FACULTAD DE CIENCIAS CONTABLES, ECONOMICAS Y FINANCIERAS
DEPARTAMENTO ACADÉMICO DE CONTABILIDAD Y FINANZAS
MANUAL:
AUDITOR...
2
UNIVERSIDAD DE SAN MARTIN DE PORRES
Rector(e)
Ing. Raúl E Bao García
Vicerrector
Ing. Raúl E Bao García
FACULTAD DE CIEN...
3
ÍNDICE
PORTADA
INTRODUCCIÓN
ÍNDICE DE CONTENIDO
OBJETIVOS
PAUTAS PARA EL ESTUDIO Y LOS TRABAJOS DE APLICACIÓN
UNIDAD I: ...
4
TEMA N° 6: ASPECTOS AREVISAR 36-40
1. Guías y Planes.
2. Aspectos a revisar.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFE...
5
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES
TEMA N° 12: MODELOS DE INFORME LARGO.
78-82
1. Gestión d...
6
OBJETIVOS
OBJETIVO GENERAL.
Comprende los conceptos fundamentales de la auditoria de sistemas, los
procedimientos técnic...
7
DIAGRAMA DE CONTENIDOSAUDITORIADESISTEMAS
CONCEPTOS,
DEFINICIONES Y EL
SISTEMA INFORMATICO
PLANEAICON DE LA
AUDITORIA DE...
8
UNIDAD I
CONCEPTOS, DEFINICIONES Y EL SISTEMA INFORMATICO
El avance tecnológico y la necesidad de las empresas de tener ...
9
DIAGRAMA DE CONTENIDOS
CONCEPTOS,DEFINICIONESYELSISTEMA
INFORMATICO
CARACTERISTICAS DE LA
AUDITORIA DE SISTEMAS
EL SISTE...
10
TEMA N° 01
CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS.
EL PROCESO DE LA AUDITORIA DE SISTEMAS
1. DEFINICION
• Es un ex...
11
ANALISIS DE COSTO BENEFICIO
Conocimiento Inicial de las Actividades y Operaciones de la Entidad o
Programa a Examinar
A...
12
ANALISIS DE SISTEMAS
CONFIABILIDAD DEL SISTEMA
DISEÑO ESTRUCTURADO
DIAGRAMA DE ESTRUCTURA DE CUADROS
DIAGRAMA DE ESTRUC...
13
DISEÑO DE SISTEMAS
ENTREVISTAS
HISTORIA DE VIDA DE LA ENTIDAD
IMPLANTACION DE SISTEMAS
INTEGRACION DE SISTEMAS
.
INTEGR...
14
OPTIMIZACION DEL DISEÑO FISICO
PERT-CPM
PLATAFORMA DE HARDWARE
PLATAFORMA DE SOFTWARE
PROCESO EN PARALELO
PROGRAMACION ...
15
PRUEBAS DEL SISTEMA
PRUEBAS UNITARIAS
RESPALDO DE LA INFORMACION
NORMAS DE AUDITORIA
Son las que deben realizarse para ...
16
NAGU 1.50 PARTICIPACION DE PROFESIONALES Y/O ESPECIALISTAS
Integran el equipo de auditoria, en calidad de apoyo, los pr...
17
NAGU 2.40 ARCHIVO PERMANENTE
Es la información básica de la entidad o área a auditar Para cada entidad sujeta a control...
18
NAGU 3.10 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO
Se debe efectuar un estudio apropiado y evaluación del control inter...
19
NAGU 3.60 COMUNICACIÓN DE HALLAZGOS
Durante el proceso de la auditoria, el auditor encargado debe comunicar oportunamen...
20
NAGU 4.50 INFORME ESPECIAL
Cuando en la ejecución del trabajo de auditoria, se evidencien faltas graves y/o indicios ra...
21
El propósito de este estándar internacional de auditoria (ISA), es establecer estándares y
proporcionar la dirección en...
22
TALLER 01
ACTIVIDAD APLICATIVA
APLICABILIDAD DE LAS NORMAS EN LA AUDITORIA DE SISTEMAS.
Objetivo
Identificar y reconoce...
23
TEMA N° 02
PROPUESTAS DE AUDITORIA DE SISTEMAS.
ESTRUCTURA DE PROPUESTA EMPRESA PUBLICA
Las Sociedades de Auditoria par...
24
I. Costo de la Auditoria
- Honorarios (Anexo Nº 1 y 2) S/. ________________
- Gastos (Pasajes y viáticos) S/. _________...
25
FORMATO Nº 2
INTEGRANTES DEL EQUIPO PROPUESTO
SOCIEDAD: ................……………………………... ENTIDAD: .…………………………………............
26
FORMATO 3
Contraloría General Datos Personales de los Integrantes Fecha : ../../..
Registro de Sociedades Página : .......
27
FORMATO 4
CRONOGRAMA DE TRABAJO DEL EQUIPO PROPUESTO
SOCIEDAD:................……………… …..….. ENTIDAD:.………………………….. …..
V...
28
FORMATO Nº 5
DECLARACION JURADA
CONOCIMIENTO Y DE ADHESIÓN A LAS BASES DEL CONCURSO
Declaramos que los socios y el pers...
29
Fecha,....................................................
------------------------------------------------------------...
30
ANEXO Nº 1
COMPOSICIÓN DEL COSTO = HONORARIOS
NOMBRE DE LA ENTIDAD: ..........................................
S/.
- CO...
31
TABLAS
CONDICIÓN
1 PERMANENTE
2 CONTRATADO
GRADO
1 ESTUDIANTE SUPERIOR
2 EGRESADO
3 BACHILLER
4 TITULADO
5 MAESTRIA
6 D...
32
TALLER 02
ACTIVIDAD APLICATIVA
PROPUESTAS DE AUDITORIA DE SISTEMAS.
Objetivo
Elaborar Propuesta para trabajos de audito...
33
ENFOQUES EN LA AUDITORIA DE SISTEMAS
• Auditoria alrededor
del computador.
• Análisis de
procedimientos ,
métodos y otr...
34
Sistemas de Respaldo y Redundantes
Técnicas de Protección:
Backup.
Copias de Seguridad.
Unidades de Espejo.
Niveles de ...
35
ATRIBUTOS DELS ISTEMA INFORMATICO
Concepto de sistema
La palabra sistema puede ser utilizada con varios sentidos difere...
36
TEORIA DE SISTEMA ofrece. Se puede estudiar cada sistema con sus subsistemas integrantes,
como partes de un sistema más...
37
Conceptuales o abstractos (en ingles: software): son los sistemas compuestos de aspectos
intangibles y abstractos, como...
38
La siguiente figura incluye lo que el gerente puede hacer a este respecto
La experiencia muestra que unas cajas para su...
39
TALLER 03
ACTIVIDAD APLICATIVA
SISTEMAS INFORMATICOS.
Objetivo
Conocer los atributos de los sistemas informáticos y los...
40
Empresa
Virtual
EMPRESARIO
Perú
Pone
una
empresa
Virtual
en
Internet
El Cliente
paga con
Visa
El cliente (
India) hace ...
41
TALLER 04
ACTIVIDAD APLICATIVA
SISTEMAS INFORMATICOS AUDITABLES.
Objetivo
Conocer los atributos de los sistemas informá...
42
Aplica las pruebas sustantivas de auditoria basados en tipos de datos.
CONTENIDOS ACTITUDINALES:
• Maneja y cuida el so...
43
TEMA N° 05
BASE DE DATOS PARA AUDITORIA
• Una Base de Datos describe organizaciones del mundo real, representa simbólic...
44
h) Seguimiento de las Recomendaciones de Auditoria.
a. Planeamiento del trabajo a realizar
Consiste en la estrategia qu...
45
. Personal clave para el manejo de la aplicación en cada dependencia involucrada.
. Inventario de manuales de documenta...
46
³3. EVALUACION ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.1 Documenta...
47
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³8. EMISION DE INFORME FINAL ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
Ã...
48
h. Seguimiento de las Recomendaciones de Auditoria
Siendo el objetivo de este trabajo que se mejore el sistema y se sup...
49
Hagan al sistema eficiente y eficaz.
4 Controles del Sistema:
a.- Generación del Dato
Debe verificarse las condiciones ...
50
considerable de registros. Al final del día debe adicionalmente imprimirse un parte
diario de los lotes ingresados.
c.-...
51
Deben establecerse condiciones de error que no puedan ser consistenciados física
o lógicamente en la etapa de ingreso d...
52
a. Seguridad de acceso a la información: Debe existir a nivel Institución, un esquema
global de seguridad de acceso a l...
53
Cuando se cambien los programas fuentes deben documentarse en el programa con
comentarios y registrar las modificacione...
54
En muchas oportunidades es conveniente, para áreas criticas de atención al publico,
disponer de listados diarios de inf...
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
Upcoming SlideShare
Loading in...5
×

26901848 manual-de-auditoria-de-sistemas

938

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
938
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
54
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "26901848 manual-de-auditoria-de-sistemas"

  1. 1. FACULTAD DE CIENCIAS CONTABLES, ECONOMICAS Y FINANCIERAS DEPARTAMENTO ACADÉMICO DE CONTABILIDAD Y FINANZAS MANUAL: AUDITORIA DE SISTEMAS CICLO X SEMESTRE ACADEMICO 2008 I-II Material didáctico para uso exclusivo de los alumnos. LLIIMMAA -- PPEERRÚÚ
  2. 2. 2 UNIVERSIDAD DE SAN MARTIN DE PORRES Rector(e) Ing. Raúl E Bao García Vicerrector Ing. Raúl E Bao García FACULTAD DE CIENCIAS CONTABLES, ECONÓMICAS Y FINANCIERAS Decano Dr. Domingo Sáenz Yaya Director de la Escuela Profesional de Contabilidad y Finanzas Dr. Juan Amadeo Alva Gómez Director del Departamento Académico de Contabilidad y Finanzas Dr. Enrique Loo Ayne Secretario de Facultad Dr. Augusto H. Blanco Falcón Directora de la Sección Postgrado Dra. Yolanda Salinas Guerrero Director del Instituto de Investigación Mo. Víctor Loret de Mola Cobarrubias Director de la Oficina de Grados y Títulos Dr. Sebastián Ferril Márquez Jefa de la Oficina de Registros Académicos Sra. Belinda Quicaño Macedo Jefa de la Oficina de Bienestar Universitario Lic. Maria Pizarro Dioses Jefe de la Oficina de Administración Dr. Luis Flores Barros
  3. 3. 3 ÍNDICE PORTADA INTRODUCCIÓN ÍNDICE DE CONTENIDO OBJETIVOS PAUTAS PARA EL ESTUDIO Y LOS TRABAJOS DE APLICACIÓN UNIDAD I: CONCEPTOS, DEFINICIONES Y EL SISTEMA INFORMATICO. TEMA N° 1: CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS. 12-15 1. Definiciones, conceptos aplicados. 2. Normas aplicables. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 2: PROPUESTAS DE AUDITORIA DE SISTEMAS. (Laboratorio) 16 -20 1. Presentación de propuestas de auditoria de sistemas.(Empresa Publica y Privada) 2. Alcances y objetivos. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 3: EL SISTEMA INFORMATICO. 21-27 1. Objetivos, fases, rol del auditor de sistemas. 2. Atributos del sistema informático. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 4: CONCENTRACION DE LOS SISTEMAS INFORMATICOS. (Laboratorio) 28-33 1. Complejidad de los sistemas. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES UNIDAD II: INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS. TEMA N° 5: BASE DE DATOS PARA AUDITORIA DE SISTEMAS. 41-44 1. Conceptos, importancia y usos. 2. Control de sistemas en Funcionamiento. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES
  4. 4. 4 TEMA N° 6: ASPECTOS AREVISAR 36-40 1. Guías y Planes. 2. Aspectos a revisar. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 7: CONCEPTUALIZACIONES DE DISEÑO Y PRODUCCION DE SOFWARE. 45-49 1. Conceptos y modelos usados. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 8: PRUEBAS DE AUDITORIA. 50-54 1. Niveles de pruebas.(Laboratorio) 2. Pruebas especiales. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES UNIDAD III: PLANEACION DE LA AUDITORIA DE SISTEMAS. TEMA N° 9: EVALUACION D ELA GESTION 55-59 1. Evaluación de riesgo. 2. Evaluación del proceso de datos. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 10: EVALUACION DE SISTEMAS EN FUNCIONAMIENTO. 60-63 1. Plan de trabajo, aspectos a revisar.(Laboratorio) 2. Formularios de control. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 11: MODALIDAD DE PRUEBAS. 64-77 1. Niveles de Control. 2. Plan del tipo de informe.
