8CV2

DEFINICIN
Es la revisin de carcter objetivo, crtico, sistemtico y selectivo de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas en produccin, con el fin de emitir una opinin profesional con respecto a:

Eficiencia en el uso de los recursos informticos

Validez de la informacin Efectividad de los controles establecidos

DEFINICIN
Evaluacin de los diferentes sistemas en operacin Flujo de informacin Procedimientos Documentacin Redundancia Controles Utilizacin de los sistemas Recursos asignados (humanos y hardware) Seguridad fsica y lgica de los sistemas

OBJETIVOS
Al auditar los sistemas en produccin el auditor se debe enfocar en perseguir dentro de la empresa los objetivos siguientes

totalidad exactitud autorizacin

oportunidad
mantenimiento utilidad de la informacin dentro de la empresa.

Las actividades relacionadas con los se relacionan con factores como: personas, aplicaciones, tecnologas, explotacin y datos. Adems de una conexin con 7 criterios de Informacin:

Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento normativo (legalidad vigente y regulacin interna) Fiabilidad

D EFINICIN DE LA FUNCIN
El funcionamiento correcto se caracteriza por:

Disponer de todos los elementos necesarios Por parte de los usuarios autorizados En el momento requerido Con el rendimiento adecuado

N IVEL

DE SERVICIO

El nivel de servicio es una serie de parmetros cuya medicin es capaz de determinar objetivamente el mayor o menos grado de eficacia del servicio prestado. No solo se trata de tener un sistema disponible, sino que adems debe hacerlo bien, a travs de la medicin de tiempos de respuesta que den una medida de la calidad del servicio.
La satisfaccin de los usuarios es fruto del resultado general del servicio y depende tanto de la eficacia de las aplicaciones como de la eficiencia del sistema

L OS

PROCEDIMIENTOS

De la orientacin hacia el servicio se deduce la tarea de administracin de los recursos del SI, que debe optimizar los parmetros antes mencionados, cuestin que ha de convertirse en el objetivo de nuestro procedimientos. Podemos efectuar una clasificacin en:

Instalacin y puesta en servicio Mantenimiento y soporte Requisitos para otros componentes Resolucin de incidencias Seguridad y control Informacin sobre la actividad

M ETODOLOGA PARA UNA AUDITORA A

UN SISTEMA EN PRODUCCIN

Definicin y preparacin de la auditoria y cronograma de trabajo, se selecciona el equipo auditor Actividades: Seleccionar el sistema a auditar. Estudiar la metodologa para auditar el sistema. Disear el formato para el plan de trabajo. Determinar las actividades para cada una de las fase de la metodologa. Estimar la duracin, recursos y resultado para cada una de las fases. Elaborar el plan de trabajo.

M ETODOLOGA PARA UNA AUDITORA A

UN SISTEMA EN PRODUCCIN

Exploracin para conocer a detalle las caractersticas de la entidad a auditar

Actividades: Revisar toda bibliografa existente. Elaborar el glosario de trminos. Elaborar el cronograma de entrevista. Establecer las preguntas para cada una de las entrevistas. Realizar la entrevista. Elaborar el levantamiento de la informacin. Diseo conceptual del sistema

M ETODOLOGA PARA UNA AUDITORA A

UN SISTEMA EN PRODUCCIN

Recopilar pruebas que sustenten las opiniones del auditor Actividades Obtener programas fuentes. Verifica el funcionamiento del sistema. Imprimir todas las pantallas principales. Analizar los procedimientos de los programas Ubicar las debilidades a nivel de pantalla que presenta el sistema

M ETODOLOGA PARA UNA AUDITORA

A UN SISTEMA EN PRODUCCIN

Cuadro de debilidades de pantalla Debilidades Explicacin Existe una sola clave para todos los usuarios del sistema.
Pantallas similares. Cuesta diferenciar en que parte del sistema el operador se ubica.

No cuenta con un modulo flexible de reportes

No permite consolidar la informacin que genera el sistema

La fuente no es adecuada.

M ETODOLOGA PARA UNA AUDITORA A

UN SISTEMA EN PRODUCCIN

El auditor puede recopilar los flujos de informacin, actividades, operaciones y procesos. Actividades: Obtener el programa fuerte. Imprimir los programas fuente. Imprimir las pantallas principales. Ubicar las debilidades del programa. Recolectar evidencias. Elaborar el cuadro de debilidades del programa y archivos.

