Monografias.com > Uncategorized
Descargar Imprimir Comentar Ver trabajos relacionados

Procedimientos y técnicas de auditoría (página 2)




Enviado por Mart�nez Lucia



Partes: 1, 2

 

Desarrollo del programa de
auditoría.

Un programa de auditoria es un conjunto documentado de
procedimientos
diseñados para alcanzar los objetivos de
auditoria planificados. El esquema típico de un programa
de auditoria incluye lo siguiente:

  1. Tema de auditoria: Donde se
    identifica el área a ser auditada.
  2. Objetivos de Auditoria: Donde
    se indica el propósito del trabajo de
    auditoria a realizar.
  3. Alcances de auditoria:
    Aquí se identifica los sistemas
    específicos o unidades de organización que se han de incluir en la
    revisión en un período de tiempo
    determinado.
  4. Planificación previa:
    Donde se identifica los recursos y
    destrezas que se necesitan para realizar el trabajo
    así como las fuentes de
    información para pruebas o
    revisión y lugares físicos o instalaciones donde
    se va auditar.
  5. Procedimientos de auditoria:
    para:
  • Recopilación de datos.
  • Identificación de lista de personas a
    entrevistar.
  • Identificación y selección del enfoque del
    trabajo
  • Identificación y obtención de
    políticas, normas y
    directivas.
  • Desarrollo de herramientas y metodología para probar y verificar los
    controles existentes.
  • Procedimientos para evaluar los resultados de las
    pruebas y revisiones.
  • Procedimientos de comunicación con la gerencia.
  • Procedimientos de seguimiento.

El programa de auditoria se convierte también
en una guía para documentar los diversos pasos de
auditoria y para señalar la ubicación del material
de evidencia. Generalmente tiene la siguiente estructura:

PROCEDIMIENTOS DE AUDITORIA

LUGAR

PAPELES TRABAJO

REFERENCIA

HECHO

POR FECHA:

Los procedimientos involucran pruebas de cumplimiento o
pruebas sustantivas, las de cumplimiento se hacen para verificar
que los controles funcionan de acuerdo a las políticas y
procedimientos establecidos y las pruebas sustantivas verifican
si los controles establecidos por las políticas o
procedimientos son eficaces.

Asignación de Recursos de
auditoría.

La asignación de recursos para el trabajo de
auditoria debe considerar las técnicas
de administración
de proyectos las cuales tienen los siguientes pasos
básicos: Desarrollar un plan detallado:
El plan debe precisar los pasos a seguir para cada tarea y
estimar de manera realista, el tiempo teniendo en cuenta el
personal
disponible. Contrastar la actividad actual con la actividad
planificada en el proyecto: debe
existir algún mecanismo que permita comparar el progreso
real con lo planificado. Generalmente se utilizan las hojas de
control de
tiempo. Ajustar el plan y tomar las acciones
correctivas: si al comparar el avance con lo proyectado se
determina avances o retrasos, se debe reasignar tareas. El
control se puede llevar en un diagrama de
Gantt  

Así mismo las hojas de control de tiempo son
generalmente como sigue:  

Los recursos deben comprender también las
habilidades con las que cuenta el grupo de
trabajo de auditoria y el entrenamiento y
experiencia que estos tengan. Tener en cuenta la disponibilidad
del personal para la realización del trabajo de auditoria,
como los períodos de vacaciones que estos tengan, otros
trabajos que estén realizando, etc.

Evaluación de fortalezas y debilidades de
auditoría.

