviaciones.
El control es la suma de factores deliberadamente dispuestos por la organización
con el fin de:
Condicionar cada acto, asegurando que sea realizado de un modo determinado.
Determinar la medida en que cada acto dio el resultado previsto.
Informar los resultados y las eventuales desviaciones, retroalimentando de
esta manera todo el proceso.
Proceso básico del control:
Establecimiento de Normas
Evaluación de la Actuación
Corrección de las Desviaciones
Requisitos que deben cumplir los controles:
Deben reflejar la naturaleza y necesidades de la empresa
Deben reportar prontamente las desviaciones
Deben ser futuristas
Deben señalar excepciones
Deben ser objetivos
Deben ser flexibles
Deben ser económicos
Deben ser comprensibles
Deben conducir a la acción correctiva.
“Las labores de control se enfrentan siempre a fuerte oposición:
Por parte de los eficientes y honestos, porque lo consideran innecesario, inhibitorio
o degradante.
De los deficientes, porque no se percatan de su utilidad, y por parte de los
deshonestos, porque les estorba.”
Clasificación de los controles
a) Por su naturaleza
Generales (varios sistemas)
Manuales (uso de humanware)
Automáticos (incorporados)
b) Por su efecto:
Disuasivos
De evidencia
Preventivos
Defectivos
Correctivos
Recuperativos
c) Por su estado:
Recomendados
Descartados
Implantados
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas de error.
Características:
Reducen la frecuencia de errores
Previenen operaciones no autorizadas
Son sutilmente incorporados en los procesos
Son los de más bajo costo.
Autorización:
La iniciación de una transacción o la ejecución de un proceso se limitan a los
individuos autorizados para ello, ya que los mismos deben contar con ciertos
permisos de autorización para cumplir con el procedimiento.
Custodia Segura:
A los activos de información se les aplican medidas de seguridad similares a las
de los activos tangibles, tales como efectivo, valores negociables, etc.
Formas pre-numeradas:
En las formas individuales se pre-imprimen números consecutivos a fin de permitir
la detección posterior de su pérdida o mala colocación, por ejemplo las facturas
autorizadas por la Administración Tributaria obligatoriamente deben de llevar una
secuencia cronológica en número.
Formas pre-impresas:
Los elementos fijos de información se anotan por anticipado en las formas y, en
algunos casos, en un formato que permite el procesamiento directo por el
computador, a fin de prevenir errores en la anotación de datos repetitivos.
Documento de retorno:
Es un documento producido por el computador, con el objeto de que vuelva a
entrar al sistema.
Endoso:
Marcar una forma o un documento a fin de dirigir o restringir su uso posterior en el
procesamiento.
Cancelación:
Marcar o identificar los documentos de las transacciones a fin de prevenir su uso
posterior una vez que han cumplido su función.
Contraseñas:
La autorización que permite el acceso a información o procesos, por medio de una
señal o clave conocida únicamente por los individuos autorizados para ello.
Confiabilidad del personal:
Puede confiarse en que el personal que efectúa el procesamiento maneja los
datos en forma adecuada y consistente.
Entrenamiento:
Se proporcionan instrucciones explícitas al personal y se verifica que las hayan
comprendido, antes de asignárseles nuevas tareas.
Competencia del personal:
Las personas asignadas a funciones de procesamiento o de supervisión dentro de
los sistemas de información, poseen el conocimiento técnico necesario para llevar
a cabo sus funciones.
Mecanización:
El utilizar medios mecánicos o electrónicos para procesar la información,
proporciona consistencia al procesamiento.
Segregación de funciones:
La responsabilidad de la custodia, control del manejo y el procesamiento de la
información, se encuentran separadas.
Controles Detectivos
Estos no impiden que ocurra una causa de error, sino que acciona la alarma
después de que haya ocurrido.
Pueden impedir la continuidad de un proceso
No impiden que ocurra un error, pero dan la alarma después que haya ocurrido
Requieren de ciertos gastos operativos moderados.
Documento de envío
Es el medio para comunicar las cifras control a través del movimiento físico de la
información, particularmente de la fuente al punto de procesamiento o entre
puntos de procesamiento.
Números consecutivos de lote
Los lotes de documentos de transacciones se numeran en forma consecutiva y se
controlan.
Cifras de control de cantidades
Son totales de valores homogéneos para un grupo de transacciones o registros,
generalmente en valores monetarios o cantidades.
Cifras de control de número de documentos:
Consiste en que se efectúa un conteo del número de documentos individuales y
este total es el que se controla.
Cifras de control sin significado monetario:
Es un total no significativo, pero útil, obtenido de la sumatoria de información
numérica no monetaria.
Totales de lote
Es cualquier tipo de cifra control o conteo que se aplica a un número específico
de documentos de transacciones o a los documentos de las transacciones que se
reciben en un periodo de tiempo específico.
Verificación de rebasamiento:
Es una verificación de límite que se basa en la capacidad de un área de la
memoria o de un archivo para aceptar información.
Verificación de integridad
Consiste en comprobar que se hayan anotado datos en aquellos campos que no
pueden procesarse si se dejan en blanco.
Dígito verificador
Es un dígito, generalmente el ultimo de un campo de identificación, que es una
función matemática de todos los demás dígitos en el campo. La validez de todo el
campo se comprueba al calcular, con base en los demás dígitos del campo, el
digito verificador y compararlo con el consignado en el campo.
Razonabilidad
Pruebas que se aplican a varios campos de información mediante la comparación
con otra información disponible en los registros de transacciones o los maestros, a
efecto de establecer su razonabilidad.
Verificación de límite
Pruebas de los campos de importes específicos, contra limites inferiores o
superiores de aceptabilidad estipulados. Cuando se verifican ambos limites, la
prueba suele denominarse “verificación de rango”.
Verificación de validez
Los caracteres en un campo codificado son cotejados contra un conjunto
aceptable de valores en una tabla, o examinados con respecto a un patrón
definido de formato, utilizando la lógica y la aritmética.
Fechas
Registrar fechas de calendario para efectos de comparaciones posteriores o de
pruebas relativas a la expiración de documentos.
Verificación de la digitación
La entrada redundante de datos por medio de un teclado, a fin de verificar la
exactitud de una entrada anterior. Las diferencias entre los datos previamente
registrados y los datos accesados en la verificación originan una señal mecánica.
Aprobación
Consiste en la aceptación de una transacción para que sea procesada, después
de que se ha iniciado.
Totales de corrida a corrida
Consiste en el uso de las cifras de control de salida que resultan de un proceso,
como cifras de control para un procesamiento posterior. Las cifras control se
utilizan como enlaces en una cadena para unir un proceso con otro en una
secuencia de procesos.
Igualización / comparación
Es una prueba para determinar la igualdad entre los valores de dos conjuntos
equivalentes de partidas o entre un conjunto de partidas y una cifra control.
Cualquier diferencia indica un error.
Clasificación por antigüedad
Consiste en la identificación de partidas sin o con poco movimiento, de acuerdo
con su fecha, generalmente la fecha de la transacción. Esta clasificación segrega
las partidas de acuerdo con varios límites de fechas.
Cuenta de partidas pendientes de procesarse
Cotejar las partidas del flujo del procesamiento en una aplicación con otras
desarrolladas en forma independiente, a fin de identificar partidas no procesadas o
diferencias en las mismas.
Cotejo
Cotejar las partidas del flujo del procesamiento en una aplicación con otras
desarrolladas en forma independiente, a fin de identificar partidas no procesadas o
deferencias en las mismas.
Auditoria periódica
Consiste en la verificación de un archivo o de una frase de procesamiento, con el
objeto de detectar problemas y fomentar el cumplimiento de los procedimientos
establecidos.
Etiquetas
Consiste en la identificación externa o interna de los lotes de transacciones o de
los archivos de acuerdo con su fuente, aplicación, fechas u otras características de
identificación.
