Manual de Auditoria de Sistemas
FACULTAD DE CIENCIAS CONTABLES, ECONOMICAS Y FINANCIERAS DEPARTAMENTO ACADÉMICO DE CONTABILIDAD Y FINANZAS MANUAL: AUD
Views 43 Downloads 1 File size 559KB
Recommend stories
- Author / Uploaded
- Adam Richmond
Citation preview
FACULTAD DE CIENCIAS CONTABLES, ECONOMICAS Y FINANCIERAS DEPARTAMENTO ACADÉMICO DE CONTABILIDAD Y FINANZAS
MANUAL:
AUDITORIA DE SISTEMAS CICLO X
SEMESTRE ACADEMICO 2008 I-II Material didáctico para uso exclusivo de los alumnos.
LIMA - PERÚ
UNIVERSIDAD DE SAN MARTIN DE PORRES
Rector(e) Ing. Raúl E Bao García Vicerrector Ing. Raúl E Bao García FACULTAD DE CIENCIAS CONTABLES, ECONÓMICAS Y FINANCIERAS Decano Dr. Domingo Sáenz Yaya Director de la Escuela Profesional de Contabilidad y Finanzas Dr. Juan Amadeo Alva Gómez Director del Departamento Académico de Contabilidad y Finanzas Dr. Enrique Loo Ayne Secretario de Facultad Dr. Augusto H. Blanco Falcón Directora de la Sección Postgrado Dra. Yolanda Salinas Guerrero Director del Instituto de Investigación Mo. Víctor Loret de Mola Cobarrubias Director de la Oficina de Grados y Títulos Dr. Sebastián Ferril Márquez Jefa de la Oficina de Registros Académicos Sra. Belinda Quicaño Macedo Jefa de la Oficina de Bienestar Universitario Lic. Maria Pizarro Dioses Jefe de la Oficina de Administración Dr. Luis Flores Barros
2
ÍNDICE PORTADA INTRODUCCIÓN ÍNDICE DE CONTENIDO OBJETIVOS PAUTAS PARA EL ESTUDIO Y LOS TRABAJOS DE APLICACIÓN UNIDAD I: CONCEPTOS, DEFINICIONES Y EL SISTEMA INFORMATICO. TEMA N° 1: CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS. 1. Definiciones, conceptos aplicados. 2. Normas aplicables. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES
12-15
TEMA N° 2: PROPUESTAS DE AUDITORIA DE SISTEMAS. (Laboratorio) 16 -20 1. Presentación de propuestas de auditoria de sistemas.(Empresa Publica y Privada) 2. Alcances y objetivos. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 3: EL SISTEMA INFORMATICO. 1. Objetivos, fases, rol del auditor de sistemas. 2. Atributos del sistema informático. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES
21-27
TEMA N° 4: CONCENTRACION DE LOS SISTEMAS INFORMATICOS. (Laboratorio) 1. Complejidad de los sistemas. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES
28-33
UNIDAD II: INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS. TEMA N° 5: BASE DE DATOS PARA AUDITORIA DE SISTEMAS. 41-44 1. Conceptos, importancia y usos. 2. Control de sistemas en Funcionamiento. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES 3
TEMA N° 6: ASPECTOS AREVISAR 1. Guías y Planes. 2. Aspectos a revisar. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES
36-40
TEMA N° 7: CONCEPTUALIZACIONES DE DISEÑO Y PRODUCCION DE SOFWARE. 45-49 1. Conceptos y modelos usados. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 8: PRUEBAS DE AUDITORIA. 50-54 1. Niveles de pruebas.(Laboratorio) 2. Pruebas especiales. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES UNIDAD III: PLANEACION DE LA AUDITORIA DE SISTEMAS. TEMA N° 9: EVALUACION D ELA GESTION 1. Evaluación de riesgo. 2. Evaluación del proceso de datos. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 10: EVALUACION DE SISTEMAS EN FUNCIONAMIENTO. 60-63 1. Plan de trabajo, aspectos a revisar.(Laboratorio) 2. Formularios de control. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 11: MODALIDAD DE PRUEBAS. 64-77 1. Niveles de Control. 2. Plan del tipo de informe. 4
55-59
ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 12: MODELOS DE INFORME LARGO. 78-82 1. Gestión de uso de los sistemas 2. Elaboración de los términos de referencia. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES UNIDAD IV: TRABAJO DE CAMPO E INFORMES DE AUDITORIA DE SISTEMAS. TEMA N° 13: EJECUCION DEL PLAN Y PROGRAMA DE AUDITORIA. 83-87 1. Revisión de evidencias, cartas de hallazgo. (Laboratorio) 2. Decisiones y responsabilidades. 3. Papeles de trabajo, archivos y tipos de archivos ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN TEMA N° 14: INFORMES PARA DISCUSION 90-96 1. Usos e importancias. 2. Modelos, diseñios. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 15: INFORME FINAL. 97-99 1. Caso practico. Elaboración del informe final (Laboratorio) ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES FUENTES DE INFORMACIÓN
100 -101
5
OBJETIVOS OBJETIVO GENERAL. Comprende los conceptos fundamentales de la auditoria de sistemas, los procedimientos técnicos de control y auditoria de la administración o gerencial y el desarrollo del análisis de la planeación y ejecución de la auditoria de sistemas o gerencial. OBJETIVOS ESPECIFICOS. •
Fija conceptos, fundamentos y criterios de la Auditoria de Sistemas.
•
Determina el cumplimiento de las disposiciones y reglamentos referidos a la gestión gerencial.
•
Establece si los objetivos y metas previstos se están cumpliendo.
•
Establece si la entidad tiene un sistema adecuado de control.
•
Maneja los distintos métodos de planeacion para el desarrollo de la Auditoria de sistemas, el Plan de Auditoria, los programas de auditoria y el archivo permanente.
•
Ejecuta y desarrolla la fase de ejecución, los papeles de trabajo, emite las cartas de Hallazgo, interpreta las observaciones y aplica responsabilidades.
•
Emite y reconoce los informes para discusión e informes finales de Auditoria de Sistemas.
•
PAUTAS PARA EL ESTUDIO Y LOS TRABAJOS DE APLICACIÓN Este Manual será utilizado como apoyo importante al desarrollo de la asignatura de Auditoria de Sistemas, en algunos casos será estudiado previamente por indicación del profesor, lo que permitirá el análisis y debate colectivo del tema leído; en otros casos, servirá para una lectura que complemente las explicaciones recibidas durante las sesiones de aprendizaje. Esta lectura será comprensiva y deberá utilizar las técnicas de estudio que se propone en uno de los temas desarrollados.
•
Después de la lectura comprensiva efectuada deberás desarrollar las actividades de aplicación propuestas en el Manual. Algunos trabajos son individuales y otros son para desarrollarse en grupos. Pueden ser realizados en aula, o requerir de trabajo de campo; ambas modalidades fortalecen la capacidad de autoaprendizaje del estudiante.
•
También deberás resolver las cuestiones planteadas en la autoevaluación al final de cada tema. Si tuvieras dificultad consulta a tu profesor o efectúa investigaciones puntuales. Éxitos y buena suerte 6
AUDITORIA DE
SISTEMAS
DIAGRAMA DE CONTENIDOS
CONCEPTOS, DEFINICIONES Y EL SISTEMA INFORMATICO
INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS
PLANEAICON DE LA AUDITORIA DE SISTEMAS
TRABAJO DE CAMPO E INFORMES DE AUDITORIA.
7
UNIDAD I CONCEPTOS, DEFINICIONES Y EL SISTEMA INFORMATICO El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso de sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor – Contador , hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria. CONTENIDOS PROCEDIMENTALES • • • • • • •
• • • • • •
Manejo de las bases y Normas identificables con la Auditoria de sistemas. Observa e interpreta las diferentes propuestas. Reconoce e identifica los sistemas informáticos. Elabora las guías y programas de auditoria. Elabora las técnicas de muestreo Reconoce el rol del auditor de sistemas en estos nuevos Analiza y evalúa el control interno, base de datos y el Planeamiento de auditoria CONTENIDOS ACTITUDINALES. Identifica y reconoce las diferentes Normas utilizadas en los trabajos de auditoria dirigidas a los sistemas. Realiza una propuesta de trabajo de auditoria para empresa privada y publica. Maneja la relación Normas – Auditoria. Cuida el manejo de los procedimientos de aplicación de las cotizaciones de auditoria. Maneja y elabora programas de auditoria. Evaluación de los controles de sistemas. Valora el planeamiento en todo trabajo de su vida.
CONTENIDOS CONCEPTUALES TEMA No. 1: TEMA No. 2: TEMA No. 3: TEMA No. 4.
CARACTERITICAS DE LA AUDITORIA DE SISTEMAS. PROPUESTAS DE AUDITORIA DE SISTEMAS. EL SISTEMA INFORMATICO CONCENTRACION DE LOS SISTEMAS INFORMATICOS.
8
CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS
C O N C E P T O S ,
D E F I N I C I O N E S Y I N F O R M A T I C O
E L
S I S T E M A
DIAGRAMA DE CONTENIDOS
PROPUESTAS DE AUDITORIA DE SISTEMAS
EL SISTEMA INFORMATICO
CONCENTRACION DELA INFORMACION Y LA METODOLOGIA DE PRUEBAS. 9
TEMA N° 01 CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS. EL PROCESO DE LA AUDITORIA DE SISTEMAS 1. DEFINICION • Es un examen objetivo, sistemático y profesional de evidencias, realizado con el fin de proporcionar una evaluación independiente sobre el desempeño de los sistemas utilizados en una entidad, programa o actividad. 2. Objetivos • Determinar el grado en que se están logrando los resultados previstos. • Establecer si se adquiere y protege los recursos en forma económica y eficiente • Determinar si se ha cumplido con las leyes en materia de eficiencia y economía. • Establecer si los controles gerenciales son efectivos. 3. Metodología • Planeamiento: Comprende dos etapas 1. Revisión General * Conocimiento inicial de la entidad por examinar. * Análisis preliminar en la entidad * Formulación del plan de revisión estratégica 2. Revisión Estratégica *Ejecución del plan *Aplicación de pruebas preliminares * Identificación de los criterios de auditoria. * Formulación del reporte de revisión estratégica 3. Elaboración del Plan De AUDITORIA. • Ejecución: 1. Elaboración de los programas de auditoria, la recopilación de documentos, realización de pruebas y análisis de evidencias para asegurar su suficiencia y competencia, para acumular bases suficientes para la formulación de observaciones, conclusiones y recomendaciones debidamente sustentadas. 2. Se aplica procedimientos y técnicas de auditoria, pruebas de evaluación de controles, identificación de hallazgo (condición y criterio). • Informe: 1. Formaliza sus observaciones en el informe de auditoria. 2. Producto final; deberá detallar los elementos de la observación (condición, criterio, causa y efecto), comentarios de la entidad, evaluación final de tales comentarios, conclusiones y recomendaciones. 3. Debe tener requisitos de calidad y confiabilidad. 4. Aprobado y remitido a la entidad auditada. (forma y modo establecido por la Contraloría) 10
Conocimiento Inicial de las Actividades y Operaciones de la Entidad o Programa a Examinar
Fase de Planeamiento
Análisis Preliminar de la Entidad Y plan de Revisión Estratégica
Formulación del Reporte de Revisión Estratégica y Plan de Auditoria
Preparación de Programa de Auditoria
Fase de Ejecución
Aplicación de Pruebas y Obtención de Evidencias de Auditoria
Elaboración de Hallazgos de Auditoria, Observaciones, Conclusiones y Recomendaciones
Fase de Informe
Aprobación del Informe de auditoria y Remisión a la Entidad Auditada
Seguimiento de Medidas Correctivas Adoptadas por Entidad Auditada
ANALISIS DE COSTO BENEFICIO Es una técnica utilizada en el análisis de Sistemas: que tiene como objetivo fundamental proporcionar una medida de los costos en que se incurren en la realización de un proyecto informático y a su vez, comparar dichos costos previstos con los beneficios esperados en la realización de dicho proyecto. Formula. B/c = Ingreso total (FAS % años) + Valor Residual (FAS % Años) Costo inicial
+ Costo Operativo (FAS % Años)
11
ANALISIS DE SISTEMAS Es el proceso mediante el cual se estudian e interpretan los hechos del Sistema actual, con el fin de especificar los requerimientos y especificaciones funcionales del nuevo Sistema a desarrollar - Entrevistas. - Diagrama de Flujo de Datos (D.F.D.). - Modelizaci¢n de Datos. - Diagrama de Estructura de Datos (D.E.D.). - Historia de Vida de la Entidad (H.E.V.). - Análisis de Costo-Beneficio (A.C.B.).
CONFIABILIDAD DEL SISTEMA Se define que un sistema es confiable cuando posee los controles y las seguridades del caso, permitiendo que sus resultados sean exactos y que su operación sea estable y segura. • Detección de errores. • Prevención de acceso no autorizado y mal uso de la información y del equipo. • Controles ambientales y seguridad
DISEÑO ESTRUCTURADO Es una técnica utilizada en el diseño de Sistemas, para obtener la estructura modular y los detalles de proceso del sistema, partiendo solamente de la información obtenida en la fase de análisis de sistemas. En esta se define como debe estructurarse el sistema utilizando herramientas graficas
DIAGRAMA DE ESTRUCTURA DE CUADROS Es una técnica utilizada en el diseño de sistemas para modelar el sistema computarizado, visualizando modularmente el sistema, la conexión y comunicación entre los mismos; dando una visión integral de la arquitectura del sistema.
DIAGRAMA DE ESTRUCTURA DE DATOS (DED) Es una técnica utilizada en el análisis de sistemas para la modelizacion de datos, la cual representa un conjunto de datos relacionados entre si y describen en forma colectiva un componente del sistema
DIAGRAMA DE FLUJO DE DATOS (DFD) Proporciona una representación del sistema a nivel lógico y conceptual, describiendo el movimiento de los datos en el sistema, ya sea manual o automático, incluyendo procesos y lugares para almacenar datos.
DIAGRAMAS DE GANTT Son herramientas que se utilizan en la planificación de un proyecto o etapas del mismo y que consiste en el registro de lo planificado y de lo ejecutado a través de barras de diferente diseño en dos ejes, una de actividades y otra de
DISEÑO DE PRUEBAS Es una técnica utilizada en el diseño de Sistemas, que consiste en definir un programa de pruebas, para asegurar la confiabilidad del diseño y que no existen errores en los programas que se especifiquen. • Prueba de carga máxima. • Prueba de almacenamiento. • Prueba de tiempo de ejecución. • Prueba de recuperación. 12 • Prueba de procedimientos.
DISEÑO DE SISTEMAS Es el proceso de definición de la arquitectura de software, componentes, modulos, interfases, procedimientos de pruebas y datos de un sistema que se crean para satisfacer unos requerimientos específicos.
ENTREVISTAS Es una técnica que se utiliza en el análisis de sistemas para recabar la información verbal, a través de una serie de preguntas que propone el analista. Esta a su vez es imprescindible para obtener información cualitativa, relacionarse con los usuarios y recoger un conjunto de hechos y/o requerimientos de información necesaria para el estudio.
HISTORIA DE VIDA DE LA ENTIDAD Es una técnica utilizada en el análisis de Sistemas que permite describir la evolución de las entidades de datos del sistema. Esta técnica utiliza las entidades de datos identificados y descritas en los Diagramas de Estructura de Datos (DED) y las transacciones o eventos del sistema identificado en el Diagrama de Flujo de Datos (DFD). También constituye un poderoso instrumento para verificar la exactitud de los dos modelos antes mencionados y garantizar la coherencia.
IMPLANTACION DE SISTEMAS Es el proceso por el cual se instala un sistema, se crean archivos maestros, se capacita al personal involucrado, se procesa un periodo de información, se efectúan ajustes al sistema y se inicia la producción del sistema.
INTEGRACION DE SISTEMAS Es el proceso por el cual se analiza, diseña y programa las interfases entre diferentes aplicaciones, sub.-sistemas y sistemas; de tal forma que no se desarrollen sistemas aislados; sino mas bien interconectados que compartan archivo y base de datos comunes y se transfieran información entre ellos.
. INTEGRIDAD DE LA INFORMACION Consiste en que los valores de los datos se mantengan tal como fueron puestos intencionalmente en el Sistema. Las técnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el Software de la Base de Datos o por fallas de programas o del sistema. El concepto de integridad abarca la precisión y la fiabilidad de los datos: así como la discreción que sed debe tener con ellos.
INTEGRIDAD DEL SISTEMA Es una característica que deben poseer los sistemas computarizados. Consiste en que deben tener las seguridades de que el software no puede ser alterado ni la información producida puede ser accesada por personas no autorizadas, para lo cual deben existir los controles y seguridades del caso.
MODELIZACION DE DATOS Es una técnica utilizada en el análisis de Sistemas para conseguir estructura de Datos no redundantes, sin inconsistencias, seguras e integras, utilizando representaciones graficas.
13
OPTIMIZACION DEL DISEÑO FISICO Es una técnica utilizada en el diseño de Sistemas para optimizar el modelo de Datos elaborado en la fase de Análisis de Sistemas Permitiendo PERT-CPM obtener la estructura física del sistema,; así como la representación optima de la información. Es una técnica que se utiliza en la planificación de proyectos o etapas del mismo y que consiste en el registro de las actividades, recursos y costos planificados; así como los ejecutados realmente, mediante representación grafica de modos y fechas de dependencia de actividades.
PLATAFORMA DE HARDWARE Es el conjunto de equipos que se utilizan para desarrollar y operar un sistema o todos los sistemas de una organización, comprendiendo el computador central, las instalaciones de trabajo; tales como terminales, equipos de micro computación, impresoras; así como equipos de comunicación local en Red o Remotas.
PLATAFORMA DE SOFTWARE Es el conjunto de Software de base y aplicativos de uso general, que se utiliza para un sistema determinado o para toda la organización; consistente de los sistemas operativos, sistemas de base de datos, sistema de redes, sistemas de comunicaciones y sistemas generales de automatización de oficinas.
PROCESO EN PARALELO Es una técnica utilizada en la implantación de sistemas, que consiste en permitir que se siga utilizando el sistema anterior, mientras se procesa paralelamente el nuevo sistema, de tal forma de comparar resultados y efectuar el reemplazo necesario con la seguridad de la correcta operatividad y confiabilidad del nuevo sistema.
PROGRAMACION ESTRUCTURADA Es una técnica utilizada en la programación de sistemas y que consiste en llevar a cabo la programación en forma modular y utilizar sub.funciones para ser utilizadas en forma común.
PROGRAMACION DE SISTEMAS Es el proceso por el cual el diseño de un sistema se transcribe a un lenguaje de programación, que pueda ser interpretado por el computador, para que este ejecute instrucciones que realicen las funciones, especificados para el nuevo sistema.
PROTOTIPEO Es una técnica utilizada en el Análisis de sistemas y Diseño de sistemas, que permite desarrollar con rapidez un sistema de trabajo computarizado, para posibilitar probar el diseño ante el usuario en un Software provisional que permite analizar en forma física el ingreso de los datos, el procesamiento y la emisión de resultados; y poder efectuar los ajustes necesarios para el diseño definitivo.
PRUEBAS DE INTEGRACION Son las que deben realizarse para probar la integración entre los componentes del sistema y asegurarse que encajen correctamente.