Luego de desarrollar el programa de auditoria y
recopilar evidencia de auditoria, el siguiente paso es evaluar la
información recopilada con la finalidad de
desarrollar una opinión. Para esto generalmente se utiliza
una matriz de
control con la que se evaluará el nivel de los controles
identificados, esta matriz tiene sobre el eje vertical los tipos
de errores que pueden presentarse en el área y un eje
horizontal los controles conocidos para detectar o corregir los
errores, luego se establece un puntaje (puede ser de 1 a 10
ó 0 a 20, la idea es que cuantifique calidad) para
cada correspondencia, una vez completada, la matriz muestra las
áreas en que los controles no existen o son
débiles, obviamente el auditor debe tener el suficiente
criterio para juzgar cuando no lo hay si es necesario el control.
Por ejemplo:  

En esta parte de evaluación
de debilidades y fortalezas también se debe elegir o
determinar la materialidad de las observaciones o hallazgos de
auditoria. El auditor de sistemas debe juzgar cuales
observaciones son materiales a
diversos niveles de la gerencia y se debe informar de acuerdo a
ello.

Informe de
auditoría.

Los informes de
auditoria son el producto final
del trabajo del auditor de sistemas, este informe es
utilizado para indicar las observaciones y recomendaciones a la
gerencia, aquí también se expone la opinión
sobre lo adecuado o lo inadecuado de los controles o
procedimientos revisados durante la auditoria, no existe un
formato específico para exponer un informe de auditoria de
sistemas de
información, pero generalmente tiene la siguiente
estructura o contenido:

  • Introducción al informe, donde se expresara
    los objetivos de la auditoria, el período o alcance
    cubierto por la misma, y una expresión general sobre la
    naturaleza o
    extensión de los procedimientos de auditoria
    realizados.
  • Observaciones detalladas y recomendaciones de
    auditoria.
  • Respuestas de la gerencia a las observaciones con
    respecto a las acciones correctivas.
  • Conclusión global del auditor expresando una
    opinión sobre los controles y procedimientos
    revisados.

Seguimiento de las observaciones de
auditoría.

El trabajo de auditoria es un proceso
continuo, se debe entender que no serviría de nada el
trabajo de auditoria si no se comprueba que las acciones
correctivas tomadas por la gerencia, se están realizando,
para esto se debe tener un programa de seguimiento, la
oportunidad de seguimiento dependerá del carácter crítico de las
observaciones de auditoria. El nivel de revisión de
seguimiento del auditor de sistemas dependerá de diversos
factores, en algunos casos el auditor de sistemas tal vez solo
necesite inquirir sobre la situación actual, en otros
casos tendrá que hacer una revisión más
técnica del sistema

Metodología de
una
auditoría de
Sistemas

Existen algunas metodologías de Auditorias de
Sistemas y todas depende de lo que se pretenda revisar o
analizar, pero como estándar analizaremos las cuatro fases
básicas de un proceso de revisión:

  • Estudio preliminar
  • Revisión y evaluación de controles y
    seguridades
  • Examen detallado de áreas criticas
  • Comunicación de resultados

Estudio preliminar.- Incluye definir el grupo de
trabajo, el programa de auditoria, efectuar visitas a la unidad
informática para conocer detalles de la
misma, elaborar un cuestionario
para la obtención de información para evaluar
preliminarmente el control
interno solicitud de plan de actividades, manuales de
políticas, reglamentos, entrevistas
con los principales funcionarios del PAD.

Revisión y
evaluación de controles y
seguridades.-
Consiste de la revisión de
los diagrama de flujo
de proceso, realización de pruebas de cumplimiento de las
seguridades, revisión de aplicaciones de las áreas
criticas, Revisión de procesos
históricos (backups), Revisión de documentación y archivos entre
otras actividades.

Examen detallado de áreas criticas.-Con
las fases anteriores el auditor descubre las áreas
criticas y sobre ellas hace un estudio y análisis profundo en los que
definirá concretamente su grupo de trabajo y la distribución de carga del mismo,
establecerá los motivos, objetivos, alcance recurso que
usara, definirá la metodología de trabajo, la
duración de la auditoria, Presentará el plan de
trabajo y analizara detalladamente cada problema encontrado con
todo lo anteriormente analizado en este folleto.

Comunicación de resultados.- Se elaborara
el borrador del informe a ser discutido con los ejecutivos de la
empresa hasta
llegar al informe definitivo, el cual presentara
esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los
problemas
encontrados, los efectos y las recomendaciones de la
Auditoria.