Controles Correctivos
Los métodos mediante los cuales se pueden aplicar estos principios generales,
están limitados solamente por el ingenio del diseñador del sistema; sin embargo,
existen tres métodos básicos, a saber:
El archivo proporciona el saldo actual y las referencias de todos los cambios
mediante un listado de transacciones o número de lote. Cada cambio en el saldo
del archivo es registrado por referencia al listado de transacciones o al de lote. El
listado de transacciones proporciona los detalles para comprobar hacia atrás hasta
llegar a la operación original.
El archivo proporciona solamente el saldo. Los cambios en el saldo son obtenido
de listados de transacciones. El uso de listados de transacciones es el único
medio para comprobar los cambios en una cuenta; en consecuencia, los cambios
pueden ser combinados y sumarizado por periodos, semanales, mensuales.
El archivo proporciona el saldo y tiene referencia de los documentos para cada
transacción, en consecuencia, ningún listado de transacciones es usado para
referencia. Este método es adecuado cuando el número de operaciones para
cada registro es pequeño.
COBIT 5
Definición
Objetivos de Control para la Información y Tecnologías Relacionadas (Control
Objetives for Informatition an related Technology, por sus siglas en ingles), es una
metolodología publicada en 1996 por el Instituto de Control de TI y la ISACA
(Asociación de Auditoria y Control de Sistemas de Información.
proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y
entregar valor mediante un gobierno y una administración efectivos de la TI de la
Organización.
ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a
implementar unos habilitadores de gobierno sanos. De hecho, la implementación
de un buen GEIT es casi imposible sin la activación de un marco efectivo de
gobierno. También están disponibles las mejores prácticas y los estándares que
soportan al COBIT 5.
Los marcos, mejores prácticas y normas son útiles solamente si son adoptados y
adaptados de manera efectiva. Hay que superar muchos retos y resolver varios
asuntos para poder implementar el Gobierno Corporativo de la Tecnología de la
Información (GEIT por su sigla en inglés) de manera exitosa.
Principios de COBIT 5
1. Satisfacer las necesidades de las Partes Interesadas
Las Organizaciones tienen muchas partes interesadas y “crear valor” significa
cosas diferentes – a veces conflictivas – para cada una de ellas.
En el Gobierno se trata de negociar y decidir entre los diversos intereses de
beneficio de las diferentes partes interesadas.
El sistema de Gobierno deberá considerar a todas las partes interesadas al
tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el
manejo de recursos.
Para cada decisión se puede, y se debe, hacer las siguientes preguntas:
¿Quién recibe los beneficios?
¿Quién asume el riesgo?
¿Qué recursos se necesitan?
Las necesidades de las Partes Interesadas deben ser transformadas en una
estrategia accionable para la Organización.
Las metas en cascada de COBIT 5 traducen las necesidades de las Partes
Interesadas en metas específicas, accionables y personalizadas dentro del
contexto de la Organización, de las metas relacionadas con la TI y de las
metas habilitadoras.
EMPRESA A AUDITAR:
AUDITORES A CARGO:
Integrantes GrupoNo. 14
Carne Nombre
9721318 Marta Idania AlvarezSarmiento
200115731 Jose Kestler
200912596 Gustavo Granados
200912707 Paulo Flores
200921265 Santos David Xocoxic Chavalo
200921522 Maria González
201011085 Raúl Díaz
201111104 Victoria Ramirez
PERÍODO A CUBRIR:
Primer trimestre 2,018
Verificar que existan los controles necesarios con el fin de supervisar y regular
las operaciones que posea el departamento de TI y el cumplimiento de los
mismos;
Licenciado
Carlos Enrique Guzmán Luján
Gerente General
LA ÚLTIMA EXPO
Presente
____________________________ ______________________________
Licenciada Victoria Ramírez Licenciada Maria González
Firma de Aceptación:
__________________________________
Licenciado Carlos Enrique Guzmán Luján
Gerente General
FECHAS CLAVE DE LA AUDITORÍA
Origen de la auditoría:
LA ÚLTIMA EXPO,S.A.