  5. 5. 5 ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 12: MODELOS DE INFORME LARGO. 78-82 1. Gestión de uso de los sistemas 2. Elaboración de los términos de referencia. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES UNIDAD IV: TRABAJO DE CAMPO E INFORMES DE AUDITORIA DE SISTEMAS. TEMA N° 13: EJECUCION DEL PLAN Y PROGRAMA DE AUDITORIA. 83-87 1. Revisión de evidencias, cartas de hallazgo. (Laboratorio) 2. Decisiones y responsabilidades. 3. Papeles de trabajo, archivos y tipos de archivos ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN TEMA N° 14: INFORMES PARA DISCUSION 90-96 1. Usos e importancias. 2. Modelos, diseñios. ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES TEMA N° 15: INFORME FINAL. 97-99 1. Caso practico. Elaboración del informe final (Laboratorio) ACTIVIDADES APLICATIVAS AUTOEVALUACIÓN REFERENCIAS DOCUMENTALES FUENTES DE INFORMACIÓN 100 -101
  6. 6. 6 OBJETIVOS OBJETIVO GENERAL. Comprende los conceptos fundamentales de la auditoria de sistemas, los procedimientos técnicos de control y auditoria de la administración o gerencial y el desarrollo del análisis de la planeación y ejecución de la auditoria de sistemas o gerencial. OBJETIVOS ESPECIFICOS. • Fija conceptos, fundamentos y criterios de la Auditoria de Sistemas. • Determina el cumplimiento de las disposiciones y reglamentos referidos a la gestión gerencial. • Establece si los objetivos y metas previstos se están cumpliendo. • Establece si la entidad tiene un sistema adecuado de control. • Maneja los distintos métodos de planeacion para el desarrollo de la Auditoria de sistemas, el Plan de Auditoria, los programas de auditoria y el archivo permanente. • Ejecuta y desarrolla la fase de ejecución, los papeles de trabajo, emite las cartas de Hallazgo, interpreta las observaciones y aplica responsabilidades. • Emite y reconoce los informes para discusión e informes finales de Auditoria de Sistemas. PAUTAS PARA EL ESTUDIO Y LOS TRABAJOS DE APLICACIÓN • Este Manual será utilizado como apoyo importante al desarrollo de la asignatura de Auditoria de Sistemas, en algunos casos será estudiado previamente por indicación del profesor, lo que permitirá el análisis y debate colectivo del tema leído; en otros casos, servirá para una lectura que complemente las explicaciones recibidas durante las sesiones de aprendizaje. Esta lectura será comprensiva y deberá utilizar las técnicas de estudio que se propone en uno de los temas desarrollados. • Después de la lectura comprensiva efectuada deberás desarrollar las actividades de aplicación propuestas en el Manual. Algunos trabajos son individuales y otros son para desarrollarse en grupos. Pueden ser realizados en aula, o requerir de trabajo de campo; ambas modalidades fortalecen la capacidad de autoaprendizaje del estudiante. • También deberás resolver las cuestiones planteadas en la autoevaluación al final de cada tema. Si tuvieras dificultad consulta a tu profesor o efectúa investigaciones puntuales. Éxitos y buena suerte
  7. 7. 7 DIAGRAMA DE CONTENIDOSAUDITORIADESISTEMAS CONCEPTOS, DEFINICIONES Y EL SISTEMA INFORMATICO PLANEAICON DE LA AUDITORIA DE SISTEMAS TRABAJO DE CAMPO E INFORMES DE AUDITORIA. INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS
  8. 8. 8 UNIDAD I CONCEPTOS, DEFINICIONES Y EL SISTEMA INFORMATICO El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso de sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor – Contador , hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria. CONTENIDOS PROCEDIMENTALES • Manejo de las bases y Normas identificables con la Auditoria de sistemas. • Observa e interpreta las diferentes propuestas. • Reconoce e identifica los sistemas informáticos. • Elabora las guías y programas de auditoria. • Elabora las técnicas de muestreo • Reconoce el rol del auditor de sistemas en estos nuevos • Analiza y evalúa el control interno, base de datos y el Planeamiento de auditoria CONTENIDOS ACTITUDINALES. • Identifica y reconoce las diferentes Normas utilizadas en los trabajos de auditoria dirigidas a los sistemas. • Realiza una propuesta de trabajo de auditoria para empresa privada y publica. • Maneja la relación Normas – Auditoria. • Cuida el manejo de los procedimientos de aplicación de las cotizaciones de auditoria. • Maneja y elabora programas de auditoria. Evaluación de los controles de sistemas. • Valora el planeamiento en todo trabajo de su vida. CONTENIDOS CONCEPTUALES TEMA No. 1: CARACTERITICAS DE LA AUDITORIA DE SISTEMAS. TEMA No. 2: PROPUESTAS DE AUDITORIA DE SISTEMAS. TEMA No. 3: EL SISTEMA INFORMATICO TEMA No. 4. CONCENTRACION DE LOS SISTEMAS INFORMATICOS.
  9. 9. 9 DIAGRAMA DE CONTENIDOS CONCEPTOS,DEFINICIONESYELSISTEMA INFORMATICO CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS EL SISTEMA INFORMATICO CONCENTRACION DELA INFORMACION Y LA METODOLOGIA DE PRUEBAS. PROPUESTAS DE AUDITORIA DE SISTEMAS
  10. 10. 10 TEMA N° 01 CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS. EL PROCESO DE LA AUDITORIA DE SISTEMAS 1. DEFINICION • Es un examen objetivo, sistemático y profesional de evidencias, realizado con el fin de proporcionar una evaluación independiente sobre el desempeño de los sistemas utilizados en una entidad, programa o actividad. 2. Objetivos • Determinar el grado en que se están logrando los resultados previstos. • Establecer si se adquiere y protege los recursos en forma económica y eficiente • Determinar si se ha cumplido con las leyes en materia de eficiencia y economía. • Establecer si los controles gerenciales son efectivos. 3. Metodología • Planeamiento: Comprende dos etapas 1. Revisión General * Conocimiento inicial de la entidad por examinar. * Análisis preliminar en la entidad * Formulación del plan de revisión estratégica 2. Revisión Estratégica *Ejecución del plan *Aplicación de pruebas preliminares * Identificación de los criterios de auditoria. * Formulación del reporte de revisión estratégica 3. Elaboración del Plan De AUDITORIA. • Ejecución: 1. Elaboración de los programas de auditoria, la recopilación de documentos, realización de pruebas y análisis de evidencias para asegurar su suficiencia y competencia, para acumular bases suficientes para la formulación de observaciones, conclusiones y recomendaciones debidamente sustentadas. 2. Se aplica procedimientos y técnicas de auditoria, pruebas de evaluación de controles, identificación de hallazgo (condición y criterio). • Informe: 1. Formaliza sus observaciones en el informe de auditoria. 2. Producto final; deberá detallar los elementos de la observación (condición, criterio, causa y efecto), comentarios de la entidad, evaluación final de tales comentarios, conclusiones y recomendaciones. 3. Debe tener requisitos de calidad y confiabilidad. 4. Aprobado y remitido a la entidad auditada. (forma y modo establecido por la Contraloría)
  11. 11. 11 ANALISIS DE COSTO BENEFICIO Conocimiento Inicial de las Actividades y Operaciones de la Entidad o Programa a Examinar Análisis Preliminar de la Entidad Y plan de Revisión Estratégica Formulación del Reporte de Revisión Estratégica y Plan de Auditoria Preparación de Programa de Auditoria Aplicación de Pruebas y Obtención de Evidencias de Auditoria Elaboración de Hallazgos de Auditoria, Observaciones, Conclusiones y Recomendaciones Aprobación del Informe de auditoria y Remisión a la Entidad Auditada Seguimiento de Medidas Correctivas Adoptadas por Entidad Auditada Fase de Planeamiento Fase de Ejecución Fase de Informe Es una técnica utilizada en el análisis de Sistemas: que tiene como objetivo fundamental proporcionar una medida de los costos en que se incurren en la realización de un proyecto informático y a su vez, comparar dichos costos previstos con los beneficios esperados en la realización de dicho proyecto. Formula. B/c = Ingreso total (FAS % años) + Valor Residual (FAS % Años) Costo inicial + Costo Operativo (FAS % Años)
  12. 12. 12 ANALISIS DE SISTEMAS CONFIABILIDAD DEL SISTEMA DISEÑO ESTRUCTURADO DIAGRAMA DE ESTRUCTURA DE CUADROS DIAGRAMA DE ESTRUCTURA DE DATOS (DED) DIAGRAMA DE FLUJO DE DATOS (DFD) DIAGRAMAS DE GANTT DISEÑO DE PRUEBAS Es el proceso mediante el cual se estudian e interpretan los hechos del Sistema actual, con el fin de especificar los requerimientos y especificaciones funcionales del nuevo Sistema a desarrollar - Entrevistas. - Diagrama de Flujo de Datos (D.F.D.). - Modelizaci¢n de Datos. - Diagrama de Estructura de Datos (D.E.D.). - Historia de Vida de la Entidad (H.E.V.). - Análisis de Costo-Beneficio (A.C.B.). Se define que un sistema es confiable cuando posee los controles y las seguridades del caso, permitiendo que sus resultados sean exactos y que su operación sea estable y segura. • Detección de errores. • Prevención de acceso no autorizado y mal uso de la información y del equipo. • Controles ambientales y seguridad Es una técnica utilizada en el diseño de Sistemas, para obtener la estructura modular y los detalles de proceso del sistema, partiendo solamente de la información obtenida en la fase de análisis de sistemas. En esta se define como debe estructurarse el sistema utilizando herramientas graficas Es una técnica utilizada en el diseño de sistemas para modelar el sistema computarizado, visualizando modularmente el sistema, la conexión y comunicación entre los mismos; dando una visión integral de la arquitectura del sistema. Es una técnica utilizada en el análisis de sistemas para la modelizacion de datos, la cual representa un conjunto de datos relacionados entre si y describen en forma colectiva un componente del sistema Proporciona una representación del sistema a nivel lógico y conceptual, describiendo el movimiento de los datos en el sistema, ya sea manual o automático, incluyendo procesos y lugares para almacenar datos. Son herramientas que se utilizan en la planificación de un proyecto o etapas del mismo y que consiste en el registro de lo planificado y de lo ejecutado a través de barras de diferente diseño en dos ejes, una de actividades y otra de Es una técnica utilizada en el diseño de Sistemas, que consiste en definir un programa de pruebas, para asegurar la confiabilidad del diseño y que no existen errores en los programas que se especifiquen. • Prueba de carga máxima. • Prueba de almacenamiento. • Prueba de tiempo de ejecución. • Prueba de recuperación. • Prueba de procedimientos.
  13. 13. 13 DISEÑO DE SISTEMAS ENTREVISTAS HISTORIA DE VIDA DE LA ENTIDAD IMPLANTACION DE SISTEMAS INTEGRACION DE SISTEMAS . INTEGRIDAD DE LA INFORMACION INTEGRIDAD DEL SISTEMA MODELIZACION DE DATOS Es el proceso de definición de la arquitectura de software, componentes, modulos, interfases, procedimientos de pruebas y datos de un sistema que se crean para satisfacer unos requerimientos específicos. Es una técnica que se utiliza en el análisis de sistemas para recabar la información verbal, a través de una serie de preguntas que propone el analista. Esta a su vez es imprescindible para obtener información cualitativa, relacionarse con los usuarios y recoger un conjunto de hechos y/o requerimientos de información necesaria para el estudio. Es una técnica utilizada en el análisis de Sistemas que permite describir la evolución de las entidades de datos del sistema. Esta técnica utiliza las entidades de datos identificados y descritas en los Diagramas de Estructura de Datos (DED) y las transacciones o eventos del sistema identificado en el Diagrama de Flujo de Datos (DFD). También constituye un poderoso instrumento para verificar la exactitud de los dos modelos antes mencionados y garantizar la coherencia. Es el proceso por el cual se instala un sistema, se crean archivos maestros, se capacita al personal involucrado, se procesa un periodo de información, se efectúan ajustes al sistema y se inicia la producción del sistema. Es el proceso por el cual se analiza, diseña y programa las interfases entre diferentes aplicaciones, sub.-sistemas y sistemas; de tal forma que no se desarrollen sistemas aislados; sino mas bien interconectados que compartan archivo y base de datos comunes y se transfieran información entre ellos. Consiste en que los valores de los datos se mantengan tal como fueron puestos intencionalmente en el Sistema. Las técnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el Software de la Base de Datos o por fallas de programas o del sistema. El concepto de integridad abarca la precisión y la fiabilidad de los datos: así como la discreción que sed debe tener con ellos. Es una característica que deben poseer los sistemas computarizados. Consiste en que deben tener las seguridades de que el software no puede ser alterado ni la información producida puede ser accesada por personas no autorizadas, para lo cual deben existir los controles y seguridades del caso. Es una técnica utilizada en el análisis de Sistemas para conseguir estructura de Datos no redundantes, sin inconsistencias, seguras e integras, utilizando representaciones graficas.