El informe debe contener lo
siguiente:

  • Motivos de la Auditoria
  • Objetivos
  • Alcance
  • Estructura Orgánico-Funcional del área
    Informática
  • Configuración del Hardware y
    Software
    instalado
  • Control Interno
  • Resultados de la Auditoria
  • Caso Práctico

Controles

Conjunto de disposiciones metódicas, cuyo fin es
vigilar las funciones y
actitudes de
las empresas y para
ello permite verificar si todo se realiza conforme a los programas
adoptados, ordenes impartidas y principios
admitidos.

Clasificación general de los
controles

  • Controles Preventivo: Son aquellos que reducen la
    frecuencia con que ocurren las causas del riesgo,
    permitiendo cierto margen de violaciones.

Ejemplos: Letrero "No fumar" para salvaguardar las
instalaciones Sistemas de claves de acceso

  • Controles detectivos: Son aquellos que no evitan que
    ocurran las causas del riesgo sino que los detecta luego de
    ocurridos. Son los mas importantes para el auditor. En cierta
    forma sirven para evaluar la eficiencia de
    los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de
auditoria Procedimientos de validación

  • Controles Correctivos: Ayudan a la investigación y corrección de las
    causas del riesgo. La corrección adecuada puede resultar
    difícil e ineficiente, siendo necesaria la
    implantación de controles detectivos sobre los controles
    correctivos, debido a que la corrección de errores es en
    si una actividad altamente propensa a errores.

 Principales Controles físicos y
lógicos

Controles particulares tanto en la parte física como en la
lógica
se detallan a continuación

Autenticidad

Permiten verificar la identidad

  1. Passwords
  2. Firmas digitales

Exactitud

Aseguran la coherencia de los datos

  1. Validación de campos
  2. Validación de excesos

Totalidad

Evitan la omisión de registros
así como garantizan la conclusión de un proceso de
envío

  1. Conteo de registros
  2. Cifras de control

Redundancia

Evitan la duplicidad de datos

  1. Cancelación de lotes
  2. Verificación de
    secuencias

Privacidad

Aseguran la protección de los datos

  1. Compactación
  2. Encriptación

Existencia

Aseguran la disponibilidad de los datos

  1. Bitácora de estados
  2. Mantenimiento de activos

Protección de Activos

Destrucción o corrupción
de información o del hardware

  1. Extintores
  2. Passwords

Efectividad

Aseguran el logro de los objetivos

  1. Encuestas de satisfacción
  2. Medición de niveles de servicio

Eficiencia

Aseguran el uso óptimo de los recursos

  1. Programas monitores
  2. Análisis costo-beneficio

 Controles automáticos o
lógicos

Periodicidad de cambio de claves
de acceso

Los cambios de las claves de acceso a los programas se
deben realizar periódicamente. Normalmente los usuarios se
acostumbran a conservar la misma clave que le asignaron
inicialmente.

El no cambiar las claves periódicamente aumenta
la posibilidad de que personas no autorizadas conozcan y utilicen
claves de usuarios del sistema de
computación.

Por lo tanto se recomienda cambiar claves por lo menos
trimestralmente.

Combinación de alfanuméricos en claves
de acceso

No es conveniente que la clave este compuesta por
códigos de empleados, ya que una persona no
autorizada a través de pruebas simples o de deducciones
puede dar con dicha clave.

Para redefinir claves es necesario considerar los tipos
de claves que existen:

Individuales

Pertenecen a un solo usuario, por tanto es individual y
personal. Esta clave permite al momento de efectuar las
transacciones registrar a los responsables de cualquier cambio.

Confidenciales

De forma confidencial los usuarios deberán ser
instruidos formalmente respecto al uso de las claves.

No significativas

Las claves no deben corresponder a números
secuenciales ni a nombres o fechas.

Verificación de datos de
entrada

Incluir rutinas que verifiquen la compatibilidad de los
datos mas no su exactitud o precisión; tal es el caso de
la validación del tipo de datos que contienen los campos o
verificar si se encuentran dentro de un rango.

Conteo de registros

Consiste en crear campos de memoria para ir
acumulando cada registro que se
ingresa y verificar con los totales ya registrados.

Totales de Control

Se realiza mediante la creación de totales de
línea, columnas, cantidad de formularios,
cifras de control, etc. , y automáticamente verificar con
un campo en el cual se van acumulando los registros, separando
solo aquellos formularios o registros con diferencias.

Verificación de limites

Consiste en la verificación automática de
tablas, códigos, limites mínimos y máximos o
bajo determinadas condiciones dadas previamente.

Verificación de secuencias

En ciertos procesos los registros deben observar cierta
secuencia numérica o alfabética, ascendente o
descendente, esta verificación debe hacerse mediante
rutinas independientes del programa en si.

Dígito auto verificador

Consiste en incluir un dígito adicional a una
codificación, el mismo que es resultado de
la aplicación de un algoritmo o
formula, conocido como MODULOS, que detecta la corrección
o no del código.
Tal es el caso por ejemplo del décimo dígito de la
cédula de identidad,
calculado con el modulo 10 o el ultimo dígito del RUC
calculado con el módulo 11.

Utilizar software de seguridad en los
microcomputadores

El software de seguridad permite restringir el acceso al
microcomputador, de tal modo que solo el personal autorizado
pueda utilizarlo.

Adicionalmente, este software permite reforzar la
segregación de funciones y la confidencialidad de la
información mediante controles para que los usuarios
puedan acceder solo a los programas y datos para los que
están autorizados.

Programas de este tipo son: WACHDOG, LATTICE, SECRET
DISK, entre otros.

Controles administrativos en un
ambiente de Procesamiento de Datos

La máxima autoridad del
Área de Informática de una empresa o
institución debe implantar los siguientes controles que se
agruparan de la siguiente forma:

1.- Controles de Preinstalación

2.- Controles de Organización y
Planificación

3.- Controles de Sistemas en Desarrollo y
Producción

4.- Controles de Procesamiento

5.- Controles de Operación

6.- Controles de uso de Microcomputadores

Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la
adquisición e instalación de un equipo de
computación y obviamente a la automatización de los sistemas
existentes.

Objetivos:

  • Garantizar que el hardware y software se adquieran
    siempre y cuando tengan la seguridad de que los sistemas
    computarizados proporcionaran mayores beneficios que cualquier
    otra alternativa.
  • Garantizar la selección adecuada de equipos y
    sistemas de computación
  • Asegurar la elaboración de un plan de
    actividades previo a la instalación

Acciones a seguir:

  • Elaboración de un informe técnico en el
    que se justifique la adquisición del equipo, software y
    servicios de
    computación, incluyendo un estudio
    costo-beneficio.
  • Formación de un comité que coordine y
    se responsabilice de todo el proceso de adquisición e
    instalación
  • Elaborar un plan de instalación de equipo y
    software (fechas, actividades, responsables) el mismo que debe
    contar con la aprobación de los proveedores
    del equipo.
  • Elaborar un instructivo con procedimientos a seguir
    para la selección y adquisición de equipos,
    programas y servicios computacionales. Este proceso debe
    enmarcarse en normas y disposiciones legales.
  • Efectuar las acciones necesarias para una mayor
    participación de proveedores.
  • Asegurar respaldo de mantenimiento y asistencia
    técnica.

Controles de organización
y Planificación

Se refiere a la definición clara de funciones,
línea de autoridad y responsabilidad de las diferentes unidades del
área PAD, en labores tales como:

  1. Diseñar un sistema
  2. Elaborar los programas
  3. Operar el sistema
  4. Control de calidad

Se debe evitar que una misma persona tenga el control de
toda una operación.

