Ir arriba

PARADIGMA: La verdad puede ser un sistema
de varias mentiras.!!
wilucha

AUDITORIAS en SISTEMAS

Para evaluar la perfomance de un sistema de información, puede aplicarse:
  1. El control:
    Que verifica el nivel de eficiencia, determinando el el desvio del sistema planeado, respecto del sistema real.
  2. La auditoría
    Que define la "Razonabilidad del desvio" según la óptica del auditor que evalua la:
    1. CONFIABILIDAD
      Depende de la calidad de los algoritmos del software.

    2. CREDIBILIDAD
      Depende del factor humano, que los resultados reflejen la realidad. Se cumple el principio "Si basura entra, basura sale".

    3. SEGURIDAD
      Depende del sistema contenedor, que posee cortes de energía, acceso de operadores, etc
Técnicas de
AUDITORIA
Auditoria de
PYMES
Sistemas de
CONTROL INTERNO
La confiabilidad, la credibilidad y la seguridad del sistema informático definen su nivel de eficiencia, eficacia, aplicabilidad, beneficio y la razón de su existencia como tal.

La auditoría del sistema estudia críticamente sus parámetros, y calificar en función de los objetivos.

Técnicas de Auditoria
Cuestionarios
Como la auditoría es de caracter subjetivo, califica su calidad operativa, mediante la experiencia de analistas, diseñadores y programadores, quienes aplicarán su propia metodología de evalución.
Cualquiera que sea tal, se recomienda la técnica de evaluar los siguientes interrogantes del sistema:

Organización
Cómo se inserta la ingeniería de sistemas en la estructura orgánica de la empresa?
Están separadas las funciones básicas de:
  1. Ingeniería de Sistemas ?
  2. Análisis de Sistemas ?
  3. Diseño de Sistemas ?
  4. Uso de Sistemas ?
  5. Control de entradas y salidas?
  6. Biblioteca informática ?

Configuración
Incorpora verificaciones de:

  1. Validez del desvío del dato?
  2. Correlatividad?
  3. Secuencia del orden de las operaciones?
  4. Códigos de las operaciones realizadas?
  5. Lógicas para relacionar distintas informaciones?
  6. Múltiple lectura de caracteres y comparación?

Analisis y Diseño
Hay normas para programar, documentar, cambiar, probar y resguardar los sistemas y sus soportes?

  1. Existe planes para diseñar sistemas?. Esta autorizado ?
  2. Hay un orden de prioridades de ingreso de procesos al ordenador?
  3. Se realizan estudios de factibilidad para crear sistemas?
  4. Se integran sistemas que usan la misma base de datos?
  5. En la definición de sistema intervienen auditoria y los usuarios?
  6. Los formatos de formularios son sistematizados?
  7. Existen normas escritas para crear sistemas computarizados?
  8. Se efectúan pruebas antes de poner los programas en practica?
  9. Se efectúa un paralelo previo al abandono del sistema anterior?

Existen registros de

  1. Descripción de alcances del sistema?
  2. Descripción de entradas y salidas?
  3. Diagramas del sistema?
  4. Listados del programa?
  5. Diseño de archivos ?
  6. Copias de formularios de entrada ?
  7. Datos de prueba?
  8. Instrucciones para los operadores?
  9. Procedimientos de corrección de errores?
  10. Autorizaciones del sistema y programas?

Son autorizadas las modificaciones de sistemas ?.

  1. Se prevé su análisis?
  2. pruebas de proceso de programa modificados?
  3. constancias escritas de las modificaciones. ?

Base de datos
Hay normas de procedimientos de control para entrada de datos?

  1. Se verifica si los datos recibidos para procesar están autorizados?
  2. Se controla la correlatividad numérica de la documentación recibida?
  3. Se agrupa la información recibida por lotes?
  4. Se reciben totales predeterminados de control?
  5. Existen registros de información de los documentos ingresados?
  6. Revisa control los listados de errores en datos entrados ?
  7. Los usuarios cumplen cronogramas de entrega de datos?
  8. El usuario alimentado directamente los programas ?
  9. Las terminales son remotas y bobas ?
  10. Se usan claves de identificación para usuarios y transacciones. ?
  11. Los formularios de registro manual tienen distribuciones para llenado directo y simple.?
  12. Cada registro de entrada prevé enumeración automática y secuencial de cada dato ingresado?
  13. Los procedimientos automáticos registran datos ingresados por terminales distintas a las regulares?
  14. Hay relación lógica entre datos reales y previstos, para montos, códigos y fechas de transacciones de entrada.?

Proceso de datos
Están planificadas los horarios de procesamientos?

  1. Existen normas para la utilización de los sistemas?
  2. Los controles evitan que los operadores tengan acceso a programas ?
  3. Es restringido el acceso al sector operacional?
  4. Rotan los operadores entre los diversos procesos?
  5. El proceso de datos está limitado solo a programas regulares?
  6. Los datos corregidos son controlados como los originales ?
  7. Se preparan estadísticas de errores observados?
  8. