• Categories
• Contralor, auditor
• Cuestionario
• Planificación
• Información
• Archivo de computadora

Citation preview

Lista de Verificación. Una lista de verificación, en inglés: checklist, es una herramienta que se utiliza en diversos ámbitos de la gestión de las organizaciones para extraer una serie de propiedades de aquello que se somete a estudio. El checklist se presenta generalmente en forma de preguntas que se responden de forma binaria: lo tiene o no lo tiene, está presente o no está presente, aunque también se pueden dar más de dos opciones de respuesta, pero siempre de forma cerrada, es decir, salvo que se quiera habilitar un apartado de comentarios, las respuestas son sí o no. La lista de verificación es una de las formas más objetivas de valorar el estado de aquello que se somete a control. El carácter cerrado de las respuestas proporciona esta objetividad, pero también elimina información que puede ser útil porque no recoge todos los matices, detalles, y singularidades. El checklist se pueden utilizar en cualquier área del sistema de gestión, por ejemplo: para evaluar a los proveedores, para realizar controles del producto, para verificar los productos comprados, o para evaluar la competencia del personal. Un checklist se puede utilizar con finalidades de evaluación, de control, de análisis, y cómo no, de verificación. Del resultado de un checklist se puede deducir el valor de un indicador, o lo podemos utilizar para comparar entre varias opciones, o establecer una foto fija de la situación actual. Instrumento que contiene criterios o indicadores a partir de los cuales se miden y evalúan las características del objeto, comprobando si cumple con los atributos establecidos. La lista de verificación se utiliza básicamente en la práctica de la investigación que forma parte del proceso de evaluación. Instrumentos de recopilación de Informes Objetivo Identificar los principales instrumentos técnicas, herramientas y métodos utilizados en la recopilación de información: Las cuales detallaremos a continuación:      

Entrevista Cuestionarios Encuestas Observación Inventarios Muestreo



Experimentación

Al utilizar estas herramientas, métodos y procedimientos en auditoria de sistemas, lo que se hace es utilizar lo mejor de ellas para adecuarlas a las necesidades específicas de evaluación requerida. 

Entrevista

Es la principal actividad de un auditor sin importar el tipo de auditoria que se realice, es la recopilación de conformación sobre el aspecto que va auditar, pues concentra y tabular esa conformación en cuadros Y estadísticas analiza sus resultados y emite un juicio sobre lo que evaluó. Una entrevista consta de inicio, apertura, cima y cierre. Los tipos de entrevistas pueden ser; Libres Dirigidas De exploración De comprobación De información Informales Las preguntas para una entrevista Pueden ser: Abiertas: donde el entrevistado tiene libertad absoluta para responder. Cerradas: su objetivo es centrar las respuestas donde el auditor quiera llegar sin salirse del tema. De sondeo: se utiliza para determinar el grado de cooperación y colaboración. De Cierre: se hacen para terminar con el interrogatorio. Mixta: es la combinación de dos o más de las preguntas anteriores.  Cuestionarios: Es la recopilación de datos mediante preguntas impresas en la que el encuestado responde mediante su criterio. Que luego el auditor convierte en información valiosa para realizar su trabajo. Ventajas: Facilitan la recopilación de información y no necesitan muchas explicaciones Permiten la rápida fabulación e interpretación. Evitan la dispersión de la información requerida. Son fáciles de aplicar y ayudan a recopilar mucha información en poco tiempo. Hacen impersonal las respuestas por lo tanto en una auditoria ayuda a recopilar información valiosa. Desventajas: Falta de profundidad en las respuestas y no puede ir más allá del cuestionario. Se necesita una buena elección del universo y la muestra seleccionada Puede provocar la obtención de datos equivocados. La interpretación de anales de los datos puede ser muy simple si el cuestionario no está bien estructurado. Limita la participación del auditado.

 Encuesta: Las encuestas constituyen una de las técnicas más populares y de mayor uso en la auditoria.  Observación: Es la acción de observar y mirar detenidamente, esta técnica es muy utilizada por los auditores ya que les permite recolectar directamente la información necesaria. La acción de observar es el hecho de examinar, analizar, advertir, o estudiar algo en este caso el auditor observa todo lo relacionado con los sistemas de una empresa.  Inventario Esta forma de recopilación de información consiste en hacer un recuento físico de lo que se está auditando a fin de saber la cantidad existente de algún producto en una fecha determinada y comprarla con la que debía haber según los documentos en esa misma fecha. Consiste en comprar las cantidades reales existentes con las que beberían haber para ver si son iguales o no.  Muestreo Para emitir una opinión fundamentada sobre los funcionamientos de las operaciones un auditor debe tener información segura pero se le hace imposible e inoperante revisar todas las transacciones, razón por la cual debe tomar una muestra representativa de cada una de las labores de la población auditada. El cual consiste en una muestra representativa del total de la población.  Experimentación Es una de las técnicas que más ayudan al auditor a recopilar información la experimentación es quien lleva a cabo la auditoria puede participar activamente o no en la observación de fenómenos. Entre los tipos de experimentos que daremos a conocer están: Experimentos exploratorios Experimento confirmatorios Experimento cruciales Si el auditor lleva a cabo cada uno de estos métodos detalladamente y en orden podrá obtener buenas informaciones que les servirán para la presentación de resultados y la toma de decisiones. Papeles de trabajo (para la auditoría de sistemas computaciones) A lo largo de todo el trabajo de auditoría, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuación con las necesarias matizaciones para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditoría utilizados, así como la interpretación dada en cada caso a los hechos, con las conclusiones obtenidas.

Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No deberán destruirse antes de que haya transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las necesidades de la práctica profesional. Su destrucción o pérdida, así como la difusión no autorizada, acarrearía responsabilidad para el auditor. Estructura de contenidos. Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos preparados por un auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión. Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la supervisión y revisión de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinión del auditor. Han de ser detallados y completos los papales de trabajo y deben estar diseñados para presentar la información requerida de forma clara y plena de significado. Estos deben elaborarse en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su custodia sin peligro y su confidencialidad. En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes:     

Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo. Presentar informes a las partes interesadas. Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente. Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por persona distinta de la que la inició. Facilitar la labor de revisiones posteriores y servir para la información y evaluación personal.

Tipos de papeles de trabajo. En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar en tres grupos: a) Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos. b) Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la verificación de los saldos que aparecen en el balance de situación a auditar.

c) Preparados por el auditor. Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones,… Sistemas de archivo. Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados todos los documentos utilizados en la actuación profesional, así como cuantas informaciones se consideren de interés, tanto para el presente como para el futuro.

Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente. El contenido de este archivo se refiere a documentos y papeles de trabajo cuya vigencia se limita al período de realización de la auditoría. a) Archivo general Agrupa toda información referente a la organización de la auditoría, al mismo tiempo recogerá la documentación en la que se han ido reflejando los principales problemas que se han planteado en la ejecución de la auditoría y las conclusiones a las que ha ido llegando el auditor. De esta forma, podríamos destacar como apartados importantes de la sección general del expediente del ejercicio:         

Estados financieros a auditar Proceso de planificación y programas de auditoría Informe sobre el sistema de control interno contable Indicación de quién realizó los procedimientos de auditoría y cuándo fueron realizados Constancia de que el trabajo realizado por colaboradores ha sido supervisado y revisado Puntos de informe Correspondencia con el cliente y resumen de las conversaciones mantenidas Hechos posteriores Terminación de la auditoría

b) Archivo por áreas de trabajo

Controles Procesos de control y verificación. En una auditoria de la información, se deben establecer también los procesos de control y verificación. El resultado de estos procesos puede consistir en un informe

o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el mapa de recursos de información, o mapa documental, puede constituir uno de los principales resultados del proceso de la auditoria de información. En el caso del mapa documental, éste detalla qué documentos se encuentran dentro de la organización, a qué tipo de funciones se encuentran vinculados y dan respuesta, quién tiene la responsabilidad y el acceso a esos documentos, en qué soporte están disponibles, dónde y cómo se encuentran accesibles y qué relación o nivel de integración tienen con el resto de los sistemas de información de la organización. También se establece la localización de todos los documentos dentro de los estándares y los procedimientos de la organización, así como su valor para el conocimiento corporativo

CONTROLES APLICADOS EN LA AUDITORIA DE SISTEMAS Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplo: Sistemas de claves de acceso

Controles detectivos Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Procedimientos de validación

Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores.

Controles físicos y lógicos         

Autenticidad: Permiten verificar la identidad Exactitud: Aseguran la coherencia de los datos Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió Redundancia: Evitan la duplicidad de datos Privacidad: Aseguran la protección de los datos Existencia: Aseguran la disponibilidad de los datos Protección de Activos: Destrucción o corrupción de información o del hardware Efectividad: Aseguran el logro de los objetivos Eficiencia: Aseguran el uso óptimo de los recursos

Controles automáticos o lógicos  

Periodicidad de cambio de claves de acceso Definir una combinación de alfanuméricos en claves de acceso, para redefinir claves es necesario considerar los tipos de claves que existen: Individuales: Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio. Grupales: Las claves grupales o globales serán manejadas por varios funcionarios quienes serán responsables mancomunadamente de las actividades relacionadas con el uso de las mismas.



Verificación de datos de entrada, incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.



Conteo de registros, consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.



Utilizar software de seguridad en los microcomputadores el cual permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda

utilizarlo. Algunos programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros. OTROS CONTROLES APLICADOS EN LA AUDITORIA DE SISTEMAS Controles administrativos en un ambiente de Procesamiento de Datos La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma: 

Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. 