14
PRUEBAS DEL SISTEMA Son las que deben realizarse para probar el sistema globalmente.
PRUEBAS UNITARIAS Son las que deben realizarse para probar todos los componentes del sistema que se desarrollan individualmente.
RESPALDO DE LA INFORMACION Es la información que se archiva en un medio alternativo al del almacenamiento de un computador, con fines de disponer de una copia de seguridad por si ocurriese perdidas del sistema o la información NORMAS DE AUDITORIA
NORMAS GENERALES
2.10 2.20 2.30 2.40
1.10
Entrenamiento técnico y Capacidad profesional
1.20 1.30
Independencia
1.40 1.50 1.60
Planificación General
Cuidado y esmero profesional
Confidencialidad Participación de especialistas
Control De Calidad
Planificación Especifica Normas para la planificación
Programa de Auditoria Archivo Permanente
3.10 Estudio y evaluación del Control interno
Normas para la Ejecución
3.20 Evaluación y cumplimiento de Normas legales y reglamentos
3.30
Supervisión del trabajo
3.40 Evidencia suficiente y competente
4.10 4.20
3.50
Papeles de Trabajo
3.60
Comunicación de Hallazgos
Forma Escrita Oportunidad del Informe 15
4.30
Presentación del Informe
4.40
Contenido del Informe
4.50 Informe Especial
3.70
Carta de representación
Normas para el Informe
NAGU 1.50 PARTICIPACION DE PROFESIONALES Y/O ESPECIALISTAS Integran el equipo de auditoria, en calidad de apoyo, los profesionales y/o especialistas que ejercen sus actividades en campos diferentes a la auditoria gubernamental, cuando sus servicios se consideren necesarios para el desarrollo del examen. De ser pertinente, los resultados de sus labores se incluirán en NAGU 2.20 PLANIFICACION ESPECIFICA El trabajo del auditor debe ser adecuadamente planificado, a fin de asegurar la realización de una auditoria de alta calidad y debe estar basado tanto en el conocimiento de la actividad que desarrolla la entidad a examinar, como de las disposiciones legales que la afectan. Preparación de una estrategia general, actualizar el conocimiento y comprensión del entorno de la entidad, sus principales operaciones, la estructura de control interno, disposiciones legales, nivel de riesgo, áreas criticas, potenciales hallazgos, programar la naturaleza, oportunidad de los procedimientos a aplicar.. Gestión: objetivos, metas y programas, seguimiento de recomendaciones anteriores. • Evaluación y actualización del archivo permanente. • Emisión del plan y programa de auditoria para ejecutar en el trabajo de campo Guía de la Planificación 1. Revise la carta de compromiso (el contrato) y todos los archivos de correspondencia y anote cualquier información que tenga un efecto significativo en el examen del año en curso. 2. En caso de trabajos recurrentes, revisar los papeles de trabajo de la auditoria del año anterior y las sugerencias para futuras revisiones, archivos permanentes, informes de auditoria, archivo de impuestos, cartas de gerencia y otros documentos relevantes 3. Reunión con el personal del cliente: a.- Indague sobre el desarrollo comercial y las condiciones económicas que afecten el negocio del cliente b.- Revise los resultados operativos del cliente, esperados para el año fiscal. Obtenga y revise los EEFF mensuales mas recientes. c.- Prepare una relación de papeles de trabajo y otros datos que serán proporcionados por el cliente. Incluyendo un cronograma. 4. Reunión con el personal de la firma a.- Discuta los temas significativos cubiertos en la reunión con el personal del cliente b.- Discuta naturaleza, oportunidad y alcance de los procedimientos de auditoria y el grado de confianza que podamos tener en los controles internos c.- discuta los tipos de informe que se deben emitir, revisar el presupuesto de tiempo He revisado los temas incluidos en el Plan de Auditoria y he anotado todos los puntos significativos en la sección de comentarios 16 Firma del responsable de la Firma de Socio responsable Planificación del compromiso
NAGU 2.30 PROGRAMA DE AUDITORIA Para cada auditoria gubernamental deben preparase programas específicos que incluyan objetivos, alcance de la muestra, procedimientos detallados y oportunidad de su aplicación, así como el personal encargado de su desarrollo. Programa 1. Objetivo del Examen • Informe de Auditoria Financiera: Emitir opinión sobre la razonabilidad de los EEFF. • Informe Examen Especial de la Información Presupuestaria: Razonabilidad de la información presupuestaria. Presupuestado versus ejecutado. • Informe Largo: Funcionamiento y efectividad del Sistema de Control Interno. Evaluar la gestión Administrativa y operativa.(metas y Objetivos) Adquisición de bienes y servicios. Normas de control de producción Proyectos de inversión u Obras publicas Controles de donación Seguimiento a la implementación de las recomendaciones. 2. Alcance: Aplicación de las NAGU, vista de locales y otros 3. Descripción de la Entidad: Constitución, principales operaciones, sistema de contabilidad 4. Normativa Aplicable: Bajo que leyes se encuentra 5. Informes a Emitir: Informe corto, largo, especial, con fechas de entrega. 6. Identificación de áreas criticas: Evaluación de riesgos Alto, bajo o moderado 7. Puntos de Atención: posibles problemas 8. Funcionarios de la entidad: Nombres, cargos y fechas de trabajo 9. Presupuesto de Tiempo: Personal que va intervenir en la auditoria con horas / hombre. 10. Participación de Especialistas: Si es el caso. NAGU 2.40 ARCHIVO PERMANENTE Es la información básica de la entidad o área a auditar Para cada entidad sujeta a control se debe implantar, organizar y mantener actualizado el archivo permanente. Contenido: P1 Información sobre los antecedentes y organización de la entidad * Estructura Orgánica, Constitución * Reglamento de organización y funciones * Manual de organización y funciones * Manual de Procedimientos P2 Extractos o copias de acuerdos importantes * Leyes de creación, modificatorias y otras * estatuto Social * Plan operativo Institucional * Presupuestos * Memoria Institucional * Acuerdos de directorio P3 Extractos sobre el sistema de contabilidad * Registros * Empleados claves autorización de firmas * Políticas contables * Flujo grama, principales operaciones * EEFF 17 P4 Documentos dE Auditoria Externa * Informes de Auditoria * Plan Anual de auditoria
NAGU 3.10 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO Se debe efectuar un estudio apropiado y evaluación del control interno, para identificar las áreas criticas que requieren un examen profundo, determinar su grado de confiabilidad a fin de establecer la naturaleza, alcance, oportunidad y selectividad en la aplicación de procedimientos de auditoria.. Conjunto de planes, métodos y procedimientos, incluyendo políticas de dirección, que ofrecen seguridad razonable que se cumplen los objetivos de control (promover la eficiencia, la eficacia y la economía) y proteger los recursos públicos. La estructura: 1. Ambiente de Control: Los órganos de dirección estimulan e influyen en su personal, para crear conciencia sobre los beneficios de una adecuado-+ control. 2. Evaluación del riesgo: Como la entidad identifica y analiza los riesgos que afectan el cumplimiento de sus objetivos. 3. Actividades de Control Gerencial: Políticas y procedimientos que imparte la gerencia. 4. Sistema de Información y Comunicación: Métodos y procedimientos establecidos por la gerencia para procesar adecuadamente la información y ayudar a la toma de decisiones. 5. Actividades de Monitoreo: Mantener el control interno – evaluación continua. Evaluación de la estructura: comprende 2 etapas 1. Obtención de información relacionada con el diseño e implementación de los controles sujetos a evaluación. 2. Comprobación de que los controles identificados funcionan adecuadamente y logran sus objetivos Al termino de esta evaluación: Memorandun de Control Interno - debilidades y las recomendaciones
NAGU 3.40 EVIDENCIA SUFICIENTE, COMPETENTE Y RELEVANTE El auditor debe obtener evidencia suficiente, competente y relevante, mediante la aplicación de pruebas de control y procedimientos sustantivos que le permitan fundamentar razonablemente los juicios y conclusiones que formule respecto al organismo, programa, actividad o función que sea objeto de la auditoria. a. Suficiencia: evidencia objetiva y convincente, que basta para sustentar los hallazgos. b. Competente: valida y confiable.. c. Relevancia: esta en relación a su uso. Evidencia física: observación, inspección directa. Se presenta en memorando(fotos, mapas, etc) Evidencia documental: cartas, contratos, registros, facturas, documentos de la administración Evidencia testimonial: declaraciones, entrevistas. Evidencia analítica: cálculos, comparaciones, razonamientos
18
NAGU 3.60 COMUNICACIÓN DE HALLAZGOS Durante el proceso de la auditoria, el auditor encargado debe comunicar oportunamente los hallazgos a las personas comprendidas en los mismos, a fin de que en un plazo fijado, presenten sus aclaraciones o comentarios sustentados documentariamente, para su evaluación y consideración en el informe correspondiente. Se pondrá en conocimiento del titular el inicio de la comunicación de hallazgos De la entrega: • La comunicación es por escrito, directa y reservada. • Si la persona no esta se le dejara Notificación plazo 2 días hábiles. • Publicación en el peruano y otro :plazo 2 días hábiles. • Puede ser recogido por representante acreditado. • Vencido el plazo se dará por agotado el proceso de comunicación De la Respuesta. • Señalar plazo final de recepción de las aclaraciones. no menor de 2 ni mayor de 5 hábiles • Si no hay respuesta o es extemporánea se consignara en el informe • Excepcionalmente se ampliara por única ves 3 días hábiles • Exceptuarse en casos de absoluta certeza de presunción de delito ( informe especial)
NAGU 4.40 CONTENIDO DEL INFORME Al finalizar el trabajo, el auditor debe elaborar un informe en el cual expondrá apropiadamente los resultados del examen, señalando que se realizo de acuerdo a las normas de auditoria gubernamental. ESTRUCTURA 1. Denominación: Informe Largo, etc. No... Titulo general del tema abordado 2. Origen del examen: Razones del examen por: plan anual, denuncia, solicitud del titular, Contraloría, No de Resolución 3. Naturaleza y Objetivos del examen: Auditoria financiera, de Gestión, objetivos previstos 4. Alcance del Examen: Cobertura, periodo, áreas, geografía , de acuerdo con las NAGU, NIAS, y otras, limitaciones encontradas en el trabajo de campo. 5. Antecedentes y base legal de la entidad: constitución, resolución y otras. 6. Comunicación de Hallazgos: Se ha cumplido con la norma de comunicación oportuna, se debe incluir una relación con el personal involucrado en el examen 7. Memorando de Control Interno: Se indicara la emisión del memorandun en el cual se informo al titular la efectividad de los controles internos implantados. Dicho documento; así como el reporte de las acciones correctivas que en virtud del mismo se hallan adoptado se deberán adjuntar como anexo. 8. Observaciones: Sumilla, condición, criterio, efecto, causa, comentarios del personal involucrado y evaluación de los comentarios. 9. Conclusiones: Juicio de carácter profesional basados en las observaciones 10. Recomendaciones: Medidas especificas y posibles 11. Anexos: Documentos indispensables, concisos, importantes 12. Firma: Jefe de comisión, supervisor, nivel gerencial competente 13. SÍNTESIS GERENCIAL: Contenido breve y preciso 19
NAGU 4.50
INFORME ESPECIAL
Cuando en la ejecución del trabajo de auditoria, se evidencien faltas graves y/o indicios razonables de comisión de delito, en cautela de los intereses del estado, el auditor, sin perjuicio de la continuidad del respectivo examen y previa evaluación de las aclaraciones a que se refiere la Nagu 3.60 Comunicación de hallazgos; emitirá con la celeridad del caso un informe especial con el debido sustento técnico legal, el cual se remitirá al comité de calidad de la contraloría para su revisión. DENOMINACIÓN: Titulo informe Especial No.. titulo del asunto que abarca, sin considerar nombres específicos Estructura 1. INTRODUCCIÓN: Origen, motivo, alcance, área geográfica de la acción de control, disposiciones que sustentan la emisión del informe especial (NAGU 4.50). 2. FUNDAMENTOS DE HECHO: Breve sumilla Condición , Criterio, efecto y causa, aclaraciones de los involucrados, el resultado de la evaluación. Responsabilidad Penal: revelados en termino de indicios. Responsabilidad Civil: cuantificado. No recuperable por vía administrativa 3. FUNDAMENTOS DE DERECHO: Análisis del tipo de responsabilidad. Sustentación de la Tipificación, indicación e los artículos pertinentes del código civil o penal; fundamentos jurídicos, señalar prescripción. 4. IDENTIFICACIÓN DE PARTICIPES EN LOS HECHOS: Individualización de las personas Nombres y apellidos completos, identificación, cargo, periodo, así como terceras personas, incluso cuantificación del monto. 5. PRUEBAS: Identificación de las pruebas en forma ordenada y detallada por cada hecho, anexos correspondientes, autenticadas, informe técnico si lo hubiere (abogado, ingeniero, otros) 6. RECOMENDACIÓN: la acción legal respectiva. Dirigida al titular de entidad, si Este estuviera involucrado al titular del sector para la participación del procurador. 7. ANEXOS: Contiene las pruebas que sustentan los hechos. Deben tener un índice, donde se se indique numero y titulo del asunto, así como la nomina del personal involucrado. Remisión de los informes especiales a la CGR Comité de Calidad de CGR, para su revisión; por única ves podrá recepcionar información de los involucrados y dará un pronunciamiento. Remitirá al titular de la entidad Titular de la entidad, : para tomar las acciones legales correspondientes, el seguimiento e informar al organismo superior de control, copia de denuncia dentro de los 5 días de hecha Niveles de Aprobación • CGR: suscrito, auditor, abogado, jefe de comisión, supervisor y la gerencia competente. • Auditoria Interna: auditor, abogado, jefe de comisión, supervisor y la gerencia competente • Sociedad de auditoria: abogado y socio participante Situaciones Especiales: Serán revelados en el informe de la acción de control • Cuando se determine que se puede recuperar vía acción administrativa • Cuando los participes son únicamente terceras personas • Se podrá separar los informes en relación a su responsabilidad Limitaciones: • La revisión del comité de control de calidad solo serán si la entidad esta en Lima. • En provincia se remitirán al titular de la entidad 20 • En ambos casos se remitirá simultáneamente un ejemplar a la CGR
NAGU 4.60
SEGUIMIENTO DE RECOMENDACIONES DE AUDITORIAS ANTERIORES
Los órganos conformantes del Sistema Nacional de Control deben efectuar el seguimiento a la implementación de las recomendaciones planteadas en los informes de auditorias anteriores, con la finalidad de determinar si se emprendieron acciones correctivas por parte de los funcionarios responsables de las organizaciones auditadas. 1. La administración es la responsable de superar las observaciones mediante la implementación de las recomendaciones. En concordancia con el Art.24 literal g Ley 26162 En caso que el titular no siga esto la CGR lo sancionara 2. Auditoria interna le corresponde hacer el seguimiento. 3. Para efectos de seguimiento se deben reportar de la siguiente manera: • Pendientes: cuando el titular no ha designado a los responsables de aplicar las recomendaciones. • En Proceso: Cuando el titular ha designado a los responsables y estos han iniciado las acciones. • Superadas: Ya se han aplicado las medidas sugeridas en las recomendaciones.
INTERNACIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION ¾ El propósito de este estándar internacional de auditoria (ISA), es establecer estándares
y proporcionar la dirección en los requerimientos que se seguirán cuando una auditoria se conduce en los sistemas de información computarizados (Ambiente CIS). ¾ Para los propósitos de esta norma ISA, un ambiente CIS existe cuando una computadora de cualquier tipo o tamaño es implicada en el proceso de la información de la empresa, con suficiente importancia para la auditoria; ya sea que esta computadora sea operada por la entidad o por terceros. ¾ El auditor debe considerar ¿Cómo un ambiente CIS afecta la auditoria ?. ¾ El objetivo y el alcance totales de una auditoria no cambia en una ambiente CIS. Sin embargo, el uso de una computadora cambia el proceso, almacenaje y la comunicación de información y puede afectar los sistemas de control interno empleados en la entidad. Por consiguiente, un ambiente CIS puede afectar: * Los procedimientos que se seguirán por el auditor en la obtención de una suficiente comprensión de los sistemas utilizados. * La consideración del riesgo inherente y del riesgo del control con la cual el auditor llega a su evaluación del riesgo. * Los diseños y funcionamiento de las pruebas del control y los procedimientos substantivos apropiados que determinaron los auditores para resolver el objetivo de la auditoria.
INTERNACIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT
¾ Norma IFAC contenido en el Manual ISA 2003. ¾ Comprende: * Introducción. * Habilidades y Competencias. * Planeamiento. * Evaluación de Riesgo. * Procedimientos de Auditoria. 21
TALLER 01 ACTIVIDAD APLICATIVA APLICABILIDAD DE LAS NORMAS EN LA AUDITORIA DE SISTEMAS. Objetivo Identificar y reconocer las Normas que se aplican en la auditoria de Sistemas Orientaciones En grupos, durante 40 minutos, los alumnos discuten analizan las normas que se adecuan a la auditoria de sistemas y elaboran conclusiones. AUTOEVALUACIÓN 1. Explique la importancia de las normas aplicables en una auditoria de sistemas. 2. Establezca diferencias entre las que se usan para las demás auditorias. 3. Diga ¿qué función tienen las normas discutidas en la auditoria de sistemas? REFERENCIAS DOCUMENTALES Código Autor Título Pie Imprenta Páginas Contenido
657.458/B826C Bravo Cervantes, Miguel H. Control interno Lima: San Marcos, 2000 550 1. El papel del auditor 2. El trabajo del auditor 3. Teoría de la evidencia en auditoria 4. Obtención de la evidencia 5. El programa de trabajo 6. El control interno 7. Elementos fundamentales de un sistema de control interno 8. La auditoria y el control interno
Código Autor Título
657/I59 Estrella, Edison E. Sistema Integrado de Auditoria Gubernamental, SIAGSistema Integrado de Auditoria Gubernamental, SIAG21. Conferencia Interamericana de Contabilidad Conferencia 21. Conferencia Interamericana de Contabilidad.10-14 Sep 1995Cancún Institución Instituto Mexicano de Contadores Públicos, Asociación Interamericana de Contabilidad, Florida (Estados Unidos). Pie México, D.F.: De Letras, 1995 Imprenta Páginas 273-286 22
TEMA N° 02 PROPUESTAS DE AUDITORIA DE SISTEMAS. ESTRUCTURA DE PROPUESTA EMPRESA PUBLICA Las Sociedades de Auditoria participantes en el presente Concurso de Méritos, presentarán sus propuestas conteniendo lo siguiente: SOBRE "A" a.
El Programa de trabajo tentativo que proponga la Sociedad para la ejecución de la auditoria deberá considerar los objetivos generales de las Bases, tomando en cuenta: -
Normas Internacionales de Auditoria (NIA)
-
Normas de Auditoria Gubernamental (NAGU)
-
Manual de Auditoria Gubernamental (MAGU).
b.
Asignación de personal, tiempo y otros (Formato Nº 2).
c.
En todos los casos de Personal eventual o contratado, así como de personal Especialista incluido en la Propuesta de servicios, contratados sólo para el examen a realizarse, deberá adjuntarse: -
Título Profesional Copia de Certificados de participación en cursos en los últimos 24 meses Currículum Vitae Contrato firmado por la Sociedad y el especialista y/o contratado Formato Nº 3 En caso estar registrado como personal permanente no será necesario.
e.
Plazos, Cronograma de Trabajo (Formato Nº 4).
f.
Declaración Jurada de: -
Conocimiento y adhesión a las Bases del Concurso Público de Méritos (Formato Nº 5).
-
No estar incursos en los impedimentos señalados en el Artículo 22º del citado Reglamento (Formato Nº 6).
-
Compromiso cumplimiento de normas de conducta profesional y personal (Formato Nº 7).
g.
Constancia de Habilitación del Colegio de Contadores Públicos de la Sociedad de Auditoria; asimismo, Constancia de Habilitación del Colegio Profesional respectivo de todos los profesionales integrantes de la Comisión Propuesta.
h.
Declaración de Asociación, según lo previsto por el Artículo 5º del citado Reglamento.
i.
Confirmación de visita a la entidad (credencial).
j.
De ser el caso, constancia de inscripción en Organismo Financieros Internacionales.
El personal que se proponga no deberá estar comprometido en la realización de otros trabajos durante la ejecución de la auditoria a la que se postula, con excepción del Supervisor y de los Especialistas, siempre y cuando no exceda las horas - hombre estipuladas en el contrato, caso contrario será causal de eliminación de la propuesta. SOBRE "B" Contendrá la propuesta económica, de acuerdo al siguiente esquema:
23
I.
Costo de la Auditoria -
Honorarios (Anexo Nº 1 y 2)
S/. ________________
-
Gastos
S/. ________________
(Pasajes y viáticos) TOTAL
II.
S/. ================
Forma de Pago
NOTAS a.
Con la finalidad de optimizar la presentación de las propuestas de servicios, es necesario que las firmas auditoras lean cuidadosamente las instrucciones consignadas en la Estructura de Propuesta elaborada por la Contraloría General.
b.
Todas las hojas de la propuesta deberán estar selladas y rubricadas por el representante legal de la Sociedad de Auditoria, así como, correctamente ordenadas y foliadas.
c.
Las Propuestas deberán presentarse debidamente anilladas en dos (2) sobres lacrados "A" y "B", dirigidas al Contralor General en la fecha establecida. En cada sobre se referenciará: 1. 2.
La razón social de la entidad por auditar. El nombre de la Sociedad de Auditoria.
d.
La información sobre el personal permanente, que por primera vez será incluido en una Propuesta, deberá ser presentada a la Contraloría General, en el Diskette de actualización (RUNSA.EXE) hasta el día anterior a la venta de bases, a los efectos de su registro; la información que llegue después de dicho plazo “no será considerada para los efectos del Concurso”.
e.
Los formatos 2 y 4 debidamente confeccionados, tal como se instruye en el modelo de la propuesta, en los cuales debe coincidir el total de horas consignadas para la Comisión y para cada uno de sus integrantes. De otro lado, los datos colocados en las columnas "Total días útiles" y "Total horas" del formato Nº 4, deben estar relacionados en forma lógica.
f.
Las Constancias de Habilitación del Colegio de Contadores Públicos de Lima serán presentadas en la Propuesta empleando una de las siguientes opciones: . Original y/o . Copia autenticada notarialmente.
g.
Cuando el examen incluya préstamos de Organismos Internacionales, éstos deberán expresar previamente su conformidad con respecto a la firma auditora cuya designación se propone
24
FORMATO Nº 2 INTEGRANTES DEL EQUIPO PROPUESTO SOCIEDAD: ................……………………………...
LIBRETA ELECTORAL
APELLIDOS Y NOMBRES
ENTIDAD: .…………………………………................... CONDICIÓN LABORAL
CARGO EN LA COMISIÓN DESCRIPCIÓN
HORAS ASIGNADAS
DÍAS ÚTILES
AÑOS EN EL CARGO EN LA SOA
ESPECIALISTA
NOTAS: 1. Colocar a los integrantes en orden jerárquico del cargo en la Comisión (Supervisor, Jefe de Comisión, Profesionales, Asistentes, Especialistas y Socios). 2. Marcar con una "X" cuando se trate de Especialistas Contratados, sólo si así lo requieren las Bases, respecto de los cuales se debe adjuntar el Currículum Vitae, y de ser el caso, Contrato y Formato Nº 3. 3. Condición Laboral – P = Permanente, E= Eventual.
25
FORMATO 3 Contraloría General Datos Personales de los Integrantes Fecha : ../../.. Registro de Sociedades Página : .... ---------------------------------------------------------------------------Sociedad : .............................................................. Integrante : ................................. ---------------------------------------------------------------------------L.Electoral: ........ | Ingreso : ../../.. (a la Sociedad) R.U.C.: ......... | Instrucción: ............. Profesión : ...(Ver Tabla) C.Extranj. : ......... | Grado : ..(Ver Tabla) Centro Estud.............. Núm.Coleg. : ........ | Condición : ..(Ver Tabla) ..(Años) Fecha Coleg: ../../.. | Experiencia: ..(Años Prof) ..(Años Auditoría) ---------------------------------------------------------------------------Capacitación Ultimos 24 Meses ---------------------------------------------------------------------------Materia | Entidad | D u r a c i o n -----------------------------------| Docente |------------------------Cód.|Sec| Descripción | | Inicio | Fin. | H.A ----|---|--------------------------|--------------- |---------|---------|----...|...|..........................| ............. | ../../..| ../../..| .... ...|...|..........................| ............. | ../../..| ../../..| .... ...|...|..........................| ............. | ../../..| ../../..| .... ...|...|..........................| ............. | ../../..| ../../..| .... ...|...|..........................| ............. | ../../..| ../../..| .... ----------------------------------------------------------------------------Auditorías Realizadas Ultimos 24 Meses ----------------------------------------------------------------------------| | Período |Fun-| Duración de la Entidad |AEP| Aud.(Años)|ción| Actividad ---------------------------------|---|---+---+----|----|---------------------Nombre | R.U.C.|Cód| 1 | 2 | 3 |Cód.| Inicio | Fin |H.C ------------------------|--------|---|---|----|---|----|--------|--------|---.......................|........|...|...|...|...|....|../../..|../../..|.... .......................|........|...|...|...|...|....|../../..|../../..|.... .......................|........|...|...|...|...|....|../../..|../../..|.... .......................|........|...|...|...|...|....|../../..|../../..|.... .......................|........|...|...|...|...|....|../../..|../../..|.... ----------------------------------------------------------------------------H.A=Horas Académicas H.C=Horas Comprometidas C=Código AEP=Act.Ecón.Principal ------------------------Sello y Firma Sociedad de Auditoría
-------------------Firma
26
FORMATO 4
CRONOGRAMA DE TRABAJO DEL EQUIPO PROPUESTO SOCIEDAD:................……………… …..…..
LIBRETA ELECTORAL INTEGRANTE DEL EQUIPO
ENTIDAD:.………………………….. …..
VISITA PRELIMINAR DEL
AL
TRABAJO DE CAMPO DEL
AL
ELABORACIÓN DEL INFORME DEL
AL
TOTAL DÍAS ÚTILES
TOTAL HORAS
NOTA: Indicar las fechas (día,mes,año) de inicio y fin de las etapas que desarrolla cada persona; en el mismo orden del Formato No. 2.
27
FORMATO Nº 5 DECLARACION JURADA CONOCIMIENTO Y DE ADHESIÓN A LAS BASES DEL CONCURSO Declaramos que los socios y el personal de auditoría propuesto por la firma tienen conocimiento y dominio de las disposiciones emanadas del Sistema Nacional de Control. Asimismo, declaramos conocer y manifestamos nuestra adhesión en extenso a los aspectos establecidos en las bases del Concurso de Méritos Nº…….-…..., convocado para auditar………………………………………………………...por el (los) períodos (s)..................................., de acuerdo a los lineamientos establecidos por la Contraloría General. En muestra de lo cual adjuntamos, en señal de conformidad, las Bases que fueron adquiridas para el presente Concurso de Méritos debidamente rubricadas en cada una de sus páginas. Lima, -----------------------------------------------------------FIRMA (SOCIO) FORMATO Nº 6 DECLARACIÓN JURADA DE AUSENCIA DE INCOMPATIBILIDAD De acuerdo a lo dispuesto en el Artículo 22º del Reglamento de Designación de Sociedades de Auditoria, aprobado por R.C. 162-93CG de 19.NOV.93 y sus modificatorias, y en la Norma de Auditoría Gubernamental N° 1.20 –INDEPENDENCIA , declaro en mi calidad de socio y representante legal de la Sociedad, que nos encontramos libres de impedimentos de toda índole, directos o indirectos o relacionados con los señalados en las Bases del Concurso, que limiten efectuar una labor imparcial y objetiva en la auditoría a efectuarse en la Contraloría General de la República, tales como: 1.
Si los socios y/o miembros del equipo se desempeñan como funcionarios o servidores públicos, y en caso de ser ex funcionarios públicos, no haber sido observados por la Contraloría General.
2.
Si los socios y/o miembros del equipo han mantenido, durante el ejercicio a auditar, vinculo laboral o contractual con la entidad bajo examen, con los titulares y representantes legales o vínculos familiares hasta el 4° grado de consanguinidad y 2° de afinidad con los miembros.
3.
Si la Sociedad de Auditoria, socios y/o miembro del equipo tuvieran pleito pendiente con la Contraloría General o cualquier otra entidad del Estado.
4.
Si la Sociedad de Auditoria, socios y/o miembros del equipo asignado para la ejecución de la auditoria se encuentran inhabilitados por el Colegio de Contadores Públicos, otros Colegios Profesionales u Organismos.
5.
Si la Sociedad de Auditoria se encuentra suspendida temporalmente o está sometida a proceso investigatorio por parte de la Contraloría General y/u otros organismos.
6.
Si los socios y/o miembros del equipo propuesto para la realización de la auditoria ha infringido el Código de Ética de su respectivo Colegio Profesional.
7.
Si los socios y/o el personal técnico profesional propuesto como integrante del equipo, han ocupado cargos jerárquicos de confianza en la Contraloría General de la República, vinculados a funciones de conducción, supervisión o de control sobre los procesos de designación y contratación de dichas sociedades o sus labores subsecuentes en aplicación del presente Reglamento, hasta un año después de haber usado en el cargo. Dicha limitación es aplicable asimismo, respecto del cónyuge y parientes hasta el 4º grado de consanguinidad y 2º de afinidad, y es extensiva sobre quienes ocupen los cargos de confianza a que se refiere el párrafo precedente a la fecha de la convocatoria del concurso correspondiente.
CONSIDERACIONES FINALES Declaramos bajo juramento que nos acogemos a la presunción de veracidad establecida en los artículos IV y 42º de la Ley N° 27444; declarando asimismo, conocer las consecuencias de orden pecuniario, administrativo y penal en caso de falsedad de ésta declaración conforme lo regula el artículo 32° de la citada Ley y el Código Penal.
28
Fecha,....................................................
----------------------------------------------------------------Firma del Representante Legal de la Sociedad FORMATO Nº 7 COMPROMISO DE CUMPLIMIENTO DE NORMAS DE CONDUCTA PROFESIONAL Y PERSONAL Deberes Funcionales. Exigencias al Personal Auditor (NAGU N° 1 Normas Generales) 1.
Para el ejercicio de la presente auditoria declaramos someternos a la calificación exigida por las normas de auditoria gubernamental, dando relevancia:
-
Independencia de criterio respecto de la entidad auditada, que nos permita formular juicios fundados en elementos objetivos de los aspectos examinados, lo que implica además, mantenernos libres de cualquier situación que pudiera señalarse como incompatible con nuestra integridad y objetividad. (NAGU 1.20)
2.
Por la presente declaramos que, para el ejercicio de la presente auditoria nos encontramos exentos de incompatibilidad y/o prohibición personales o funcionales que impidan nuestro desempeño laboral independiente, conforme a las exigencias previstas para el auditor en las normas del Sistema Nacional de Control, dejando constancia de las siguientes situaciones:
a)
No haber laborado, bajo cualquier forma o modalidad contractual, por lo menos dos años antes en la entidad a auditar, en las áreas materias del objetivo del examen, y/o participado o intervenido directa o indirectamente en aspectos objeto de la auditoria.
b)
Encontrarnos libres de prejuicios acerca de los funcionarios y servidores auditados, intereses personales, de ideas preconcebidas, influencias o presiones de terceros respecto de la entidad a auditar; tales como, mal concepto de la actuación funcional o personal de los funcionarios y/o servidores auditados, haber recibido ofrecimiento de empleo o negocio en la entidad o con sus funcionarios, etc.
CONSIDERACIONES FINALES Declaramos bajo juramento que nos acogemos a la presunción de veracidad establecida en los artículos IV y 42º de la Ley N° 27444; declarando asimismo, conocer las consecuencias de orden pecuniario, administrativo y penal en caso de falsedad de ésta declaración conforme lo regula el artículo 32° de la citada Ley y el Código Penal.
Fecha,....................................................
----------------------------------------------------------------Firma del Representante Legal de la Sociedad
29
ANEXO Nº 1 COMPOSICIÓN DEL COSTO = HONORARIOS NOMBRE DE LA ENTIDAD: .......................................... S/. -
COSTO DEL PERSONAL TECNICO PROPUESTO (ANEXO Nº 2)
COSTO DEL PERSONAL ADMINISTRATIVO OTROS GASTOS UTILIDAD PREVISTA COSTO TOTAL DE HONORARIOS
--------------------------------===================
ANEXO Nº 2 COSTO HORA/HOMBRE DEL EQUIPO PRESUPUESTO NOMBRE DE LA ENTIDAD:........................................... CARGO
COSTO H/H (a)
TOTAL HORAS DEL CARGO S/ PROPUESTA (b)
TOTAL COSTO H/H (a x b)
S/
30
TABLAS CONDICIÓN 1 2
PERMANENTE CONTRATADO
GRADO 1 2 3 4 5 6
ESTUDIANTE SUPERIOR EGRESADO BACHILLER TITULADO MAESTRIA DOCTORADO
PROFESIÓN 0100 CONTABILIDAD 0200 DERECHO Y CIENCIAS POLITICAS 0300 ADMINISTRACION 0400 ECONOMIA 0500 ARQUITECTURA 0600 ING. AGRICOLA 0700 ING. CIVIL 0800 ING. QUIMICA 0900 ING. INDUSTRIAL 1000 ING. PESQUERA 1100 ING. ELECTRICA 1200 ING. SANITARIA 1300 ING. DE INDUSTRIAS ALIMENTARIAS 1400 ING. DE MINAS 1500 ING. DE MECANICA 1600 ING. DE PETROLEOS 1700 ING. DE SISTEMAS 1800 ING. METALURGICA 1900 ING. ZOOTECNICA 2000 GEOLOGIA 2100 MEDICINA HUMANA 2200 COMPUTACION 2300 MATEMATICAS 2400 ESTADISTICA 2500 EDUCACION 2600 SOCIOLOGIA 2700 ASISTENCIA SOCIAL 2800 CIENCIAS DE LA COMUNICACION 2900 PSICOLOGIA 9999 OTROS
31
TALLER 02 ACTIVIDAD APLICATIVA PROPUESTAS DE AUDITORIA DE SISTEMAS. Objetivo Elaborar Propuesta para trabajos de auditorias para empresas privadas y públicas de acuerdo a los formularios establecidos Orientaciones En el laboratorio bajar información de la página Web. De la Contraloría general de la Republica, de los formularios para la presentación de propuesta de auditoria de sistemas. WWW: contraloria.gob.pe. AUTOEVALUACIÓN 1. Llenar los formularios bajados de internet para la propuesta de trabajo para una auditoria publica.. 2. Elaborara una propuesta para empresa privada para un trabajo de auditoria de sistemaas. REFERENCIAS DOCUMENTALES •
www.contraloria.gob.pe
TEMA N° 03 EL SISTEMA INFORMATICO.
REQUISITOS DEL AUDITOR INFORMATICO
¾Debe tener conocimiento
suficiente de Sistemas. Análisis - FODA por Cliente.
¾ Seguridad y Profesionalismo. ¾No es conocedor de todas las especialidades.
¾ No opinar con facilidad. ¾ Conocimiento de hardware Software – Relativos
32
PAPEL DEL AUDITOR DE SISTEMAS
¾Estudiar el sistema de
¾ En relación a los
¾ ¾
¾ Revisar los papeles ¾ Analizar con el
¾
¾Discutir con el equipo
Información y analizar sus controles organizativos y operativos. (PED). Investigar y analizar las aplicaciones informáticas en producción o desarrollo. Evaluar la eficiencia y eficacia de los sistemas de información. Deben conocer los puntos fuertes y débiles del sistema.
¾ Debe establecer un adecuado nivel de
comunicación con el personal de PED.
temas técnicos, debe requerir del Ingeniero de sistemas. de trabajo.
abogado los Hallazgos y respuestas.
el informe en borrador.
¾ Elaborar y firmar el
Informe en limpio.
ENFOQUES EN LA AUDITORIA DE SISTEMAS
• •
Auditoria alrededor del computador.
•
Análisis de procedimientos , métodos y otros usados en los dif i
• • • • • •
Auditoria a través del Computador. Controles – entrada / salida Eficiencia / Eficacia en la operación de los sistemas. Otros
33
Auditoria en el Computador. Examen de aplicaciones. Eficiencia / eficacia de los sistemas asistidos CIS
Conceptos de Seguridad de la Información Seguridad: Asociado a Certeza – Falta de riesgo o contingencia. Niveles de Seguridad: Esto depende del conjunto de técnicas usadas por la empresa; encaminadas a obtener un menor riesgo. Íntimamente ligada a la Organización.
ALTO MODERADO BAJO. Sistema de Seguridad = Tecnología + Organización
Sistemas de Respaldo y Redundantes
Técnicas de Protección:
¾ Backup. ¾ Copias de Seguridad. ¾ Unidades de Espejo. ¾ Niveles de Respaldo y Redundancia. ¾ Tolerancia a fallos. ¾ Capacidad de respuesta a un suceso inesperado. Hardware – Software – Electricidad – Borrado accidental operación Negligente -
¾ UPS – Grupos electrogenos. ¾ Protección contra Virus.
