Академический Документы
Профессиональный Документы
Культура Документы
2. Clasificacin de la auditora.
Tradicionalmente se consideran dos tipos de auditora: las internas y las
externas
La auditora interna la desarrollan personan que pueden o no depender de
la entidad y actan revisando, las ms de las veces, aspectos que interesan
particularmente a la administracin, aunque pueden efectuar revisiones
programadas sobre todos los aspectos operativos y de registro de la
empresa, con el fin de emitir un informe sobre su revisin.
La auditora externa, conocida tambin como auditora independiente, la
efectan profesionistas que no dependen de la empresa, ni
econmicamente ni bajo cualquier otro concepto, y a los que se conoce un
juicio imparcial merecedor de la confianza de terceros. El objeto de su
trabajo es la emisin de un dictamen. Esta clase de auditora es la actividad
ms caracterstica del Contador Pblico o del Licenciado en Informtica.
Tambin existen otros tipos de auditora como son:
Auditora operacional, se refiere a la revisin de la operacin de una
empresa y se juzga la eficiencia de la operacin misma.
Auditora administrativa, se refiere a la organizacin
y eficiencia de la
AUDITORA
ADMINISTRATIVA
NATURALEZA
PROPSITO/
OBJETIVO
ALCANCE
FUNDAMENTO
Tcnica
AUDITORA
OPERACIONAL
de Tcnica
Control
Administrativo
de Tcnica
Control
Administrativo
Evaluar
mejorar
AUDITORA
CONTABLE
de Tcnica
Control
Administrativo
operaciones
Financieros
La eficiencia y
productividad de La eficiencia de El
el
proceso las operaciones
productivo
contable
METODOLOGA Mtodos
Cientficos
en Tcnicas
los
informticos
sistema
La
ciencia La
ciencia Principios
Administrativa y Administrativa y contabilidad
de
Control
Administrativo
y Promover
la Dictamen a los Evaluar
la eficiencia en las Estados
recursos
administracin
Apoyado
AUDITORA
INFORMTICA
Todas
actividades
las
informticas
de
Normatividad
y
institucional
de
legal
y Tcnicas
y Tcnicas
y
y
procedimientos
procedimientos
procedimientos
predeterminadas predeterminadas predeterminados
APLICACIN
A la empresa y
A las funciones A los estados A todas las reas
sus
funciones
de la empresa
financieros
de la empresa
bsicas
PROYECCIN
Hacia el futuro
Hacia el futuro
Hacia el pasado
Hacia el futuro
Amplio
Amplio
Preciso
Amplio y Preciso
INFORME
2.1
Muestreo Estratificado.
10
11
El Universo
Se llama as al cuerpo de datos en donde el auditor desea extraer muestras
para llegar a una conclusin, e auditor deber determinar que el universo
en donde extrae la muestra es apropiado para el objetivo especfico de la
auditora.
Las partidas individuales que componen el universo se conocen como
unidades de muestreo para obtener una muestra efectiva y eficiente que le
permita alcanzar el objetivo particular de auditora.
Riesgo y certidumbre
Al programar la auditora, el auditor utiliza su criterio profesional para
determinar el nivel de riesgo de auditora apropiado.
Los riesgos de auditora incluyen:
El riesgo de que ocurrirn errores importantes tambin conocidos
como riesgo inherente.
El riesgo de que el sistema de control interno contable del cliente no
prevenga ni corrija tales errores tambin conocido como riesgo de
control.
El riesgo de cualquier otro error importante no sea detectado por el
auditor tambin, conocido como riesgo de deteccin.
El objetivo del auditor debera ser el reducir el riesgo fuera del muestreo a
un nivel mnimo por medio de un planeacin, direccin, supervisin y
revisin adecuada.
12
Error Tolerable
Es el error mximo en el universo que el auditor estara dispuesto a aceptar
y a pesar de eso concluir que el resultado del muestreo ha alcanzado su
objetivo de auditora. El error tolerable es considerado durante la etapa de
planeacin y se relaciona con el juicio preliminar del auditor respecto a la
importancia. A menos grado de error tolerable, ser mayor el tamao e la
muestra que requerir el auditor.