Es importante la utilización óptima de
recursos en el PAD mediante la preparación de planes a ser
evaluados continuamente

 Acciones a seguir

  • La unidad informática debe estar al mas alto
    nivel de la pirámide administrativa de manera que cumpla
    con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
  • Las funciones de operación, programación y diseño de
    sistemas deben estar claramente delimitadas.
  • Deben existir mecanismos necesarios a fin de asegurar
    que los programadores y analistas no tengan acceso a la
    operación del computador y
    los operadores a su vez no conozcan la documentación de
    programas y sistemas.
  • Debe existir una unidad de control de
    calidad, tanto de datos de entrada como de los resultado
    del procesamiento.
  • El manejo y custodia de dispositivos y archivos
    magnéticos deben estar expresamente definidos por
    escrito.
  • Las actividades del PAD deben obedecer a
    planificaciones a corto, mediano y largo plazo sujetos a
    evaluación y ajustes periódicos "Plan Maestro de
    Informática"
  • Debe existir una participación efectiva de
    directivos, usuarios y personal del PAD en la
    planificación y evaluación del cumplimiento del
    plan.
  • Las instrucciones deben impartirse por
    escrito.

Controles de Sistema en
Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor
opción para la empresa, bajo
una relación costo-beneficio que proporcionen oportuna y
efectiva información, que los sistemas se han desarrollado
bajo un proceso planificado y se encuentren debidamente
documentados.

Acciones a seguir:

Los usuarios deben participar en el diseño
e implantación de los sistemas pues aportan conocimiento y
experiencia de su área y esta actividad facilita el
proceso de cambio

  • El personal de auditoria interna/control debe formar
    parte del grupo de diseño para sugerir y solicitar la
    implantación de rutinas de control
  • El desarrollo, diseño y mantenimiento de
    sistemas obedece a planes específicos,
    metodologías estándares, procedimientos y en
    general a normatividad escrita y aprobada.
  • Cada fase concluida debe ser aprobada
    documentadamente por los usuarios mediante actas u otros
    mecanismos a fin de evitar reclamos posteriores.
  • Los programas antes de pasar a Producción
    deben ser probados con datos que agoten todas las excepciones
    posibles.
  • Todos los sistemas deben estar debidamente
    documentados y actualizados. La documentación
    deberá contener:

Informe de factibilidad

Diagrama de bloque

Diagrama de lógica del programa

Objetivos del programa

Listado original del programa y versiones que incluyan
los cambios efectuados con antecedentes de pedido y
aprobación de modificaciones

Formatos de salida

Resultados de pruebas realizadas

  • Implantar procedimientos de solicitud,
    aprobación y ejecución de cambios a programas,
    formatos de los sistemas en desarrollo.
  • El sistema concluido será entregado al usuario
    previo entrenamiento y elaboración de los manuales de
    operación respectivos

 

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que
sigue la información desde la entrada hasta la salida de
la información, lo que conlleva al establecimiento de una
serie de seguridades para:

  • Asegurar que todos los datos sean
    procesados
  • Garantizar la exactitud de los datos
    procesados
  • Garantizar que se grabe un archivo para
    uso de la gerencia y con fines de auditoria
  • Asegurar que los resultados sean entregados a los
    usuarios en forma oportuna y en las mejores
    condiciones.

Acciones a seguir:

  • Validación de datos de entrada previo
    procesamiento debe ser realizada en forma automática:
    clave, dígito auto verificador, totales de lotes,
    etc.
  • Preparación de datos de entrada debe ser
    responsabilidad de usuarios y consecuentemente su
    corrección.
  • Recepción de datos de entrada y
    distribución de información de salida debe
    obedecer a un horario elaborado en coordinación con el usuario, realizando
    un debido control de calidad.
  • Adoptar acciones necesaria para correcciones de
    errores.
  • Analizar conveniencia costo-beneficio de
    estandarización de formularios, fuente para agilitar la
    captura de datos y minimizar errores.
  • Los procesos interactivos deben garantizar una
    adecuada interrelación entre usuario y
    sistema.
  • Planificar el mantenimiento del hardware y software,
    tomando todas las seguridades para garantizar la integridad de
    la información y el buen servicio a
    usuarios.