34
ATRIBUTOS DELS ISTEMA INFORMATICO Concepto de sistema La palabra sistema puede ser utilizada con varios sentidos diferentes. Por ejemplo, podemos decir que el profesor José tiene un sistema de evaluación muy riguroso o que don Juan tiene un sistema estupendo para jugar el “me late”, o inclusive que el sistema solar tiende a alejarse de un hoyo negro. Sin embargo, para nuestro propósito, diremos que sistema es un conjunto de partes integradas que tienen la finalidad común de alcanzar determinado objetivo u objetivos. De este concepto podemos extraer tres características básicas: Un conjunto de partes: Todo sistema tiene más de un elemento. Partes integradas: Existe una relación lógica entre las partes que constituyen un sistema. Sistemas electrónicos o mecánicos, como una máquina de lavar ropa o de un videojuego, posen componentes que trabajan en conjunto. Un sistema de administración de personal consiste en procedimientos integrados para reclutar, seleccionar, capacitar y evaluar empleados. Propósito común de alcanzar determinado objetivo: Todo sistema existe para alcanzar uno o más objetivos, y sus partes integrantes deben ajustarse entre sí para lograr el objetivo global del sistema. En la medida en que las partes están interrelacionadas y unidas, el sistema alcanza un estado sólido y firma. El resultado del sistema es mayor que la suma de sus partes, porque la interrelación de ellas produce un efecto multiplicador denominado Sinergia. Cada parte ayuda a otra y el efecto sinegético hace que el resultado del conjunto sea maximizado. Sin embargo, si las partes no están correctamente interrelacionadas el sistema entra en un estado de descomposición y desintegración llamado Entropía. Cada parte se desliga de la otra y el efecto entrópico produce perdidas y deterioro. - Finalidad de los sistemas Vimos que el sistema existe para lograr uno o más objetivos. Un objetivo es una situación deseada, un resultado a alcanzar. Vimos también que un sistema, es eficaz cuando alcanza adecuadamente los objetivos para los cuales fue creado. La eficacia esta ligada a los fines, a los resultados, a los objetivos logrados. 3.- Componentes de los sistemas Todo sistema está constituido por partes relacionadas entre sí. Las partes son los subsistemas que a su vez están constituidos por otras partes relacionadas entre sí, y así sucesivamente. Por otro lado, todo sistema es parte de un sistema mayor, el SUPRA SISTEMA. Este es el atractivo que la 35
TEORIA DE SISTEMA ofrece. Se puede estudiar cada sistema con sus subsistemas integrantes, como partes de un sistema más grande. LOS COMPONENTES DE TODO SISTEMA SON LOS SIGUIENTES. : Entradas o Insumos (input): es todo lo que ingresa al sistema para hacerlo funcionar. Ningún sistema es autosuficiente o autónomo. El sistema necesita de insumos, en forma de recursos, energía o información. En el organismo humano, los insumos son variados, el aire, los, el agua, las imágenes, los sonidos, etc. que provienen del medio ambiente externo. Operación o procesamiento: todo sistema procesa o convierte sus entradas mediante sus subsistemas. Cada subsistema se encarga de un tipo de insumo que le es peculiar. En el organismo humano, el aire que respiramos es procesado por el aparato respiratorio, la comida que comemos por el aparato digestivo, las imágenes por los sistemas visual y nervioso Salidas o resultados (output): Todo sistema coloca en el medio ambiente externo las salidas o resultados de sus operaciones. Las entradas debidamente procesadas y convertidas en resultados se exportan de nuevo al ambiente, en forma de productos o servicios prestados, en el caso de las empresas. Retroacción o retroalimentación (feedback): es la reentrada o retorno al sistema de sus salidas o resultados, que pasan a influir sobre su funciona miento. La retroacción es generalmente una información o energía de retorno que vuelve al sistema para realimentarlo o alterar su funcionamiento como consecuencia de sus resultados o salidas. A partir de esos Componentes, se puede evaluar el funcionamiento de un sistema. En lenguaje “sistémico”, la eficiencia es el cuociente de salida sobre le entrada, es, es decir, la cantidad de salida por unidad de entrada. Si dos sistema presentan los mismos resultados, pero uno de ellos requiere menos recursos de entrada, entonces éste será más eficiente. O dos sistemas utilizan la misma cantidad de insumos, pero uno de ellos produce mejor resultado, entonces éste será el más eficiente. La eficacia, por otro lado, es la relación entre la salida y el objetivo del sistema, esto es, en cuanto más contribuye el resultado al alcance del objetivo, más eficaz será el sistema. 4.- Clasificación de los sistemas Hay varias maneras de clasificar los sistemas: en cuanto a su constitución y en cuanto a su relación con el medio ambiente. En cuanto a su constitución, los sistemas pueden clasificarse en: Físicos o concretos (en inglés: hardware): son los sistemas compuestos de elementos palpables y concretos, como máquinas, equipos, instalaciones, edificios, materias primas, etc. 36
Conceptuales o abstractos (en ingles: software): son los sistemas compuestos de aspectos intangibles y abstractos, como filosofías, políticas, directivas, programas, procedimientos, reglas y reglamentos, etc. En realidad, las empresas son sistemas constituidos por subsistemas físicos y conceptuales: ellas necesitan de máquinas, equipos e instalaciones, pero requieren también de filosofías, directrices, reglas y reglamentos para funcionar. En cuanto a su relación con el medio ambiente, los sistemas pueden clasificarse en: Cerrados o mecánicos: son los sistemas cuyas entradas y salidas hacia el medio ambiente externo son pocas y sobre todo conocidas. Son los sistemas mecánicos o determinismo que con determinada entrada producen determinada salida, como el motor, la máquina, etc. Son previsibles y sujetos a certezas. Abiertos u orgánicos: son los sistemas que tienen una infinidad de entradas y salidas hacia el medio ambiente externo, no siempre bien conocidas. Mantienen intenso intercambio con el ambiente. Son los sistemas vivos y orgánicos sujetos a la indeterminación e incertidumbre. En realidad, no existen sistemas absolutamente cerrados o absolutamente abiertos: los primeros serían herméticos y los últimos se confundirían con el ambiente externo. En las empresas existen sistemas mecánicos (como las máquinas, equipos, instalaciones, etc.) y sistemas orgánicos (como las personas, principalmente). La propia empresa es un sistema orgánico, vivo y abierto. Sistemas de sugestión Los sistemas de sugestión son importantes y pueden incluirse en una discusión del pensamiento creativo. Por medio de los sistemas de sugestión, se anima a los empleados a que sometan sus ideas para mejorar las operaciones y las condiciones de trabajo. Las sugestiones adoptadas recompensan a su autor, usualmente en la forma de premios en efectivo. Cuando se le da amplia atención y apoyo suficiente, el sistema de sugestiones no solo proporciona las ideas sino que contribuye significativamente al logro de buenas relaciones humanas. Es imperativo que los gerentes den al sistema de sugestiones de su empresa apoyo entusiasta y que lo expliquen minuciosamente a todos los empleados. El éxito de los sistemas de sugestiones requiere una promoción y publicidad continuas. Es demasiado frecuente que se inicie un sistema con brote de entusiasmo y que se desvanezca prácticamente en nada al los pocos meses, debido a la falsa creencia de que el sistema debe ser auto generador y debe continuar así. Hay que fomentar el que los empleados hagan sugestiones y ayudarlos a redactarlas. 37
La siguiente figura incluye lo que el gerente puede hacer a este respecto La experiencia muestra que unas cajas para sugestiones convenientemente ubicadas. en un sitio al lado para escribir. Bastantes formas a la mano para sugestiones una buena recolección de las sugestiones y un rápido acuse de recibo de las mismas. Son de bastante utilidad para mantener despierto el interés en un sistema de sugestiones. De igual manera la decisión sobre las sugestiones se determinará en un periodo razonable. Es conveniente llevar un catalogo de sugestiones, de manera que las anteriores puedan servir de referencia, con el destino que se les haya dado. Si una sugestión requiere mas del tiempo normal para juzgarla, quien la haya hecho debe ser informado de esta situación, ya que es perfectamente normal que un empleado desee saber que pasó con su idea o las condiciones en que se encuentra su sugerencia. Las decisiones junto a los razonamientos y las cantidades de los premios deben hacerse del conocimiento de todos los empleados. Esto puede efectuarse por medio de carteles, en un tablero de boletines o mediante inserciones en las publicaciones de la compañía. En muchos casos es conveniente no dar a conocer el nombre del colaborador, con objeto de eliminar cualquier influencia personal al juzgar, para mejorar la precisión de los premios o por cualquiera de varia circunstancias que atañen al individuo. También es importante una rápida acción después de que se llegue a una decisión con respecto a una sugestión. Las recompensas deben ser pagadas sin demora, la sugestión debe ser puesta en vigor tan rápido como sea posible, y lograr la continuación de las sugestiones aprobadas. La cantidad del premio puede variar pero desde un mínimo de 5% hasta un máximo del 10 % de los ahorros del primer año derivados de la adopción de la sugestión. La recompensa debe ser lo bastante para retener el interés de los empleados y su participación activa. Es conveniente activar de inmediato una sugestión aprobada, ya que muchos empleados están mas interesados en ver sus sugestiones llevadas a la práctica que en recibir la recompensa. La continuación de las sugestiones demuestra un interés continuo de parte de los gerentes y revela el grado hasta el cual se siguen las sugestiones y los benéficos a largo plazo que se deriven. Las ideas y su aplicación pueden ser la ruta hacia el éxito y la fama en la administración. Se necesitan nuevas y mejores ideas si es que la administración va a continuar progresando. Existen medios definidos y pueden ser adoptados para desarrollar la facultad de crear ideas, lo mismo que para ponerlas en práctica. Debe contarse con un ambiente de trabajo que conduzca y fomente la creación de ideas y la innovación. Pero esta atmósfera favorable no puede crearse de la noche a la mañana o por un mero ademán, no importa lo bien dispuesto que encuentren los gerentes. Toma tiempo, esfuerzo de concentración, fe en la importancia de las ideas y la convicción de que pueden crearse mejoras y mejores objetivos administrativos, así como los medios para utilizarlos.
38
TALLER 03 ACTIVIDAD APLICATIVA SISTEMAS INFORMATICOS. Objetivo Conocer los atributos de los sistemas informáticos y los modos de aplicar pruebas de auditoria.
Orientaciones En forma grupal identificar y analizar los modelos y sistemas informático a mas usados en las empresas. AUTOEVALUACIÓN 1. Referencia los modelos de sistemas informáticos usados en las empresas? 2. Conocer la manipulación de los sistemas informáticos en las áreas principales de las empresas?.. REFERENCIAS DOCUMENTALES • •
www.esinet.es. www.infoplus.es.
TEMA N° 04
CONCENTRACION DE LOS SISTEMAS INFORMATICOS Lo Importante es Proteger la Información Los Datos y la Información son los sujetos principales de protección Confidencialidad: Información conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad.
Integridad: Seguridad de la información. La Información no sufre alteración, no es borrada,
Disponibilidad: Seguridad que la información pueda ser recuperada en el momento que se necesite.
39
TORTAS PERU Cliente del Exterior
VISA
Paga con VISA
IGV: Venta se trata como venta local Honorarios: Locales Renta: Fuente peruana Se paga desde el exterior
Se encarga a preparar la torta a afiliada mas cercana al domicilio del beneficiario
Preguntas: IGV – Renta de fuente – Exportacion ???????? El Cliente paga con Visa
El cliente ( India) hace su pedido vía Internet
EMPRESARIO Perú Pone una empresa Virtual en Internet
Empresa Virtual
Se compra en Cuba habanos para ser enviados a India 40
Cuba envía al cliente en India
TALLER 04 ACTIVIDAD APLICATIVA SISTEMAS INFORMATICOS AUDITABLES. Objetivo Conocer los atributos de los sistemas informáticos y los modos de aplicar pruebas de auditoria. Orientaciones En forma grupal identificar y analizar los modelos y sistemas informático a mas usados en las empresas. AUTOEVALUACIÓN 1. Referencia los modelos de sistemas informáticos usados en las empresas? 2. Conocer la manipulación de los sistemas informáticos en las áreas principales de las empresas?.. • •
REFERENCIAS DOCUMENTALES www.esinet.es. www.infoplus.es.
Revista Informativo Vera Paredes Título Auditoria en un ambiente de sistemas de información computarizada (NIA 401) Número Nø 8 (Abr. 2004) Fecha 2004 Páginas B1-B8
UNIDAD II INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS. El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso de sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor – Contador, hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria. CONTENIDOS PRODEDIMENTALES •
Identifica conceptos de software, evaluación y control de los mismos.
•
Manejo de los diseños y producción de software.
•
Aplica e interpreta las diferentes formas de metodologías de pruebas de auditoria. 41
Aplica las pruebas sustantivas de auditoria basados en tipos de datos. CONTENIDOS ACTITUDINALES: •
Maneja y cuida el software propuesto para la evaluación propuesta.
•
Conoce los sistemas informáticos: diseño, proceso y mantenimiento.
•
Maneja la metodología de pruebas de auditoria.
Contenidos conceptuales:
CONTENIDOS CONCEPTUALES
INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS
TEMA No. 5: TEMA No. 6: TEMA No. 7: TEMA No. 8.
BASE DE DATOS PARA LA AUDITORIA DE SISTEMAS. ASPECTOS A CONTROLAR EN LA AUDITORIA DE SISTEMAS. CONCEPTUALIZACIONES DE DISEÑO Y PRODUCCION DE SOFTWARE. PRUEBAS DE AUDITORIA.
DIAGRAMA DE CONTENIDOS BASE DE DATOS
ASPECTOS A CONTROLAR EN LA AUDITORIA DE CONCEPTUALIZACIONES DE DISEÑO Y PRODUCCION DE SOFTWARE
PRUEBAS DE AUDITORIA
42
TEMA N° 05 BASE DE DATOS PARA AUDITORIA • • • • •
Una Base de Datos describe organizaciones del mundo real, representa simbólicamente los objetos del mundo real como tablas. Importancia del diseño de la BD. Diseño lógico: proceso iterativo. Partir grandes estructuras heterogéneas en otras estructuras más pequeñas y homogéneas. A este proceso se le llama normalización. (Fco. Nava)
DISEÑO DE BASE DE DATOS: Etapa previa a la introducción (Grabación) de datos. ¾ Proceso iterativo (normalización): se buscan estructuras pequeñas y homogéneas. ¾ Normalización: determinación de las relaciones naturales entre los datos. ¾ Mecanismos de normalización: división de tablas en otras con menos atributos. ¾ Importante: que no se pierdan datos (recuperación de las tablas originales mediante uniones naturales). OBJETIVOS • Objetivo de la normalización: determinar las relaciones naturales entre los datos. Se parte una tabla en dos o más con menos columnas. No hay pérdida de información. Información de la tabla original: operación de unión de las tablas. Satisfacer los requisitos de los usuarios. Asegurar la integridad y consistencia de los datos (respecto a las restricciones). Proporcionar una estructura de la información natural (consultas fáciles de entender, actualizaciones sencillas). Satisfacer los requisitos de rendimiento. CONTROL DE SISTEMAS EN FUNCIONAMIENTO PLAN DE TRABAJO Para efectuar el Control, el Especialista deber establecer su plan de trabajo, el cual debe basarse en pasos y etapas a ejecutar en un plazo determinado y deber contemplar las etapas siguientes: a) Planeamiento del Trabajo a Realizar. b) Investigación Preliminar. c) Evaluación del Sistema. d) Planeamiento y Diseño de las Pruebas de Control. e) Ejecución y Evaluación de los Resultados de las Pruebas. f) Confección del Informe de Auditoria del Sistema. g) Revisión y Opinión del Informe. 43
h) Seguimiento de las Recomendaciones de Auditoria. a. Planeamiento del trabajo a realizar Consiste en la estrategia que conduzca al logro de los objetivos concretos y a las expectativas de la Alta Dirección en el menor tiempo posible, para lo cual se elaborar el plan de trabajo que permita medir el avance del trabajo en puntos claves y administrar Eficientemente los recursos de tiempo y personal que sean asignados. En el documento de planeación se debe considerar lo siguiente: 1 Objetivo general del trabajo a realizar. En forma concreta se plantea los objetivos del trabajo. 1 Alcances del trabajo a realizar. Se marcan los escenarios de riesgos que se van examinados en el trabajo, pudiendo ser todos o solamente algunos. 1 Puntos de interés para este trabajo. Se registran los aspectos que requieren especial atención, de acuerdo con los antecedentes que se conozcan de la aplicación o de otras similares y de la información que se procesa con ella. 1 Auditores asignados. Un grupo se encarga de verificar que se cumplan con los estándares de calidad y las normas y directivas que ha emitido la Institución y el ente rector en Informática. Otro grupo se encarga de verificar el funcionamiento de los sistemas. 1 Duración estimada. Comprende la suma de los tiempos estimados asignados a cada una de las etapas desde la b) hasta la h). 1 Fechas de iniciación / terminación. Para el desarrollo completo de las actividades del proyecto. 1 Diagrama de actividades. Se coloca el tiempo estimado que va a durar cada una de las actividades. 1 Entrevista de iniciación de auditoria. Se realiza una reunión con el personal directivo de Sistemas en la cual se plantean los objetivos y el enfoque de trabajo a realizar y se Establecen los mecanismos de comunicación a emplear en el desarrollo del trabajo. 1 Puede utilizar el formato de Plan de Trabajo indicado en el diagrama No. 5. b. Investigación Preliminar Se determinan las características técnicas y operativas de la aplicación objeto del trabajo y su importancia para los objetivos y metas de la Institución. Se debe conseguir la documentación del sistema, para que en el trabajo de gabinete pueda investigarse en forma preliminar el Sistema, con la siguiente información: . Dependencias involucradas en el manejo de la aplicación. . Inventario de documentos fuentes. . Inventario de informe que produce. . Normas legales e institucionales que rigen el funcionamiento de la aplicación. . Interfases de la aplicación con otros sistemas. . Procesos manuales y automatizados que realiza la aplicación. . Perfil técnico de la aplicación. 44
. Personal clave para el manejo de la aplicación en cada dependencia involucrada. . Inventario de manuales de documentación existente. . Información sobre fraudes que se hayan cometido. (Diagrama 5) c. Evaluación del Sistema Se debe efectuar la revisión de los 10 aspectos indicados en el punto 3.2. Al evaluar el sistema también debe considerarse los riesgos determinándose cuales son las situaciones de riesgo y cuales sus causas. Para evaluar los controles existentes se deben utilizar una de las dos alternativas, o ambas: - Análisis de Riesgo. - Cuestionarios de Control. Riesgos: . Riesgos Accidentales 1 Ingreso accidental ya en apertura. 1 Falla imprevista que anula seguridad. 1 Error en sistema de comunicación. ³ CONTROL DE SISTEMAS EN FUNCIONAMIENTO : ³ AUDITOR RESPONSABLE: ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄ ³ ACTIVIDADES ³ PEDIDOS: DIAS O SEMANAS ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÂÄÄÂÄÄÂ ÄÄÂÄ ³1. PLANEAMIENTO ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 1.1 Elaboración del Plan ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 1.2 Aprobación del Plan ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³2. INVESTIGACION PRELIMINAR ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 2.1 Relevamiento de información ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 2.3 Análisis de Información ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ 45
³3. EVALUACION ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.1 Documentación del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.2 Procesamiento del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.3 Operatividad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.4 Controles del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.5 Integridad de Datos ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.6 Validez de Resultado ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.7 Seguridad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.8 Sistema de Respaldo ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.9 Auditabilidad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.10 Efectividad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³4. DISEÑÓ DE PRUEBAS DE CONTROL ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³5. EJECUCION-EVALUACION RESULTADOS ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³6. ELABORACION INFORME DE AUDITORIA ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³7. REVISION OPINIONES DEL INFORME ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ 46
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³8. EMISION DE INFORME FINAL ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³9. SEGUIMIENTO DE RECOMENDACIONES ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ . Riesgos Pasivos Captación electromagnética de transmisión de microondas. 1 Intercepción por alambres o cables coaxiales. 1 Acceso vía procedimientos técnicos avanzados. . Amenazas Activas 1 Otorgamiento de clave de seguridad a usuario realmente no autorizado. 1 Ingresar al sistema cuando el usuario autorizado ha dejado su terminal abierto, sin salir del sistema. 1 Ingreso por personas expertas. d. Planeamiento y diseño de las pruebas de control Se deben diseñar los juegos de datos de pruebas, los cuales deben asegurar que se investigue totalmente la confiabilidad del sistema y los controles que poseen. En esta se debe considerar : 1 Naturaleza y extensión de las pruebas de auditoria. 1 Plan de las pruebas a ejecutar. 1 Diseño de las pruebas de auditoria. e. Ejecución y Evaluación de los resultados de las pruebas Una vez, ejecutadas las pruebas se deben evaluar los resultados de las mismas y determinar en que módulos, el Sistema no es confiable y controles que no posee, que deban ser imprescindibles. f. Confección del Informe de Auditoria del Sistema Producto de la revisión del Sistema se deber preparar el Informe de Auditoria y Control del Sistema. El informe preliminar debe ser opinado y recibirse los comentarios del caso para posterior emitir el informe final g. Revisión y Opinión del Informe Tanto el usuario, como el de Informática que desarrolló ó administra la operación del Sistema, deben tener la oportunidad de revisar y opinar sobre el informe preliminar, de tal forma de asegurar que se estén aceptando las observaciones indicadas. 47
h. Seguimiento de las Recomendaciones de Auditoria Siendo el objetivo de este trabajo que se mejore el sistema y se superen sus deficiencias para beneficio de la Institución, se debe a través de un Registro de Seguimiento, efectuar el control de las acciones tomadas y las observaciones superadas. ASPECTOS A REVISAR Los aspectos que deben ser revisados son : 1- La documentación del sistema. 2- El procedimiento del sistema. 3- La operatividad del sistema. 4- Controles del sistema. 5- Integridad de los datos. 6- Validez de los resultados. 7- Seguridad del sistema. 8- Sistema de Respaldo. 9- Auditabilidad del sistema. 10- Efectividad del sistema. 1 Documentación del Sistema : Como paso inicial del proceso de control de una aplicación en funcionamiento, debe ser revisada la documentación existente, la cual permite además de tomar conocimiento escrito del mismo, revisar si se ha cumplido con la metodología y estándares establecidos para el desarrollo de sistemas, anotando las falencias para su evaluación en los pasos siguientes, ya que podrían ser causa de problemas del sistema en operación. 2
Procedimiento del Sistema: Todo sistema es un conjunto de procesos manuales y automatizados, cuya operativizaci¢n debe estar definida en un Procedimiento del Sistema. Es imprescindible la existencia del procedimiento formal para efectos de poder operativizar eficientemente y con eficacia el sistema.
