procesos de auditoria

Universidad Cesar Vallejo Auditoria de SistemasFacultad de Ingeniería de Sistemas

FASES DEL PROCESO DE LA AUDITORIA

I. PRIMERA FASE PLANEACIÓN

En esta fase se identifica la forma en que las Tecnologías de

Información pueden contribuir de la mejor manera al logro de los

objetivos institucionales, y al establecimiento de una organización e

infraestructura tecnológica apropiada. Se hace un bosquejo de la

situación de la entidad, que le permita al auditor elabora el programa

de auditoria que se llevará a efecto.

Elementos Principales de esta Fase

1. Conocimiento y Comprensión de la Entidad

2. Objetivos y Alcance de la auditoria

3. Análisis Preliminar del Control Interno

4. Análisis de los Riesgos y la Materialidad

5. Planeación Específica de la auditoria

6. Elaboración de programas de Auditoria

1. Conocimiento y Comprensión de la Entidad a auditar.

Previo a la elaboración del plan de auditoria, se debe investigar

todo lo relacionado con la entidad a auditar, para poder elaborar

el plan en forma objetiva. Este análisis debe contemplar: su

naturaleza operativa, su estructura organizacional, giro del

negocio, capital, estatutos de constitución, disposiciones legales

que la rigen, sistemas informáticos que utiliza y todo aquello que

sirva para comprender exactamente cómo funciona la empresa.

Para el logro del conocimiento y comprensión de la entidad se

deben establecer diferentes mecanismos o técnicas que el

auditor deberá dominar y estas son entre otras:

Fases del proceso de Auditoria 1


a) Visitas al lugar

b) Entrevistas y encuestas

c) Análisis comparativos.

d) Análisis FODA (Fortalezas, oportunidades, debilidades,

amenazas)

e) Análisis Causa-Efecto

f) Árbol de Objetivos.- Desdoblamiento de Complejidad.

g) Árbol de Problemas

2. Objetivos y Alcance de la auditoria.

Los objetivos indican el propósito por lo que es contratada la

firma de auditoria, qué se persigue con el examen, para qué y

por qué. Si es con el objetivo de informar a la gerencia sobre el

estado real de la empresa, o si es por cumplimiento de los

estatutos que mandan efectuar auditorias anualmente, en todo

caso, siempre se cumple con el objetivo de informar a los socios,

a la gerencia y resto de interesados sobre la situación encontrada

para que sirvan de base para la toma de decisiones.

Por otro lado el alcance también puede estar referido al período a

examinar: puede ser de un año, de un mes, de una semana, y

podría ser hasta de varios años.

3. Análisis Preliminar del Control Interno

Este análisis reviste de vital importancia en esta fase, porque de

su resultado se comprenderá la naturaleza y extensión del plan

de auditoria y la valoración y oportunidad de los procedimientos a

utilizarse durante el examen.



4. Análisis de los Riesgos y la Materialidad.

El Riesgo en auditoria representa la posibilidad de que el

auditor exprese una opinión errada en su informe debido a que

la información suministrada a el estén afectados por una

distorsión material o normativa.

En auditoria se conocen tres tipos de riesgo: Inherente, de

Control y de Detección.

El riesgo inherente es la posibilidad de que existan errores

significativos en la información auditada, al margen de la

efectividad del control interno relacionado; son errores que no se

pueden prever.

El riesgo de control está relacionado con la posibilidad de que

los controles internos imperantes no prevén o detecten fallas que

se están dando en sus sistemas y que se pueden remediar con

controles internos más efectivos.

El riesgo de detección está relacionado con el trabajo del

auditor, y es que éste en la utilización de los procedimientos de

auditoria, no detecte errores en la información que le

suministran.

El riesgo de auditoria se encuentra así:

RA = RI x RC x RD

Donde:

RI: Riesgo Inherente

RC: Riesgo de Control

RD: Riesgo de detección

5. Planeación Específica de la Auditoria.



Para cada auditoria que se va a practicar, se debe elaborar un

plan. Esto lo contemplan las Normas para la ejecución. Este plan

debe ser técnico y administrativo.

6. Elaboración de Programa de Auditoria

Cada miembro del equipo de auditoria debe tener en sus manos

el programa detallado de los objetivos y procedimientos de

auditoria objeto de su examen.

II. SEGUNDA FASE EJECUCIÓN:

El propósito fundamental de esta fase es recopilar las pruebas que

sustenten las opiniones del auditor en cuanto al trabajo realizado, es

la fase del trabajo de campo, esta depende grandemente del grado

de profundidad con que se haya realizado la fase anterior.