  14. 14. 14 OPTIMIZACION DEL DISEÑO FISICO PERT-CPM PLATAFORMA DE HARDWARE PLATAFORMA DE SOFTWARE PROCESO EN PARALELO PROGRAMACION ESTRUCTURADA PROGRAMACION DE SISTEMAS PROTOTIPEO PRUEBAS DE INTEGRACION Es una técnica utilizada en el diseño de Sistemas para optimizar el modelo de Datos elaborado en la fase de Análisis de Sistemas Permitiendo obtener la estructura física del sistema,; así como la representación optima de la información. Es una técnica que se utiliza en la planificación de proyectos o etapas del mismo y que consiste en el registro de las actividades, recursos y costos planificados; así como los ejecutados realmente, mediante representación grafica de modos y fechas de dependencia de actividades. Es el conjunto de equipos que se utilizan para desarrollar y operar un sistema o todos los sistemas de una organización, comprendiendo el computador central, las instalaciones de trabajo; tales como terminales, equipos de micro computación, impresoras; así como equipos de comunicación local en Red o Remotas. Es el conjunto de Software de base y aplicativos de uso general, que se utiliza para un sistema determinado o para toda la organización; consistente de los sistemas operativos, sistemas de base de datos, sistema de redes, sistemas de comunicaciones y sistemas generales de automatización de oficinas. Es una técnica utilizada en la implantación de sistemas, que consiste en permitir que se siga utilizando el sistema anterior, mientras se procesa paralelamente el nuevo sistema, de tal forma de comparar resultados y efectuar el reemplazo necesario con la seguridad de la correcta operatividad y confiabilidad del nuevo sistema. Es una técnica utilizada en la programación de sistemas y que consiste en llevar a cabo la programación en forma modular y utilizar sub.funciones para ser utilizadas en forma común. Es el proceso por el cual el diseño de un sistema se transcribe a un lenguaje de programación, que pueda ser interpretado por el computador, para que este ejecute instrucciones que realicen las funciones, especificados para el nuevo sistema. Es una técnica utilizada en el Análisis de sistemas y Diseño de sistemas, que permite desarrollar con rapidez un sistema de trabajo computarizado, para posibilitar probar el diseño ante el usuario en un Software provisional que permite analizar en forma física el ingreso de los datos, el procesamiento y la emisión de resultados; y poder efectuar los ajustes necesarios para el diseño definitivo. Son las que deben realizarse para probar la integración entre los componentes del sistema y asegurarse que encajen correctamente.
  15. 15. 15 PRUEBAS DEL SISTEMA PRUEBAS UNITARIAS RESPALDO DE LA INFORMACION NORMAS DE AUDITORIA Son las que deben realizarse para probar el sistema globalmente. Son las que deben realizarse para probar todos los componentes del sistema que se desarrollan individualmente. Es la información que se archiva en un medio alternativo al del almacenamiento de un computador, con fines de disponer de una copia de seguridad por si ocurriese perdidas del sistema o la información 1.10 Entrenamiento técnico y Capacidad profesional 1.20 Independencia 1.30 Cuidado y esmero profesional 1.40 Confidencialidad 1.50 Participación de especialistas 1.60 Control De Calidad NORMAS GENERALES 2.10 Planificación General 2.20 Planificación Especifica 2.30 Programa de Auditoria 2.40 Archivo Permanente Normas para la planificación 3.10Estudio y evaluación del Control interno 3.20Evaluación y cumplimiento de Normas legales y reglamentos 3.30 Supervisión del trabajo 3.40 Evidencia suficiente y competente 3.50 Papeles de Trabajo Normas para la Ejecución 3.60 Comunicación de Hallazgos 4.20 Oportunidad del Informe 4.10 Forma Escrita
  16. 16. 16 NAGU 1.50 PARTICIPACION DE PROFESIONALES Y/O ESPECIALISTAS Integran el equipo de auditoria, en calidad de apoyo, los profesionales y/o especialistas que ejercen sus actividades en campos diferentes a la auditoria gubernamental, cuando sus servicios se consideren necesarios para el desarrollo del examen. De ser pertinente, los resultados de sus labores se incluirán en NAGU 2.20 PLANIFICACION ESPECIFICA El trabajo del auditor debe ser adecuadamente planificado, a fin de asegurar la realización de una auditoria de alta calidad y debe estar basado tanto en el conocimiento de la actividad que desarrolla la entidad a examinar, como de las disposiciones legales que la afectan. Preparación de una estrategia general, actualizar el conocimiento y comprensión del entorno de la entidad, sus principales operaciones, la estructura de control interno, disposiciones legales, nivel de riesgo, áreas criticas, potenciales hallazgos, programar la naturaleza, oportunidad de los procedimientos a aplicar.. Gestión: objetivos, metas y programas, seguimiento de recomendaciones anteriores. • Evaluación y actualización del archivo permanente. • Emisión del plan y programa de auditoria para ejecutar en el trabajo de campo Guía de la Planificación 1. Revise la carta de compromiso (el contrato) y todos los archivos de correspondencia y anote cualquier información que tenga un efecto significativo en el examen del año en curso. 2. En caso de trabajos recurrentes, revisar los papeles de trabajo de la auditoria del año anterior y las sugerencias para futuras revisiones, archivos permanentes, informes de auditoria, archivo de impuestos, cartas de gerencia y otros documentos relevantes 3. Reunión con el personal del cliente: a.- Indague sobre el desarrollo comercial y las condiciones económicas que afecten el negocio del cliente b.- Revise los resultados operativos del cliente, esperados para el año fiscal. Obtenga y revise los EEFF mensuales mas recientes. c.- Prepare una relación de papeles de trabajo y otros datos que serán proporcionados por el cliente. Incluyendo un cronograma. 4. Reunión con el personal de la firma a.- Discuta los temas significativos cubiertos en la reunión con el personal del cliente b.- Discuta naturaleza, oportunidad y alcance de los procedimientos de auditoria y el grado de confianza que podamos tener en los controles internos c.- discuta los tipos de informe que se deben emitir, revisar el presupuesto de tiempo He revisado los temas incluidos en el Plan de Auditoria y he anotado todos los puntos significativos en la sección de comentarios Firma del responsable de la Firma de Socio responsable Planificación del compromiso 3.70 Carta de representación Normas para el Informe 4.30 Presentación del Informe 4.40 Contenido del Informe 4.50 Informe Especial
  17. 17. 17 NAGU 2.40 ARCHIVO PERMANENTE Es la información básica de la entidad o área a auditar Para cada entidad sujeta a control se debe implantar, organizar y mantener actualizado el archivo permanente. Contenido: P1 Información sobre los antecedentes y organización de la entidad * Estructura Orgánica, Constitución * Reglamento de organización y funciones * Manual de organización y funciones * Manual de Procedimientos P2 Extractos o copias de acuerdos importantes * Leyes de creación, modificatorias y otras * estatuto Social * Plan operativo Institucional * Presupuestos * Memoria Institucional * Acuerdos de directorio P3 Extractos sobre el sistema de contabilidad * Registros * Empleados claves autorización de firmas * Políticas contables * Flujo grama, principales operaciones * EEFF P4 Documentos dE Auditoria Externa * Informes de Auditoria * Plan Anual de auditoria NAGU 2.30 PROGRAMA DE AUDITORIA Para cada auditoria gubernamental deben preparase programas específicos que incluyan objetivos, alcance de la muestra, procedimientos detallados y oportunidad de su aplicación, así como el personal encargado de su desarrollo. Programa 1. Objetivo del Examen • Informe de Auditoria Financiera: Emitir opinión sobre la razonabilidad de los EEFF. • Informe Examen Especial de la Información Presupuestaria: Razonabilidad de la información presupuestaria. Presupuestado versus ejecutado. • Informe Largo: Funcionamiento y efectividad del Sistema de Control Interno. Evaluar la gestión Administrativa y operativa.(metas y Objetivos) Adquisición de bienes y servicios. Normas de control de producción Proyectos de inversión u Obras publicas Controles de donación Seguimiento a la implementación de las recomendaciones. 2. Alcance: Aplicación de las NAGU, vista de locales y otros 3. Descripción de la Entidad: Constitución, principales operaciones, sistema de contabilidad 4. Normativa Aplicable: Bajo que leyes se encuentra 5. Informes a Emitir: Informe corto, largo, especial, con fechas de entrega. 6. Identificación de áreas criticas: Evaluación de riesgos Alto, bajo o moderado 7. Puntos de Atención: posibles problemas 8. Funcionarios de la entidad: Nombres, cargos y fechas de trabajo 9. Presupuesto de Tiempo: Personal que va intervenir en la auditoria con horas / hombre. 10. Participación de Especialistas: Si es el caso.
  18. 18. 18 NAGU 3.10 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO Se debe efectuar un estudio apropiado y evaluación del control interno, para identificar las áreas criticas que requieren un examen profundo, determinar su grado de confiabilidad a fin de establecer la naturaleza, alcance, oportunidad y selectividad en la aplicación de procedimientos de auditoria.. Conjunto de planes, métodos y procedimientos, incluyendo políticas de dirección, que ofrecen seguridad razonable que se cumplen los objetivos de control (promover la eficiencia, la eficacia y la economía) y proteger los recursos públicos. La estructura: 1. Ambiente de Control: Los órganos de dirección estimulan e influyen en su personal, para crear conciencia sobre los beneficios de una adecuado-+ control. 2. Evaluación del riesgo: Como la entidad identifica y analiza los riesgos que afectan el cumplimiento de sus objetivos. 3. Actividades de Control Gerencial: Políticas y procedimientos que imparte la gerencia. 4. Sistema de Información y Comunicación: Métodos y procedimientos establecidos por la gerencia para procesar adecuadamente la información y ayudar a la toma de decisiones. 5. Actividades de Monitoreo: Mantener el control interno – evaluación continua. Evaluación de la estructura: comprende 2 etapas 1. Obtención de información relacionada con el diseño e implementación de los controles sujetos a evaluación. 2. Comprobación de que los controles identificados funcionan adecuadamente y logran sus objetivos Al termino de esta evaluación: Memorandun de Control Interno - debilidades y las recomendaciones NAGU 3.40 EVIDENCIA SUFICIENTE, COMPETENTE Y RELEVANTE El auditor debe obtener evidencia suficiente, competente y relevante, mediante la aplicación de pruebas de control y procedimientos sustantivos que le permitan fundamentar razonablemente los juicios y conclusiones que formule respecto al organismo, programa, actividad o función que sea objeto de la auditoria. a. Suficiencia: evidencia objetiva y convincente, que basta para sustentar los hallazgos. b. Competente: valida y confiable.. c. Relevancia: esta en relación a su uso. Evidencia física: observación, inspección directa. Se presenta en memorando(fotos, mapas, etc) Evidencia documental: cartas, contratos, registros, facturas, documentos de la administración Evidencia testimonial: declaraciones, entrevistas. Evidencia analítica: cálculos, comparaciones, razonamientos
  19. 19. 19 NAGU 3.60 COMUNICACIÓN DE HALLAZGOS Durante el proceso de la auditoria, el auditor encargado debe comunicar oportunamente los hallazgos a las personas comprendidas en los mismos, a fin de que en un plazo fijado, presenten sus aclaraciones o comentarios sustentados documentariamente, para su evaluación y consideración en el informe correspondiente. Se pondrá en conocimiento del titular el inicio de la comunicación de hallazgos De la entrega: • La comunicación es por escrito, directa y reservada. • Si la persona no esta se le dejara Notificación plazo 2 días hábiles. • Publicación en el peruano y otro :plazo 2 días hábiles. • Puede ser recogido por representante acreditado. • Vencido el plazo se dará por agotado el proceso de comunicación De la Respuesta. • Señalar plazo final de recepción de las aclaraciones. no menor de 2 ni mayor de 5 hábiles • Si no hay respuesta o es extemporánea se consignara en el informe • Excepcionalmente se ampliara por única ves 3 días hábiles • Exceptuarse en casos de absoluta certeza de presunción de delito ( informe especial) NAGU 4.40 CONTENIDO DEL INFORME Al finalizar el trabajo, el auditor debe elaborar un informe en el cual expondrá apropiadamente los resultados del examen, señalando que se realizo de acuerdo a las normas de auditoria gubernamental. ESTRUCTURA 1. Denominación: Informe Largo, etc. No... Titulo general del tema abordado 2. Origen del examen: Razones del examen por: plan anual, denuncia, solicitud del titular, Contraloría, No de Resolución 3. Naturaleza y Objetivos del examen: Auditoria financiera, de Gestión, objetivos previstos 4. Alcance del Examen: Cobertura, periodo, áreas, geografía , de acuerdo con las NAGU, NIAS, y otras, limitaciones encontradas en el trabajo de campo. 5. Antecedentes y base legal de la entidad: constitución, resolución y otras. 6. Comunicación de Hallazgos: Se ha cumplido con la norma de comunicación oportuna, se debe incluir una relación con el personal involucrado en el examen 7. Memorando de Control Interno: Se indicara la emisión del memorandun en el cual se informo al titular la efectividad de los controles internos implantados. Dicho documento; así como el reporte de las acciones correctivas que en virtud del mismo se hallan adoptado se deberán adjuntar como anexo. 8. Observaciones: Sumilla, condición, criterio, efecto, causa, comentarios del personal involucrado y evaluación de los comentarios. 9. Conclusiones: Juicio de carácter profesional basados en las observaciones 10. Recomendaciones: Medidas especificas y posibles 11. Anexos: Documentos indispensables, concisos, importantes 12. Firma: Jefe de comisión, supervisor, nivel gerencial competente 13. SÍNTESIS GERENCIAL: Contenido breve y preciso