3. Operatividad del Sistema: Una vez revisada la documentación del Sistema, se debe proceder a revisar su operatividad. Se revisa todo el ciclo del sistema: . Generación del Dato. . Ingreso del Dato al sistema. . Transmisión del Dato. . Procesamiento del Dato. . Actualización de Archivos. . Emisión de Reportes y Consultas. Se debe verificar que el sistema efectúe en cada etapa de su ciclo las Especificaciones establecidas en el Análisis y Diseño y se cumpla con el Procedimiento aprobado para el sistema. Debe analizarse y observar si realmente tiene los requisitos de operatividad que 48
Hagan al sistema eficiente y eficaz. 4 Controles del Sistema: a.- Generación del Dato Debe verificarse las condiciones en que se genera el dato, ya sea este, externo o interno a la Institución, revisando que sea veraz, consistente y que refleje exactamente la operación realizada. Se podrá tomar una muestra de datos para efectos de verificar su exactitud. El sistema debe contemplar como uno de sus controles efectúa muestreos de calidad de los datos con una frecuencia PRE-establecida. b.- Ingreso del Dato Debe revisarse que el ingreso o transcripción de los datos se efectúe cumpliendo con controles básicos, tal como se indica: 1 Si el sistema es descentralizado, que el dato sea ingresado por el mismo que lo genera, para tener un mayor control sobre la calidad del ingreso del dato, ya que dicha persona es la que mas conoce la información y es la responsable de la misma. 1 En el caso de que sean varias personas las que tengan que ingresar datos por que la organización establece responsabilidades diferenciadas, debe constatarse que el sistema registre de alguna forma el código del ingresador del dato, para los controles del caso. 1 Si el Sistema es centralizado en un centro de computo del usuario o de la Dirección de Servicios Informáticos, los datos deben ser recepcionados por lotes y con hojas de control que indiquen el total de datos lotizado y totales de control, que permitan validar la completitud de los datos al ingresar la información por personas transcriptoras de datos. 1 Que los programas de ingreso de datos tengan consistencia física y lógica de datos. 1 La consistencia física debe ser sobre el registro de datos en si, donde debe existir datos obligatorios y opcionales y rangos de valores de los datos. 1 La consistencia lógica debe ser contra los archivos maestros del sistema y contra reglas de validación cruzadas que deba cumplir la información. 1 Que los datos ingresados deban imprimirse como validación del ingreso de datos, de la forma más conveniente dependiendo de la naturaleza del sistema. 1 Si el ingreso de datos es desde terminales y en ventanillas de atención al público, debe efectuarse una revisión visual previa y debe imprimirse el comprobante producto del ingreso del conjunto de datos y al final del turno o día de trabajo, debe emitirse un parte diario de comprobación y cuadre. 1 Si el ingreso de datos es desde terminales, pero en forma de proceso en lotes, al final de cada lote debe imprimirse un listado de revisión visual y de cuadre para poder ser revisado con todos los documentos fuentes, si el volumen de registros es manejable, o por técnica de muestreo, cuando existe una cantidad 49
considerable de registros. Al final del día debe adicionalmente imprimirse un parte diario de los lotes ingresados. c.- La Transmisión del Dato En un sistema en línea la transmisión del dato desde el terminal a la Base de Datos Central es manejada por el Software de Comunicaciones, Software de Red y Software de Base de Datos, debiendo en este caso: 1 El Sistema aplicativo debe tener rutinas programadas que controlen la optima transacción procesada en caso de caídas del sistema y un programa alternativo de captura descentralizada del dato en el terminal, si su configuración de equipo lo permite y posterior transmisión y registro en la base de datos central. 1 En un sistema de proceso en lotes, la transmisión del dato puede ser vía disquetes o módems. En este caso debe verificarse: 1.- Que los disquetes sean probados previamente antes de su remisión y que Quede un medio de respaldo en el centro de ingreso de datos. Asimismo se les coloque en modo protegido contra escritura y este Claramente identificado en su etiqueta el número o números de lote y la Cantidad de registros que contiene. 2.- Que Para el caso de transmisión de datos vía MODEM, el archivo a Transmitir debe poseer un registro de encabezado de control que Indique el número o números de lote y la cantidad de registros que Contiene, debiendo el aplicativo que leer dicha información efectuar la Verificación de la información del registro encabezado con los registros Leídos.
d.- El Procesamiento del Dato Comprende los procesos manuales y automatizados que se realizan para producir los resultados previstos en las diferentes funciones que satisface el sistema. 1 Se da especial énfasis a los controles incluidos en el software de las aplicaciones para lograr exactitud y confiabilidad del proceso y de los resultados que produce. 1 Debe verificarse que el sistema tenga registros y rutinas de control que permitan que ante una caída del sistema pueda reiniciarse el procesamiento desde la última transacción procesada, ya sea el sistema en línea o en lotes. 1 Para asegurar la integridad del procesamiento de los datos, en los sistemas en línea debe contarse con las seguridades físicas tales como UPS y equipos de respaldo de energía eléctrica de tal forma que evite el truncamiento del procesamiento y desincronizaci¢n de su operación. 1 En los casos de los sistemas de procesamiento en lotes debe existir procedimientos computarizados para que los programas se ejecuten en la secuencia prevista y de acuerdo a las bifurcaciones establecidas. 50
1 Deben establecerse condiciones de error que no puedan ser consistenciados física o lógicamente en la etapa de ingreso de datos, que no deben paralizar el procesamiento, sino mas bien reportar las ocurrencias para hacían inmediata en los sistemas en lineal o acciones posteriores en los sistemas de procesos de lotes. e.- Actualización de Archivos Debe verificarse que existan registros y rutinas de control que con cierta frecuencia de tiempo o de periodo, determine si existe coherencia entre la cantidad de registros y valores de los totales de los archivos. Por ejemplo, si se ha producido una cantidad de nuevas entidades debe reflejarse esto en un incremento del número de registros del archivo principal. Al final del día debería producirse un reporte de integridad de archivos. f.- Emisión de Reportes y Consultas. Deben existir rutinas de control y procedimientos que permitan al final de un periodo cuadrar cifras entre reportes y consultas, que aseguren la integridad de los resultados emitidos. Cada sistema, según su naturaleza, tiene una lógica de cuadre entre reportes, la cual debe estar claramente definida en el procedimiento. 5.- Integridad De Datos Adicionalmente a los controles anteriormente mencionados, para fines de asegurar la integridad de los datos en cuanto a su completitud y confiabilidad, el sistema debe poseer programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la información. Debe asimismo, en forma externa, establecerse procedimientos de comparación de la información producida por el sistema contra otras informaciones disponibles, para efectos de determinar la confiabilidad de la información. Dentro de este aspecto estan las circularizaciones de comprobación de la información del computador con las áreas o personas involucradas. 6.- Validez de los Resultados El aspecto mas importante de todo el sistema son los resultados, por lo que al revisar el sistema debe verificarse que los resultados cumplan con las especificaciones del diseño del sistema, lo cual debe comprobarse mediante juegos de datos de pruebas especialmente preparados, y que prueben todas las posibilidades de las entidades, datos y situaciones. 7 Seguridad del Sistema Debe comprobarse que el Sistema cuente con los siguientes tipos de seguridad: - Seguridad en el acceso a la información. - Seguridad del sistema. - Seguridades Físicas. 51
a. Seguridad de acceso a la información: Debe existir a nivel Institución, un esquema global de seguridad de acceso a la información, donde deben existir para cada área y para cada funcionario Perfiles de Acceso a los Sistemas, a las funciones dentro de cada sistema y a la Base de Datos, constituyendo una matriz de accesos usuario versus sistemas, funciones donde el nivel de usuario es el código de cada funcionario. El sistema debe tener claves de seguridad discriminadas donde cada usuario tiene un acceso basado en las siguientes opciones: . Ingreso de datos. . Procesamiento de los datos. . Consultas por niveles. . Emisión de Reportes. Asimismo el sistema debe mantener un log de uso del sistema por sesión de trabajo. Los niveles de acceso a la información pueden ser : . Nivel de consulta de información no restringida. . Nivel de mantenimiento de la información no restringida. . Nivel de consulta incluyendo la información restringida. . Nivel de mantenimiento de la información restringida. b. Seguridad del sistema: Acceso y Seguridad a los Programas 1 El Área de Servicio informatico debe ser la única que debe tener acceso sobre los programas fuentes, que deben estar archivados en bibliotecas especiales, bajo control de un Administrador de Sistemas. 1 Asimismo, los programas objetos también deben tener nombres solo conocidos por el administrador del sistema, quien le coloca los nombres claves una vez recibidos los programas fuentes y estos son compilados. 1 En la medida de lo posible, dependiendo de la envergadura del Servicio Informatico y de la naturaleza de los sistemas, se deberla tratar de utilizar un Software de Resguardo Automático de Redes.
Cambios a los Programas de Aplicación : 1 Debe existir una solicitud con la autorización respectiva para proceder a realizar los cambios a los programas. 1 El control sobre los programas objetos debe tenerlo el Administrador de Sistemas, y cualquier cambio a los programas deben ser probados y solo reemplazados, después de demostrarse la confiabilidad del mismo. 52
1 Cuando se cambien los programas fuentes deben documentarse en el programa con comentarios y registrar las modificaciones en el Registro de Control de Cambios. 1 Asimismo el sistema debe contar con los elementos necesarios para poder darle mantenimiento, por lo que debe disponer de : . Manuales de Análisis y Diseño. . Manual de Programación. . Programas Fuentes. . Originales de Software de Base. . Personal de programación que conozca el sistema. c. Seguridades Físicas 1 Los ambientes donde se procesan los sistemas deben contar con un suministro de energía eléctrica de calidad, con pozo de línea a tierra, estabilizadores, UPS, equipos de reemplazo de energía eléctrica, y extintores contra incendio. 1 Debe también, en la medida de lo posible, disponer el acceso restringido donde se procesa la información, sea al ambiente de los terminalista o al centro de computo. Seguridad ante contaminación de Virus 1 Ante la creciente proliferación de virus, debe existir instalado en el equipo central y equipos descentralizados sistemas antivirus, para prevenir la contaminación y afección de virus. 1 Deben, establecerse disposiciones especificas que prohíban al personal de sistemas o usuarios, utilicen diskettes externos a la institución, para evitar la introducción de virus. En caso de recibir diskettes externos de trabajo oficial, estos de todas maneras, deben ser desinfectados antes de ser leídos por los equipos de computo. 1 Cuando sea factible, tal es el caso de sistemas que requieren solo terminales, es preferible que estos no tengan unidad de diskette para evitar la contaminación o infección. 1 En lo posible también deber tratarse de utilizar Sistemas Operativos, que eviten la contaminación por virus. 8 Sistema de Respaldo 1 Previendo posibles problemas con el hardware o el software es necesario que el equipo central cuente con características técnicas de respaldo tales como : - Sistema tolerante a fallas. - tape-backup. - Equipo de capacidad similar de respaldo. 1 Asimismo, debe contarse con elementos para ser cargados en el otro equipo de respaldo: - Instalador del Sistema o Backup del Sistema. - Backup de la Base de Datos por lo menos del turno anterior.
53
1 En muchas oportunidades es conveniente, para áreas criticas de atención al publico, disponer de listados diarios de información resumen para poder seguir operando por lo menos manualmente en casos extremos. 1 Los backups de la Base de Datos deben efectuarse por cada cambio de turno de trabajo o como mínimo al final del día, debiendo inclusive el sistema haber sido programado para que exija efectuar el backup respectivo. 1 Una copia de respaldo de los programas fuentes y objetos de las aplicaciones, de la plataforma de software y de las bases de datos completas de la Institución (hasta de tres periodos anteriores) y debe guardarse una copia en el local ad-hoc de la Institución e inclusive una copia adicional en otro local para afrontar siniestros o desastres que pudieran ocurrir. 1
1
1 1 1
9 Auditibilidad del Sistema Todo Sistema debe tener la capacidad de poder ser auditado, para lo cual debe reunir una serie de características que lo permitan : . Contar con la documentación completa. . Disponer de una biblioteca de pruebas. . Disponer de Log del Sistema. . Contar con reportes de auditoria del sistema. . Contar con reporteadores de base de datos para producir reportes de cruce de información. Por lo tanto debe verificarse que el sistema disponga de los elementos antes indicados para poder facilitar su auditoria y en caso de no contar con ellos exigir se disponga de ellos. 10 Efectividad del Sistema Uno de los aspectos mas importante del sistema, por ser su razón de ser, es que sea efectivo en conseguir los objetivos y beneficios esperados, por lo que se debe : Efectuar visitas a los usuarios e indagar sobre su opinión respecto a : - su satisfacción de los resultados del sistema. - el grado de confiabilidad que le dan al sistema. Evaluar en forma independiente en que magnitud los beneficios han sido conseguidos y cuales son las razones o limitaciones que impiden que estos se logren. Determinar si los costos de operación del sistema se encuentran dentro de lo planificado y si son actualmente razonables para los beneficios tangible e intangibles obtenidos. Se deben evaluar aspectos tales como : . Que mejoras se han obtenido en la reducción de costos de operación. . Que mejoras se han obtenido en las operaciones de la Institución. . Cuanto ha mejorado la precisión de la información obtenida. . Que mejoras se han obtenido en disponer de la información completa requerida. . Que mejoras se han obtenido respecto a incluir controles en las operaciones de la Institución. . Que incremento se han obtenido en el número de operaciones atendidas, mejorando el tiempo de atención a los usuarios. 54
TALLER 05 ACTIVIDAD APLICATIVA BASE DE DATOS. Objetivo Conocer las base de datos usadas para auditoria y su importancia en la planeacion. Orientaciones En grupos se elabora y practica los usos de las base de datos. AUTOEVALUACIÓN 1. Manipular y practicar los tipos de bases de datos que se pueden utilizar en la auditoria.(Laboratorio). REFERENCIAS DOCUMENTALES
www.lawebdelprogrmador.com
TEMA N° 06 ASPECTOS A CONTROLAR DE LOS SISTEMAS EVALUACIONES Y CONTROLES A.- AUDITORIA DE SISTEMAS La Auditoria de Sistemas es el conjunto de técnicas que permiten detectar deficiencias en las organizaciones de informática y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computación, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias que se detecten. Se verifica la existencia y aplicación de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el ámbito del Sistema: usuarios, instalaciones, equipos. Las Instituciones efectúan Auditorias de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de informática, así como la confiabilidad y seguridad de sus sistemas. B.- ASPECTOS A CONTROLAR Para lograr desarrollar e implantar un Sistema con Calidad, dentro de los plazos y costos previstos, cuyos beneficios sean los planificados, es necesario controlar que: 55
1.1
El Proyecto de Desarrollo de Sistemas este enmarcado dentro del Plan General de Sistemas. 1.2 El Cronograma del Proyecto sea realista y el Sistema este operativo en forma oportuna, de acuerdo a las necesidades de la Institución. 1.3 Se aplique la Metodología de Desarrollo de Sistemas. 1.4 Exista un control permanente de la consistencia y confiabilidad de los Sistemas Informáticos. 1.5 La Calidad del Sistema producido, permita una óptima operatividad del mismo. 1.6 La tecnología utilizada sea la más adecuada a los fines del sistema y permita una vida útil satisfactoria para la inversión realizada. 1.7 Los Costos, tanto del desarrollo como de su operación y mantenimiento, sean los planificados y exista un retorno de la inversión. 1.8 Se hayan logrado los beneficios esperados. 1.1 El Proyecto de Desarrollo de Sistemas este enmarcado dentro del Plan General de Sistemas. Para asegurar que el Sistema a desarrollar o desarrollado logre estar integrado y tenga todas las interfases con los demás sistemas, es necesario se compruebe que es uno de los componentes del Sistema Global de Información de la Institución y este interrelacionado con otros sistemas, a través del intercambio de información o acceso a información común. 1.2 El Cronograma del Proyecto permita o haya permitido que el Sistema este Operativo oportunamente. Debe verificarse que exista un Cronograma del Desarrollo del Sistema, usando el método de Gantt como mínimo, siendo ideal utilizar adicionalmente el PERT-CPM. Se debe evaluar, de acuerdo a la estacionalidad del ciclo operativo del sistema, si el inicio de la implantación y puesta en marcha es acorde con las necesidades de la Institución, debiendo empezar, de ser factible, simultáneamente al comenzar el ciclo administrativo, de tal forma que se evite la puesta al día de información 1.3 Se aplique la Metodología de Desarrollo de Sistemas. La forma mas adecuada para asegurar que el Sistema se desarrolle de acuerdo a una metodología, consiste en verificar dos aspectos: 1 Que cuente con toda la documentación del Análisis, Diseño e Implantación del Sistema. 1 Que se hayan aplicado correctamente las técnicas de análisis y diseño de Sistemas. a.- Documentación de Sistemas: Si el control es realizado preventivamente, la documentación deber ser revisada al finalizar cada sub.-etapa, siendo recomendable que se revise internamente en la Dirección de Informática, previa a la entrega del mismo al Comité del Sistema. 56
1
Deber llevarse un Registro de la Documentación generada, para efectos de seguimiento permanente y control posterior. 1 Debe contarse con la firma de conformidad del usuario de la documentación que este deba aprobar. 1 Si el control es realizado posteriormente, deber verificarse la existencia de toda la documentación y la aprobación del usuario. 1 Con la documentación de sistemas generada, se debe verificar que todas las etapas y sub.-etapas de la Metodología de Análisis. Diseño, Programación e Implantación de Sistemas se hayan ejecutado, con resultados satisfactorios. b.- Aplicación de Técnicas: Se debe verificar que se hayan utilizado las técnicas adecuadas para cada etapa y sub.etapas del desarrollo e implantación del Sistema. Para cada etapa se aplican las siguientes técnicas: 1)
Análisis de Sistemas : - Entrevistas. - Diagrama de Flujo de Datos (D.F.D.). - Modelizaci¢n de Datos. - Diagrama de Estructura de Datos (D.E.D.). - Historia de Vida de la Entidad (H.E.V.). - Análisis de Costo-Beneficio (A.C.B.). - Prototipo.
Diseño de Sistemas : - Diseño Estructurado. - Diagrama de Estructura de Cuadros. - Optimización del Diseño Físico. - Diseño de Pruebas. - Prototipo. 3) Programación : - Programación Estructurada. - Pruebas Unitarias. - Pruebas de Integración. - Prueba del Sistema.
2)
4)
Implantación de Sistemas : - Capacitación. - Creación de archivos iniciales. - Proceso en paralelo. 1.4 Exista un control permanente de la consistencia y confiabilidad de 57
Los Sistemas Informáticos. Deben existir los controles específicos de: - Detección de errores. - Prevención de acceso no autorizado y mal uso de la información y del equipo. - Controles ambientales y seguridad. 1.5 La Calidad del Sistema producido sea tal que permita una óptima Operatividad del mismo. Este aspecto, además de ser evaluado por un especialista en Sistemas, debe también ser verificado con el usuario, ya que el puede dar su apreciación del sistema, en forma real y responsable, porque se encarga de operarlo y administrarlo. La información garantizara que: -
-
Cumpla con los requerimientos del usuario, establecido en la fase de Análisis y Diseño del Sistema. La secuencia de trabajo u operación del sistema, sea el mismo que el de proceso real. El sistema sea totalmente operado con: . Gula al usuario. . Ayudas permanentes en línea. El tiempo de respuesta sea adecuado para el volumen real de datos. El consumo de recursos de computo sea razonable y este dentro de lo previsto. Responda a todas las bifurcaciones posibles en la operación del sistema. La interfase-usuario sea adecuada y de fácil manejo y comprensión Se disponga de todas las facilidades utilitarias de reorganización de archivos y copias de respaldo. Se disponga de procedimientos de respaldo ante caídas del sistema. 1.6 La tecnología utilizada sea la mas adecuada a los fines del sistema, y permita Una vida útil satisfactoria para la inversión realizada. Se debe verificar que los siguientes elementos sean los mas adecuados: - Equipos. - Sistema de Red. - Sistema de Base de Datos. - Sistema de Comunicaciones. - Lenguaje de Programación. Es conveniente indicar que en algunas organizaciones se define en forma global toda la plataforma de Hardware y Software a utilizar como Standard para la Institución, quedando en este caso tratar de aprovecharla al máximo.
58
Sin embargo, existen organizaciones en la que se dan soluciones departamentalizadas con interfases entre ellas, manteniendo cierta independencia entre si. A continuación mencionamos algunas consideraciones que se deben tener en cuenta para evaluar si el equipamiento y software es adecuado para el sistema.
a.- Equipos: Se debe utilizar los equipos adecuados, de acuerdo al tipo de sistema desarrollado. Si la aplicación es monousuaria, se requerirá un equipo que tenga independencia de operación, debiendo contar individualmente con la potencia del caso para soportar todo el procesamiento. En caso de que el sistema sea multiusuario, deben utilizarse equipos terminales conectados a un servidor, debiendo estar balanceados adecuadamente los recursos entre ambos, de tal forma de contar con el tiempo de respuesta requerido. b.- Sistema de Red: Dependiendo del tipo de Sistema, se deber utilizar el tipo de plataforma de Red que mas convenga. Si el sistema es cerrado y netamente operativo con un criterio de procesamiento centralizado, pueden utilizarse los Sistemas orientados a la centralización y si el sistema es de filosofía abierta y descentralizada, se deben utilizar redes de este tipo. c.- Sistema de Base de Datos: En función a las necesidades del sistema se debe utilizar la plataforma necesaria de Base de Datos. Para aplicaciones sencillas e independientes, se utiliza el manejador de base de datos del lenguaje. Sin embargo, para aplicaciones corporativas, se utilizan manejadores de base de datos relacionales de nivel, así como para aplicaciones de tipo cliente-servidor. d.- Sistema de Comunicaciones: Este es un factor importante a evaluar en función a la naturaleza del sistema. Muchas veces el sistema debe instalarse en una tipología de comunicaciones PRE-establecida y hay que tratar de aprovecharla al máximo. Sin embargo, si el diseño de las comunicaciones pudiera estar correlacionado con el sistema, permitirla un mejor desempeño de las mismas. Se debe evaluar si el lenguaje a utilizar o ya utilizado es el mas conveniente, dependiendo de las necesidades de eficiencia y facilidad de desarrollo y explotación, por lo que deben evaluarse los siguientes factores : - Tiempos de procesamiento y respuesta. - Facilidades en tiempos de programación y mantenimiento de sistemas. - Rapidez en el desarrollo de sistemas a través de generadores de programas. - Ambientes gráficos. 1.7 Que los Costos, tanto del desarrollo así como de su operación y Mantenimiento, sean los planificados y que exista un retorno de la inversión. 59
El proyecto para ser aprobado debe contar con un presupuesto general, el cual debe ser detallado en la fase de Análisis de Sistemas. Los componentes de costos deben ser: . Costos de Personal de Sistemas y del Usuario. . Costo de Supervisión. . Costos de Equipamiento. . Costos de Originales de Software de Base. . Costos de Instalaciones y Servicios. . Costo de Relevamiento de Datos. . Costo de Capacitación. . Costo de Creación de Archivos Maestros. . Costo de Procesamiento en Paralelo. . Costo de Producción. . Costo de Mantenimiento. El control de costos debe efectuarse por etapas: . Análisis y Diseño del sistema. . Programación del sistema. . Implantación del sistema. . Operación del sistema.
1.8 Se hayan logrado los beneficios esperados. Una vez puesto en operación el sistema, se debe esperar que transcurran por lo menos dos periodos de procesamiento para evaluar si los beneficios del sistema se han logrado, tanto en las ventajas esperadas por su implantación, como los beneficios económicos que estaban planificados.
2. INSTRUMENTOS DE CONTROL Los Elementos e Instrumentos de Control a utilizar en forma individual o en forma conjunta son: - Documentación de las sub.-etapas del Desarrollo e Implantación de Sistemas. - Reuniones de Revisión Técnica. - Benchmark o pruebas del sistema. - Formularios de Control. 2.1
Documentación de las sub.-etapas del Desarrollo e Implantación De Sistemas La primera información que debe servir de base para efectuar un análisis para el control del sistema lo constituye la documentación generada en las diferentes fases de desarrollo e implantación del sistema. 60
La documentación debe leerse detenidamente con la finalidad de: . Comprender la concepción del sistema. . Planificar el contenido de las reuniones de revisión técnica. . Determinar los vacíos o carencias de información. . Elaborar los cuestionarios de consultas. . Efectuar el control del Sistema, con un conocimiento sólido del mismo. El t‚técnico que efectúe el control del sistema debe tomar conocimiento completo de la documentación escrita existente, de tal forma de reducir el tiempo del proceso de auditoria del sistema y brindar resultados en corto plazo. 2.2 Reuniones de Revisión Técnica Un aspecto fundamental para efectuar un buen control del sistema son las Entrevistas de Revisión Técnica, ya que la documentación en la mayoría de los casos es muy escasa y deficiente y generalmente cubre solo una parte de la información y las entrevistas permiten complementar la información técnica y recabar opiniones sobre deficiencias del sistema. Las reuniones de Revisión Técnica, debe estar debidamente planificadas y contar con formularios de los temas y consultas a tratar, para evitar olvidar cualquier aspecto fundamental para el análisis y la investigación. Las reuniones de Revisión Técnica deben efectuarse con todas las personas que participaron en el desarrollo e implantación del sistema, así como los que operan y utilizan el sistema. Deben efectuarse reuniones de Revisión Técnica con cada participante en forma separada para lograr información y opiniones libres e independientes de cada uno de ellos, después de las reuniones individuales puede efectuarse una reunión global para determinar las conclusiones de consenso. Las Entrevistas de Revisión Técnica deben efectuarse con la o las siguientes personas que llevaron o llevan a cabo las siguientes funciones: . El Analista de Sistemas. . El Programador. . El Implementador. . El / los Operadores del Sistema. . Los Usuarios Operativos que utilizan el Sistema. . Los Usuarios que utilizan la información para la toma de decisiones. En todo caso deben consultarse los factores que limitaron el desarrollo, implantación, operación y uso del sistema, así como las deficiencias, aspectos de confiabilidad y seguridad, en función de cada persona. 2.3 BENCHMARK O PRUEBAS DEL SISTEMA Instrumento vital para evaluar la confiabilidad del Sistema es lo que se denomina Benchmark o Pruebas del Sistema. No basta con evaluar el sistema tomando conocimiento de su documentación y sosteniendo reuniones de revisión técnica con el personal involucrado, lo fundamental que demuestra la buena funcionalidad y confiabilidad del sistema es efectuar 61
procesos de prueba simulando situaciones extremas de tal forma de determinar si el sistema responde a lo especificado y es confiable produciendo resultados correctos en los tiempos esperados Es por eso que se deben realizar Benchmark o procesos de prueba especiales tales como: . Prueba de carga máxima. . Prueba de almacenamiento. . Prueba de tiempo de ejecución. . Prueba de recuperación.
2.4 FORMULARIOS DE CONTROL Para efectos de registrar y controlar preventivamente el desarrollo e implantación del Sistema o evaluarlo posteriormente, es necesario utilizar formularios denominados de control, cuya relación se indica a continuación: . Control de Cronograma del Proyecto. . Control de Documentación de Sistemas. . Control Técnico del Análisis del Sistema. . Control Técnico del Diseño del Sistema. . Benchmark o Prueba real del Sistema. . Control de la Implantación. a.- Control de Cronograma del Proyecto : Para efectos de controlar o evaluar el cumplimiento de los plazos y la duración de las etapas del sistema y por razones de sencillez se recomienda utilizar el diagrama de GANTT, debiendo en el mismo cuadro registrar lo planeado y lo ejecutado con dos símbolos diferentes. Diagrama No 1 ³ CONTROL DE CONOGRAMA DE PROYECTO ³ ³CONTROL DEL DESARROLLO E IMPLANTACION DE SISTEMA : ³ ³ ³ JEFE DE PROYECTO: ³ ³ ³ PERIODO : SEMANAS / MESES ³ ³ ETAPAS/SUB-ETAPAS ³1. PROYECTO ³ ³1.1 Definición del Proyecto ³ ³1.2 Cronograma del Proyecto ³2. ANALISIS DE SISTEMA ³ ³2.1 Análisis requisitos Sistema ³ ³2.2 Especificación Funcional ³ ³2.3 Interfase del Sistema ³3. DISE¥O DEL SISTEMA ³ ³3.1 Diseño Físico del Sistema ³ ³3.2 Especifica. Complementaria ³4. PROGRAMACION 62
³ ³4.1 Programación del Sistema ³ ³4.2 Pruebas del Sistema ³5. IMPLANTACION DE SISTEMAS ³ ³5.1 Capacitación ³ ³5.2 Benchmark del Sistema ³ ³5.3 Creación de Archivos ³ ³5.4 Proceso en Paralelo ³6. PRODUCCION ³7. EVALUACION b.- Control de Documentación de Sistemas: Este formulario permite verificar la aplicación de la metodología de desarrollo e implantación de sistemas, mediante el registro de la documentación que se debe haber generado para cada etapa y sub.-etapa. Debe contarse con la firma de conformidad del usuario de la documentación que este deba aprobar. Utilizar el diagrama No 2. c.- Control Técnico del Análisis: Para verificar que el Control del Análisis se haya efectuado adecuadamente, se debe utilizar el Formulario de Registro de Técnicas Utilizadas y se deben realizar estudios de gabinete de la documentación generada, así como efectuar reuniones de revisión técnica, conjuntamente con el personal de analistas del proyecto. En caso de verificarse la falta de aplicación de las técnicas o Errores en el trabajo de análisis, estas se registran en un acta, para que sean superadas. Es mejor efectuar el control en forma permanente, apenas se finaliza una sub.-etapa y antes de proceder a la próxima, pues hacerlo en forma posterior, es más costoso y requiere de mayor tiempo, teniendo mayores implicancias.
Las técnicas que se deben haber utilizado son: - Entrevistas. - Diagrama de Flujo de Datos (D.F.D). - Modelizaci¢n de Datos. - Diagrama de Estructura de Datos (D.E.D). - Historia de Vida de la Entidad (H.E.V). - Análisis de Costo-Beneficio (A.C.B). - Prototipo. Se utiliza el diagrama No 3 para facilitar el registro de las técnicas que se han utilizado para cada etapa o sub.-etapa, marcándolas con asterisco (*) d.- Control Técnico del Diseño: Para verificar que el Control Técnico del Diseño se ha efectuado adecuadamente, se debe utilizar el Formulario de Registro de Técnicas de Diseño y se deben realizar estudios de gabinete de la documentación generada, así como efectuar reuniones de revisión técnica, conjuntamente con el personal de analistas del proyecto. 63
En caso de verificarse la falta de aplicación de las técnicas o errores en el trabajo de diseño, estas se registran en un acta, para que sean superadas. En este caso también es mejor efectuar el control en forma permanente, apenas se finaliza una sub.-etapa y antes de proceder a la próxima, pues hacerlo en forma posterior es mas costoso y requiere de mayor tiempo, teniendo mayores implicancias. Diagrama No 2 CONTROL DE DOCUMENTACION DE SISTEMAS ³ ³
CONTROL
DE
DESARROLLO:
³E IMPLANTACIO N
DE SISTEMAS ³
³
³³³ ³
³ Fecha Emisión DOCUMENTACION
De
JEFE DE PROYECTO : Fecha De Aprobación INFORMATI CA
³1. ETAPA: ANALISIS DEL SISTEMA ³1.1 Definición del Proyecto ³ ³1.2 Cronograma de Proyecto ³ ³1.3 Análisis del Sistema Actual ³ ³ ³1.3.1 Descripción del Sist. Actual ³ ³ ³1.3.2 Catalogo Requisitos Sist. ³ ³ ³1.3.3 Análisis de Alternativas ³ ³1.4 Especificación Funcional ³ ³ ³1.4.1 Especific. Sistema ³ ³ ³1.4.2 Especific. sub.-Sistemas ³ ³ ³1.4.3 Modelo de Datos Sistema ³ ³1.4.4 Modelo Eventos Sistema ³1.5 Interfase del Sistema ³ ³ ³1.5.1 Interfase con Usuario ³ ³ ³1.5.2 Seguridad y control ³ ³ ³1.5.3 Especific. de Entrega ³ ³ 2. DISE¥O DEL SISTEMA ³ 2.1 Diseño Físico del Sistema ³ ³2.1.1 Arquitectura Física Sist ³ ³2.1.2 Estructura de Datos ³ ³2.1.3 Entorno Tecnológico 64
USUARI O
³2.2 Especif. Complementarias ³ ³2.2.1 Plan Pruebas del Sistema ³ ³2.2.2 Especific. Diseño ³3. PROGRAMACION DE SISTEMA ³ 3.1 Manual de Programación ³4. IMPLANTACION DEL SISTEMA ³4.1 Manual: Operación y Usuario
DIAGRAMA No 3
CONTROL TECNICO DEL ANALISIS DEL SISTEMA
Entrevista
Diagrama de Flujo de Datos
Model o De Datos
Diagrama de Estructura De Datos
DFD
Datos
DED
³ ETAPA / SUB-ETAPA ³1. ANALISIS REQUISISTOS DEL SIST. ³ 1.1 Identificación de Requisitos ³ 1.2 Diseño del Modelo Lógico Actual ³ 1.3 Estudios Alternativas ³2. ESPECIFICACION FUNCIONAL SIST. ³ 2.1 Modelo de proceso ³ 2.2 Modelo de Datos ³ 2.3 Análisis detallado ³3. INTERFASES DEL SISTEMA ³ 3.1 Interfase con usuario ³3.2 Complementar Especificaciones Sistema ³ 3.3 Complementar Especificaciones de Entrega
Historia de Vida de la Entidad HVE
Análisis De Costos Beneficio
C.B
DIAGRAMA No 4 CONTROL TECNICO DEL DISE¥O DEL SISTEMA Diseño Estructurado
Diagrama De Estructura De Cuadros
³1. DISEÑO FISICO DEL SISTEMA ³1.1 ARQUITECTURA FISICA DEL SISTEMA ³ 1.2 ESTRUCTURA DE DATOS ³ 1.3 ENTORNO TECNOLOGICO ³ 1.4 ESTUDIOS ALTERNATIVAS ³2. ESPECIFICACIÓN COMPLEMENTARIAS ³ COMPLEMENTARIAS
65
Optimización Del Diseño Físico
Diseño De Pruebas
Auditoria de Sistemas ³ 2.1 PLAN DE PRUEBAS SISTEMAS ³ 2.2 ESPECIFICACIONES SISTEMAS
TALLER 06 ACTIVIDAD APLICATIVA ASPECTOS A CONTROLAR. Objetivo Conocer las situaciones y bases a revisar. Orientaciones En grupos se critica y acuerda cuales son los aspectos que sed ebe controlar de los sistemas usados. AUTOEVALUACIÓN 1. conoce ud. cuales son los aspectos a revisar dentro de los sistemas.?. REFERENCIAS DOCUMENTALES
www.lawebdelprogrmador.com
TEMA N° 07 CONCEPTUALIZACION DE DISEÑO Y PRODUCCION DE SOFWARE Arquitectura i. Organización de computadoras eficientes y confiables ii. Implantación de procesadores, memoria, comunicaciones, interfaces iii. Diseño y control de sistemas computacionales grandes y confiables Inteligencia Artificial y robótica iv. Modelos de conducta v. Construcción de máquinas reales o virtuales que simulan conducta animal o humana vi. Inferencia, deducción, reconocimiento de patrones, representación del conocimiento Bancos de datos e “information retrieval” vii. Organización de información y diseño de algoritmos para acceder y actualizar eficientemente la información viii. Modelaje de relaciones de datos ix. Seguridad y protección de la información x. Características de dispositivos de almacenaje
66
Contabilidad y Finanzas
Auditoria de Sistemas Comunicación humano-computadora i. Transferencia eficiente de información entre humanos y máquinas ii. Gráficas iii. Factores humanos que afectan interacción iv. Organización y presentación de información para uso efectivo por humanos Sistemas operativos i. Mecanismos de control para coordinar recursos múltiples en un sistema ii. Atención apropiada a las peticiones de usuarios iii. Estrategias efectivas de control de recursos iv. Organización efectiva para apoyar computación distribuída Lenguajes de programación v. Notaciones para definir máquinas virtuales que ejecuten algoritmos vi. Traducción eficiente de lenguajes de alto nivel a lenguaje de máquina vii. Mecanismos de extensión provistos con lenguajes Metodología i. Especificación, diseño y producción de sistemas programados grandes ii. Principios de programación, y desarrollo, verificación y validación de software iii. Especificación y producción de software seguro y confiable TALLER 07 ACTIVIDAD APLICATIVA DISEÑO Y PRODUCCION DE SOFWARE Objetivo Conocer el diseño y producción de sofware mas usados por las empresas.. Orientaciones En trabajo personal y grupal discutir y criticar los modelos de sofware que se usan en las empresas. AUTOEVALUACIÓN 1. Conoce y manipula algún sofware que controla las áreas de la empresa? 2. Es pesado o liviano los software utilizados en su empresa? 3. Análisis de usuarios. REFERENCIAS DOCUMENTALES
www.lawebdelprogrmador.com
67
Contabilidad y Finanzas
Auditoria de Sistemas Cuando el CIS es significativo:
¾ Verificar controles Gerenciales. Variedad de herramientas analíticas. Ratios. ¾ Proveer al auditor de técnicas de ayuda asistida por computadora. Excel – etc. ¾ ISA 400 – El auditor debe aseverar opinion sobre el Control Interno. * Riesgos de Control en un ambiente CIS. Deficiencias del desarrollo y mantenimiento de los sistemas. * Software del Sistema. Operaciones realizadas. * Seguridad física. Control de accesos al programa.