Controles de Organización y Planificación

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como: Diseñar un sistema, Elaborar los programas, Operar el sistema, Control de calidad. 

Controles de Sistemas en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. 

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:  Asegurar que todos los datos sean procesados.  Garantizar la exactitud de los datos procesados.  Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoria.

 Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. 

Controles de Operación

Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cinto teca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas online. Estos controles tienen como fin:  Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso.  Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD (Procesamiento automático de Datos).  Garantizar la integridad de los recursos informáticos.  Asegurar la utilización adecuada de equipos acorde a planes y objetivos. 

Controles de uso de Microcomputadores

Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información. AUDITORIA DE DESARROLLO DE SISTEMAS La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. Aplicando la división funcional al departamento de informática de cualquier entidad, una de las áreas que tradicionalmente aparece es la de desarrollo. Esta función abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un determinado sistema de información hasta que éste es construido e implantado.

La auditoria en sistemas revisa todo el ciclo de vida de un programa.

Auditoría a un sistema en desarrollo Uno de los aspectos más importantes dentro de este tipo de auditoría es la evaluación del sistema de control interno, que permite conocer la situación actual del área de desarrollo de pruebas de auditoría, orientadas a levantar la evidencia requerida para sustentar las sugerencias de control interno dirigidas a la alta dirección. Como se trata de la auditoria operacional al área de informática, este estudio debe hacerse sobre la base de comprobar la aplicación permanente de los siguientes parámetros: economicidad, eficiencia y efectividad, lo cual implica una evaluación evidentemente con visión gerencial. Procedimientos de auditoría

Con base en los resultados de la evaluación del sistema de control interno, definirán los procedimientos de pruebas de auditoría de tipo cumplimiento, sustantivas y de doble finalidad que se consideran pertinentes en las distintas circunstancias. Para guiar el diseño y ejecución de las pruebas de auditoría, se toman como puntos de referencia los elementos de control interno, en la forma expresada a continuación: Objetivos definidos: 1. Analice los objetivos del área de desarrollo de sistemas y emita su opinión sobre su coherencia, alcance y posibilidad de cumplimiento. 2. Compruebe que se produjeron sistemas eficientes y efectivos. 3. Verifique si los usuarios están satisfechos con el trabajo del personal de sistema. 4. Examine y evalué el sistema de control de calidad al desarrollo de sistemas. 5. Cerciórese si los objetivos están actualizados y debidamente documentados. Estructura de Organización Sólida: 1. Verifique si la estructura organizacional se adapta a las reales necesidades de la unidad de desarrollo de sistemas y de la entidad en general. 2. Analice los niveles jerárquicos y las líneas de autoridad y de responsabilidad. 3. Evalué el grado de segregación funcional, en el área de desarrollo de sistemas. 4. Analice los estándares vigentes para el desarrollo de sistemas. 5. Compruebe que la estructura organizacional está cuidadosamente documentada. ¿Qué es una auditoría interna de desarrollo? ¿Por qué es importante? La auditoría de desarrollo, o "fundraising audit" en inglés, se refiere a un autoanálisis institucional para evaluar la eficacia de los esfuerzos actuales de procuración de fondos de la organización y para identificar capacidades y debilidades en sus sistemas de desarrollo (personal, junta directiva, políticas internas, y prácticas). La auditoría sirve para evaluar la preparación de la organización para emprender nuevas inciativas de desarrollo de fondos y recursos.

Para llevar a cabo tal auditoría, se utilizan consultores o voluntarios; de esta forma se asegura una perspectiva objetiva e independiente sobre las campañas actuales. Las organizaciones conocidas, con presupuestos lo suficientemente grandes,

generalmente contratan a un contable público o profesional en el campo de las finanzas para realizar la auditoría. Una organización más pequeña, que no cuenta con los recursos para costear servicios profesionales, podría encargarle la auditoría a un voluntario de su confianza con experiencia en la procuración de fondos. También podría considerar una evaluación mutua; es decir, establecer un arreglo con una organización colega mediante la cual cada organización evalúa a la otra y le provee sus observaciones.

Sin importar el tamaño de su organización, el proceso le ofrece varios beneficios claves:  





Podrá identificar y abordar debilidades o déficits en la generación de ingresos y en la sostenibilidad de su organización. Los objetivos y metas planteadas en la auditoría orientarán a la organización hacia un éxito mayor en la procuración de fondos para la sostenibilidad a largo plazo. La junta directiva y el personal obtendrán un conocimiento más profundo de la gestión financiera de la organización y de su papel en la recaudación de fondos. Los donantes institucionales y particulares estarán mejor informados sobre el poder para generar ingresos de la organización y de sus estrategias.