En los procedimientos de cumplimiento el error tolerable es el porcentaje
mximo de desviacin de un procedimiento de control prescrito que el
auditor estara dispuesto a aceptar sin alterar el grado de confianza que
tena planeado depositar en el control que esta probando. En el caso de
procedimientos sustantivos, el error tolerable es el error monetario
mximo en el saldo de una cuenta o transaccin que el auditor estara
dispuesto aceptar de manera que al considerar los resultados de todos los
procedimientos de auditora, este en posicin de concluir con razonable
seguridad, que la informacin financiera no contiene errores importantes.
13
Esta
consiste
en
la
elaboracin
de
los
15
Etapas de la Metodologa
l mtodo de trabajo del auditor pasa por las siguientes etapas:
Alcance y Objetivos de la Auditora Informtica
Estudio inicial del entorno auditable
Determinacin de los recursos necesarios para realizar la auditora
Elaboracin del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditora
16
17
18
19
OBJETIVOS DE AUDITORA
La meta es verificar que se desarrollen sistemas tiles, seguros, auditables,
mantenibles y controlables, lo cual produzca resultados consistentes para
satisfacer los requerimientos del usuario.
FASES DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS
PLANEACIN
1. Requisicin de servicios
2. Estudio de factibilidad
DISEO
3. Diseo general del sistema
4. Diseo detallado del sistema
DESARROLLO
5. Programacin
6. Prueba modular y prueba del sistema integral
7. Desarrollo de manuales
8. Entrenamiento
IMPLANTACIN
9. Conversin
10.
Revisin de la post-implantacin
20
PLANEACIN
1. REQUISICIN DE SERVICIOS
Justificacin.
Ambiente.
Alcance.
Restricciones.
Beneficios.
Integracin del equipo de trabajo y sus responsabilidades.
Definicin de requisitos de informacin, nuevos y existentes.
Aprobacin del proyecto.
2. ESTUDIO DE FACTIBILIDAD
Estudio de los procedimientos existentes.
Formulacin de cursos alternativos de accin.
Factibilidad
tecnolgica
(mtodos
aplicables
de
P.E.D.),
disponibilidad de la tecnologa que satisfaga las necesidades del
usuario, actualizacin o complemento a los recursos actuales.
Factibilidad econmica
Costos actuales contra costos de cada alternativa (personal de
desarrollo, equipo software, entrenamiento, preparacin de la
entrada, conversin de archivos de prueba, operacin, costo del
software, etc.).
Identificacin y cuantificacin de beneficios.
Factibilidad operativa. Determinar qu se operar, utilizar; tomando
en cuenta factores como la resistencia al cambio, caractersticas del
personal, ubicacin de las instalaciones, etc.
Plan maestro del proyecto (puntos de control y calendarizacin de
actividades).
Estado general de la funcin de desarrollo.
Aprobacin del proyecto.
21
programados
de
clculo,
clasificacin, etc.
Estimacin de tiempos de respuesta.
Normatividad.
Interfases.
Niveles de seguridad.
Diseo de documentos fuente.
En esta parte se determinan las especificaciones del usuario, es decir todo
aqul que dentro del contexto de la organizacin se relaciona con el
sistema. Existen usuarios primarios y usuarios secundarios.
22
23
NIVEL
DIRECCION
DE
NIVEL
DE
OPERATIVO
CARACTERSTICAS
CONTROL
ESTRATGICA
AMPLIA
VISION
DE
LA ESTRECHA
INFORMACIN
GENERAL
NIVEL DE DETALLE
MUY DETALLADA
RESUMIDO
NIVEL DE RESUMEN
DATOS PRIMARIOS
ANTIGUA
ANTIGEDAD
MUY ANTIGUA
DE LA INFORMACIN
ESTIMACIONES
PRECISIN
DE LA INFORMACIN
CUALITATIVA
TIPO
INFORMACIN
PRECISIN
DE CUANTITATIVA
PRINCIPALMENTE
PRINCIPALMETE
EXTERNA
FUENTE INTERNA
Otro factor importante a considerar son las relaciones humanas, ya que los
sistemas de informacin pueden cambiar las relaciones interpersonales y
las interacciones.