  20. 20. 20 NAGU 4.50 INFORME ESPECIAL Cuando en la ejecución del trabajo de auditoria, se evidencien faltas graves y/o indicios razonables de comisión de delito, en cautela de los intereses del estado, el auditor, sin perjuicio de la continuidad del respectivo examen y previa evaluación de las aclaraciones a que se refiere la Nagu 3.60 Comunicación de hallazgos; emitirá con la celeridad del caso un informe especial con el debido sustento técnico legal, el cual se remitirá al comité de calidad de la contraloría para su revisión. DENOMINACIÓN: Titulo informe Especial No.. titulo del asunto que abarca, sin considerar nombres específicos Estructura 1. INTRODUCCIÓN: Origen, motivo, alcance, área geográfica de la acción de control, disposiciones que sustentan la emisión del informe especial (NAGU 4.50). 2. FUNDAMENTOS DE HECHO: Breve sumilla Condición , Criterio, efecto y causa, aclaraciones de los involucrados, el resultado de la evaluación. Responsabilidad Penal: revelados en termino de indicios. Responsabilidad Civil: cuantificado. No recuperable por vía administrativa 3. FUNDAMENTOS DE DERECHO: Análisis del tipo de responsabilidad. Sustentación de la Tipificación, indicación e los artículos pertinentes del código civil o penal; fundamentos jurídicos, señalar prescripción. 4. IDENTIFICACIÓN DE PARTICIPES EN LOS HECHOS: Individualización de las personas Nombres y apellidos completos, identificación, cargo, periodo, así como terceras personas, incluso cuantificación del monto. 5. PRUEBAS: Identificación de las pruebas en forma ordenada y detallada por cada hecho, anexos correspondientes, autenticadas, informe técnico si lo hubiere (abogado, ingeniero, otros) 6. RECOMENDACIÓN: la acción legal respectiva. Dirigida al titular de entidad, si Este estuviera involucrado al titular del sector para la participación del procurador. 7. ANEXOS: Contiene las pruebas que sustentan los hechos. Deben tener un índice, donde se se indique numero y titulo del asunto, así como la nomina del personal involucrado. Remisión de los informes especiales a la CGR Comité de Calidad de CGR, para su revisión; por única ves podrá recepcionar información de los involucrados y dará un pronunciamiento. Remitirá al titular de la entidad Titular de la entidad, : para tomar las acciones legales correspondientes, el seguimiento e informar al organismo superior de control, copia de denuncia dentro de los 5 días de hecha Niveles de Aprobación • CGR: suscrito, auditor, abogado, jefe de comisión, supervisor y la gerencia competente. • Auditoria Interna: auditor, abogado, jefe de comisión, supervisor y la gerencia competente • Sociedad de auditoria: abogado y socio participante Situaciones Especiales: Serán revelados en el informe de la acción de control • Cuando se determine que se puede recuperar vía acción administrativa • Cuando los participes son únicamente terceras personas • Se podrá separar los informes en relación a su responsabilidad Limitaciones: • La revisión del comité de control de calidad solo serán si la entidad esta en Lima. • En provincia se remitirán al titular de la entidad • En ambos casos se remitirá simultáneamente un ejemplar a la CGR
  21. 21. 21 El propósito de este estándar internacional de auditoria (ISA), es establecer estándares y proporcionar la dirección en los requerimientos que se seguirán cuando una auditoria se conduce en los sistemas de información computarizados (Ambiente CIS). Para los propósitos de esta norma ISA, un ambiente CIS existe cuando una computadora de cualquier tipo o tamaño es implicada en el proceso de la información de la empresa, con suficiente importancia para la auditoria; ya sea que esta computadora sea operada por la entidad o por terceros. El auditor debe considerar ¿Cómo un ambiente CIS afecta la auditoria ?. El objetivo y el alcance totales de una auditoria no cambia en una ambiente CIS. Sin embargo, el uso de una computadora cambia el proceso, almacenaje y la comunicación de información y puede afectar los sistemas de control interno empleados en la entidad. Por consiguiente, un ambiente CIS puede afectar: * Los procedimientos que se seguirán por el auditor en la obtención de una suficiente comprensión de los sistemas utilizados. * La consideración del riesgo inherente y del riesgo del control con la cual el auditor llega a su evaluación del riesgo. * Los diseños y funcionamiento de las pruebas del control y los procedimientos substantivos apropiados que determinaron los auditores para resolver el objetivo de la auditoria. NAGU 4.60 SEGUIMIENTO DE RECOMENDACIONES DE AUDITORIAS ANTERIORES Los órganos conformantes del Sistema Nacional de Control deben efectuar el seguimiento a la implementación de las recomendaciones planteadas en los informes de auditorias anteriores, con la finalidad de determinar si se emprendieron acciones correctivas por parte de los funcionarios responsables de las organizaciones auditadas. 1. La administración es la responsable de superar las observaciones mediante la implementación de las recomendaciones. En concordancia con el Art.24 literal g Ley 26162 En caso que el titular no siga esto la CGR lo sancionara 2. Auditoria interna le corresponde hacer el seguimiento. 3. Para efectos de seguimiento se deben reportar de la siguiente manera: • Pendientes: cuando el titular no ha designado a los responsables de aplicar las recomendaciones. • En Proceso: Cuando el titular ha designado a los responsables y estos han iniciado las acciones. • Superadas: Ya se han aplicado las medidas sugeridas en las recomendaciones. INTERNACIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT Norma IFAC contenido en el Manual ISA 2003. Comprende: * Introducción. * Habilidades y Competencias. * Planeamiento. * Evaluación de Riesgo. * Procedimientos de Auditoria. INTERNACIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION
  22. 22. 22 TALLER 01 ACTIVIDAD APLICATIVA APLICABILIDAD DE LAS NORMAS EN LA AUDITORIA DE SISTEMAS. Objetivo Identificar y reconocer las Normas que se aplican en la auditoria de Sistemas Orientaciones En grupos, durante 40 minutos, los alumnos discuten analizan las normas que se adecuan a la auditoria de sistemas y elaboran conclusiones. AUTOEVALUACIÓN 1. Explique la importancia de las normas aplicables en una auditoria de sistemas. 2. Establezca diferencias entre las que se usan para las demás auditorias. 3.Diga ¿qué función tienen las normas discutidas en la auditoria de sistemas? REFERENCIAS DOCUMENTALES Código 657.458/B826C Autor Bravo Cervantes, Miguel H. Título Control interno Pie Imprenta Lima: San Marcos, 2000 Páginas 550 Contenido 1. El papel del auditor 2. El trabajo del auditor 3. Teoría de la evidencia en auditoria 4. Obtención de la evidencia 5. El programa de trabajo 6. El control interno 7. Elementos fundamentales de un sistema de control interno 8. La auditoria y el control interno Código 657/I59 Autor Estrella, Edison E. Título Sistema Integrado de Auditoria Gubernamental, SIAGSistema Integrado de Auditoria Gubernamental, SIAG21. Conferencia Interamericana de Contabilidad Conferencia 21. Conferencia Interamericana de Contabilidad.10-14 Sep 1995Cancún Institución Instituto Mexicano de Contadores Públicos, Asociación Interamericana de Contabilidad, Florida (Estados Unidos). Pie Imprenta México, D.F.: De Letras, 1995 Páginas 273-286
  23. 23. 23 TEMA N° 02 PROPUESTAS DE AUDITORIA DE SISTEMAS. ESTRUCTURA DE PROPUESTA EMPRESA PUBLICA Las Sociedades de Auditoria participantes en el presente Concurso de Méritos, presentarán sus propuestas conteniendo lo siguiente: SOBRE "A" a. El Programa de trabajo tentativo que proponga la Sociedad para la ejecución de la auditoria deberá considerar los objetivos generales de las Bases, tomando en cuenta: - Normas Internacionales de Auditoria (NIA) - Normas de Auditoria Gubernamental (NAGU) - Manual de Auditoria Gubernamental (MAGU). b. Asignación de personal, tiempo y otros (Formato Nº 2). c. En todos los casos de Personal eventual o contratado, así como de personal Especialista incluido en la Propuesta de servicios, contratados sólo para el examen a realizarse, deberá adjuntarse: - Título Profesional - Copia de Certificados de participación en cursos en los últimos 24 meses - Currículum Vitae - Contrato firmado por la Sociedad y el especialista y/o contratado - Formato Nº 3 En caso estar registrado como personal permanente no será necesario. e. Plazos, Cronograma de Trabajo (Formato Nº 4). f. Declaración Jurada de: - Conocimiento y adhesión a las Bases del Concurso Público de Méritos (Formato Nº 5). - No estar incursos en los impedimentos señalados en el Artículo 22º del citado Reglamento (Formato Nº 6). - Compromiso cumplimiento de normas de conducta profesional y personal (Formato Nº 7). g. Constancia de Habilitación del Colegio de Contadores Públicos de la Sociedad de Auditoria; asimismo, Constancia de Habilitación del Colegio Profesional respectivo de todos los profesionales integrantes de la Comisión Propuesta. h. Declaración de Asociación, según lo previsto por el Artículo 5º del citado Reglamento. i. Confirmación de visita a la entidad (credencial). j. De ser el caso, constancia de inscripción en Organismo Financieros Internacionales. El personal que se proponga no deberá estar comprometido en la realización de otros trabajos durante la ejecución de la auditoria a la que se postula, con excepción del Supervisor y de los Especialistas, siempre y cuando no exceda las horas - hombre estipuladas en el contrato, caso contrario será causal de eliminación de la propuesta. SOBRE "B" Contendrá la propuesta económica, de acuerdo al siguiente esquema:
  24. 24. 24 I. Costo de la Auditoria - Honorarios (Anexo Nº 1 y 2) S/. ________________ - Gastos (Pasajes y viáticos) S/. ________________ TOTAL S/. ================ II. Forma de Pago NOTAS a. Con la finalidad de optimizar la presentación de las propuestas de servicios, es necesario que las firmas auditoras lean cuidadosamente las instrucciones consignadas en la Estructura de Propuesta elaborada por la Contraloría General. b. Todas las hojas de la propuesta deberán estar selladas y rubricadas por el representante legal de la Sociedad de Auditoria, así como, correctamente ordenadas y foliadas. c. Las Propuestas deberán presentarse debidamente anilladas en dos (2) sobres lacrados "A" y "B", dirigidas al Contralor General en la fecha establecida. En cada sobre se referenciará: 1. La razón social de la entidad por auditar. 2. El nombre de la Sociedad de Auditoria. d. La información sobre el personal permanente, que por primera vez será incluido en una Propuesta, deberá ser presentada a la Contraloría General, en el Diskette de actualización (RUNSA.EXE) hasta el día anterior a la venta de bases, a los efectos de su registro; la información que llegue después de dicho plazo “no será considerada para los efectos del Concurso”. e. Los formatos 2 y 4 debidamente confeccionados, tal como se instruye en el modelo de la propuesta, en los cuales debe coincidir el total de horas consignadas para la Comisión y para cada uno de sus integrantes. De otro lado, los datos colocados en las columnas "Total días útiles" y "Total horas" del formato Nº 4, deben estar relacionados en forma lógica. f. Las Constancias de Habilitación del Colegio de Contadores Públicos de Lima serán presentadas en la Propuesta empleando una de las siguientes opciones: . Original y/o . Copia autenticada notarialmente. g. Cuando el examen incluya préstamos de Organismos Internacionales, éstos deberán expresar previamente su conformidad con respecto a la firma auditora cuya designación se propone
  25. 25. 25 FORMATO Nº 2 INTEGRANTES DEL EQUIPO PROPUESTO SOCIEDAD: ................……………………………... ENTIDAD: .…………………………………................... CARGO EN LA COMISIÓNLIBRETA ELECTORAL APELLIDOS Y NOMBRES CONDICIÓN LABORAL DESCRIPCIÓN HORAS ASIGNADAS DÍAS ÚTILES AÑOS EN EL CARGO EN LA SOA ESPECIALISTA NOTAS: 1. Colocar a los integrantes en orden jerárquico del cargo en la Comisión (Supervisor, Jefe de Comisión, Profesionales, Asistentes, Especialistas y Socios). 2. Marcar con una "X" cuando se trate de Especialistas Contratados, sólo si así lo requieren las Bases, respecto de los cuales se debe adjuntar el Currículum Vitae, y de ser el caso, Contrato y Formato Nº 3. 3. Condición Laboral – P = Permanente, E= Eventual.