17 Avenida 50-21 zona 12 Bodega 2, Ciudad de Guatemala
Tipo de Actividad: Venta de proyectos y equipos de Iluminación
Tipo de empresa: Trasnacional
Nombre del Gerente: Licenciado Carlos Enrique Guzmán Luján
Sistema utilizado: BMS.
6. COMPRENDER EL AMBIENTE TI
17. ¿Son funcionales los muebles instalados dentro del centro de TI?
SI NO
13. ¿La parametrización del sistema permite efectuar cruces de información entre
módulos?
SI NO
16. ¿El personal tiene acceso a la sustracción por medios dispositivos (USB,
Discos o Disquetes) a la información almacenada?
SI NO
17. ¿El equipo tiene restricciones al ingreso de dispositivos para evitar la
sustracción de la información almacenada y la protección del mismo?
SI NO
18. ¿Cuenta con asesoría de una entidad externa para sustentar la calidad de la
información?
SI NO
19. ¿Le informan oportunamente los cambios y procesos a realizar en el sistema
de contable?
SI NO
20. ¿Se tiene implantada una gestión para los equipos de la empresa que realicen
actualizaciones en el sistema operativo y la actualización del antivirus?
SI NO
CONCLUSIONES:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
______________________________
PROGRAMA DE AUDITORÍA
ASIGNACION DE RECURSOS
Humanos
Personal especializado
Auditores:
Personal de la empresa
Departamento de Tecnología e Información
Materiales
Hojas de papel bond
Bolígrafos, lápices, borradores
USB`s y CD`s
Marcadores, resaltadores
Engrapadoras
Libro de Auditoria en Sistemas computacionales, Muñoz Razo,
Libro de Metodología COBIT
Financieros
Para cubrir gastos en el transcurso de nuestra auditoria de sistemas, cada
integrante aportará la cantidad de cien quetzales (Q.100.00).
PRESUPUESTO DE AUDITORIA
Informáticos y Materiales y de
Cantidad Humanos Costo Unitario Costo Total
Tecnológicos consumo
Catedrático de Curso
1 3 Q.500.00 Q.1,500.00
Seminario Integrada
Estudiantes del 11o.
4 Semestre del curso 3 horas por persona en 3 visitas Q.106.00 Q.3,816.00
Seminario Integrada
Estudiantes del 11o.
11 Semestre del curso 10 horas en Análisis e Informe Q.106.00 Q.11,660.00
Seminario Integrada
Invitación al Gerente
General y Asistente de 8 personas Q. 100.00 Q. 800.00
Sistemas
Computadoras
3 Q2,500.00 Q7,500.00
Portátiles
Impresora de
1 Q400.00 Q400.00
inyección
2 Servicio telefónico Q800.00 Q1,600.00
1 Cámara Digital Q800.00 Q800.00
1 Servicio de internet Q150.00 Q150.00
3 Cd´s recargables Q10.00 Q30.00
Cartuchos de tinta
2 Q235.00 Q470.00
para impresora
11 Lapiceros Q1.00 Q11.00
11 Lápices Q1.00 Q11.00
Hojas de papel
300 Q0.30 Q90.00
bond tamaño carta
Galones de
10 Q20.00 Q200.00
Combustible
Alimentación Q200.00 Q200.00
Fotocopias Q100.00 Q100.00
TOTAL PRESUPUESTO DE GASTOS Q29,338.00
CONCLUSION
1. La Auditoría de Sistemas de Información, hoy en día es de vital
importancia para las empresas modernas con visión de futuro, sobre
todo inmersas en el mundo globalizado, porque si no se prevee los
mecanismos de control, seguridad y respaldo de la información dentro
de una institución se verá sumida a riesgos lógicos, físicos y humanos,
que conlleven a fraudes no solamente económicos sino de
información, es decir, pérdidas para la empresa.
(PAPELES DE TRABAJO)
(MATRIZ DE RIESGO)
(INFORME DE TI)