Академический Документы
Профессиональный Документы
Культура Документы
AUDITORÍA 5
NOVENO SEMESTRE, ÁREA PROFESIONAL, ESCUELA DE
CONTADURÍA PÚBLICA Y AUDÍTORIA.
_________________________________________________________________________
PARTICIPACIÓN DEL AUDITOR EN EL DESARROLLO DE SISTEMAS
VENTAJAS DE UN DESARROLLO A LA MEDIDA
● Se desarrolla tomando en cuenta sus necesidades
● Lleva los módulos que usted requiera
● La interfaz de usuario se desarrolla como usted la desee
● Se desarrolla en las tecnologías que usted desee (si esto es relevante para usted)
● Se desarrollan los reportes que usted necesite
SU IMPORTANCIA
La participación del Auditor en el desarrollo de sistemas es muy importante y puede darse
identificando, sugiriendo, implementando y evaluando los controles que sean necesarios,
desde diferentes campos de actuación:
• Consultor en Sistemas
• Auditor Externo
• Auditor Interno
SU OPORTUNIDAD
La participación del auditor interno en el desarrollo de sistemas debe darse precisamente
en el desarrollo del mismo, a efecto de que los controles que se consideran necesarios,
sean incorporados en las diferentes fases o etapas del desarrollo, ya que una vez
funcionando el sistema, es más difícil y costoso efectuar las modificaciones.
Para que la auditoría interna esté en condiciones de hacer un trabajo efectivo, son
necesarios los aspectos mínimos siguientes:
1 Respaldo total de la administración
2 Comunicación fluida y permanente con el departamento de PED
3 Personal de auditoría interna con suficientes conocimientos (por lo menos teóricos al
principio) en materia de PED.
METODOLOGÍA PARA EL DESARROLLO DE SISTEMAS
La metodología utilizada para el desarrollo de sistemas consiste en dividir el esfuerzo en
fases o etapas, claramente definidas, pueden clasificarse así:
Planificación del sistema
1 Investigación preliminar
2 Estudio de factibilidad
3 Planificación inicial
4 Desarrollo de sistemas
1 Desarrollo de modelos solución
2 Diseño del modelo elegido
3 Programación y prueba
Implantación del sistema
1 Preparación de la implantación
2 Implantación operativa
3 Revisión post-implantación y seguimiento
PAPEL DEL AUDITOR INTERNO EN LAS DISTINTAS ETAPAS DEL DESARROLLO DE
SISTEMAS
● Solicitud del Usuario:
Conocer y verificar la necesidad y sus objetivos.
● Estudio de Factibilidad:
Conocer el dictamen que justifica el proyecto. Planear la participación de la auditoria.
● Análisis del Sistema:
Determinar los controles de que debe constar el nuevo sistema.
● Diseño del Sistema:
Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los
controles suficientes.
● Programación:
● Implantación:
Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para
garantizar la efectividad del sistema.
7 ASISGNAR RECURSOS
✓ Humanos, Materiales y Económicos
Surge como petición de alguien que pertenece a la empresa para poder llevar a cabo
una evaluación del área de sistemas; que generalmente se encomienda a un
auditor externo.
1. Objetivo General
✓ Fin Global que se pretende alcanzar.
2. Objetivos Particulares
✓ Fines individuales que se pretenden alcanzar.
3. Objetivos Individuales
✓ Es la determinación en forma detallada de los fines que se pretende alcanzar.
✓ La técnica de ponderación es un método especial que nos sirve para valorar cada
una de las partes importantes del área de sistemas.
✓ El propósito de esta herramienta es buscar un equilibrio entre las áreas que tienen
mayor peso y trascendencia, con aquellas que tienen poco peso e importancia en la
evaluación.
PRIMERA ETAPA
El día 1 de febrero de 2004, la Junta Directiva de la Empresa S-3 “101”, S. A., solicita a la
firma de Auditores Externos Robledo, Soto y Asociados para que realice una Auditoria en
Informática.
VISITA PRELIMINAR
El día 5 de febrero, el socio Juan Soto encargado de la auditoria, realiza una visita
preliminar a la empresa XY con el propósito de tener contacto con los funcionarios,
empleados y usuarios del área de sistemas.
OBJETIVO
PUNTOS A EVALUAR
PROGRAMA DE AUDITORÍA
Actividades a Realizar
● Evaluación de los lenguajes, programas y demás software utilizados en la empresa.
● Evaluar el control para evitar el robo de información.
● Evaluar los Manuales de operación y procedimientos del sistema.