  26. 26. 26 FORMATO 3 Contraloría General Datos Personales de los Integrantes Fecha : ../../.. Registro de Sociedades Página : .... ---------------------------------------------------------------------------- Sociedad : .............................................................. Integrante : ................................. ---------------------------------------------------------------------------- L.Electoral: ........ | Ingreso : ../../.. (a la Sociedad) R.U.C.: ......... | Instrucción: ............. Profesión : ...(Ver Tabla) C.Extranj. : ......... | Grado : ..(Ver Tabla) Centro Estud.............. Núm.Coleg. : ........ | Condición : ..(Ver Tabla) ..(Años) Fecha Coleg: ../../.. | Experiencia: ..(Años Prof) ..(Años Auditoría) ---------------------------------------------------------------------------- Capacitación Ultimos 24 Meses ---------------------------------------------------------------------------- M a t e r i a | Entidad | D u r a c i o n -----------------------------------| Docente |------------------------- Cód.|Sec| Descripción | | Inicio | Fin. | H.A ----|---|--------------------------|--------------- |---------|---------|----- ...|...|..........................| ............. | ../../..| ../../..| .... ...|...|..........................| ............. | ../../..| ../../..| .... ...|...|..........................| ............. | ../../..| ../../..| .... ...|...|..........................| ............. | ../../..| ../../..| .... ...|...|..........................| ............. | ../../..| ../../..| .... ----------------------------------------------------------------------------- Auditorías Realizadas Ultimos 24 Meses ----------------------------------------------------------------------------- | | Período |Fun-| Duración de la E n t i d a d |AEP| Aud.(Años)|ción| Actividad ---------------------------------|---|---+---+----|----|---------------------- Nombre | R.U.C.|Cód| 1 | 2 | 3 |Cód.| Inicio | Fin |H.C ------------------------|--------|---|---|----|---|----|--------|--------|---- .......................|........|...|...|...|...|....|../../..|../../..|.... .......................|........|...|...|...|...|....|../../..|../../..|.... .......................|........|...|...|...|...|....|../../..|../../..|.... .......................|........|...|...|...|...|....|../../..|../../..|.... .......................|........|...|...|...|...|....|../../..|../../..|.... ----------------------------------------------------------------------------- H.A=Horas Académicas H.C=Horas Comprometidas C=Código AEP=Act.Ecón.Principal ------------------------- -------------------- Sello y Firma Firma Sociedad de Auditoría
  27. 27. 27 FORMATO 4 CRONOGRAMA DE TRABAJO DEL EQUIPO PROPUESTO SOCIEDAD:................……………… …..….. ENTIDAD:.………………………….. ….. VISITA PRELIMINAR TRABAJO DE CAMPO ELABORACIÓN DEL INFORME LIBRETA ELECTORAL INTEGRANTE DEL EQUIPO DEL AL DEL AL DEL AL TOTAL DÍAS ÚTILES TOTAL HORAS NOTA: Indicar las fechas (día,mes,año) de inicio y fin de las etapas que desarrolla cada persona; en el mismo orden del Formato No. 2.
  28. 28. 28 FORMATO Nº 5 DECLARACION JURADA CONOCIMIENTO Y DE ADHESIÓN A LAS BASES DEL CONCURSO Declaramos que los socios y el personal de auditoría propuesto por la firma tienen conocimiento y dominio de las disposiciones emanadas del Sistema Nacional de Control. Asimismo, declaramos conocer y manifestamos nuestra adhesión en extenso a los aspectos establecidos en las bases del Concurso de Méritos Nº…….-…..., convocado para auditar………………………………………………………...por el (los) períodos (s)..................................., de acuerdo a los lineamientos establecidos por la Contraloría General. En muestra de lo cual adjuntamos, en señal de conformidad, las Bases que fueron adquiridas para el presente Concurso de Méritos debidamente rubricadas en cada una de sus páginas. Lima, ------------------------------------------------------------ FIRMA (SOCIO) FORMATO Nº 6 DECLARACIÓN JURADA DE AUSENCIA DE INCOMPATIBILIDAD De acuerdo a lo dispuesto en el Artículo 22º del Reglamento de Designación de Sociedades de Auditoria, aprobado por R.C. 162-93- CG de 19.NOV.93 y sus modificatorias, y en la Norma de Auditoría Gubernamental N° 1.20 –INDEPENDENCIA , declaro en mi calidad de socio y representante legal de la Sociedad, que nos encontramos libres de impedimentos de toda índole, directos o indirectos o relacionados con los señalados en las Bases del Concurso, que limiten efectuar una labor imparcial y objetiva en la auditoría a efectuarse en la Contraloría General de la República, tales como: 1. Si los socios y/o miembros del equipo se desempeñan como funcionarios o servidores públicos, y en caso de ser ex funcionarios públicos, no haber sido observados por la Contraloría General. 2. Si los socios y/o miembros del equipo han mantenido, durante el ejercicio a auditar, vinculo laboral o contractual con la entidad bajo examen, con los titulares y representantes legales o vínculos familiares hasta el 4° grado de consanguinidad y 2° de afinidad con los miembros. 3. Si la Sociedad de Auditoria, socios y/o miembro del equipo tuvieran pleito pendiente con la Contraloría General o cualquier otra entidad del Estado. 4. Si la Sociedad de Auditoria, socios y/o miembros del equipo asignado para la ejecución de la auditoria se encuentran inhabilitados por el Colegio de Contadores Públicos, otros Colegios Profesionales u Organismos. 5. Si la Sociedad de Auditoria se encuentra suspendida temporalmente o está sometida a proceso investigatorio por parte de la Contraloría General y/u otros organismos. 6. Si los socios y/o miembros del equipo propuesto para la realización de la auditoria ha infringido el Código de Ética de su respectivo Colegio Profesional. 7. Si los socios y/o el personal técnico profesional propuesto como integrante del equipo, han ocupado cargos jerárquicos de confianza en la Contraloría General de la República, vinculados a funciones de conducción, supervisión o de control sobre los procesos de designación y contratación de dichas sociedades o sus labores subsecuentes en aplicación del presente Reglamento, hasta un año después de haber usado en el cargo. Dicha limitación es aplicable asimismo, respecto del cónyuge y parientes hasta el 4º grado de consanguinidad y 2º de afinidad, y es extensiva sobre quienes ocupen los cargos de confianza a que se refiere el párrafo precedente a la fecha de la convocatoria del concurso correspondiente. CONSIDERACIONES FINALES Declaramos bajo juramento que nos acogemos a la presunción de veracidad establecida en los artículos IV y 42º de la Ley N° 27444; declarando asimismo, conocer las consecuencias de orden pecuniario, administrativo y penal en caso de falsedad de ésta declaración conforme lo regula el artículo 32° de la citada Ley y el Código Penal.
  29. 29. 29 Fecha,.................................................... ----------------------------------------------------------------- Firma del Representante Legal de la Sociedad FORMATO Nº 7 COMPROMISO DE CUMPLIMIENTO DE NORMAS DE CONDUCTA PROFESIONAL Y PERSONAL Deberes Funcionales. Exigencias al Personal Auditor (NAGU N° 1 Normas Generales) 1. Para el ejercicio de la presente auditoria declaramos someternos a la calificación exigida por las normas de auditoria gubernamental, dando relevancia: - Independencia de criterio respecto de la entidad auditada, que nos permita formular juicios fundados en elementos objetivos de los aspectos examinados, lo que implica además, mantenernos libres de cualquier situación que pudiera señalarse como incompatible con nuestra integridad y objetividad. (NAGU 1.20) 2. Por la presente declaramos que, para el ejercicio de la presente auditoria nos encontramos exentos de incompatibilidad y/o prohibición personales o funcionales que impidan nuestro desempeño laboral independiente, conforme a las exigencias previstas para el auditor en las normas del Sistema Nacional de Control, dejando constancia de las siguientes situaciones: a) No haber laborado, bajo cualquier forma o modalidad contractual, por lo menos dos años antes en la entidad a auditar, en las áreas materias del objetivo del examen, y/o participado o intervenido directa o indirectamente en aspectos objeto de la auditoria. b) Encontrarnos libres de prejuicios acerca de los funcionarios y servidores auditados, intereses personales, de ideas preconcebidas, influencias o presiones de terceros respecto de la entidad a auditar; tales como, mal concepto de la actuación funcional o personal de los funcionarios y/o servidores auditados, haber recibido ofrecimiento de empleo o negocio en la entidad o con sus funcionarios, etc. CONSIDERACIONES FINALES Declaramos bajo juramento que nos acogemos a la presunción de veracidad establecida en los artículos IV y 42º de la Ley N° 27444; declarando asimismo, conocer las consecuencias de orden pecuniario, administrativo y penal en caso de falsedad de ésta declaración conforme lo regula el artículo 32° de la citada Ley y el Código Penal. Fecha,.................................................... ----------------------------------------------------------------- Firma del Representante Legal de la Sociedad
  30. 30. 30 ANEXO Nº 1 COMPOSICIÓN DEL COSTO = HONORARIOS NOMBRE DE LA ENTIDAD: .......................................... S/. - COSTO DEL PERSONAL TECNICO PROPUESTO (ANEXO Nº 2) - COSTO DEL PERSONAL ADMINISTRATIVO - OTROS GASTOS - UTILIDAD PREVISTA COSTO TOTAL DE HONORARIOS --------------------------------- =================== ANEXO Nº 2 COSTO HORA/HOMBRE DEL EQUIPO PRESUPUESTO NOMBRE DE LA ENTIDAD:........................................... CARGO COSTO H/H (a) TOTAL HORAS DEL CARGO S/ PROPUESTA (b) TOTAL COSTO H/H (a x b) S/
  31. 31. 31 TABLAS CONDICIÓN 1 PERMANENTE 2 CONTRATADO GRADO 1 ESTUDIANTE SUPERIOR 2 EGRESADO 3 BACHILLER 4 TITULADO 5 MAESTRIA 6 DOCTORADO PROFESIÓN 0100 CONTABILIDAD 0200 DERECHO Y CIENCIAS POLITICAS 0300 ADMINISTRACION 0400 ECONOMIA 0500 ARQUITECTURA 0600 ING. AGRICOLA 0700 ING. CIVIL 0800 ING. QUIMICA 0900 ING. INDUSTRIAL 1000 ING. PESQUERA 1100 ING. ELECTRICA 1200 ING. SANITARIA 1300 ING. DE INDUSTRIAS ALIMENTARIAS 1400 ING. DE MINAS 1500 ING. DE MECANICA 1600 ING. DE PETROLEOS 1700 ING. DE SISTEMAS 1800 ING. METALURGICA 1900 ING. ZOOTECNICA 2000 GEOLOGIA 2100 MEDICINA HUMANA 2200 COMPUTACION 2300 MATEMATICAS 2400 ESTADISTICA 2500 EDUCACION 2600 SOCIOLOGIA 2700 ASISTENCIA SOCIAL 2800 CIENCIAS DE LA COMUNICACION 2900 PSICOLOGIA 9999 OTROS
  32. 32. 32 TALLER 02 ACTIVIDAD APLICATIVA PROPUESTAS DE AUDITORIA DE SISTEMAS. Objetivo Elaborar Propuesta para trabajos de auditorias para empresas privadas y públicas de acuerdo a los formularios establecidos Orientaciones En el laboratorio bajar información de la página Web. De la Contraloría general de la Republica, de los formularios para la presentación de propuesta de auditoria de sistemas. WWW: contraloria.gob.pe. AUTOEVALUACIÓN 1. Llenar los formularios bajados de internet para la propuesta de trabajo para una auditoria publica.. 2. Elaborara una propuesta para empresa privada para un trabajo de auditoria de sistemaas. REFERENCIAS DOCUMENTALES • www.contraloria.gob.pe TEMA N° 03 EL SISTEMA INFORMATICO. REQUISITOS DEL AUDITOR INFORMATICO Debe tener conocimiento suficiente de Sistemas. Análisis - FODA por Cliente. Seguridad y Profesionalismo. No es conocedor de todas las especialidades. No opinar con facilidad. Conocimiento de hardware Software – Relativos
  33. 33. 33 ENFOQUES EN LA AUDITORIA DE SISTEMAS • Auditoria alrededor del computador. • Análisis de procedimientos , métodos y otros usados en los dif i • Auditoria en el Computador. • Examen de aplicaciones. • Eficiencia / eficacia de los sistemas asistidos CIS • Auditoria a través del Computador. • Controles – entrada / salida • Eficiencia / Eficacia en la operación de los sistemas. • Otros PAPEL DEL AUDITOR DE SISTEMAS Estudiar el sistema de Información y analizar sus controles organizativos y operativos. (PED). Investigar y analizar las aplicaciones informáticas en producción o desarrollo. Evaluar la eficiencia y eficacia de los sistemas de información. Deben conocer los puntos fuertes y débiles del sistema. Debe establecer un adecuado nivel de comunicación con el personal de PED. En relación a los temas técnicos, debe requerir del Ingeniero de sistemas. Revisar los papeles de trabajo. Analizar con el abogado los Hallazgos y respuestas. Discutir con el equipo el informe en borrador. Elaborar y firmar el Informe en limpio.