M ETODOLOGA PARA UNA AUDITORA A

UN SISTEMA EN PRODUCCIN
Solicitar los diagramas del sistema, analizarlos y verificar la documentacin de los sistemas a travs de sus diagramas
Actividades: Efectuar un respaldo del sistema. Disear las pruebas. Elaborar la documentacin de las prueba. Aplicar las pruebas y obtener los reportes. Elaborar la matriz de prueba.

M ETODOLOGA PARA UNA AUDITORA A

UN SISTEMA EN PRODUCCIN

Actividades:

Recolectar todo la informacin existente. Revisar y evaluar el estado de la documentacin.

M ETODOLOGA PARA UNA AUDITORA A

UN SISTEMA EN PRODUCCIN

Actividades:

Disear las encuesta.

Aplicar las encuesta a los usuarios.

Analizar y tabular las respuestas obtenidas. Elaborar un informe de satisfaccin del usuario. Graficar los resultados.

M ETODOLOGA PARA UNA AUDITORA A

UN SISTEMA EN PRODUCCIN

Actividades: Realizar una descripcin del sistema. Recopilar todas las debilidades y fortalezas encontradas. Recomendar y sealar las evidencia para cada debilidad del sistema. Emitir recomendaciones generales sobre el sistema. Elaborar el informe final de auditoria. Elaborar el informe oral de la auditoria.

A LCANCE

R UBROS

A REVISAR

De manera general se consideran flujo de informacin, procedimientos, documentacin, redundancia, organizacin de archivos, controles, utilizacin de los sistemas lo que incluye:

Entradas.
Salidas. Procesos. Especificaciones de datos.

Identificacin de archivos, tamao de los campos y registros.

Especificaciones de proceso.
Mtodos de acceso. Operaciones.

Frecuencia y volmenes de op.

Sistemas de seguridad. Sistemas de control.

Manipulacin de datos (antes y despus del proceso electrnico de datos).

Responsables.
Nmero de usuarios.

NORMATIVIDAD
La Asociacin de Auditora y Control de Sistemas de Informacin ha determinado que la naturaleza especializada de la auditora de los sistemas de informacin y las habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de Normas Generales para la Auditora de los Sistemas de Informacin.

DEL SECTOR

La naturaleza especializada de la auditora a los sistemas de informacin (SI), as como las destrezas necesarias para llevar a cabo tales auditoras, requiere de estndares que aplican especficamente a la auditora de SI. Uno de los objetivos de la Asociacin de Auditora y Control de los Sistemas de Informacin (Information Systems Audit and Control Association, ISACA) es promover estndares aplicables internacionalmente para cumplir con su visin.

El desarrollo y difusin de los Estndares de Auditora de SI son una piedra angular de la contribucin profesional de ISACA a la comunidad de auditora. La estructura para los Estndares de Auditora de SI brinda mltiples niveles de asesoramiento:

Estndares.- Definen requisitos obligatorios para la auditora y el reporte de SI. Directrices.- Proporcionan asesoramiento en la aplicacin de los Estndares de Auditora de SI. Procedimientos.- Proporcionan ejemplos de procedimientos que podra seguir un auditor de SI

Existen normas que el auditor de sistemas de informacin debe dominar para su correcta evaluacin. El auditor de sistemas de informacin debe estar preparado para justificar cualquier incumplimiento a stas en la empresa.

Normas Internacionales de Auditora emitidas por IFAC (International Federation of Accountants) en la NIA 15 y 16, donde se establece la necesidad de utilizar otras tcnicas adems de las manuales.

Norma ISA 401, sobre Sistemas de Informacin por Computadora. SAS No. 94 Una organizacin que usa Tecnologas de Informacin, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluacin de riesgos, actividades de control, informacin, comunicacin y monitoreo adems de la forma en que se inicializan, registran, procesan y reporta las transacciones.

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, plantea la importancia del uso de CAAT en auditoras en un entorno de sistemas de informacin por computadora.

SAP 1009 los define como programas de computadora y datos que el auditor usa como parte de los procedimientos de auditora para procesar datos de significancia en un sistema de informacin.

En materia de calidad se encuentran las siguientes Norma NMX-CC-9000-IMNC-2000 (COPANT/lSO 9000-2000) Sistemas de Gestin de la Calidad - fundamentos y vocabulario aplicado a sistemas. Norma NMX-CC-SAA-19011-IMNC-2002 (COPANT/lSO 19011-2002) Directrices para la Auditora de los Sistemas de Gestin de la Calidad.