Aunque todas las fases son importantes, esta fase viene a ser el

centro de lo que es el trabajo de auditoria, donde se realizan todas las

pruebas y se utilizan todas las técnicas o procedimientos para

encontrar las evidencias de auditoria que sustentarán el informe de

auditoria.

Elementos de la fase de ejecución

1. Las Pruebas de Auditoria

2. Técnicas de Muestreo

3. Evidencias de Auditoria

4. Papeles de Trabajo

5. Hallazgos de Auditoria



1. Las Pruebas de Auditoria

Son técnicas o procedimientos que utiliza el auditor para la

obtención de evidencia. Las pruebas poden ser:

A. Las pruebas sustantivas: tratan de obtener la evidencia

referida a la información que se desea auditar. Están

relacionadas con la integridad, la exactitud y la validez de la

información auditada.

B. Las pruebas de cumplimiento: tratan de obtener

evidencia de que se están cumpliendo y aplicando

correctamente los procedimientos de control interno

existentes. Estas pruebas tratan de obtener evidencia de que

los procedimientos de control interno, en los que el auditor

basa su confianza en el sistema.

2. Técnicas de Muestreo.

Se usa la técnica de muestreo ante la imposibilidad de efectuar

un examen a la totalidad de los datos. Por tanto esta técnica

consiste en la utilización de una parte de los datos (muestra) de

una cantidad de datos mayor (población o universo).

El muestreo que se utiliza puede ser Estadístico o No Estadístico.

Es estadístico: Es cuando la muestra es escogida al azar, se

utilizan los métodos ya conocidos en estadística para la selección

de muestras:

a) Aleatoria: cuando todos los datos tienen la misma

oportunidad de ser escogidos o seleccionados. Ejemplo se

tiene una lista de 100 alumnos y se van a examinar 10 de

ellos. Se introducen los números del 1 al cien en una tómbola

y se sacan 10. Los 10 escogidos serán los clientes revisados.



b) Sistemática: se escoge al azar un número y luego se

designa un intervalo para los siguientes números. Ejemplo:

se tiene una lista de 1000 clientes, entre los primeros 20 se

escoge al azar uno de ellos. Si resulta el 12, se puede

designar los siguientes 4 números de la lista con intervalos

de 50. Los clientes a examinarse serían: 12(escogido al azar),

13, 14, 15 y 16. Luego el 62(12 +50), 63, 64,65 y 66. Luego

el 112(62 + 50), 113, 114,115 y 116. Luego el 162, 163, 164,

165 y 166, y así sucesivamente hasta completar los 100 de

la muestra.

c) Selección por Celdas: se elabora una tabla de distribución

estadística y luego se selecciona una de las celdas. Ejemplo:

Una lista de 1000 clientes puede dividirse en 5 grupos

(celdas) de 200:

Del 1 al 200 Del 201 al 400 Del 401 al 600 Del 601 al 800 Del

801 al 1000

Se puede escoger una de las celdas como muestra para ser

examinadas.

d) Al Azar: es el muestreo basado en el juicio o la apreciación.

Viene a ser un poco subjetivo, sin embargo es utilizado por

algunos auditores. El auditor puede pensar que los errores

podrían estar en las partidas grandes, y de estas revisar las

que resulten seleccionadas al azar.

e) Selección por bloques: se seleccionan las transacciones

similares que ocurren dentro de un período dado. Ejemplo:



seleccionar 100 transacciones de ventas ocurridas en la

primera semana de Enero, o 100 de la tercera semana, etc.

3. Evidencia de Auditoria

Se llama evidencia de auditoria a " Cualquier información que

utiliza el auditor para determinar si la información cuantitativa o

cualitativa que se está auditando, se presenta de acuerdo al

criterio establecido".

La Evidencia para que tenga valor de prueba, debe ser Suficiente,

Competente y Pertinente.

La evidencia es suficiente, si el alcance de las pruebas es

adecuado. Solo una evidencia encontrada, podría ser no

suficiente para demostrar un hecho.

La evidencia es pertinente, si el hecho se relaciona con el

objetivo de la auditoria.

La evidencia es competente, si guarda relación con el alcance

de la auditoria y además es creíble y confiable.