  34. 34. 34 Sistemas de Respaldo y Redundantes Técnicas de Protección: Backup. Copias de Seguridad. Unidades de Espejo. Niveles de Respaldo y Redundancia. Tolerancia a fallos. Capacidad de respuesta a un suceso inesperado. Hardware – Software – Electricidad – Borrado accidental operación Negligente - UPS – Grupos electrogenos. Protección contra Virus. Conceptos de Seguridad de la Información Seguridad: Asociado a Certeza – Falta de riesgo o contingencia. Niveles de Seguridad: Esto depende del conjunto de técnicas usadas por la empresa; encaminadas a obtener un menor riesgo. Íntimamente ligada a la Organización. ALTO MODERADO BAJO. Sistema de Seguridad = Tecnología + Organización
  35. 35. 35 ATRIBUTOS DELS ISTEMA INFORMATICO Concepto de sistema La palabra sistema puede ser utilizada con varios sentidos diferentes. Por ejemplo, podemos decir que el profesor José tiene un sistema de evaluación muy riguroso o que don Juan tiene un sistema estupendo para jugar el “me late”, o inclusive que el sistema solar tiende a alejarse de un hoyo negro. Sin embargo, para nuestro propósito, diremos que sistema es un conjunto de partes integradas que tienen la finalidad común de alcanzar determinado objetivo u objetivos. De este concepto podemos extraer tres características básicas: Un conjunto de partes: Todo sistema tiene más de un elemento. Partes integradas: Existe una relación lógica entre las partes que constituyen un sistema. Sistemas electrónicos o mecánicos, como una máquina de lavar ropa o de un videojuego, posen componentes que trabajan en conjunto. Un sistema de administración de personal consiste en procedimientos integrados para reclutar, seleccionar, capacitar y evaluar empleados. Propósito común de alcanzar determinado objetivo: Todo sistema existe para alcanzar uno o más objetivos, y sus partes integrantes deben ajustarse entre sí para lograr el objetivo global del sistema. En la medida en que las partes están interrelacionadas y unidas, el sistema alcanza un estado sólido y firma. El resultado del sistema es mayor que la suma de sus partes, porque la interrelación de ellas produce un efecto multiplicador denominado Sinergia. Cada parte ayuda a otra y el efecto sinegético hace que el resultado del conjunto sea maximizado. Sin embargo, si las partes no están correctamente interrelacionadas el sistema entra en un estado de descomposición y desintegración llamado Entropía. Cada parte se desliga de la otra y el efecto entrópico produce perdidas y deterioro. - Finalidad de los sistemas Vimos que el sistema existe para lograr uno o más objetivos. Un objetivo es una situación deseada, un resultado a alcanzar. Vimos también que un sistema, es eficaz cuando alcanza adecuadamente los objetivos para los cuales fue creado. La eficacia esta ligada a los fines, a los resultados, a los objetivos logrados. 3.- Componentes de los sistemas Todo sistema está constituido por partes relacionadas entre sí. Las partes son los subsistemas que a su vez están constituidos por otras partes relacionadas entre sí, y así sucesivamente. Por otro lado, todo sistema es parte de un sistema mayor, el SUPRA SISTEMA. Este es el atractivo que la
  36. 36. 36 TEORIA DE SISTEMA ofrece. Se puede estudiar cada sistema con sus subsistemas integrantes, como partes de un sistema más grande. LOS COMPONENTES DE TODO SISTEMA SON LOS SIGUIENTES. : Entradas o Insumos (input): es todo lo que ingresa al sistema para hacerlo funcionar. Ningún sistema es autosuficiente o autónomo. El sistema necesita de insumos, en forma de recursos, energía o información. En el organismo humano, los insumos son variados, el aire, los, el agua, las imágenes, los sonidos, etc. que provienen del medio ambiente externo. Operación o procesamiento: todo sistema procesa o convierte sus entradas mediante sus subsistemas. Cada subsistema se encarga de un tipo de insumo que le es peculiar. En el organismo humano, el aire que respiramos es procesado por el aparato respiratorio, la comida que comemos por el aparato digestivo, las imágenes por los sistemas visual y nervioso Salidas o resultados (output): Todo sistema coloca en el medio ambiente externo las salidas o resultados de sus operaciones. Las entradas debidamente procesadas y convertidas en resultados se exportan de nuevo al ambiente, en forma de productos o servicios prestados, en el caso de las empresas. Retroacción o retroalimentación (feedback): es la reentrada o retorno al sistema de sus salidas o resultados, que pasan a influir sobre su funciona miento. La retroacción es generalmente una información o energía de retorno que vuelve al sistema para realimentarlo o alterar su funcionamiento como consecuencia de sus resultados o salidas. A partir de esos Componentes, se puede evaluar el funcionamiento de un sistema. En lenguaje “sistémico”, la eficiencia es el cuociente de salida sobre le entrada, es, es decir, la cantidad de salida por unidad de entrada. Si dos sistema presentan los mismos resultados, pero uno de ellos requiere menos recursos de entrada, entonces éste será más eficiente. O dos sistemas utilizan la misma cantidad de insumos, pero uno de ellos produce mejor resultado, entonces éste será el más eficiente. La eficacia, por otro lado, es la relación entre la salida y el objetivo del sistema, esto es, en cuanto más contribuye el resultado al alcance del objetivo, más eficaz será el sistema. 4.- Clasificación de los sistemas Hay varias maneras de clasificar los sistemas: en cuanto a su constitución y en cuanto a su relación con el medio ambiente. En cuanto a su constitución, los sistemas pueden clasificarse en: Físicos o concretos (en inglés: hardware): son los sistemas compuestos de elementos palpables y concretos, como máquinas, equipos, instalaciones, edificios, materias primas, etc.
  37. 37. 37 Conceptuales o abstractos (en ingles: software): son los sistemas compuestos de aspectos intangibles y abstractos, como filosofías, políticas, directivas, programas, procedimientos, reglas y reglamentos, etc. En realidad, las empresas son sistemas constituidos por subsistemas físicos y conceptuales: ellas necesitan de máquinas, equipos e instalaciones, pero requieren también de filosofías, directrices, reglas y reglamentos para funcionar. En cuanto a su relación con el medio ambiente, los sistemas pueden clasificarse en: Cerrados o mecánicos: son los sistemas cuyas entradas y salidas hacia el medio ambiente externo son pocas y sobre todo conocidas. Son los sistemas mecánicos o determinismo que con determinada entrada producen determinada salida, como el motor, la máquina, etc. Son previsibles y sujetos a certezas. Abiertos u orgánicos: son los sistemas que tienen una infinidad de entradas y salidas hacia el medio ambiente externo, no siempre bien conocidas. Mantienen intenso intercambio con el ambiente. Son los sistemas vivos y orgánicos sujetos a la indeterminación e incertidumbre. En realidad, no existen sistemas absolutamente cerrados o absolutamente abiertos: los primeros serían herméticos y los últimos se confundirían con el ambiente externo. En las empresas existen sistemas mecánicos (como las máquinas, equipos, instalaciones, etc.) y sistemas orgánicos (como las personas, principalmente). La propia empresa es un sistema orgánico, vivo y abierto. Sistemas de sugestión Los sistemas de sugestión son importantes y pueden incluirse en una discusión del pensamiento creativo. Por medio de los sistemas de sugestión, se anima a los empleados a que sometan sus ideas para mejorar las operaciones y las condiciones de trabajo. Las sugestiones adoptadas recompensan a su autor, usualmente en la forma de premios en efectivo. Cuando se le da amplia atención y apoyo suficiente, el sistema de sugestiones no solo proporciona las ideas sino que contribuye significativamente al logro de buenas relaciones humanas. Es imperativo que los gerentes den al sistema de sugestiones de su empresa apoyo entusiasta y que lo expliquen minuciosamente a todos los empleados. El éxito de los sistemas de sugestiones requiere una promoción y publicidad continuas. Es demasiado frecuente que se inicie un sistema con brote de entusiasmo y que se desvanezca prácticamente en nada al los pocos meses, debido a la falsa creencia de que el sistema debe ser auto generador y debe continuar así. Hay que fomentar el que los empleados hagan sugestiones y ayudarlos a redactarlas.
  38. 38. 38 La siguiente figura incluye lo que el gerente puede hacer a este respecto La experiencia muestra que unas cajas para sugestiones convenientemente ubicadas. en un sitio al lado para escribir. Bastantes formas a la mano para sugestiones una buena recolección de las sugestiones y un rápido acuse de recibo de las mismas. Son de bastante utilidad para mantener despierto el interés en un sistema de sugestiones. De igual manera la decisión sobre las sugestiones se determinará en un periodo razonable. Es conveniente llevar un catalogo de sugestiones, de manera que las anteriores puedan servir de referencia, con el destino que se les haya dado. Si una sugestión requiere mas del tiempo normal para juzgarla, quien la haya hecho debe ser informado de esta situación, ya que es perfectamente normal que un empleado desee saber que pasó con su idea o las condiciones en que se encuentra su sugerencia. Las decisiones junto a los razonamientos y las cantidades de los premios deben hacerse del conocimiento de todos los empleados. Esto puede efectuarse por medio de carteles, en un tablero de boletines o mediante inserciones en las publicaciones de la compañía. En muchos casos es conveniente no dar a conocer el nombre del colaborador, con objeto de eliminar cualquier influencia personal al juzgar, para mejorar la precisión de los premios o por cualquiera de varia circunstancias que atañen al individuo. También es importante una rápida acción después de que se llegue a una decisión con respecto a una sugestión. Las recompensas deben ser pagadas sin demora, la sugestión debe ser puesta en vigor tan rápido como sea posible, y lograr la continuación de las sugestiones aprobadas. La cantidad del premio puede variar pero desde un mínimo de 5% hasta un máximo del 10 % de los ahorros del primer año derivados de la adopción de la sugestión. La recompensa debe ser lo bastante para retener el interés de los empleados y su participación activa. Es conveniente activar de inmediato una sugestión aprobada, ya que muchos empleados están mas interesados en ver sus sugestiones llevadas a la práctica que en recibir la recompensa. La continuación de las sugestiones demuestra un interés continuo de parte de los gerentes y revela el grado hasta el cual se siguen las sugestiones y los benéficos a largo plazo que se deriven. Las ideas y su aplicación pueden ser la ruta hacia el éxito y la fama en la administración. Se necesitan nuevas y mejores ideas si es que la administración va a continuar progresando. Existen medios definidos y pueden ser adoptados para desarrollar la facultad de crear ideas, lo mismo que para ponerlas en práctica. Debe contarse con un ambiente de trabajo que conduzca y fomente la creación de ideas y la innovación. Pero esta atmósfera favorable no puede crearse de la noche a la mañana o por un mero ademán, no importa lo bien dispuesto que encuentren los gerentes. Toma tiempo, esfuerzo de concentración, fe en la importancia de las ideas y la convicción de que pueden crearse mejoras y mejores objetivos administrativos, así como los medios para utilizarlos.
  39. 39. 39 TALLER 03 ACTIVIDAD APLICATIVA SISTEMAS INFORMATICOS. Objetivo Conocer los atributos de los sistemas informáticos y los modos de aplicar pruebas de auditoria. Orientaciones En forma grupal identificar y analizar los modelos y sistemas informático a mas usados en las empresas. AUTOEVALUACIÓN 1. Referencia los modelos de sistemas informáticos usados en las empresas? 2. Conocer la manipulación de los sistemas informáticos en las áreas principales de las empresas?.. REFERENCIAS DOCUMENTALES • www.esinet.es. • www.infoplus.es. TEMA N° 04 CONCENTRACION DE LOS SISTEMAS INFORMATICOS Lo Importante es Proteger la Información Los Datos y la Información son los sujetos principales de protección Confidencialidad: Información conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad. Integridad: Seguridad de la información. La Información no sufre alteración, no es borrada, Disponibilidad: Seguridad que la información pueda ser recuperada en el momento que se necesite.