En cuanto manejo de la informacin se refiere:

La proteccin jurdica de la informacin personal La proteccin jurdica del software Los convenios o contratos informticos Los delitos informticos El valor probatorio de los documentos electromagnticos

NORMATIVIDAD
Tomando en cuenta principios de control como son :
INTERNA

Los programas deben ser probados con datos que agoten todas las excepciones posibles.

Todos los sistemas deben estar debidamente documentados y actualizados.

Informe de factibilidad Diagrama de bloque Objetivos del programa Listado original del programa y versiones Formatos de salida

Asegurar que todos los datos sean procesados. Garantizar la exactitud de los datos procesados. Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

DE

O PERACIN

Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos Garantizar la integridad de los recursos informticos. Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.

Implantar claves o password para garantizar operacin a personal autorizado. Formular polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacin y como responder ante esos eventos. Mantener un a bitcora de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos. Los backups deben guardarse en lugares seguros y adecuados Se deben implantar calendarios de operacin a fin de establecer prioridades de proceso. Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc. Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin.

FSICOS Y LGICOS

Autenticidad: Permiten verificar la identidad

Passwords Firmas digitales Validacin de campos Validacin de excesos Conteo de registros Cifras de control Cancelacin de lotes Verificacin de secuencias

Exactitud: Aseguran la coherencia de los datos

Totalidad: Evitan la omisin de registros as como garantizan la conclusin de un proceso de envi

Redundancia: Evitan la duplicidad de datos

Privacidad: Aseguran la proteccin de los datos

Compactacin Encriptacin Bitcora de estados Mantenimiento de activos Extintores Passwords

Existencia: Aseguran la disponibilidad de los datos Proteccin de Activos: Destruccin o corrupcin de informacin o del hardware

Efectividad: Aseguran el logro de los objetivos

Encuestas de satisfaccin Medicin de niveles de servicio

Programas monitores Anlisis costo-beneficio

Eficiencia: Aseguran el uso ptimo de los recursos

HERRAMIENTAS

Es un software de origen canadiense. Desarrollada por Audimation Services. Nos permite disminuir costos de anlisis, realzar la calidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos.

REAS DE USO

Auditora externa de estados financieros. Auditora interna. Deteccin de fraudes. Informes y anlisis de gestin. Transferencias de archivos. Bancos e instituciones financieras Industrias.

Organizaciones de ventas al por menor.

Entes gubernamentales (prestadores de ayudas y beneficios).

FUNCIONES

Importacin de datos. Manejo de archivos y clientes. Estadsticas de campo. Historial. Extracciones. Extraccin indexada. Extraccin por valor clave @Funciones. Conector Visual Grficos. Ley de Benford.

ACL Services es una empresa privada ubicada en Vancouver, Canad, con representantes en ms de 30 pases. ACL es una herramienta enfocada al acceso de datos, anlisis y reportes para auditores y profesionales financieros. Una de las ventajas de esta herramienta es que no es necesario ser un especialista en el uso de CAAT ya que su uso es muy amigable, esta herramienta reduce el riesgo y asegura el retorno de la inversin, tambin posee una poderosa combinacin de accesos a datos, anlisis y reportes integrados, ACL lee y compara los datos permitiendo a la fuente de datos permanecer intacta para una completa integridad y calidad de los mismos. ACL permite tener una vista inmediata de la transaccin de datos crticos en la organizacin.

FUNCIONES

Anlisis de datos para un completo aseguramiento. Localiza errores y fraudes potenciales.

Identifica errores y los controla.

Limpia y normaliza los datos para incrementar la consistencia de los resultados. Realiza un test analtico automtico y manda una notificacin va e-mail con el resultado.

La metodologa Audicontrol APL versin 2005 y el software en el que sta se apoya, proveen ayudas para asistir a los diseadores de controles, analistas de seguridad y analistas de riesgos, en el desarrollo de todas las etapas de proyectos de Gestin de Riesgos y Diseo de Controles Internos o de Rediseo, Reingeniera del Sistema de Control Interno existente para procesos de negocio, sistemas de informacin (Aplicaciones de Computador) y la Infraestructura de Tecnologa de Informacin de la organizacin.

O BJETIVOS

Reducir o eliminar los controles costosos e inefectivos. Define con precisin las reas de riesgo, mientras se desarrollan adecuadas medidas de control. Evala los estndares de control utilizados. Enfatiza las responsabilidades de la administracin por el desarrollo y monitoreo efectivo de los sistemas de control interno. Comunicar los resultados a otros.

AuditMaster de Pervasive, es una solucin de supervisin de transacciones a nivel de base de datos. Este sistema controla e informa de toda la actividad que tiene lugar en una base de datos Pervasive.SQL. La tecnologa de AuditMaster consiste en capturar las operaciones que se realizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se divide en tres componentes:
1.