Se debe comprender el estilo organizacional, tomar la organizacin como
un todo, identificar el grado de apertura / restriccin:
Permeabilidad. Es necesario identificar si el estilo de liderazgo es autcrata
o demcrata.
24
25
26
DESARROLLO
5. PROGRAMACIN
-
27
y se muestre en ellas la
28
7. DESARROLLO DE MANUALES
De Operacin:
Representacin grfica de la estructura del sistema.
Funcin de cada programa.
Requerimientos de equipo.
Tamao estimado de archivos (normal y mximo).
Explicacin de los mensajes de la consola, junto con la respuesta
adecuada del operador.
Instrucciones de corrida y listado de procedimientos de ejecucin.
Calendarizacin de procesos.
Parmetros a alimentar.
Creacin de salida y su distribucin.
Identificacin adecuada de las etiquetas de los archivos de salida.
Puntos de reinicio y recuperacin.
Procedimientos para notificar errores o condiciones defectuosas.
Procedimientos para casos de emergencia.
De Usuario:
Representacin grfica de la estructura del sistema.
Procedimientos de preparacin de datos.
Asignacin de prioridades.
Tiempo probable de respuesta y recepcin de productos finales.
Especificaciones de diseo de entrada de datos (formatos y pantallas
de captura).
Especificaciones de diseo de salida de datos (reportes / pantallas de
consulta).
Controles de usuario.
Procedimientos para resolver errores e incongruencias.
Controles sobre la entrada y salida.
29
Del Sistema:
Representacin grfica de la estructura del sistema.
Documentacin de cada programa de cmputo.
La revisin de la documentacin de una aplicacin involucra identificar su
existencia, analizar su contenido y juzgar su oportunidad y disponibilidad.
La calidad del mantenimiento de sistemas depende en gran medida de la
calidad de la documentacin. Adems de la claridad y organizacin de la
documentacin, debe dedicarse especial atencin al tipo al tipo de
personas a quien va dirigido.
8. ENTRENAMIENTO
Mtodos de la enseanza.
Mecanismos para evaluacin del aprendizaje.
IMPLANTACIN
9. CONVERSIN
Identificacin de fuentes de informacin.
Recopilacin de informacin.
Revisin de la exactitud de los documentos previos a la conversin.
Evaluacin de los resultados de la conversin.
La etapa de conversin significa abandonar el sistema actual, manual o
computarizado, para emigrar a uno nuevo y, conciliar los resultados.
Los controles en la etapa de conversin persiguen el asegurar que los
archivos iniciales proporcionan un punto de arranque adecuado, marcando:
itinerarios, compromisos, condiciones de xito.
30
REVISIN DE LA POST-IMPLANTACIN
ventajas
31
tecnolgicas)
se
atienden
ms
32
33
la
informacin
34
con
posibilidades
de
modificados
se han catalogado, un
38
configuracin
del
sistema
operativo,
guas,
procedimientos, etc.
Procedimientos
o Carga inicial del sistema
o Aplicacin de actualizaciones o modificaciones.
o Retencin del registro de la actividad en consola y contabilidad
del trabajo (job accounting)
o Restricciones para el uso de comandos crticos
Ejecucin del sistema (software para monitoreo)
o Tiempo de respuesta en lnea
o Costos/gastos excesivos.
o Sistema operativo.
Tema 3
39
de
41
Control de acceso
Control de puertas. El acceso solo debe permitirse a aquellas
personas que opriman la secuencia correcta de botones, sistema
de tarjetas, sistemas de gafetes, etc. Tratndose de sistemas
digitales generalmente la secuencia es de 6 dgitos. Lo cual
proporciona un milln de combinaciones diferentes.
Guardias de seguridad.
Cerraduras de combinacin, electrnicas o biomtricas.