  40. 40. 40 Empresa Virtual EMPRESARIO Perú Pone una empresa Virtual en Internet El Cliente paga con Visa El cliente ( India) hace su pedido vía Internet Se compra en Cuba habanos para ser enviados a India Cuba envía al cliente en India Preguntas: IGV – Renta de fuente – Exportacion ???????? TORTAS PERU Cliente del Exterior VISA Paga con VISA Se encarga a preparar la torta a afiliada mas cercana al domicilio del beneficiario IGV: Venta se trata como venta local Honorarios: Locales Renta: Fuente peruana Se paga desde el exterior
  41. 41. 41 TALLER 04 ACTIVIDAD APLICATIVA SISTEMAS INFORMATICOS AUDITABLES. Objetivo Conocer los atributos de los sistemas informáticos y los modos de aplicar pruebas de auditoria. Orientaciones En forma grupal identificar y analizar los modelos y sistemas informático a mas usados en las empresas. AUTOEVALUACIÓN 1. Referencia los modelos de sistemas informáticos usados en las empresas? 2. Conocer la manipulación de los sistemas informáticos en las áreas principales de las empresas?.. REFERENCIAS DOCUMENTALES • www.esinet.es. • www.infoplus.es. Revista Informativo Vera Paredes Título Auditoria en un ambiente de sistemas de información computarizada (NIA 401) Número Nø 8 (Abr. 2004) Fecha 2004 Páginas B1-B8 UNIDAD II INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS. El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso de sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor – Contador, hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria. CONTENIDOS PRODEDIMENTALES • Identifica conceptos de software, evaluación y control de los mismos. • Manejo de los diseños y producción de software. • Aplica e interpreta las diferentes formas de metodologías de pruebas de auditoria.
  42. 42. 42 Aplica las pruebas sustantivas de auditoria basados en tipos de datos. CONTENIDOS ACTITUDINALES: • Maneja y cuida el software propuesto para la evaluación propuesta. • Conoce los sistemas informáticos: diseño, proceso y mantenimiento. • Maneja la metodología de pruebas de auditoria. Contenidos conceptuales: CONTENIDOS CONCEPTUALES TEMA No. 5: BASE DE DATOS PARA LA AUDITORIA DE SISTEMAS. TEMA No. 6: ASPECTOS A CONTROLAR EN LA AUDITORIA DE SISTEMAS. TEMA No. 7: CONCEPTUALIZACIONES DE DISEÑO Y PRODUCCION DE SOFTWARE. TEMA No. 8. PRUEBAS DE AUDITORIA. DIAGRAMA DE CONTENIDOS INGENIERIADELAINFORMACIONYLAMETODOLOGIADEPRUEBAS BASE DE DATOS CONCEPTUALIZACIONES DE DISEÑO Y PRODUCCION DE SOFTWARE PRUEBAS DE AUDITORIA ASPECTOS A CONTROLAR EN LA AUDITORIA DE
  43. 43. 43 TEMA N° 05 BASE DE DATOS PARA AUDITORIA • Una Base de Datos describe organizaciones del mundo real, representa simbólicamente los objetos del mundo real como tablas. • Importancia del diseño de la BD. • Diseño lógico: proceso iterativo. • Partir grandes estructuras heterogéneas en otras estructuras más pequeñas y homogéneas. • A este proceso se le llama normalización. (Fco. Nava) DISEÑO DE BASE DE DATOS: Etapa previa a la introducción (Grabación) de datos. Proceso iterativo (normalización): se buscan estructuras pequeñas y homogéneas. Normalización: determinación de las relaciones naturales entre los datos. Mecanismos de normalización: división de tablas en otras con menos atributos. Importante: que no se pierdan datos (recuperación de las tablas originales mediante uniones naturales). OBJETIVOS • Objetivo de la normalización: determinar las relaciones naturales entre los datos. Se parte una tabla en dos o más con menos columnas. No hay pérdida de información. Información de la tabla original: operación de unión de las tablas. Satisfacer los requisitos de los usuarios. Asegurar la integridad y consistencia de los datos (respecto a las restricciones). Proporcionar una estructura de la información natural (consultas fáciles de entender, actualizaciones sencillas). Satisfacer los requisitos de rendimiento. CONTROL DE SISTEMAS EN FUNCIONAMIENTO PLAN DE TRABAJO Para efectuar el Control, el Especialista deber establecer su plan de trabajo, el cual debe basarse en pasos y etapas a ejecutar en un plazo determinado y deber contemplar las etapas siguientes: a) Planeamiento del Trabajo a Realizar. b) Investigación Preliminar. c) Evaluación del Sistema. d) Planeamiento y Diseño de las Pruebas de Control. e) Ejecución y Evaluación de los Resultados de las Pruebas. f) Confección del Informe de Auditoria del Sistema. g) Revisión y Opinión del Informe.
  44. 44. 44 h) Seguimiento de las Recomendaciones de Auditoria. a. Planeamiento del trabajo a realizar Consiste en la estrategia que conduzca al logro de los objetivos concretos y a las expectativas de la Alta Dirección en el menor tiempo posible, para lo cual se elaborar el plan de trabajo que permita medir el avance del trabajo en puntos claves y administrar Eficientemente los recursos de tiempo y personal que sean asignados. En el documento de planeación se debe considerar lo siguiente: Objetivo general del trabajo a realizar. En forma concreta se plantea los objetivos del trabajo. Alcances del trabajo a realizar. Se marcan los escenarios de riesgos que se van examinados en el trabajo, pudiendo ser todos o solamente algunos. Puntos de interés para este trabajo. Se registran los aspectos que requieren especial atención, de acuerdo con los antecedentes que se conozcan de la aplicación o de otras similares y de la información que se procesa con ella. Auditores asignados. Un grupo se encarga de verificar que se cumplan con los estándares de calidad y las normas y directivas que ha emitido la Institución y el ente rector en Informática. Otro grupo se encarga de verificar el funcionamiento de los sistemas. Duración estimada. Comprende la suma de los tiempos estimados asignados a cada una de las etapas desde la b) hasta la h). Fechas de iniciación / terminación. Para el desarrollo completo de las actividades del proyecto. Diagrama de actividades. Se coloca el tiempo estimado que va a durar cada una de las actividades. Entrevista de iniciación de auditoria. Se realiza una reunión con el personal directivo de Sistemas en la cual se plantean los objetivos y el enfoque de trabajo a realizar y se Establecen los mecanismos de comunicación a emplear en el desarrollo del trabajo. Puede utilizar el formato de Plan de Trabajo indicado en el diagrama No. 5. b. Investigación Preliminar Se determinan las características técnicas y operativas de la aplicación objeto del trabajo y su importancia para los objetivos y metas de la Institución. Se debe conseguir la documentación del sistema, para que en el trabajo de gabinete pueda investigarse en forma preliminar el Sistema, con la siguiente información: . Dependencias involucradas en el manejo de la aplicación. . Inventario de documentos fuentes. . Inventario de informe que produce. . Normas legales e institucionales que rigen el funcionamiento de la aplicación. . Interfases de la aplicación con otros sistemas. . Procesos manuales y automatizados que realiza la aplicación. . Perfil técnico de la aplicación.
  45. 45. 45 . Personal clave para el manejo de la aplicación en cada dependencia involucrada. . Inventario de manuales de documentación existente. . Información sobre fraudes que se hayan cometido. (Diagrama 5) c. Evaluación del Sistema Se debe efectuar la revisión de los 10 aspectos indicados en el punto 3.2. Al evaluar el sistema también debe considerarse los riesgos determinándose cuales son las situaciones de riesgo y cuales sus causas. Para evaluar los controles existentes se deben utilizar una de las dos alternativas, o ambas: - Análisis de Riesgo. - Cuestionarios de Control. Riesgos: . Riesgos Accidentales Ingreso accidental ya en apertura. Falla imprevista que anula seguridad. Error en sistema de comunicación. ³ CONTROL DE SISTEMAS EN FUNCIONAMIENTO : ³ AUDITOR RESPONSABLE: ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄ ³ ACTIVIDADES ³ PEDIDOS: DIAS O SEMANAS ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÂÄÄÂÄÄÂ ÄÄÂÄ ³1. PLANEAMIENTO ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 1.1 Elaboración del Plan ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 1.2 Aprobación del Plan ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³2. INVESTIGACION PRELIMINAR ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 2.1 Relevamiento de información ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 2.3 Análisis de Información ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ
  46. 46. 46 ³3. EVALUACION ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.1 Documentación del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.2 Procesamiento del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.3 Operatividad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.4 Controles del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.5 Integridad de Datos ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.6 Validez de Resultado ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.7 Seguridad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.8 Sistema de Respaldo ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.9 Auditabilidad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³ 3.10 Efectividad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³4. DISEÑÓ DE PRUEBAS DE CONTROL ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³5. EJECUCION-EVALUACION RESULTADOS ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³6. ELABORACION INFORME DE AUDITORIA ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³7. REVISION OPINIONES DEL INFORME ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
  47. 47. 47 ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³8. EMISION DE INFORME FINAL ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ ÄÄÅÄ ³9. SEGUIMIENTO DE RECOMENDACIONES ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ . Riesgos Pasivos Captación electromagnética de transmisión de microondas. Intercepción por alambres o cables coaxiales. Acceso vía procedimientos técnicos avanzados. . Amenazas Activas Otorgamiento de clave de seguridad a usuario realmente no autorizado. Ingresar al sistema cuando el usuario autorizado ha dejado su terminal abierto, sin salir del sistema. Ingreso por personas expertas. d. Planeamiento y diseño de las pruebas de control Se deben diseñar los juegos de datos de pruebas, los cuales deben asegurar que se investigue totalmente la confiabilidad del sistema y los controles que poseen. En esta se debe considerar : Naturaleza y extensión de las pruebas de auditoria. Plan de las pruebas a ejecutar. Diseño de las pruebas de auditoria. e. Ejecución y Evaluación de los resultados de las pruebas Una vez, ejecutadas las pruebas se deben evaluar los resultados de las mismas y determinar en que módulos, el Sistema no es confiable y controles que no posee, que deban ser imprescindibles. f. Confección del Informe de Auditoria del Sistema Producto de la revisión del Sistema se deber preparar el Informe de Auditoria y Control del Sistema. El informe preliminar debe ser opinado y recibirse los comentarios del caso para posterior emitir el informe final g. Revisión y Opinión del Informe Tanto el usuario, como el de Informática que desarrolló ó administra la operación del Sistema, deben tener la oportunidad de revisar y opinar sobre el informe preliminar, de tal forma de asegurar que se estén aceptando las observaciones indicadas.