● Evaluar el control de acceso al sistema así como la restricción del acceso a
personas no autorizadas al centro de cómputo.
● Evaluar el nivel de prevención de virus y protección de programas piratas.
● Evaluar la organización del departamento de sistemas.
● Evaluar la capacitación del personal de sistemas y de los usuarios.
● Determinar la actualización periódica respecto a cambios en tecnología informática.
● Evaluar la correcta operación de la información que se ingresa en los sistemas, así
como los resultados que se desean obtener.
● Revisión del inventario del software, licencias y componentes internos y externos.
● La auditoría será realizada por 1 encargado y dos auxiliares.
● El tiempo estimado para la realización del trabajo de campo son 3 semanas y 2 para
la emisión del informe.
● Los honorarios que se cobrarán ascenderán a Q.50, 000 más IVA.
● Cuestionarios
● Entrevistas
● Observación
● Conteo físico (Inventario)
● Inspección
● Confirmación
● Comparación
SEGUNDA ETAPA
Ejecución de la auditoria
● El trabajo de campo fue realizado del 8 al 28 de febrero.
● El dictamen preliminar fue realizado del 2 al 5 de marzo y presentado para su
discusión el 8 de ese mismo mes.
TERCER ETAPA
Control Interno
Proceso efectuado por la Dirección, la alta Gerencia y el resto del personal.
PARA QUÉ?
Proporcionar un grado de seguridad razonable en cuanto a la consecución de los
Objetivos
¿EN QUÉ NIVEL?
Eficacia y eficiencia de las operaciones
ASPECTOS A CONSIDERAR
• Es un proceso:
✓ No es un hecho aislado, es un conjunto de actividades realizadas de forma
continua
✓ Resulta efectivo cuando está integrado en la estructura y cultura de la entidad
• Aplicado al definir la estrategia:
COMO PROCESO
* Lo llevan a cabo las personas que actúan en todos los niveles, no se trata solamente de
manuales de organización y procedimientos. Cada individuo dentro de la Organización
tiene algún rol respecto al control interno.
* Es ejecutado por la gente de una Organización a través de lo que ellos hacen y dicen. La
gente diseña los objetivos de la entidad y establece los mecanismos de control.
* La Dirección es responsable de la existencia de un eficaz y eficiente sistema de control.
Aunque los directores tienen como obligación primaria la vigilancia del control, también
proporcionan directrices y aprueban ciertas transacciones y políticas.
● Descripciones narrativas
● Cuestionarios especiales
● Diagramas de flujo
LA ADMINISTRACIÓN DE RIESGOS
QUÉ ES RIESGO?
- Probabilidad de ocurrencia.
- Impacto de las consecuencias potenciales.
IMPACTO:
Consecuencia (s) de un evento, expresado ya sea en términos cualitativos o cuantitativos.
También es llamado Severidad.
PROBABILIDAD:
La posibilidad de la ocurrencia de un evento que usualmente es aproximada mediante una
distribución estadística. En ausencia de información suficiente, se puede aproximar
mediante métodos cualitativos.
• KING Sudáfrica
• Cadbury Gran Bretaña
• Co. Co. Canadá
• COSO USA**
• Vienot Francia
• Peters Holanda
ASPECTOS A CUBRIR
1.1 Diagrama de organización
1.2 Presupuesto de personal
1.3 Diagrama de configuración del sistema
1.4 Control sobre paquetes de software
1.5 Existencia de:
- Contratos con los proveedores
- Definición de características técnicas
1.6 Existencia de reporte de todos los programas y aplicaciones en uso.
ASPECTOS A CUBRIR
2. 1 Pólizas de seguros
Equipos
Programas
Medios de almacenamiento
2.2 Riesgos cubiertos
2.3 Vigencia de seguros
2.4 Contratos de proveedores
Condiciones de uso del equipo
Uso de tiempo CPU
Uso de paquetes
Respaldo y garantía ofrecida
Soporte técnico
2.5 Servicios de mantenimiento
2.6 Fianzas de fidelidad
3. MANUALES DE ORGANIZACIÓN
ASPECTOS A CUBRIR
3.1 Existencia de manuales de normas y procedimientos
- Para cada puesto del centro de procesamiento.
3.2 Separación de funciones entre:
Operación del computador.