¾ Password de seguridad – Control Gerencial de las mismas. ¾ Personal Master – Llave desbloqueadora, etc. ¾ Control de Planillas. Redondeo. (0.50 + o -). ¾ Empresas que todo depende de la computadora – (Bancos). TEMA N° 08 PRUEBAS DE AUDITORIA
¾ Works paper evolution. ¾ Diskette. ¾ Aprobación Magnetizada. ¾Registros Electrónicos. ¾ Modelo de Preparación de los Requerimientos. ¾ Detección de errores. ¾Cálculos complejos. (Planilas,etc.). ¾ Riesgos de relevamiento de información. ( Visita Previa) * Tecnología utilizada. * Lenguaje de computación, etc.
68
Contabilidad y Finanzas
Auditoria de Sistemas Situaciones atener en cuenta:
¾ El volumen de las transacciones. ¾ Métodos manuales y/o mecanizados usados (Hardware y Software). ¾ Si se generan automáticamente transacciones.( Materiales – Independientes) ¾ Si se realizan cómputos y/o cálculos complicados. ¾ Si hay transacciones automáticas con otras organizaciones. (Sin revisión). ¾ La Organización del cliente y las actividades CIS – grado de concentracion. ¾ Disponibilidad de datos, los documentos fuentes, impactados por Sistema CIS. Archivos, carpetas, base de datos, backups otros.
¾ Programas fuente ( Código Tributarios -no hay en las empresas)
INTERNACIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT – Planeamiento
Cuando el CIS es significativo:
¾ Carencia de los rastros de la transacción – En forma legible solo x computador. ¾ Hay sistema que integra funciones que por su naturaleza deben ser separados – Cotizacion – Compra – Despacho.
¾ No hay Archivos documentarios. No se puede sacar copias.(telemático) Ejemplo. SISLOG – Comprobacion – dia – hora – password.
¾Hay Proceso de transacciones uniformes. Si se detecta un error en un sistema el error esta en todas estas.
¾ La detección de errores pueden seguir siendo desapercibidos por largo tiempo. ¾ Dependencia de otros controles. Cambios en los programas (parches) arreglan una aplicación y malogran otros. Se cae el Sistema. Procedimientos alternativos.
¾ Registros contables computarizados. (Sunat).
69
Contabilidad y Finanzas
Auditoria de Sistemas INTERNACIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT – Procedimientos de Auditoria
Revisión –Observacion – Inspeccion – Prueba evidente – exactitud Reconciliacion
¾ ISA 400 y el Control Interno, el auditor debe considerar el ambiente CIS.
¾ Procesamientos forzados por la influencia de los métodos del ordenador.
¾ Se Usa procedimientos manuales, asistidas por computadora o una combinación.
¾ Obtener evidencia suficiente, competente y relevante.
ENFOQUES EN LA AUDITORIA DE SISTEMAS
• •
Auditoria alrededor del computador.
•
Análisis de procedimientos , métodos y otros usados en los dif i
• • • • • •
Auditoria en el Computador. Examen de aplicaciones. Eficiencia / eficacia de los sistemas asistidos CIS
Auditoria a través del Computador. Controles – entrada / salida Eficiencia / Eficacia en la operación de los sistemas. Otros
70
Contabilidad y Finanzas
Auditoria de Sistemas TALLER 08 ACTIVIDAD APLICATIVA PRUEBAS DE AUDITORIA Objetivo Decidir que tipos de pruebas son las ajustables a cada tipo de empresa y área auditada del sistema utilizado. Orientaciones En grupos tomar la decisión de los modelos de pruebas a usar en cada área auditable. AUTOEVALUACIÓN 1. Conoce las pruebas sustantivas de auditoria? 2. Aplica pruebas de propiedad de suficiencia u otras? REFERENCIAS DOCUMENTALES • • •
www.lawebdelprogrmador.com www.esinet.es. www.infoplus.es
Código 657.5/F387 Autor Ferreyros Morón, Juan A. Título Informática contable y auditoria de sistemas Pie Imprenta Lima: [s.n.], 1993 Páginas 248 Código R/658.03/B624/1997 Autor Bittel, Lester R.; Ramsey, Jackson E. Título Enciclopedia del management Pie Imprenta Barcelona: Océano/Centrum, 1997 Páginas 1307
UNIDAD III PLANEACION DE LA AUDITORIA. El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso de sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor – Contador, hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria.
71
Contabilidad y Finanzas
Auditoria de Sistemas CONTENIDOS PROCEDIMENTALES: •
Planifica y desarrolla planes y guias de auditoria de sistemas.
•
Desarrolla evaluación de los sistemas de seguridad.
•
Elabora las guías y programas de auditoria.
•
Elabora las técnicas de muestreo
•
Reconoce el rol del auditor de sistemas en estos nuevos
Analiza y evalúa el control interno, base de datos y el Planeamiento de auditoria
CONTENIDOS ACTITUDINALES: •
Participa en la planificación de guías de sistemas
•
Valora el planeamiento en todo trabajo de su vida.
•
Maneja y elabora programas de auditoria. Evaluación de los controles
de
sistemas.
CONTENIDOS CONCEPTUALES TEMA No. 9: TEMA No. 10: TEMA No. 11: TEMA No. 12.
PLANEACION DE LA AUDITORIA DE SISTEMAS. GUIAS DE PLANEACION. PROGRAMAS DE AUDITORIA.. REQUERIMIENTOS.
72
Contabilidad y Finanzas
Auditoria de Sistemas
PLANEACION DEL TRABAJO DE AUDITORIA DE SISTEMAS
DIAGRAMA DE CONTENIDOS
PLANEACION DE LA AUDITORIA DE SISTEMAS
GUIAS DE PLANIFICACION
PROGRAMAS DE AUDITORIA
REQUERIMIENTOS
73
Contabilidad y Finanzas
Auditoria de Sistemas TEMA: NUEVE PLANEACION DE LA AUDITORIA DE SISTEMAS. ANALISIS CICLICO DE LA AUDITORIA Entidad, Objetivos Honorarios, Locales Monto Referencial Calidad de Personal
Publicación de La Necesidad de la Auditoria
A: Propuesta Económica B: Programa Tentativo: “ANEXO 1” know how de la empresa Del personal Otros Estructura de Propuesta dictada x la Contraloría General de la republica
Compra de Bases
Empresas de Auditorias
Y para una empresa privada
Fechas de instalación, Plazos entrega de informes (45 días) Carta Fianza, Porcentajes y fechas de pago.
Designación de la empresa de Auditoria
Firma Del Contrato
1. Plan de auditoria: Visita previa “ANEXO 2” PROCEDIMIENTO DE PLANIFICACIÓN a.- Objetivos b.- Guía para el proceso de planificación c.-Guía del Programa de Auditoria: Papeles de trabajo, archivos
Trabajo De Campo
Informe Para Discusión
Ejemplo: Trabajo de Campo para el “INFORME LARGO” ANEXO 3
Informa Final
74
Contabilidad y Finanzas
Auditoria de Sistemas TALLER 09 ACTIVIDAD APLICATIVA SISTEMAS INFORMATICOS AUDITABLES. Objetivo Elaborar guías y Programas de auditoria. Orientaciones En el laboratorio bajar información de la página Web. Y elaborar guías y programas de auditoria para trabajos en sistemas.. AUTOEVALUACIÓN 1. Elaborar y diseñar programas para las áreas de auditoria de sistemas.(Laboratorio). REFERENCIAS DOCUMENTALES Código SMP/FICS/004.67/C734/2000 Autor Common Perú, Lima (Perú); Universidad de San Martín de Porres, Lima Institucional (Perú). Facultad de Ingenieria de Computación y Sistemas Título Common university 2000: cuarta conferencia anual universitaria Pie Imprenta Lima: , 2000 Páginas 215 Contenido 1. Tendencias tecnológicas en E-Business 2. Innovación de procesos 3. La gestión del conocimiento y como los conocimientos se integran alrededor del balanced score card 4. Análisis y diseños orientados a objetos basado en le stándard UML: un caso práctico 5. Tecnología de información-estrategia de negocios 6. Modelo de objeto para el diseño de base de datos 7. Bussiness dentro de Bussiness 8. Auditoria de sistemas y reingenieria TEMA 10 GUIAS DE PLANIFICACION
GUÍA DE PROGRAMAS DE AUDITORIA
El propósito principal del auditor es estudiar y evaluar el sistema de control interno del cliente, es determinar la naturaleza, oportunidad y alcance de los procedimientos de auditoria, como lo establece la segunda norma de trabajo en el campo. Esta guía de programas de auditoria debe ser usada conjuntamente con el “Manual de la Auditoria”, como una ayuda al preparar un programa de auditoria para un trabajo específico.
75
Contabilidad y Finanzas
Auditoria de Sistemas No debe ser usado como un programa estándar de auditoria. Esta guía pretende ahorrar tiempo en escribir un programa de auditoria, ya que enfoca aquellos procedimientos de auditoria que son requeridos en la mayoría de los trabajos. Sin embargo, cada sección de la guía requiere de ampliación y/o descarte de procedimientos, para que el programa de auditoria finalmente diseñado sea adecuado con el sistema de control interno que estamos probando. Además, el programa de auditoria está continuamente sujeto a revisión y no puede ser terminado hasta que el auditor haya: (1) logrado un conocimiento del negocio; (2) revisado el sistema; (3) probado el sistema y evaluado sus debilidades. Debe notarse que se ha provisto un espacio para referencia a papeles de trabajo, el cual debería ser usado ampliamente para cruzar “evidencia competente y suficiente” en los papeles de trabajo, como indica la tercera norma del trabajo en el campo. Al terminar el programa, deberá colocarse, el nombre del cliente, el período bajo examen y los números de páginas. Términos como “voucheado” o “N/A” no son aceptables en un programa de auditoria. Cuando la, respuesta a un procedimiento es “ninguno” esta palabra debe ser usada. En aquellos casos en que la ampliación y/o descarte de procedimientos voluminosos, la guía deberá ser reemplazada por un programa escrito de auditoria. Esta cubierta explicatoria debe ser descartada una vez que la guía ha sido incorporada en el programa de auditoria desarrollado para el uso de un trabajo específico. En forma abreviada, una auditoria incluye lo siguiente: 1. El examen de los contratos de la organización - la escritura constitutiva y las reformas de la misma, los contratos de la sociedad en nombre colectivo y los contratos de fideicomiso. 2. Examen de las actas de las asambleas de accionistas y del consejo de administración: examen de los contratos y de los sistemas de contabilidad en operación.
76
Contabilidad y Finanzas
Auditoria de Sistemas 3. Examen de los sistemas de control interno: un buen sistema de control interno reduce la cantidad de trabajo detallado de auditoria. 4. Comprobación de que están incluidos todos los activos poseídos en el Balance General, y comprobación de la propiedad de todos los activos incluidos. 5. Comprobación de que todos los pasivos están incluidos en el balance general en la cantidad adecuada. 6. Comprobación de que el capital contable está presentado propiamente en cuanto al importe y clasificado adecuadamente. 7. Determinación de que los estados financieros están formulados de acuerdo con principios de contabilidad reconocidos y aplicados consistentemente. 8. El análisis de los renglones clave de importe de material y/o su importancia. 9. Determinación de la utilidad neta periódica adecuada: esto implica el análisis y comprobación de los ingresos y gastos en el grado que sea necesario, para permitir la expresión de una opinión relativa a los estados financieros.
TALLER 10 ACTIVIDAD APLICATIVA GUIAS DE PLANIFICACION DE AUDITORIA DE SISTEMAS. Objetivo Elaborar guías y Programas de auditoria. Orientaciones En el laboratorio bajar información de la página Web. Y elaborar programas de auditoria para trabajos en sistemas.. AUTOEVALUACIÓN 1. Elaborar y diseñar programas para las áreas de auditoria de sistemas. REFERENCIAS DOCUMENTALES Revista Actualidad Empresarial
77
Contabilidad y Finanzas
Auditoria de Sistemas Autor Villacorta Cavero, Armando Título Hacia la sistematización del proceso de auditoria de gestión Volúmen 4 Número Nø60, (Abr. 2004) Fecha 2004 Páginas VIII1-VIII2 Código Autor Título Pie Imprenta Páginas Contenido
658/P437 Perel, Vicente L.; López Cascante, Jesús D.; Messuti, Domingo Jorge E. Administración general: organización, planeamiento, control Buenos Aires: Macchi, 1996 529 1. Control de gestión 2. Los manuales 3. Auditoria estratégica 4. El planeamiento empresario 5. conformación de sistemas 6. El análisis de sistemas 7. Sistemas de gestión comercial
TEMA 11 PROGRAMA TENTATIVO MENORANDUM DE PLANEAMIENTO 1. OBJETIVOS DEL EXAMEN
Donde se resume los objetivos del examen estos pueden ser varios, pero los principales son: • Auditoria de Sistemas: Emitir un informe de los sistemas contable, administrativo, logístico e informático. • Informe Examen Especial de la Información Presupuestaria: Razonabilidad de la información presupuestaria. Presupuestado versus ejecutado. Informe Largo: Funcionamiento y efectividad del Sistema de Control Interno. Evaluar la gestión Administrativa y operativa.(metas y Objetivos) Adquisición de bienes y servicios. Normas de control de producción Proyectos de inversión u Obras publicas Controles de donación Seguimiento a la implementación de las recomendaciones.
2. ALCANCE 1.
2. 3.
NAGU- 4.40 NAGAS , etc.Estructura del Informa Largo Síntesis Gerencial y el memorando de Control Interno – 3.60 Hallazgos- 4.50 Informe especial Comisión de delito o responsabilidad; MAGU, Guías de auditoria. Visita de los locales Otros.
78
Contabilidad y Finanzas
Auditoria de Sistemas 3. DESCRIPCIÓN DE LA ENTIDAD 1. 2. 3. 4. 5. 6.
Constitución, finalidad, duración Organización y administración – Junta – Directorio- Gerencias- Niveles jerárquicos Locales Principales productos Principales clientes Sistema de Contabilidad
4. NORMATIVA APLICABLE
Bajo Que Leyes o Normas se encuentra creada, o se rige (NLS, Resoluciones, IGV, Renta, etc.
No de días Útiles
5. INFORMES A EMITIR Y FECHAS DE ENTREGA
Memorandun de Planeamiento Informe de Sistemas Informe Largo Informe Especial
1
CUENTA
% Factores de Riesgo Riesgo Total Cartera pesada 10 Empresas que han Moderado (créditos con reestructurado su deuda problemas ante Indecopi potenciales) Empresas que han vencido sus créditos y no vienen cumpliendo con sus obligaciones Sistema de Ventas
60
Las transacciones se han diversificado
14 25 25 25
.01. 02 02 02
2003 2003 2003 2003
Evaluación de riesgos: control interno, rubros del balance mas próximo (criterio)
6. IDENTIFICACIÓN DE AREAS CRITICAS No
15 45 45 45
Fecha de Entrega
Enfoque de Auditoria Pruebas analíticas
Procedimientos de Auditoria a aplicar *Análisis de fluctuaciones de ingresos *Verificación del total de la cuenta con el registro de ventas
Alto Pruebas analíticas
79
Contabilidad y Finanzas
Auditoria de Sistemas 2
Moderado Informática y N/A El software contiene aplicaciones que no Sistemas están siendo utilizadas.
3
Sistema de Tesorería
N/A Existen 30 Ctas. Ctes Moderado sobre las cuales se elaboran conciliaciones bancarias mensuales
Pruebas sustantivas
*Verificación de manuales de instrucción, revisión de la implementación *Conciliación y confirmación de saldos al 31.12.01
Posibles Problemas Que se han encontrado y en que rubros. EE.FF. Intermedios
7. PUNTOS DE ATENCIÓN
8. FUNCIONARIOS DE LA ENTIDAD A EXAMINAR
Pruebas de cumplimiento
Según la NAGU 4.40 se debe exponer en un cuadro los nombres de los funcionarios involucrados, cargos, función principal y fechas de ingreso y salida
9. PRESUPUESTO DE TIEMPO Cuadro con los profesionales que van a intervenir, con sus cargos, tiempo en horas y días No
Nombres
Cargo
1 2 3 4 5 6 7
Lizet Mirtha Eliana Pablo Patricia Elcida Xtian
Supervisor Jefe de Auditoria Auditor Auditor Auditor Ing de Sistemas Abogado
Total Días 15 25 25 25 20 20 05 135
Horas 120 200 200 200 160 160 40 1.080
Se debe considerar la necesidad de la participación de algunos 10. PARTICIPACIÓN DE ESPECIALISTAS
especialistas si el examen lo requiere y presentarlo en el cuadro de Presupuesto de Tiempos. Como son el Ingeniero de Sistemas y el Abogado.
ANEXO 2: 1.- OBJETIVO
PLAN DE AUDITORIA
CLIENTE: ............................. FECHA DE CIERRE: ...................................... Se realiza por objetivos en este caso daríamos un ejemplo del objetivo 1: Informe de Auditoria Financiera: Emitir opinión sobre la razonabilidad de los EEFF Las fases que se ejecutan son las siguientes: 1. Comprensión de las operaciones de la entidad 2. Comprensión de la estructura de control (ambiente de control, sistema de contabilidad, SIC, función de auditoria interna. 3. Evaluación de riesgo 4. Elaboración del memorando de planeamiento y ajuste al programa tentativo de auditoria.
80
Contabilidad y Finanzas
Auditoria de Sistemas
Es parte de los papeles de trabajo
2.- GUIA PARA EL PROCESO DE PLANIFICACIÓN
PROCEDIMIENTO DE PLANIFICACION Comentarios 1. Revise la carta de compromiso (el contrato) y todos los archivos de correspondencia y anote cualquier información que tenga un efecto significativo en el examen del año en curso.