Además de las tres características mencionadas de la evidencia

(Suficiencia, Pertinencia y Competencia), existen otras que son

necesarias mencionar, porque están ligadas estrechamente con

el valor que se le da a la evidencia: Relevancia, Credibilidad,

Oportunidad y Materialidad.

Tipos de Evidencias:

1. Evidencia Física: muestra de materiales, mapas, fotos.

2. Evidencia Documental: cheques, facturas, contratos, etc.

3. Evidencia Testimonial: obtenida de personas que trabajan en

el negocio o que tienen relación con el mismo.

4. Evidencia Analítica: datos comparativos, cálculos, etc.



Técnicas para la Recopilación de Evidencias

A. ESTUDIO GENERAL.- Apreciación sobre la fisonomía o

características generales de la empresa, significativas o

extraordinaria. Esta apreciación se hace aplicando el juicio

profesional del auditor, que basado en su preparación y

experiencia, podrá obtener de los datos e información de la

empresa que va a examinar, situaciones importantes o

extraordinarias que pudieran requerir atención especial.

El estudio general, deberá aplicarse con cuidado y diligencia,

por lo que es recomendable que su aplicación la lleve a cabo

un auditor con preparación, experiencia y madurez, para

asegurar un juicio profesional sólido y amplio.

B. ANÁLISIS. Clasificación y agrupación de los distintos

elementos individuales que se desean evaluar, de tal manera

que los grupos constituyan unidades homogéneas y

significativas.

C. INSPECCION. Examen físico de los recursos informáticos, con

el objeto de cerciorarse de la existencia y su buen

funcionamiento.

D. CONFIRMACIÓN. Obtención de una comunicación escrita de

una persona independiente de la empresa examinada y que se

encuentre en posibilidad de conocer la naturaleza y

condiciones de la operación y, por lo tanto, confirmar de una

manera válida, puede ser aplicada de diferentes formas:



Positiva.- Se envían datos y se pide que contesten, tanto si

están conformes como si no lo están. Se utiliza este tipo de

confirmación.

Negativa.- Se envían datos y se pide contestación, sólo si

están inconformes.

E. INVESTIGACIÓN. Obtención de información, datos y

comentarios de los funcionarios y empleados de la propia

empresa.

F. DECLARACIÓN. Manifestación por escrito con la firma de los

interesados, del resultado de las investigaciones realizadas

con los funcionarios y empleados de la empresa.

Esta técnica, se aplica cuando la importancia de los datos o el

resultado de las investigaciones realizadas lo ameritan.

G- CERTIFICACIÓN. Obtención de un documento en el que se

asegure la verdad de un hecho, legalizado por lo general, con

la firma de una autoridad.

H. OBSERVACIÓN. Presencia física de cómo se realizan ciertas

operaciones o hechos. El auditor se cerciora de la forma como

se realizan ciertas operaciones, dándose cuenta ocularmente

de la forma como el personal de la empresa las realiza. Por

ejemplo, el auditor puede obtener la convicción de que los

inventarios físicos fueron practicados de manera satisfactoria,

observando cómo se desarrolla la labor de preparación y

realización de los mismos.



4. Papeles de Trabajo

Son los archivos o legajos que maneja el auditor y que contienen

todos los documentos que sustentan su trabajo efectuado

durante la auditoria.

Estos archivos se dividen en Permanentes y Corrientes:

El archivo permanente está conformado por todos los

documentos que tienen el carácter de permanencia en la

empresa, es decir, que no cambian y que por lo tanto se pueden

volver a utilizar en auditorias futuras; como los Estatutos de

Constitución, contratos de arriendo, informe de auditorias

anteriores, etc.

El archivo corriente está formado por todos los documentos

que el auditor va utilizando durante el desarrollo de su trabajo y

que le permitirán emitir su informe previo y final.

Los papeles de trabajo constituyen la principal evidencia de la

tarea de auditoria realizada y de las conclusiones alcanzadas que

se reportan en el informe de auditoria.

Los papeles de trabajo son utilizados para:

a) Registrar el conocimiento de la entidad y su sistema de control

interno.

b) Documentar la estrategia de auditoria.

c) Documentar la evaluación detallada de los sistemas, las

revisiones de transacciones y las pruebas de cumplimiento.

d) Documentar los procedimientos de las pruebas de

sustentación aplicadas a las operaciones de la entidad.

e) Mostrar que el trabajo de los auditores fue debidamente

supervisado y revisado



f) Registrar las recomendaciones para el mejoramiento de los

controles observados durante el trabajo.