Análisis
Programación
3.3 Accesos restringidos a los programadores para operar el sistema.
3.4 Acceso restringido a operadores del computador a:
Datos
Diseño de archivos
Diseño de registros
4. POLITICAS DE SEGURIDAD
ASPECTOS A CUBRIR
4.1 Existencia de planes de contingencia.
4.2 Convenios de respaldo de equipos.
4.3 Instrucciones para usos de locales alternos
4.4 Conocimiento con indicación de archivos críticos.
4.5 Prioridades para recuperación de registros.
4.6 Existencia fuera del centro de:
Programas fuentes
Copias actualizadas de los principales archivos
Copias del sistema operativo
Procedimientos de programas operativos
Planes de contingencia
Documentación de programas.
4.7 Políticas de respaldo
4.8 Contraseña para operar el sistema
4.9 Existencia documentada de investigación de procesos.
5. SISTEMAS Y MEDIDAS DE SEGURIDAD
ASPECTOS A CUBRIR
5.1 Procedimientos escritos del sistema de seguridad.
5.2 Localización del centro
5.3 Acceso al centro
5.4 Construcción del edificio
5.5 Registro para el ingreso de personas
5.6 Uso de gafetes de identificación
5.7 Vigilancias y alarmas
5.8 Dispositivos para detectar:
Calor, fuego, y humo, imanes
5.9 Existencia de extinguidores
5.10 Estado de equipo de aire acondicionado
5.11 Localización de cables de electricidad e interruptores
5.12 Entrenamiento de personal para atender emergencias
5.13 Otros.
6. PROGRAMAS DE CAPACITACIÓN
ASPECTOS A CUBRIR
6.1 Plan de capacitación constante para el personal
6.2 Registro de adiestramiento que se ha dado a cada persona.
6.3 Programas de rotación de funciones
6.4 Control sobre trabajo y desempeño del personal.
7. RECEPCIÓN DE TRABAJOS
ASPECTOS A CUBRIR
7.1 Que la recepción de trabajo se efectúe en base a:
Ordenes de trabajo
Registros adecuados
Volantes.
7.2 Comprobar que los registros de recepción contengan:
Hora de recepción.
Número correlativo de orden de trabajo
Descripción del trabajo
Copias en que solicita el reporte.
7.3 Existencia de cifras de control
7.4 Persona autorizada para entregar trabajos
8. CONTROL DE CALIDAD
ASPECTOS A CUBRIR
8.1 Cotejo de totales entrada/salida
8.2 Verificación de listados de errores o inconsistencias
8.3 Estadísticas por aplicación de errores detectados
8.4 Norma sobre la calidad de impresión exactitud de los datos
8.5 Número de copias de los reportes (autorizadas)
9. DESPACHO DE TRABAJOS
ASPECTOS A CUBRIR
9.1 Directorio de usuarios
9.2 Lista de usuarios autorizados para retirar información
9.3 Controles sobre el envío de reportes
9.4 Chequeos para asegurar que el reporte producido corresponda con el solicitado
9.5 Control sobre las órdenes de trabajo no retiradas
9.6 Protección de la información previa entrega al usuario
ASPECTOS A CUBRIR
10.1 Forma de recepción de los trabajos
10.2 Criterios para asignar tareas
Experiencia del personal en determinados trabajos
Cargas de trabajo
Grado de dificultad de trabajo
10.3 Formas de reportar los errores detectados en la captura
10.4 Protección de documentos fuente
10.5 Supervisión del personal
ASPECTOS A CUBRIR
11.1 Formas de controlar las órdenes de trabajo
11.2 Existencias de los manuales de operación de cada aplicación
11.3 Reportes de tiempos utilizados
11.4 Registros del mantenimiento de equipos
12. CINTOTECA
ASPECTOS A CUBRIR
12.1 Accesos a la cintoteca
– Control sobre el contenido de cada archivo
– Uso de etiquetas internas
– Existencia de un registro de todos los dispositivos de almacenamiento
– Directorios del contenido de archivos
– Procedimientos de control sobre:
Cintas
Discos
Otros
Control sobre:
– Antigüedad, condiciones de uso y estado de los dispositivos de
almacenamiento.
– Control sobre el préstamo de dispositivos de almacenamiento.
PLANIFICACIÓN
A – ACTIVIDADES PREVIAS
A – ACTIVIDADES DEL SERVICIO
T – MATRIZ DE RIESGOS
A – OBJETIVOS
A – ALCANCE
A – PRESUPUESTOS (COSTO)
T – PROGRAMAS DE AUDITORIA
T – CONOCIMEIENTO DE TI
A – DEPARTAMENTOS DE ENTREGA DE INFORME (FECHA, DIRIGIDO)
T – CUESTIONARIOS A UTILIZAR