Cerraduras para terminales
Circuito cerrado de televisin
Alarmas
Puertas blindadas bajo sistemas de doble puerta
Registro de visitante y gafetes de identificacin
Uso de credenciales-gafetes con fotografas
Algunas consideraciones en la seleccin del sistema de control de acceso
son:
Margen de error. Determinar el porcentaje tolerable de error del
sistema a seleccionar; es decir, hasta cuantas veces se aceptara
que el sistema niegue el acceso a una persona autorizada o lo
permita a una que no lo esta.
Proteccin en caso de fallas en el suministro de energa elctrica.
Resistencia a la manipulacin o sabotaje
Mantenimiento del sistema en buen estado
Flexibilidad para crecer en relacin al crecimiento institucional.
Sencillez en su operacin desde su instalacin hasta su puesta en
marcha
Cantidad y frecuencia de acceso de acuerdo al trafico de entradas
y salidas
42
aire
acondicionado.
Fundas para los equipos
Extras
Salidas de emergencias
Planta de energa, reguladores de voltaje y sistema no-break
Respaldos
Contratos de mantenimiento preventivo y correctivo a todos los
equipos e instalaciones del rea de informtica.
Tema 4
43
44
conoce el usuario?
Objetos, tarjetas plsticas con bandas magnticas, llaves, etc.
que posee el usuario?
Caractersticas personales: voz, huella digital, retina del ojo, etc.
El medio mas comn para el control de accesos es la informacin
memorizada o palabras calves; passwords y debe reunir las siguientes
caractersticas:
No menores de cuatro caracteres
Alfanumricos para incrementar el numero de combinaciones
No debe tener el nombre del usuario o cualquier dato personal
asignados por el propio usuario
Debe ser intransferible. Cada usuario es responsable del buen o
mal uso.
No debe permitirse usar palabras anteriormente utilizadas
Fciles de recordar, difciles de recordar
Numero limitado de intentos
Internamente transformados en un cdigo secreto encriptados
No desplegables en pantalla
Cambiados peridicamente y de manera automtica por el
sistema
45
46
Los datos que pueden ser tiles como pistas de auditoria son:
Identificacin del usuario
Informacin dada para autentificacin
Recursos requeridos
Acciones privilegiadas (derechos) requeridas
Identificacin del dispositivo (Terminal)
hora de inicio y terminacin del acceso
numero de intentos de acceso
recursos proporcionados o negados
acciones privilegiadas (derechos) otorgadas o negadas
Controles mediante criptografa
La criptografa derivada de dos palabras griegas: kriptos (oculto o
secreto) y grafos (escritura). Es un mtodo de proteccin de informacin
mediante un proceso en el cual datos entendibles o legibles son
transformados en cdigos secretos (criptogramas) para prevenir accesos
no autorizados y mantener la privacidad de la informacin por o tanto la
criptografa convierte los datos originales en mensajes que no tienen
significados para los que no conocen el sistema para recobrar los datos
iniciales.
El anlisis criptogrfico se refiere a las tcnicas para recobrar legalmente
datos crpticos incorporados en criptogramas. Los trminos de encripcion y
decripcion son sinnimos descifrados.
Existen bsicamente tres mtodos para transformacin de informaron:
Sustitucin: mediante este mtodo se conserva la posicin original de los
caracteres del mensaje y esconde su identidad pues los remplaza por otros
caracteres de acuerdo a una tabla de cdigos equivalentes ya sean
numricos o alfabticos.
47
48
directorios
en
disco
(para
de
autorizaciones,
Supervisin.
49
Se entiende como:
Desastre: accidente, tragedia, emergencia.
Recuperacin: sanar, reponer, ganar de nuevo.
Se puede definir un plan de recuperacin como la habilidad de una
organizacin para continuar sus operaciones diarias, a pesar de que ocurra
un desastre, por medio de una serie de acciones coordinadas y planeadas
con el conocimiento y el apoyo gerencial. El gerente de informtica debe
ser el lder del plan. Pero debe involucrarse seriamente el director de
finanzas.
Para que u plan de recuperacin ante contingencias funcione deben ser del
conocimiento y reconocimiento de todos los involucrados. Para obtener un
mayor convencimiento se puede recurrir a fuentes externas. Es una pliza
de seguro diferente.
En general los planes de contingencia pueden definirse como un elemento
de control interno que es establecido para asegurar la disponibilidad de
datos valiosos y los recursos del computador en el caso de un evento que
ocasione la interrupcin de operaciones.
Un buen plan de contingencia y recuperacin detallada los procedimientos
para emigrar a una situacin de emergencia en el menor tiempo posible y
con el menor grado de riesgo as como regresar a la operacin normal de
la misma forma.
50
51
52
Procedimientos
53
en el lugar en que se
54
55
ORGANIZACIN
En esta etapa se deber considerar el establecimiento de la estructura
necesaria, para la optimizacin de los recursos a travs de la
determinacin de jerarquas y agrupacin de actividades con el fin de
realizar y simplificar las funciones del rea.
SOLICITAR
Organigrama general y particular del rea de cmputo.
INTEGRACIN
Dentro de esta etapa se verifica la funcin a travs de la cual el encargado
de la administracin de la funcin informtica elige y se allega de los
recursos humanos necesarios para cumplir con los objetivos previamente
establecidos.
SOLICITAR
Planes y programas de trabajo respecto a:
Reclutamiento.
Seleccin.
Induccin.
Capacitacin.
Desarrollo.
56
DIRECCIN
En esta etapa se consider si existe supervisin y coordinacin de las
actividades desarrolladas por el personal del rea de cmputo.
SOLICITAR
Documentos que establezcan:
o Frecuencia con que se realiza.
o Quin es el responsable de realizarla.
o Formas en que se realiza.
CONTROL
En esta etapa se verifica si se cumpli con los objetivos planeados,
analizando los resultados obtenidos.
SOLICITAR
Informe anual de actividades del jefe de la Divisin de Informtica.
Ultimo informe de cada departamento con la finalidad de verificar su
existencia y periodicidad de realizacin.
Registros y bitcoras de actividades desarrolladas por todas y cada
una de las personas del rea.
Aplicacin de los cuestionarios desarrollados en el proceso administrativo,
auxiliados de las metodologas, ya se sea de William P. Leonard, O del
anlisis Factorial del Banco de Mxico, o por desarrollado por Jos de Jess
Aguirre, que se explicarn en clase. Y que son aplicables a la estructura
orgnica de la empresa, al personal, a costos, presupuestos y controles de
asignacin de trabajo.
57
58
Anlisis
Es el estudio de los componentes de un todo para concluir con base en
aquellos respecto de este. Esta tcnica se aplica concretamente al estudio
de las cuentas o rubros genricos de los estados financieros.
Inspeccin
Es la verificacin fsica de las cosas materiales en las que se tradujeron las
operaciones, se aplica a las cuentas cuyos saldos tienen una representacin
material, (efectivos, mercancas, bienes, etc.).
Confirmacin
Es la ratificacin por parte de una persona ajena a la empresa, de la
autenticidad de un saldo, hecho u operacin, en la que participo y por la
cual esta en condiciones de informar validamente sobre ella.
Investigacin
Es la recopilacin de informacin mediante platicas con los funcionarios y
empleados de la empresa.
Declaraciones y Certificaciones
Es la formalizacin de la tcnica anterior, cuando, por su importancia,
resulta conveniente que las afirmaciones recibidas deban quedar escritas
(declaraciones) y en algunas ocasiones certificadas por alguna autoridad
(certificaciones).
59
Observacin
Es una manera de inspeccin, menos formal, y se aplica generalmente a
operaciones para verificar como se realiza en la practica.
Clculo
Es la verificacin de las correcciones aritmticas de aquellas cuentas u
operaciones que se determinan fundamentalmente por clculos sobre
bases precisas.
60
61
62
Tipos de opinin
Existen cuatro tipos de opinin en auditora:
Opinin Favorable.
Opinin con Salvedades.
Opinin Desfavorable.
Opinin Denegada.
La opinin favorable, limpia o sin salvedades significa que el auditor est
de acuerdo, sin reservas, sobre la presentacin y contenido de los
procedimientos que se llevan a cabo par verificar la utilizacin adecuada en
los recursos Informticos.
