Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GRUPO 4
OBJETIVOS ESPECIFICOS
INTRODUCCIÓN 6
1. ENFOQUES DE AUDITORIA PARA PROBAR EL PED 7
2. TIPOS DE PRUEBAS EN AUDITORIA DE SISTEMAS 10
3. ALCANCE DE LAS PRUEBAS DE AUDITORIA 15
4. ENFOQUE DE LA AUDITORIA PAR LOS SISTEMAS DE
APLICACIÓN 18
5. PROCEDIMIENTO DE SISTEMAS PARA SU FUNCIONAMIENTO 19
6. PROCEDIMIENTOS DE AUDITORIA PARA CENTROS DE
SERVICIO DE COMPUTADOR 26
7. ESTANDARES GENERALES DE AUDITORIA DE SISTEMAS DE
INFORMACIÓN 34
8. NECESIDADES DE LAS EMPRESAS 50
9. FLEXIBILIDAD DE CAMBIO EN AUDITORIA FINANCIERA 51
10. RESULTADOS Y ANALISIS 52
CONCLUSIONES 53
JUSTIFICACIÓN
Los enfoques de auditoría que se utilizan en ambientes en los que una parte
significativa de los procesos administrativos son procesados
electrónicamente han evolucionado con el tiempo. Se pueden clasificar así:
b. EL PROCESO DE AUDITORIA
1- Planeación
2- Ejecución
3- Informe
Primera Fase Planeación: En esta fase se establecen las relaciones entre
auditores y la entidad, para determinar alcance y objetivos. Se hace un
bosquejo de la situación de la entidad, acerca de su organización, sistema
contable, controles internos, estrategias y demás elementos que le permitan
al auditor elaborar el programa de auditoría que se llevará a efecto.
Aunque las tres fases son importantes, esta fase viene a ser el centro de lo
que es el trabajo de auditoría, donde se realizan todas las pruebas y se
utilizan todas las técnicas o procedimientos para encontrar las evidencias de
auditoría que sustentarán el informe de auditoría.
Sustantivas:
Con el computador
Sin el computador
Recopilación de datos.
Identificación de lista de personas a entrevistar.
Identificación y selección del enfoque del trabajo
Identificación y obtención de políticas, normas y directivas.
Desarrollo de herramientas y metodología para probar y verificar los
controles existentes.
Procedimientos para evaluar los resultados de las pruebas y
revisiones.
Procedimientos de comunicación con la gerencia.
Procedimientos de seguimiento.
Fechas inválidas
Insuficiencia de tamaño en campos de valor
Pérdida de dígitos en cargue o traslado de
acumuladores
Validez de campos
Valores negativos
Inconsistencias entre diferentes campos de un
mismo archivo.
I. HISTORICO / ESTATICO
Datos de prueba
Sistemas de evaluación de un caso base
Software de auditoría (paquetes o hecho a la medida):
Selección de transacciones
Confirmación de saldos
Registros extendidos
Simulación paralela
Examen de archivos
Reportes de excepción
Programas de utilidad
Otras sin utilizar el computador
PROCEDIMIENTO DE AUDITORIA
Áreas de Exposición
Alcance
Puntos de Control
Alcance
Traslado de documentos desde las fuentes de la información al centro de
Pd y viceversa.
Puntos de Control
Métodos de Auditoria
Alcance
Puntos de Control
Métodos de Auditoria
4. Comunicación de Datos
Alcance
El flujo de datos entre las localizaciones de terminales remotas y el
centro de procesamiento de datos.
Puntos de Control
a) Entrada de Mensajes.
b) Trasmisión de Mensajes.
c) Recepción y contabilización de mensajes.
d) Las personas.
e) Las líneas de comunicación.
f) Modems.
g) Software de comunicación.
h) Log de comunicaciones.
Métodos de Auditoria
Alcance
Puntos de Control
Métodos de Auditoria
Alcance
Puntos de Control
a) Identificación, localización y control de archivos de datos y de
programas.
b) Procedimiento de respaldo (Backnps) de archivos maestros y de
transacciones fechadas de corte.
c) Acceso lógico y físico a los archivos y librerías de programas.
d) Manejo de errores.
e) Las personas.
f) Las bibliotecas de medios magnéticos.
g) Procedimiento de transporte de archivos a las bibliotecas.
Métodos de Auditoria
1
Mario G.Piattini, Emilio del Peso Navarro. Auditoria Informática Un Enfoque Practico
Madrid España: Editorial RA-MA ,2008, p 220
c. Separación de funciones: para detallar las responsabilidades es
necesario realizar una separación de las funciones entre:
Puntos de control
1. Temperatura y humedad
2. Fuente de potencia estable
3. Fuente de potencia alternativa
4. Protección contra incendios
5. Control de acceso físico
6. Procedimientos para liberación de datos, reportes y programas de
computador
7. Seguros contra accidentes o interrupción del negocio
Procedimientos de auditoria
Puntos de control
Asignación de responsabilidades
Planes de acción de emergencia
Uso de instalaciones y archivos de backup
Puntos y técnicas de control para asegurar la integridad de los datos y
programas durante la transición
Procedimientos para el transporte de backups de datos, programas y
documentación desde el sitio de almacenamiento hasta el centro de
procesamiento
Procedimientos de auditoria
- Examen de documentos relativos a provisiones para contingencias
- Simular un desastre
- Examen de backups
2
http://www.soyasic.com/content/view/20/49/
- Examen de procedimientos establecidos
- Observación y entrevistas
Puntos de control
1. Job Accounting
2. Algoritmos de facturación
3. Reconciliación de facturación
4. Declaraciones periódicas de facturación del usuario
Procedimientos de auditoria
Puntos de control
Procedimientos de auditoria
- Observación
- Entrevistas
- Examen de la protección lógica establecida para archivos críticos
- Comprobación de la operación de controles proporcionados por el
sistema operacional
- Examen de procedimiento utilizado para el control y administración de
passwords
- Examen de procedimientos establecidos para el uso de útiles
- Examen de log de actividad del sistema
3
Mario G.Piattini, Emilio del Peso Navarro. Auditoria Informática Un Enfoque Practico
Madrid España: Editorial RA-MA ,2008, p 204
Puntos de control
Procedimientos de auditoria
- Entrevistas
- Examen de documentación existente
- Observación de las operaciones
- Elaboración de inventario de documentación
- Confirmación del nivel de actualización del software del sistema
Estos Estándares tienen como objetivo informar a los auditores el nivel del
mínimo de desempeño aceptable, necesario para satisfacer las
responsabilidades profesionales definidas en el Código de Ética Profesional
e informar a la administración y a otras partes interesadas sobre las
expectativas de la profesión concernientes al trabajo de sus practicantes.
INDEPENDENCIA:
COMPETENCIA TÉCNICA
EJECUCIÓN DE TRABAJO.
El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del
trabajo del Auditor de Sistemas de Información, incluyendo la observancia de
auditoria aplicables.
REPORTE
DECLARACIÓN
DEFINICIONES
Sistema de Aplicación- Un grupo integrado de programas de
computador diseñados para realizar una función particular que tiene
actividades especificas de entrada (imput) procesamiento y salida
(output) (ejemplos: contabilidad general, planeación de recursos de
manufactura y administración).
DECLARACIÓN
DECLARACIÓN
DEFINICIONES
Riesgos - La posibilidad de ocurrencia de un acto ó evento que
podría tener un efecto adverso sobre la organización y sus sistemas
de información.
DECLARACIÓN
No puede esperarse que una única metodología de valoración del riesgo sea
apropiada para todas las situaciones. Las condiciones que afectan las
auditorias, pueden cambiar a medida que pase el tiempo. Periódicamente el
auditor deberá reevaluar lo apropiado de las metodologías escogidas en la
valoración del riesgo.
DECLARACIÓN
b) El programa de auditoría
DECLARACIÓN
DEFINICIÓN
DECLARACIÓN
DEFINICIÓN
DECLARACIÓN
ESTÁNDAR N° 2: INDEPENDENCIA
ESTÁNDAR N° 5: PLANEACIÓN
ESTÁNDAR N° 7: REPORTE
Administración de la información
Fraudes a través del computo
Inversión alta en Hardware y Software
Nuevos servicios
Modificación en los sistemas
Controles PED inadecuados
Cambios en los reglamentos y procedimientos
Avances en la tecnología
Volumen de la información
9. FLEXIBILIDAD DE CAMBIO EN AUDITORIA FINANCIERA
Los informes de auditoría son el producto final del trabajo del auditor de
sistemas, este informe es utilizado para indicar las observaciones y
recomendaciones a la gerencia, aquí también se expone la opinión sobre lo
adecuado o lo inadecuado de los controles o procedimientos revisados
durante la auditoría, no existe un formato específico para exponer un informe
de auditoría de sistemas de información, pero generalmente tiene la
siguiente estructura o contenido.