  48. 48. 48 h. Seguimiento de las Recomendaciones de Auditoria Siendo el objetivo de este trabajo que se mejore el sistema y se superen sus deficiencias para beneficio de la Institución, se debe a través de un Registro de Seguimiento, efectuar el control de las acciones tomadas y las observaciones superadas. ASPECTOS A REVISAR Los aspectos que deben ser revisados son : 1- La documentación del sistema. 2- El procedimiento del sistema. 3- La operatividad del sistema. 4- Controles del sistema. 5- Integridad de los datos. 6- Validez de los resultados. 7- Seguridad del sistema. 8- Sistema de Respaldo. 9- Auditabilidad del sistema. 10- Efectividad del sistema. 1 Documentación del Sistema : Como paso inicial del proceso de control de una aplicación en funcionamiento, debe ser revisada la documentación existente, la cual permite además de tomar conocimiento escrito del mismo, revisar si se ha cumplido con la metodología y estándares establecidos para el desarrollo de sistemas, anotando las falencias para su evaluación en los pasos siguientes, ya que podrían ser causa de problemas del sistema en operación. 2 Procedimiento del Sistema: Todo sistema es un conjunto de procesos manuales y automatizados, cuya operativizaci¢n debe estar definida en un Procedimiento del Sistema. Es imprescindible la existencia del procedimiento formal para efectos de poder operativizar eficientemente y con eficacia el sistema. 3. Operatividad del Sistema: Una vez revisada la documentación del Sistema, se debe proceder a revisar su operatividad. Se revisa todo el ciclo del sistema: . Generación del Dato. . Ingreso del Dato al sistema. . Transmisión del Dato. . Procesamiento del Dato. . Actualización de Archivos. . Emisión de Reportes y Consultas. Se debe verificar que el sistema efectúe en cada etapa de su ciclo las Especificaciones establecidas en el Análisis y Diseño y se cumpla con el Procedimiento aprobado para el sistema. Debe analizarse y observar si realmente tiene los requisitos de operatividad que
  49. 49. 49 Hagan al sistema eficiente y eficaz. 4 Controles del Sistema: a.- Generación del Dato Debe verificarse las condiciones en que se genera el dato, ya sea este, externo o interno a la Institución, revisando que sea veraz, consistente y que refleje exactamente la operación realizada. Se podrá tomar una muestra de datos para efectos de verificar su exactitud. El sistema debe contemplar como uno de sus controles efectúa muestreos de calidad de los datos con una frecuencia PRE-establecida. b.- Ingreso del Dato Debe revisarse que el ingreso o transcripción de los datos se efectúe cumpliendo con controles básicos, tal como se indica: Si el sistema es descentralizado, que el dato sea ingresado por el mismo que lo genera, para tener un mayor control sobre la calidad del ingreso del dato, ya que dicha persona es la que mas conoce la información y es la responsable de la misma. En el caso de que sean varias personas las que tengan que ingresar datos por que la organización establece responsabilidades diferenciadas, debe constatarse que el sistema registre de alguna forma el código del ingresador del dato, para los controles del caso. Si el Sistema es centralizado en un centro de computo del usuario o de la Dirección de Servicios Informáticos, los datos deben ser recepcionados por lotes y con hojas de control que indiquen el total de datos lotizado y totales de control, que permitan validar la completitud de los datos al ingresar la información por personas transcriptoras de datos. Que los programas de ingreso de datos tengan consistencia física y lógica de datos. La consistencia física debe ser sobre el registro de datos en si, donde debe existir datos obligatorios y opcionales y rangos de valores de los datos. La consistencia lógica debe ser contra los archivos maestros del sistema y contra reglas de validación cruzadas que deba cumplir la información. Que los datos ingresados deban imprimirse como validación del ingreso de datos, de la forma más conveniente dependiendo de la naturaleza del sistema. Si el ingreso de datos es desde terminales y en ventanillas de atención al público, debe efectuarse una revisión visual previa y debe imprimirse el comprobante producto del ingreso del conjunto de datos y al final del turno o día de trabajo, debe emitirse un parte diario de comprobación y cuadre. Si el ingreso de datos es desde terminales, pero en forma de proceso en lotes, al final de cada lote debe imprimirse un listado de revisión visual y de cuadre para poder ser revisado con todos los documentos fuentes, si el volumen de registros es manejable, o por técnica de muestreo, cuando existe una cantidad
  50. 50. 50 considerable de registros. Al final del día debe adicionalmente imprimirse un parte diario de los lotes ingresados. c.- La Transmisión del Dato En un sistema en línea la transmisión del dato desde el terminal a la Base de Datos Central es manejada por el Software de Comunicaciones, Software de Red y Software de Base de Datos, debiendo en este caso: El Sistema aplicativo debe tener rutinas programadas que controlen la optima transacción procesada en caso de caídas del sistema y un programa alternativo de captura descentralizada del dato en el terminal, si su configuración de equipo lo permite y posterior transmisión y registro en la base de datos central. En un sistema de proceso en lotes, la transmisión del dato puede ser vía disquetes o módems. En este caso debe verificarse: 1.- Que los disquetes sean probados previamente antes de su remisión y que Quede un medio de respaldo en el centro de ingreso de datos. Asimismo se les coloque en modo protegido contra escritura y este Claramente identificado en su etiqueta el número o números de lote y la Cantidad de registros que contiene. 2.- Que Para el caso de transmisión de datos vía MODEM, el archivo a Transmitir debe poseer un registro de encabezado de control que Indique el número o números de lote y la cantidad de registros que Contiene, debiendo el aplicativo que leer dicha información efectuar la Verificación de la información del registro encabezado con los registros Leídos. d.- El Procesamiento del Dato Comprende los procesos manuales y automatizados que se realizan para producir los resultados previstos en las diferentes funciones que satisface el sistema. Se da especial énfasis a los controles incluidos en el software de las aplicaciones para lograr exactitud y confiabilidad del proceso y de los resultados que produce. Debe verificarse que el sistema tenga registros y rutinas de control que permitan que ante una caída del sistema pueda reiniciarse el procesamiento desde la última transacción procesada, ya sea el sistema en línea o en lotes. Para asegurar la integridad del procesamiento de los datos, en los sistemas en línea debe contarse con las seguridades físicas tales como UPS y equipos de respaldo de energía eléctrica de tal forma que evite el truncamiento del procesamiento y desincronizaci¢n de su operación. En los casos de los sistemas de procesamiento en lotes debe existir procedimientos computarizados para que los programas se ejecuten en la secuencia prevista y de acuerdo a las bifurcaciones establecidas.
  51. 51. 51 Deben establecerse condiciones de error que no puedan ser consistenciados física o lógicamente en la etapa de ingreso de datos, que no deben paralizar el procesamiento, sino mas bien reportar las ocurrencias para hacían inmediata en los sistemas en lineal o acciones posteriores en los sistemas de procesos de lotes. e.- Actualización de Archivos Debe verificarse que existan registros y rutinas de control que con cierta frecuencia de tiempo o de periodo, determine si existe coherencia entre la cantidad de registros y valores de los totales de los archivos. Por ejemplo, si se ha producido una cantidad de nuevas entidades debe reflejarse esto en un incremento del número de registros del archivo principal. Al final del día debería producirse un reporte de integridad de archivos. f.- Emisión de Reportes y Consultas. Deben existir rutinas de control y procedimientos que permitan al final de un periodo cuadrar cifras entre reportes y consultas, que aseguren la integridad de los resultados emitidos. Cada sistema, según su naturaleza, tiene una lógica de cuadre entre reportes, la cual debe estar claramente definida en el procedimiento. 5.- Integridad De Datos Adicionalmente a los controles anteriormente mencionados, para fines de asegurar la integridad de los datos en cuanto a su completitud y confiabilidad, el sistema debe poseer programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la información. Debe asimismo, en forma externa, establecerse procedimientos de comparación de la información producida por el sistema contra otras informaciones disponibles, para efectos de determinar la confiabilidad de la información. Dentro de este aspecto estan las circularizaciones de comprobación de la información del computador con las áreas o personas involucradas. 6.- Validez de los Resultados El aspecto mas importante de todo el sistema son los resultados, por lo que al revisar el sistema debe verificarse que los resultados cumplan con las especificaciones del diseño del sistema, lo cual debe comprobarse mediante juegos de datos de pruebas especialmente preparados, y que prueben todas las posibilidades de las entidades, datos y situaciones. 7 Seguridad del Sistema Debe comprobarse que el Sistema cuente con los siguientes tipos de seguridad: - Seguridad en el acceso a la información. - Seguridad del sistema. - Seguridades Físicas.
  52. 52. 52 a. Seguridad de acceso a la información: Debe existir a nivel Institución, un esquema global de seguridad de acceso a la información, donde deben existir para cada área y para cada funcionario Perfiles de Acceso a los Sistemas, a las funciones dentro de cada sistema y a la Base de Datos, constituyendo una matriz de accesos usuario versus sistemas, funciones donde el nivel de usuario es el código de cada funcionario. El sistema debe tener claves de seguridad discriminadas donde cada usuario tiene un acceso basado en las siguientes opciones: . Ingreso de datos. . Procesamiento de los datos. . Consultas por niveles. . Emisión de Reportes. Asimismo el sistema debe mantener un log de uso del sistema por sesión de trabajo. Los niveles de acceso a la información pueden ser : . Nivel de consulta de información no restringida. . Nivel de mantenimiento de la información no restringida. . Nivel de consulta incluyendo la información restringida. . Nivel de mantenimiento de la información restringida. b. Seguridad del sistema: Acceso y Seguridad a los Programas El Área de Servicio informatico debe ser la única que debe tener acceso sobre los programas fuentes, que deben estar archivados en bibliotecas especiales, bajo control de un Administrador de Sistemas. Asimismo, los programas objetos también deben tener nombres solo conocidos por el administrador del sistema, quien le coloca los nombres claves una vez recibidos los programas fuentes y estos son compilados. En la medida de lo posible, dependiendo de la envergadura del Servicio Informatico y de la naturaleza de los sistemas, se deberla tratar de utilizar un Software de Resguardo Automático de Redes. Cambios a los Programas de Aplicación : Debe existir una solicitud con la autorización respectiva para proceder a realizar los cambios a los programas. El control sobre los programas objetos debe tenerlo el Administrador de Sistemas, y cualquier cambio a los programas deben ser probados y solo reemplazados, después de demostrarse la confiabilidad del mismo.
  53. 53. 53 Cuando se cambien los programas fuentes deben documentarse en el programa con comentarios y registrar las modificaciones en el Registro de Control de Cambios. Asimismo el sistema debe contar con los elementos necesarios para poder darle mantenimiento, por lo que debe disponer de : . Manuales de Análisis y Diseño. . Manual de Programación. . Programas Fuentes. . Originales de Software de Base. . Personal de programación que conozca el sistema. c. Seguridades Físicas Los ambientes donde se procesan los sistemas deben contar con un suministro de energía eléctrica de calidad, con pozo de línea a tierra, estabilizadores, UPS, equipos de reemplazo de energía eléctrica, y extintores contra incendio. Debe también, en la medida de lo posible, disponer el acceso restringido donde se procesa la información, sea al ambiente de los terminalista o al centro de computo. Seguridad ante contaminación de Virus Ante la creciente proliferación de virus, debe existir instalado en el equipo central y equipos descentralizados sistemas antivirus, para prevenir la contaminación y afección de virus. Deben, establecerse disposiciones especificas que prohíban al personal de sistemas o usuarios, utilicen diskettes externos a la institución, para evitar la introducción de virus. En caso de recibir diskettes externos de trabajo oficial, estos de todas maneras, deben ser desinfectados antes de ser leídos por los equipos de computo. Cuando sea factible, tal es el caso de sistemas que requieren solo terminales, es preferible que estos no tengan unidad de diskette para evitar la contaminación o infección. En lo posible también deber tratarse de utilizar Sistemas Operativos, que eviten la contaminación por virus. 8 Sistema de Respaldo Previendo posibles problemas con el hardware o el software es necesario que el equipo central cuente con características técnicas de respaldo tales como : - Sistema tolerante a fallas. - tape-backup. - Equipo de capacidad similar de respaldo. Asimismo, debe contarse con elementos para ser cargados en el otro equipo de respaldo: - Instalador del Sistema o Backup del Sistema. - Backup de la Base de Datos por lo menos del turno anterior.
  54. 54. 54 En muchas oportunidades es conveniente, para áreas criticas de atención al publico, disponer de listados diarios de información resumen para poder seguir operando por lo menos manualmente en casos extremos. Los backups de la Base de Datos deben efectuarse por cada cambio de turno de trabajo o como mínimo al final del día, debiendo inclusive el sistema haber sido programado para que exija efectuar el backup respectivo. Una copia de respaldo de los programas fuentes y objetos de las aplicaciones, de la plataforma de software y de las bases de datos completas de la Institución (hasta de tres periodos anteriores) y debe guardarse una copia en el local ad-hoc de la Institución e inclusive una copia adicional en otro local para afrontar siniestros o desastres que pudieran ocurrir. 9 Auditibilidad del Sistema Todo Sistema debe tener la capacidad de poder ser auditado, para lo cual debe reunir una serie de características que lo permitan : . Contar con la documentación completa. . Disponer de una biblioteca de pruebas. . Disponer de Log del Sistema. . Contar con reportes de auditoria del sistema. . Contar con reporteadores de base de datos para producir reportes de cruce de información. Por lo tanto debe verificarse que el sistema disponga de los elementos antes indicados para poder facilitar su auditoria y en caso de no contar con ellos exigir se disponga de ellos. 10 Efectividad del Sistema Uno de los aspectos mas importante del sistema, por ser su razón de ser, es que sea efectivo en conseguir los objetivos y beneficios esperados, por lo que se debe : Efectuar visitas a los usuarios e indagar sobre su opinión respecto a : - su satisfacción de los resultados del sistema. - el grado de confiabilidad que le dan al sistema. Evaluar en forma independiente en que magnitud los beneficios han sido conseguidos y cuales son las razones o limitaciones que impiden que estos se logren. Determinar si los costos de operación del sistema se encuentran dentro de lo planificado y si son actualmente razonables para los beneficios tangible e intangibles obtenidos. Se deben evaluar aspectos tales como : . Que mejoras se han obtenido en la reducción de costos de operación. . Que mejoras se han obtenido en las operaciones de la Institución. . Cuanto ha mejorado la precisión de la información obtenida. . Que mejoras se han obtenido en disponer de la información completa requerida. . Que mejoras se han obtenido respecto a incluir controles en las operaciones de la Institución. . Que incremento se han obtenido en el número de operaciones atendidas, mejorando el tiempo de atención a los usuarios.

×