La opinin con salvedades (llamada tambin en la jerga de la auditora
como opinin calificada o cualificada), significa que el auditor est de
acuerdo con los procedimientos y utilizacin de los recursos informticos,
pero con ciertas reservas.
La opinin desfavorable u opinin adversa o negativa significa que el
auditor est en desacuerdo con los procedimientos utilizados para el
manejo de los recursos informticos y afirma que stos no se realizan
conforme a estndares nacionales o determinados por la empresa.
Por ltimo, la opinin denegada, o abstencin de opinin significa que el
auditor no expresa ningn dictamen sobre el manejo de los recursos
informticos. Esto no significa que est en desacuerdo con ellos, significa
simplemente que no tiene suficientes elementos de juicio para formarse
ninguno de las tres anteriores tipos de opinin.
63
Observaciones
El auditor debe realizar procedimientos diseados a obtener suficiente y
apropiada evidencia de auditoria, en que puedan todos los elementos hasta
la fecha del informe del auditor que puedan requerir de ajustes o
exposiciones en las metodologas que, hayan sido identificados. Ciertos
eventos y transacciones que ocurren despus de cada fin de ao, deben ser
examinados como parte del trabajo normal de verificacin de auditoria.
Adems debe de llevar acabo una revisin completamente documentada,
de eventos subsecuentes la cual tiene como objetivo de obtener una
seguridad razonable, de que todos los eventos importantes han sido
identificados y expuestos o registrados en las bitcoras de auditora.
La revisin debe ser actualizada a una fecha lo ms cercanamente posible a
la fecha del informe de auditoria, hablando con la gerencia y realizando
pruebas futuras de ser necesario.
Todos los procedimientos de auditoria emprendidos y las conclusiones
alcanzadas deben estar completamente documentadas las hojas de trabajo
deben incluir notas, detalladas de reuniones, incluyendo quien estaba
presente, los asuntos discutidos y el resto de las discusiones.
El auditor no tiene ninguna obligacin de hacer ninguna investigacin
relacionada con la informacin de los recursos informtcos, que estos
hayan sido omitidos, pero antes de que la reunin general anual, el entera
de informacin que pudo haber afectado el informe de auditoria si hubiera
tenido conocimiento de ella en ese momento, nuevamente el debe discutir
el asunto con los directores.
64
65
Correctivas
Conclusiones del rea de Auditoria:
Se debe obtener una conclusin para cada rea de auditoria.
Antes de obtener una conclusin, debe asegurarse que el programa
de auditoria fue llevado a cabo como se planteo, o que los cambios
acerca de las decisiones hechos en la etapa de la planificacin estn
documentados.
Las hojas de trabajo tambin se deben escudriar para asegurar que
todas las preguntas que surjan hayan sido claras y que todos los
procedimientos y programas de auditoria planificados hayan sido
completados. Se debe hacer un informe completo de todos los
problemas no resueltos.
Cualquier problema importante u otros asuntos no aclarados deben
ser anotados por la gerencia o incluidos en el informe al socio.
Cualquier asunto inusual, aun cuando estn aclarados, deben ser
incluidos en el informe al socio en manera de informacin
Cualquier debilidad u otros asuntos relacionados con el rea de
auditoria, que resulten apropiados reportar al cliente, deben ser
resumidos e incluidos en la carta de gerencia.
Cualquier rea donde el auditor haya tenido que depender de
representaciones, deben ser incluidas en la carta de representacin.
Informe al socio
El informe al socio agrupan en un solo lugar, todos los asuntos que tiene
un efecto en la opinin de auditoria, o que necesitan ser discutidos con al
cliente.
Dependiendo de la estructura del equipo de auditoria debe ser hecho en
borrador por el seor mientras la auditoria progresa y completado por el
cliente.
El gerente debe evidenciar la terminacin del informe al socio firmado la
primera pgina y el socio debe refrendarlo. El gerente debe firmar una
segunda vez cuando todos los puntos que surjan de la revisin del informe
al socio deben entonces refrendarlo para evidenciar su satisfaccin.
66
67