El formato y el contenido de los papeles de trabajo es un asunto

relativo al juicio profesional del auditor; no hay sentencias

disponibles que indiquen lo que se debe incluir en ellos, sin

embargo, es esencial que contengan suficiente evidencia del

trabajo realizado para sustentar las conclusiones alcanzadas. La

efectividad de los papeles de trabajo depende de la calidad, no

de la cantidad.

5. Hallazgos de Auditoria

Se considera que los hallazgos en auditoria son las diferencias

significativas encontradas en el trabajo de auditoria con relación

a lo normado o a lo presentado por la gerencia.

Atributos del hallazgo:

1. Condición: la realidad encontrada

2. Criterio: cómo debe ser (la norma, la ley, el reglamento, lo que

debe ser)

3. Causa: qué originó la diferencia encontrada.

4. Efecto: qué efectos puede ocasionar la diferencia encontrada.

Al plasmar el hallazgo el auditor primeramente indicará el título

del hallazgo, luego los atributos, a continuación indicará la

opinión de las personas auditadas sobre el hallazgo encontrado,

posteriormente indicará su conclusión sobre el hallazgo y

finalmente hará las recomendaciones pertinentes. Es conveniente

que los hallazgos sean presentados en hojas individuales.

Solamente las diferencias significativas encontradas se pueden

considerar como hallazgos (generalmente determinadas por la



Materialidad), aunque en el sector público se deben dar a conocer

todas las diferencias, aun no siendo significativas.

Una vez concluida la fase de Ejecución, se debe solicitar la carta

de salvaguarda o carta de gerencia, donde la gerencia de la

empresa auditada da a conocer que se han entregado todos los

documentos que oportunamente fueron solicitados por los

auditores.

III. TERCERA FASE PREPARACION DEL INFORME:

En esta fase el Auditor se dedica a formalizar en un documento los

resultados a los cuales llegaron los auditores en la Auditoria ejecutada

y demás verificaciones vinculadas con el trabajo realizado.

Comunica los resultados al máximo nivel de dirección de la entidad

auditada y otras instancias administrativas, así como a las

autoridades que correspondan, cuando esto proceda.

El informe parte de los resúmenes de los temas y de las Actas de

Notificación de los Resultados de Auditoria (parciales) que se vayan

elaborando y analizando con los auditados, respectivamente, en el

transcurso de la Auditoria.

La elaboración del informe final de Auditoria es una de las fases más

importante y compleja de la Auditoria, por lo que requiere de extremo

cuidado en su confección.

El informe de Auditoria debe tener un formato uniforme y estar

dividido por secciones para facilitar al lector una rápida ubicación del

contenido de cada una de ellas.



El informe de Auditoria debe cumplir con los principios siguientes:

Que se emita por el jefe de grupo de los auditores actuantes.

Por escrito.

Oportuno.

Que sea completo, exacto, objetivo y convincente, así como

claro, conciso y fácil de entender.

Que todo lo que se consigna esté reflejado en los papeles de

trabajo y que responden a hallazgos relevantes con evidencias

suficientes y competentes.

Que refleje una actitud independiente.

Que muestre la calificación según la evaluación de los resultados

de la Auditoria.

Distribución rápida y adecuada.

En esta fase se analizan las comunicaciones que se dan entre la

entidad auditada y los auditores, es decir:

A) Comunicaciones de la Entidad, y

B) Comunicaciones del auditor

Entre las primeras tenemos:

a) Carta de Representación

b) Reporte a partes externas

En las comunicaciones del auditor están:

a) Memorando de requerimientos

b) Comunicación de hallazgos

c) Informe de control interno

Y siendo las principales comunicaciones del auditor:

a) Informe Especial

b) Dictamen



c) Informe Final

Si en el transcurso del trabajo de auditoria surgen hechos o se

encuentran algunos o algún hallazgo que a juicio del auditor es grave,

se deberá hacer un informe especial, dando a conocer el hecho en

forma inmediata, con el propósito de que sea corregido o enmendado

a la mayor brevedad.

Así mismo, si al analizar el sistema de control interno se encuentran

serias debilidades en su organización y contenido, se debe elaborar

por separado un informe sobre la evaluación del control interno.

El informe final del auditor, debe estar elaborado de forma sencilla y

clara, ser constructivo y oportuno.

Las personas auditadas deben estar siendo informadas de todo lo que

acontezca alrededor de la auditoria, por tanto, podrán tener acceso a

cualquier documentación relativa a algún hecho encontrado.