Gestor de eventos (Log event handler)

2.
3.

Base de datos de registro (Log database)

Visor de registros (Log viewer)

DELOS
Delos es un sistema experto que posee conocimientos especficos en materia de auditora, seguridad y control en tecnologa de informacin.

Este conocimiento se encuentra estructurado y almacenado en una base de conocimiento y puede ser incrementado y/o personalizado de acuerdo con las caractersticas de cualquier organizacin y ser utilizado como una gua automatizada para el desarrollo de actividades especficas.

CARACTERISTICAS

Orientacin al negocio Base de conocimientos Fundamento metodolgico Personalizable a las caractersticas y requerimientos de cada empresa Multicompaia y multiproyecto

C ARACTERSTICAS

DE

ACL

Funcionalidad incorporada para auditas y analizar los datos Facilidad para el anlisis interactivo Alta capacidad y velocidad Facilidad de uso Anlisis universal de datos Procesamientos de varios archivos Informacin de muy alta calidad Herramientas avanzadas para la productividad Detalle integral del trabajo realizado

P ANTALLA I NICIAL ACL

V ENTANAS

DE

ACL

C APACIDADES DE ACL EN EL A NLISIS

O PERACIONES A RCHIVO NICO

I NTEGRIDAD
DATOS

DE

C ONTAR R EGISTROS

T OTALIZAR VALORES DE CAMPO

NUMRICOS

V ERIFICAR

DATOS DE CAMPO

R ECOPILACIN DE D ATOS

E STADSTICAS

C REACIN

DE GRFICAS

Anlisis Digital con el Comando Benford

Esta funcin realiza un conteo de ocurrencia de dgitos iniciales en un archivo y compara el conteo real con el conteo esperado.

C REACIN

DE GRAFICAS

E STRATIFICAR

Esta opcin se usa para resumir datos segn intervalos numricos y lo que genere es un conteo de registros por cada intervalo establecido y calcula el porcentaje de recuento total. Para ello es necesario especificar un valor mnimo y un valor mximo.

E STRATIFICAR

C LASIFICAR

Esta opcin permite resumir intervalos con base en valores nicos en un solo campo de caracteres

S ALIDA DEL ARCHIVO : R EPORTE

P RUEBAS

DE

S ECUENCIA

S ECUENCIA

Esta determina si los datos en campos especificados estn en orden secuencial, tambin se pueden detectar duplicados

FALTANTES
Detecta elementos que estn faltando en un campo ordenado

D UPLICADOS

E XTRAER
Permite copiar datos seleccionados del archivo actual para otro archivo.

E XPORTAR

Permite copiar datos seleccionados del archivo actual para otro archivo, ACL permite leer datos desde cualquier fuente de datos y crea archivos de salida en formatos:

Para aplicaciones de Windows

Microsoft Excel Word Perfect Texto sin formato Texto delimitado

R EORGANIZACIN
DATOS

DE

O RDENAR

Crea un nuevo archivo de datos en el que los regitros se reorganizan en base a campos clave, adecuado para mejorar reportes.

I NDEXAR
Crea un nuevo archivo de ndice separad que permite acceso a los registros de un archivo de datos en orden lgico

M UESTREO E STADSTICO

Ayudara a obtener una conclusin valida estadsticamente sobre una poblacin de datos a partir de un numero pequeo de muestras.

Soporta 2 tcnicas:

Muestreo por unidades monetarias Muestreo de transacciones

Brinda 3 mtodos:

Intervalo fijo Intervalo aleatorio Muestreo aleatorio

M UESTREO E STADSTICO

ACL tiene 3 comandos para muestreo estadstico:

Tamao: tamaos e intervalos adecuados Muestreo: Para sacar muestras de una poblacin Evaluar : determinar el efecto de errores detectados en sus muestras

O PERACIONES DE ARCHIVOS
MLTIPLES

UNIR

Permite combinar campos de 2 archivos con estructuras diferentes en un tercer archivo. Se usa para comparar datos de ambos archivos e identificar registros correspondientes o no, en uno o ambos archivos.

R ELACIONAR
Permite el acceso simultaneo de datos desde 2 o ms archivos, ambos debern tener un campo en comn.

F ILTROS

Permiten delimitar el mbito de los datos que sern analizados. Existen 2 categoras:

Filtros globales: restringe los datos que se podrn analizar mientras el filtro este activo. Filtro locales: se combina con comandos simples u operaciones para definir el mbito de anlisis