SI
NO
N/A
2. En caso de trabajos recurrentes, revisar los papeles de trabajo de la auditoria del año anterior y las sugerencias para futuras revisiones, archivos permanentes, informes de auditoria, archivo de impuestos, cartas de gerencia y otros documentos relevantes 3. Reunión con el personal del cliente: a.- Indague sobre el desarrollo comercial y las condiciones económicas que afecten el negocio del cliente b.- Revise los resultados operativos del cliente, esperados para el año fiscal. Obtenga y revise los EEFF mensuales mas recientes. c.- Prepare una relación de papeles de trabajo y otros datos que serán proporcionados por el cliente. Incluyendo un cronograma. 4. Reunión con el personal de la firma a.- Discuta los temas significativos cubiertos en la reunión con el personal del cliente b.- Discuta naturaleza, oportunidad y alcance de los procedimientos de auditoria y el grado de confianza que podamos tener en los controles internos c.- discuta los tipos de informe que se deben emitir, revisar el presupuesto de tiempo 5. Obtenga y documente lo que se conoce de la estructura de control interno del cliente, efectuando lo siguiente: a.- Prepare un memorando documentando nuestro conocimiento del ambiente de control. b.- Determine las áreas, y prepare un memorando discutiendo nuestra decisión de documentar dichas áreas: • Efectivo (conciliaciones, recibos y desembolsos) • Cuentas por cobrar • Cuentas por pagar • Inventario • Activo fijo • Prestamos por cobrar (incluyendo lo pactado) • Transacciones de acciones o capital
81
Contabilidad y Finanzas
Auditoria de Sistemas
He revisado los temas incluidos en el Plan de Auditoria y he anotado todos los puntos significativos en la sección de comentarios Firma del responsable de la Firma de Socio responsable planificación del compromiso
3.- GUIA DE PROGRAMA DE AUDITORIA Manual de la auditoria: Propósitos 1. Logrado un conocimiento del negocio 2. Revisado el sistema 3. Probado el sistema y evaluado sus debilidades En forma abreviada una auditoria incluye lo siguiente 1. El examen de los contratos de la organización (constitución, contratos, fideicomiso) 2. Examen de actas, asambleas (accionistas, consejo de administración, sistemas de contabilidad en operación. 3. Examen de los sistemas de control interno 4. Comprobación de activos poseídos, comprobación de la propiedad 5. Comprobación que todos los pasivos están incluidos en el balance. 6. Comprobación de que el capital contable esta presentado apropiadamente 7. Determinación de que los EEFF, están formulados de acuerdo PCGA, NICs 8. Análisis y comprobación de los ingresos y gastos en el grado que sea necesario para permitir la expresión de una opinión relativa a los EEFF TALLER 11 ACTIVIDAD APLICATIVA PROGRAMAS DE AUDITORIA. Objetivo Elaborar guías y Programas de auditoria.
Orientaciones En el laboratorio bajar información de la página Web. Y elaborar programas de auditoria para trabajos en sistemas.. AUTOEVALUACIÓN 1. Elaborar y diseñar programas para las áreas de auditoria de sistemas.
82
Contabilidad y Finanzas
Auditoria de Sistemas
REFERENCIAS DOCUMENTALES Código Autor Institucional Título Pie Imprenta Páginas Contenido
658.562/C397 Centro de Comercio Internacional UNCTAD/OMC, Ginebra [Suiza] Aplicación de los sistemas ISO 9000 de gestión de la calidad Ginebra: CCI, 1996 141 1. Conceptos de gestión de la calidad. 2. La familia de normas ISO 9000. 3. ISO 9001: 1994, sistemas de la calidad. 4. Desarrollo y aplicación de un sistema de gestión de la calidad. 5. Documentación del sistema de la calidad. 6. Auditoria interna de la calidad. 7.Estructura para ISO 9000 a nivel nacional. 8. Evaluación y certificación. 9. Estudio de casos y encuestas sobre ISO 9000.10 ISO 9000 como base del mejoramiento contínuo y la gestión total de la calidad (TQM). 11. Glosario de términos en la serie de normas ISO 9000
TEMA 12 REQUERIMIENTOS CONOCIMIENTO DEL NEGOCIO ORGANIZACIÓN Y GIRO DEL CLIENTE
El propósito de esta sección es reunir información pertinente al cliente, así como al auditor, del conocimiento necesario acerca del negocio y organización del cliente. Si la auditoría es repetitiva, la información deberá actualizarse anualmente. (Los espacios no son limitativos) 1.
Historia del cliente (Descríbase la naturaleza y el desarrollo del negocio del cliente, incluyendo la descripción de la industria y de la competencia en el mercado). ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ _______________________________________________________________
83
Contabilidad y Finanzas
Auditoria de Sistemas 2.
3.
Descríbase la Organización Básica - Incluir un organigrama de la empresa, mencionando el personal que interviene. ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ____________________________ Funcionarios (Descríbase la naturaleza de sus obligaciones (1), cargo en el Directorio (2), participación como accionista en la empresa (3), años de servicio (4) y antigüedad en el puesto actual (5). Cargo Gerente General Gerente Financ. Contador
Nombre
1
2
3
4
5
Nombre
1
2
3
4
5
Contralor
Cargo Otros Especifiqu e
4.
Directores (Descríbase la naturaleza de sus obligaciones (1), cargo (2), participación como accionista en la empresa (3), años de servicio (4) y principal ocupación en los negocios (5), de todos los Directores no incluidos en “Funcionarios” antes mencionados)
Nombre
1
2
3
84
4
5
Contabilidad y Finanzas
Auditoria de Sistemas
5.
Mercadotecnia (Por ejemplo características de los clientes, principales mercados, mercados potenciales, futuros productos). ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ______
6.
Productos (Descríbase las principales líneas y/o clases de productos; su evolución, volumen y margen de utilidad; inventarios y almacenaje). ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________
7.
Ventas (Por ejemplo, capacidad de ventas, sistemas de distribución, políticas para las comisiones, técnicas de ventas).
85
Contabilidad y Finanzas
Auditoria de Sistemas
________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________
8.
Finanzas (Por ejemplo, relaciones bancarias, financieros, planes para financiamiento futuro).
estrategias
de
recursos
________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ __ TALLER 12 ACTIVIDAD APLICATIVA REQUERIMIENTOS. Objetivo Documentación a pedir a los clientes a través del conocimiento del cliente. Orientaciones En grupos llenar y elaborar los requerimientos necesarios para levantar información de los clientes. AUTOEVALUACIÓN 1. Elaborar y diseñar los requerimientos a levantar.. REFERENCIAS DOCUMENTALES
www.lawebdelprogrmador.com
86
Contabilidad y Finanzas
Auditoria de Sistemas
UNIDAD IV TRABAJO DE CAMPO. El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso de sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor – Contador, hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria. CONTENIDOS PROCEDIMENTALES: •
Desarrolla y elabora papeles de trabajo, Cartas de hallazgos, Observaciones.
•
Evalúa las áreas criticas y lo sistemas usados en las empresas.
•
Elabora las guías y programas de auditoria.
•
Analiza y evalúa el control interno, Informe largo y el seguimiento de las medidas correctivas. CONTENIDOS ACTITUDINALES:
•
Cuida los papeles de trabajo planteados.
•
Cuidado y esmero profesional en la elaboración de informes para discutir..
•
Valora los datos de los informes finales de auditoria de sistemas
Contenidos conceptuales:
CONTENIDOS CONCEPTUALES TEMA No. 13: PAPELES DETRABAJO. TEMA No. 14: INFORMES PARA DISCUSION. TEMA No. 15: INFORME FINAL..
87
Contabilidad y Finanzas
Auditoria de Sistemas
DIAGRAMA DE CONTENIDOS
TRABAJO DE CAMPO
PAPELES DE TRABAJO
INFORME PARA DISCUSION
INFORME FINAL
88
Contabilidad y Finanzas
Auditoria de Sistemas TEMA 13 PAPELES DE TRABAJO PARA AUDITORIA DE SISTEMAS CICLO DE INGRESOS I.
OBJETIVOS DE AUDITORIA A. Los ingresos representan transacciones válidas, están presentados razonablemente, aplicables al período, incluyendo todas las transacciones y están descritos y clasificados apropiadamente. Ref. P/T
Fecha
I. REVISIÓN DEL SISTEMA A.
Seguimiento - Seleccionar una transacción de cada tipo que origina ingresos y seguirla a través del sistema desde el momento que entra al sistema hasta que completa el ciclo. Del mismo modo, las transacciones que dan lugar a abonos a cuentas por cobrar tales como notas de crédito, deben ser seguidas a través del sistema. 1. Factura 2. Notas de crédito 3. Guías de remisión 4. Ingreso a caja
II. PRUEBA DEL SISTEMA A.
Selección de la muestra -Hacer una muestra al azar de facturas de venta y nota de crédito (ver la sección de muestreo estadístico del programa de auditoria). 1. Compilar la lista de los números de documentos y localizar: a. Factura b. Orden de compra c. Guías de remisión d. Notas de crédito 2. Examinar lo siguiente: a. Evidencias de remisión b. Precios correctos c. Suma y cálculos d. Registro en el diario de ventas e. Pases del mayor auxiliar de cuentas por cobrar. f. Registro en libro de ingresos a caja, papeletas de depósito y estado bancario. 3. Muestreo de notas de crédito para comprobar: 89
Contabilidad y Finanzas
Auditoria de Sistemas a. b. c. d.
Autorización apropiada Exactitud matemática Registro en el mayor auxiliar de cuentas por Evidencia de reintegro de existencias en caso de devoluciones.
B. Conclusiones 1. Aclarar todas las excepciones notadas en el muestreo. a. Discutir con personal apropiado, indicando nombre, cargo, fecha de discusión y solución de las excepciones. b. Sustentar las aclaraciones con otras comprobaciones adicionales o con explicaciones basadas en su conocimiento de las circunstancias inherentes. 2. Evaluar los resultados del muestreo. El trabajo debe sustentar las respuestas dadas en el cuestionario de control interno. 3. Escribir un memorándum que contenga las conclusiones sobre la prueba del sistema.
CICLO DE EGRESOS I.
OBJETIVOS DE LA AUDITORIA A.
Los costos y gastos representan transacciones válidas, están determinados adecuadamente, son aplicables al período, incluyen todas las transacciones que deben ser reconocidas y están descritas y clasificadas apropiadamente.Si los sistemas de control son los adecuados. Ref. Fecha P/T I. SEGUIMIENTO DEL SISTEMA A. Revisar y reexaminar las secciones apropiadas del cuestionario de control interno. B. Hacer seguimiento. Seleccionar una transacción de cada tipo que de un lugar a un egreso y seguirla a través del sistema desde un inicio hasta el final del ciclo. 1) Orden de Compra. 2) Factura proveedor
90
Contabilidad y Finanzas
Auditoria de Sistemas 3) Cheque II. PRUEBA DEL SISTEMA A. Seleccionar una muestra – Se debe establecer la revisión selectiva, luego de determinar el riesgo al ___%. 1. Recopilar una lista de los números de documentos seleccionados y localizar: a) Orden de Compra b) Guía de Remisión del proveedor. Si hubiera. c) Notas de entrada al almacén d) Facturas. e) Contrato de servicios. 2. Examinar lo siguiente: a) Razonabilidad de la distribución contable b) Aprobaciones para compras y pagos c) Evidencia de recepción de bienes o servicios. d) Evidencia de revisión de exactitud matemática e) Que los pagos a proveedores están de acuerdo con los términos de la orden de compra y/o del contrato de servicios (descuentos por pronto pago, fecha de pago, etc.) f) Pases al mayor auxiliar de cuentas por pagar (a base de muestreo) g) Que las facturas son canceladas para prevenir reutilización h) Registro en el libro de caja egreso. Ref. P/T
Fecha
B. Conclusiones 1. Aclarar todas las excepciones notadas en el muestreo antes referido. a. Discutir con el personal apropiado, indicando nombre, cargo, fecha de discusión y solución de la excepción. b. Sustentar con otras pruebas o con explicaciones basadas en el conocimiento del auditor de las circunstancias inherentes. 2. Evaluar los resultados del muestreo: su trabajo debe sustentar las respuestas dadas en el cuestionario de control interno.
91
Contabilidad y Finanzas
Auditoria de Sistemas
I.
COSTOS DE MANO DE OBRA Y SUELDOS OBJETIVOS DE AUDITORIA A.
Que los costos representen transacciones válidas, estén adecuadamente presentados y sean aplicables al período y los sistemas de control utilizados sean adecuados. Ref. Fecha P/T I. PRUEBA DEL SISTEMA A.
Selección de la muestra- Determinar una muestra al azar a partir de los códigos de personal o de las boletas de pago (ver la sección de muestreo estadístico del programa de auditoria). 1. Preparar una lista de la muestra seleccionada y ubicar a: a. Boleta de pago. b. La tarjeta de tiempo; la tarjeta de trabajo. c. El archivo personal (autorización de empleo). d. Pactos sindicales. 2. Realizar las siguientes pruebas: a. Cotejar el total de horas trabajadas según el registro de planillas, con el total según tarjetas de tiempo. b. Sumar las tarjetas de tiempo y examinar que estén debidamente autorizadas. c. Cotejar el sueldo (o salario) vigente con el control de remuneraciones vigentes según los registros de personal y los pactos sindicales. d. Recalcular la remuneración bruta, probar los cálculos de retenciones y cruzar contra la remuneración neta. e. Examinar las autorizaciones para las deducciones y retenciones. f. Verificar la autorización para el sueldo o jornal. g. Verificar la distribución contable. h. Examinar los archivos de personal, en cuanto a la evidencia de que el empleo está debidamente autorizado.
92
Contabilidad y Finanzas
Auditoria de Sistemas B.
Prueba del pago de planillas. 1. Examinar las boletas individuales, seleccionadas en la sección “A” de este programa en cuanto a: a. Firma del beneficiario. b. Firma de aprobación de la boleta. c. Cotejo de datos de la boleta individual con los de la planilla. 2. Seleccionar un período, sumar la planilla y conciliar con el monto neto desembolsado.
C.
Examinar, en cuanto a razonabilidad, las planillas registradas, con la información remitida a las autoridades laborales.
II. CONCLUSIONES A. Aclarar todas las excepciones halladas en el muestreo de remuneraciones. 1. Discutir las excepciones con personal apropiado, indicando nombre, cargo, fecha de la discusión y solución a la excepción. 2. Examinar las excepciones con otros procedimientos relacionados, o aclararlas a la luz del conocimiento que tenga el auditor de las circunstancias del caso que examina. B.
Evaluar los resultados de las pruebas, su trabajo debe sustentar las respuestas del cuestionario de control interno.
C.
Preparar un memorándum con conclusiones basadas en las anteriores pruebas del sistema. TALLER 13 ACTIVIDAD APLICATIVA TRABAJOS DE CAMPO.
Objetivo Elaborar Papeles de trabajo, informes para discusión e informe final.. Orientaciones Elaborar papeles de trabajo, cartas de hallazgo, decisiones de responsabilidades, administrativa, civil o penal..
93
Contabilidad y Finanzas
Auditoria de Sistemas AUTOEVALUACIÓN 1. Decidir sobre las cartas de hallazgo. 2. Decisiones de observación o deficiencia.(Laboratorio). 3. Decisiones de responsabilidades. TEMA 14 INFORMES A EMITIR EN DISCUSION
EL PROCESO DE TECNOLOGIA DE INFORMACION Planeacion del Entorno de IT. Objetivo: Asegurar que los planes de IT estén alineados apropiadamente con sus metas, objetivos y estrategias
Desarrollo y Aportación de soluciones de IT. Objetivo: Adquirir, desarrollar, aportar y mantener soluciones de negocio nuevas o mejoradas dentro de la arquitectura de IT, para permitir a la empresa satisfacer sus cambiantes requerimientos de negocios.
Operación del Entorno de IT Objetivo: Aportar y mantener la operación de un entorno de IT, asegurando la disponibilidad, confiabilidad e integridad de los sistemas de información, para satisfacer los requerimientos de la empresa.
ORGANIZACIÓN Y MONITOREO DE PROCESOS DE IT Objetivo: Administrar los tres procesos de IT
94
Contabilidad y Finanzas
Auditoria de Sistemas
STANDARES DE CONTROL
RENDIMIENTO
COMPARAR RENDIMIENTO / STANDARESl
VISTA PREVIA
TRABAJO DE CAMPO
Sistema de Control
INFORMAR DESVIACIONES
INFORME
CONTROL DE CORRECCIONES RE- EVALUAR STANDARES
RIESGO Y SEGURIDAD RIESGO: ¢¾ Proximidad o posibilidad de un daño, peligro, etc. ¢¾Cada uno de los imprevistos, hechos desafortunados, etc. Que puede cubrir un seguro. ¢¾ sinonimos: Amenaza, contingencia, emergencia, otros. SEGURIDAD: ¢¾ Cualidad o estado de seguro. ¢¾Garantías que se da a alguien de cumplimiento de algo. ¢¾ Medidas o dispositivos que contribuyen a hacer mas seguro el funcionamiento del sistema
95
Contabilidad y Finanzas
POST INFORME
Auditoria de Sistemas TALLER 14 ACTIVIDAD APLICATIVA INFORMES A EMITIR. Objetivo Elaborar, informes para discusión e informe final.. Orientaciones Cada alumno deberá elaborar un informe final de acuerdo con las cartas de hallazgo que tiene como evidencias. AUTOEVALUACIÓN 1. Conclusiones del informe. 2. Recomendaciones del informe.(Laboratorio).
TEMA 15 INFORMES FINAL
Lo Importante es Proteger la Información Otros Problemas Comunes
¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾
La Autentificación: Prevención de suplantación. Garantía de la firma: Niveles de Autorización Controles de Acceso. Password, llaves. Otros. Verificación de la propiedad de la Información. Detección de fraudes. Procedencia de la información. Disponibilidad de la Información. Personal de confianza. Protección contra terceros. No Ingresar, etc. Protección contra negligencias, descuidos, ignorancia, etc. Riesgos de perdida, Virus, Incendios, otros.
96
Contabilidad y Finanzas
Auditoria de Sistemas DELITO INFORMATICO Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad.
• En al actualidad los delitos cometidos vía informática son detectados en 60%. •Fraudes - Falsificaciones - Ventas de Información, etc. Caso de Montesinos – Prima de Del Castillo. Venta de Información confidencial CIA - KGB. Hacker que desvían fondos de los Bancos. Venta de formulas secretas de productos. Fraude Bancarios.
¾ Beneficio Personal. ¾ Odio a la organización. ¾ Problemas Financieros. ¾ Síndrome de Robin Hood.
¾ Fácil modo de desfalco. ¾ Por deudas. ¾ Vicios de juego. ¾ Equivocación de ego.
TALLER 15 ACTIVIDAD APLICATIVA INFORMES FINAL Objetivo Elaborar, informes para discusión e informe final.. Orientaciones Cada alumno deberá elaborar un informe final de acuerdo con las cartas de hallazgo que tiene como evidencias. AUTOEVALUACIÓN 1. Revisión de los informes finales.. 2. Clases de informes de auditoria (Laboratorio).
97
Contabilidad y Finanzas