Estructura de la Carta de Presentación

La carta tiene importancia porque en ella ha de resumirse la Auditoria

realizada. Se destina exclusivamente al responsable máximo de la

empresa, o a la persona concreta que encargo o contrato la Auditoria.

Así como pueden existir tantas copias del informe Final como solicite

el cliente, la auditoria no hará copias de la citada carta de

Introducción.

La carta de presentación poseerá los siguientes atributos:

Tendrá como máximo 4 folios.

Incluirá fecha, naturaleza, objetivos y alcance.

Cuantificará la importancia de las áreas analizadas.

Proporcionará una conclusión general, concretando las áreas de

gran debilidad.

Presentará las debilidades en orden de importancia y gravedad.

En la carta de Introducción no se escribirán nunca recomendaciones.

Estructura del Informe Final

1. Hecho encontrado.

- Ha de ser relevante para el auditor y pera el cliente.

- Ha de ser exacto, y además convincente.

- No deben existir hechos repetidos.

2. Consecuencias del hecho

- Las consecuencias deben redactarse de modo que sean

directamente deducibles del hecho.

3. Repercusión del hecho

- Se redactará las influencias directas que el hecho pueda tener

sobre otros aspectos informáticos u otros ámbitos de la

empresa.

4. Conclusión del hecho


http://www.monografias.com/trabajos7/filo/filo.shtml

http://www.monografias.com/trabajos6/cont/cont.shtml


- No deben redactarse conclusiones más que en los casos en que

la exposición haya sido muy extensa o compleja.

5. Recomendación del auditor informático

- Deberá entenderse por sí sola, por simple lectura.

- Deberá estar suficientemente soportada en el propio texto.

- Deberá ser concreta y exacta en el tiempo, para que pueda ser

verificada su implementación.

- La recomendación se redactará de forma que vaya dirigida

expresamente a la persona o personas que puedan

implementarla.



IV. CUARTA FASE SEGUIMIENTO:

En esta fase se siguen, los resultados de una Auditoria, con el objetivo

de conocer en que medida se han erradicado las deficiencias

detectadas en la Auditoria, así que pasado un tiempo aproximado de

seis meses o un año se vuelve a realizar otra Auditoria de tipo

recurrente.

La fase del seguimiento se realiza para evaluar el nivel del

cumplimiento y el impacto de las recomendaciones hechas ya que

todos los procesos necesitan ser evaluados de forma regular a través

del tiempo, para verificar su calidad y suficiencia en cuanto a los

requerimientos de control.

A. SEGUIMIENTO DE RECOMENDACIONES

Se debe efectuar el seguimiento y verificación de la implantación

de las recomendaciones contenidas en los informes de auditoria.

Al remitirse los informes de auditoria a los titulares de las

entidades, se requerirá que estos informen en un plazo

determinado sobre las acciones correctivas adoptadas al efecto,

las que serán objeto de registro una vez recibida la información.

De no recibirse esta, en el plazo otorgado, se podrá programar la

ejecución de auditorias de seguimiento con fines de verificación.

B. SEGUIMIENTO DE PLANES DE MEJORAMIENTO

En los casos que, como consecuencia de la auditoria, las

entidades diseñen y establezcan planes de mejoramiento, estos

deberán ser materia de monitoreo, requiriéndose a la entidad

que informe periódicamente sobre las acciones correctivas que

adopte.



La implantación oportuna de dichas medidas podrán ser

verificadas mediante procesos de auditoria



APLICACIÓN

AUDITORÍA INFORMÁTORIA

1. Auditoria informática en el área de planificación

Algunos de los objetivos que podemos mencionar son:

- Determinar que planes del proceso de datos están coordinados con

los planes generales de la organización.

- Revisar los planes de informática.

- Contrastar el plan con su realización.

- Determinar el grado de participación y responsabilidad de

directivos y usuarios en la aplicación.

- Participar en el proceso de planificación.

- Revisar los planes de desarrollo del software de aplicaciones.

- Revisar los procedimientos de planificación del software del

sistema (software de base)

- Comprobar la ejecución del plan en cualquiera de sus niveles

(estratégico, táctico, operacional)

El auditor cuando se encuentre examinando la validez de la

planificación de la informática dentro de la organización, centrará

especialmente su atención en:

- El sistema de información

- La planificación del desarrollo.

- La planificación de proyectos

- La definición y distribución de las distintas aplicaciones.



Ejemplo de un cuestionario de auditoria correspondiente al

área de planificación:

1. Sistemas de información

1.1 ¿La dirección general y ejecutiva ha considerado la

importancia que tiene el estudio del sistema de información?

1.2 ¿Se establecen los requisitos de información a largo plazo?

1.3 ¿Se ha realizado una planificación estratégica del sistema de

información para la empresa?

1.4 ¿Existe una metodología para llevar a cabo tal planificación?

1.5 ¿Está definida la función del director del sistema de

información?

1.6 ¿Existe un plan estratégico del departamento de sistema de

información?

2. Recursos humanos

2.1 ¿Se estudia la evolución del mercado y la adaptación del

personal a esa evolución?

2.2 ¿Los informáticos reciben noticias del momento tecnológico

por revistas, notas técnicas, etc.?

2.3 ¿Se recibe formación y se planifica ésta mediante asistencia a

cursos, seminarios, etc.?

3. Otros aspectos

3.1 ¿Los cambios en los sistemas informáticos son consecuencia

de la planificación más que de la presión por necesidades

operativas?

3.2 ¿Se solicitan demostraciones sobre los nuevos artículos a los

proveedores?

3.3 ¿Se ha realizado algún estudio de planificación del posible

efecto de las cargas normales de trabajo y los picos sobre los

requerimientos tanto de equipos como de software?

3.4 ¿La entidad dispone de un plan informático?

3.5 ¿Se están siguiendo las directrices marcadas por el plan?



3.6 ¿El plan recoge todos los diferentes aspectos relacionados con

la función informática?

2. Auditoria informática en el área de organización y

administración

Una buena administración redundará en un buen servicio a los

usuarios y sus necesidades estarán cubiertas por un importante grado

de satisfacción.

La labor del auditor en el entorno de trabajo en que ahora se está

moviendo, se centrará en los aspectos primordiales de una buena

gestión del departamento de informática, aspectos tales como la

dotación de recursos humanos (políticas de personal),

procedimientos, relaciones con proveedores y usuarios, comités ,

estructura, etc.

Objetivos:

- Revisión del organigrama del departamento y del general de la

empresa, al objeto de conocer al departamento, sus dependencias,

funciones y operaciones.

- Comparar la estructura actual con la definida.

- Verificar los estándares de documentación.

- Determinar los procedimientos de dirección para hacer cumplir con

los criterios de documentación en proceso de datos.

- Confrontar las directrices sobre documentos con la realidad.

- Colaborar en la elaboración de nuevos documentos.

- Evaluar la distribución de funciones.

- Examinar los planes de formación.

- Verificar los métodos de análisis e imputación de costos.

- Confrontar presupuesto y realidad.

- Revisar todo tipo de contratos que afecten al departamento de

informática (servicios, mantenimientos, seguros, etc.).

- Examinar los métodos de trabajo: análisis, programación, pruebas,...



- Evaluar el grado de participación de los usuarios.

- Evaluar el rendimiento de consultores externos.

- Conocer el grado de aceptación o satisfacción general con respecto

al servicio informática.

- Revisar la documentación de usuario.

- Examinar los procedimientos usados para actualizar la

documentación.

- Determinar el impacto de servicio de proceso de datos recibido

desde fuentes externas.

- Evaluar el grado de conocimiento de los usuarios implicados sobre

los sistemas automatizados.


área de organización y administración:

1. Formación

1.1 ¿El desarrollo de aplicaciones tiene en cuenta el nivel de

adecuación y formación del personal?

1.2 ¿Existen proyectos planificados o en desarrollo que requieran

el uso de categorías por encima del nivel del personal?

1.3 ¿Hay presupuesto –tiempo y dinero- para formación?

2. Estándares y metodologías

2.1 ¿Existe algún procedimiento que controle y regule la

introducción de modificaciones a proyectos ya terminados?

2.2 ¿Hay metodología para el análisis de aplicaciones?

2.3 ¿Existe alguna metodología para el diseño de base de datos?

2.4 ¿Se utiliza alguna metodología de programación?

2.5 ¿Las últimas pruebas se realizan con datos proporcionados por

los usuarios?

3. Relación con terceros

3.1 ¿Hay tareas del servicio informático que están siendo

delegadas a personal ajeno a la empresa?



3.2 ¿Se definieron procedimientos para la subcontratación de tales

tareas?

3.3 ¿Los departamentos usuarios tienen una importante

implicación en la fase de análisis funcional?

3.4 ¿Se incluye en esa fase una previsión del grado de asistencia

que necesita el departamento usuario?

4. Documentación

4.1 ¿Hay normas que definan el modo de documentar

aplicaciones?

4.2 ¿Se están confeccionando manuales de usuario con el

suficiente nivel de comprensión?

4.3 ¿Se documentan todas y cada una de las fases del desarrollo

de una aplicación?

4.4 ¿Hay copia de toda la documentación?

3. Auditoria informática en el área de construcción de sistemas

Algunos de los objetivos de la auditoria informática son:

- Examinar la metodología de construcción que se esté utilizando, o

en su defecto, aconsejar su implantación.

- Examinar el inventario de problemas a resolver por el sistema,

dictaminando sobre la prioridad y razonabilidad de éstos.

- Verificar los medios que la organización ha dispuesto para la

realización.

- Comprobar el plan de realización:

- Garantizar la fiabilidad y precisión del estudio económico de costos

preliminar a la realización.

- Verificar los estudios de necesidades de software y hardware

asociados con el proyecto.

- Evaluar los métodos utilizados para la recogida de datos.

- Colaborar en la fase de puesta en marcha del sistema.



- Comprobar los medios de seguridad con que se va a dotar (o se ha

dotado ya) al sistema en cuestión.

- Evaluar el rendimiento de un sistema ya en marcha.

- Aconsejar, si es necesario, las modificaciones oportunas para la

optimización del sistema en funcionamiento.

El auditor que examina la construcción del sistema, bien en el

momento de su desarrollo o bien cuando éste ya está funcionando,

debe concluir garantizando la calidad del proyecto o enumerando las

deficiencias que hacen que el sistema se aleje de lo que a su juicio

debería ser un sistema capaz de satisfacer las necesidades a cubrir.

Juzgará, pues, sobre la calidad del sistema que está examinando, para

lo cual fijará su atención en comprobar que los resultados que

proporciona el sistema son efectivamente aquellos que se esperaban

de él en función de cómo fue diseñado y que, además, desde su fase

de diseño, el sistema no ha sido degradado por causa alguna en

ninguna de sus partes.

Para que el sistema cumpla con los estándares de calidad exigibles

son necesarias tres condiciones: en primera instancia que esté bien

planificado, después que sea bien controlado y por último que se

administre adecuadamente.

La auditoria de la precisión debe tener en cuenta la precisión con que

se desarrolló el estudio del sistema y la precisión que se le prevé

cuando éste funcione (no es tan infrecuente encontrar sistemas

operando en forma muy diferente a como fueron pensados).

Evidentemente, la calidad de la información que circula y aporta el

sistema es algo que preocupa especialmente cuando se está

diseñando. Existen una serie de procedimientos de control que

contribuyen a garantizar la precisión del sistema, tales como los

contadores de registros, totales y subtotales por lotes, dígitos de

control y verificación en la codificación y un largo etcétera que, junto

con unas adecuadas validaciones de los datos, deben estar presentes



en el sistema. El auditor verificará que así sea, o colaborará en su

implantación basándose en su experiencia.

Es también oportuno la fijación de unos estándares de auditoria, una

vez que el sistema esté en marcha, con objeto de que la dirección

tenga fácil y rápido conocimiento de los rendimientos en materia de

precisión. No siempre el sistema produce resultados que ayuden

realmente a resolver los problemas que tiene el usuario; por lo tanto,

el trabajo de auditoria de la eficacia se centrará en localizar todas

aquellas deficiencias que estén restando (o vayan a restar) eficiencia

al sistema y que pueden estar ubicados en los datos, los programas o

en el propio equipo. El auditor trabajará muy cerca del usuario,

especialmente en la fase de diseño (es mucho menos costoso

modificar sobre diseño que sobre lo implantado) identificando la

información que debe proporcionar el sistema así como a aquellas

personas destinatarias de cada una de estas informaciones. Esto

ayudará a definir con toda precisión y sin equívocos los informes

necesarios así como a ubicarlos en los departamentos de la

organización sin duplicidades de papel innecesarias. Una herramienta

que nos puede ayudar en este caso es la matriz de recepción y

distribución de documentos.

Una forma objetiva de evaluar la información que se encuentra en

un sistema es emplear la matriz de recepción y distribución de

documentos, en la cual se define de modo gráfico la distribución de

documentos y los resultados obtenidos en un proceso.

La prevención del fraude es muy compleja de establecer en la etapa

de construcción, pero sí conviene que el auditor centre su atención en

el establecimiento de controles en aquellos puntos del sistema que

sean más proclives en un futuro a la comisión del fraude

(transacciones económicas, redondeo de importes, etc.).



Será de gran utilidad el estudio de fraudes conocidos en sistemas de

características similares al que se está construyendo.

4. Auditoria informática en el área de explotación

Algunos de sus objetivos son:

- Comprobar la existencia de normas generales escritas para el

personal de explotación en lo que se refiere a sus funciones.

- Verificar la existencia de estándares de documentación en el

departamento.

- Comprobar que en ningún caso los operadores acceden a

documentación de programas que no sea la exclusiva para su

explotación.

- Verificar que los programadores no tienen acceso a la operación

del ordenador cuando corren sus programas.

- Examinar que las versiones de programas y ficheros activos en

explotación son efectivamente las versiones que deben ser las

vigentes.

- Como consecuencia de lo anterior, revisar que existen

procedimientos que impidan que puedan correrse versiones de

programas no activos.

- Investigar el diario de explotación y los archivos «log».

- Verificar los procedimientos según los cuales se incorporan nuevos

programas a las librerías productivas.

- Examinar la adecuación de los locales en que se guardan los

medios magnéticos de almacenamiento, así como la perfecta y

visible identificación de estos medios.

- Investigar los estándares en tiempo de ejecución de la instalación,

comparando éstos con las observaciones reales efectuadas.

- Verificar los planes de mantenimiento preventivo de la instalación.

- Comprobar que existen normas escritas que regulen

perfectamente todo lo relativo a copias de seguridad: manejo,

autorización de obtención, destrucción, etc.



- Inspeccionar el cumplimiento de sus funciones, además de la

idoneidad de éstas, de la persona encargada de mantener la

biblioteca de medios magnéticos.

- Comprobar que existen métodos adecuados que permitan verificar

un seguimiento de los trabajos en el ordenador.

- Examinar e incluso participar en la elaboración de los presupuestos

del centro de explotación si éstos son independientes del resto del

servicio informático.


área de explotación:

1. Intervención de operadores

1.1 ¿Hay necesidad de que el operador responda a mensajes

tomando él la iniciativa?

1.2 ¿Se ha detectado una excesiva intervención del operador en la

ejecución de trabajos?

2. Organización

2.1 ¿Están claramente definidas las funciones y responsabilidades

del personal de explotación?

2.2 ¿Existen procedimientos de cobertura por vacaciones o

enfermedad?

2.3 ¿Se considera adecuada la estructura del departamento de

explotación?

2.4 ¿El usuario está satisfecho del rendimiento de la explotación?

2.5 ¿Se utilizan todos los recursos de explotación de que dispone

el sistema?

3. Otros aspectos

3.1 ¿Son frecuentes las averías en algún componente del sistema?

3.2 ¿Se está realizando regularmente un mantenimiento

preventivo?

3.3 ¿Se han definido planes de evolución y estudios de

posibilidades de ampliación de los equipos?



5. Auditoria informática del entorno operativo hardware

Objetivos:

- Determinar si el hardware se utiliza eficientemente.

- Revisar los informes de la dirección sobre la utilización del hardware.

- Revisar si el equipo se utiliza por el personal autorizado.

- Examinar los estudios de adquisición, selección y evolución del

hardware.

- Comprobar las condiciones ambientales.

- Revisar el inventario hardware.

- Verificar los procedimientos de seguridad física.

- Examinar los controles de acceso físico.

- Revisar la seguridad física de los componentes de la red de

teleproceso.

- Revisar los controles sobre la transmisión de los datos entre los

periféricos y el ordenador.

- Comprobar los procedimientos de prevención/detección/corrección

frente a cualquier tipo de desastre.

Colaborar en la confección de un plan de contingencias y desastres.

6. Auditoria informática del entorno operativo software

Objetivos:

- Revisar las librerías utilizadas por los programadores.

- Examinar que los programas realizan lo que realmente se espera

de ellos.

- Revisar el inventario de software.

- Comprobar la seguridad de datos y ficheros.

- Examinar los controles sobre los datos.

- Revisar los procedimientos de entrada y salida.

- Verificar las previsiones y procedimientos de back-up.

- Revisar los procedimientos de planificación, adecuación y

mantenimiento del software del sistema.


procesos de auditoria

Documents