Controles de Operación

Abarcan todo el ambiente de la
operación del equipo central de computación y
dispositivos de
almacenamiento, la administración de la cintoteca y la
operación de terminales y equipos de comunicación
por parte de los usuarios de sistemas on line.

Los controles tienen como fin:

  • Prevenir o detectar errores accidentales que puedan
    ocurrir en el Centro de
    Cómputo durante un proceso
  • Evitar o detectar el manejo de datos con fines
    fraudulentos por parte de funcionarios del PAD
  • Garantizar la integridad de los recursos
    informáticos.
  • Asegurar la utilización adecuada de equipos
    acorde a planes y objetivos.

Recursos

Informáticos

Acciones a seguir:

  • El acceso al centro de cómputo debe contar con
    las seguridades necesarias para reservar el ingreso al personal
    autorizado
  • Implantar claves o password para garantizar
    operación de consola y equipo central (mainframe), a
    personal autorizado.
  • Formular políticas respecto a seguridad,
    privacidad y protección de las facilidades de
    procesamiento ante eventos como:
    incendio, vandalismo, robo y uso indebido, intentos de
    violación y como responder ante esos
    eventos.
  • Mantener un registro permanente (bitácora) de
    todos los procesos realizados, dejando constancia de
    suspensiones o cancelaciones de procesos.
  • Los operadores del equipo central deben estar
    entrenados para recuperar o restaurar información en
    caso de destrucción de archivos.
  • Los backups no deben ser menores de dos (padres e
    hijos) y deben guardarse en lugares seguros y
    adecuados, preferentemente en bóvedas de bancos.
  • Se deben implantar calendarios de operación a
    fin de establecer prioridades de proceso.
  • Todas las actividades del Centro de Computo deben
    normarse mediante manuales, instructivos, normas, reglamentos,
    etc.
  • El proveedor de hardware y software deberá
    proporcionar lo siguiente:

Manual de operación de equipos

Manual de lenguaje de
programación

Manual de utilitarios disponibles

Manual de Sistemas operativos

  • Las instalaciones deben contar con sistema de alarma
    por presencia de fuego, humo, así como extintores de
    incendio, conexiones eléctricas seguras, entre
    otras.
  • Instalar equipos que protejan la información y
    los dispositivos en caso de variación de voltaje como:
    reguladores de voltaje, supresores pico, UPS, generadores de
    energía.
  • Contratar pólizas de seguros para proteger la
    información, equipos, personal y todo riesgo que se
    produzca por casos fortuitos o mala
    operación.

Controles en el uso del
Microcomputador

Es la tarea mas difícil pues son equipos mas
vulnerables, de fácil acceso, de fácil
explotación pero los controles que se implanten ayudaran a
garantizar la integridad y confidencialidad de la
información.

 Acciones a seguir:

  • Adquisición de equipos de protección
    como supresores de pico, reguladores de voltaje y de ser
    posible UPS previo a la adquisición del
    equipo
  • Vencida la garantía de mantenimiento del
    proveedor se debe contratar mantenimiento
    preventivo y correctivo.
  • Establecer procedimientos para obtención de
    backups de paquetes y de archivos de datos.
  • Revisión periódica y sorpresiva del
    contenido del disco para verificar la instalación de
    aplicaciones no relacionadas a la gestión de la empresa.
  • Mantener programas y procedimientos de
    detección e inmunización de virus en copias
    no autorizadas o datos procesados en otros equipos.
  • Propender a la estandarización del Sistema
    Operativo, software utilizado como procesadores de
    palabras, hojas electrónicas, manejadores de base de
    datos y mantener actualizadas las versiones y la capacitación sobre modificaciones
    incluidas.

Analizados los distintos tipos de controles que se
aplican en la Auditoria de Sistemas efectuaremos a
continuación el análisis de casos de situaciones
hipotéticas planteadas como problemáticas en
distintas empresas , con la finalidad de efectuar el
análisis del caso e identificar las acciones que se
deberían implementar .

  • Análisis de Casos de Controles
    Administrativos

 

Martinez Lucia

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter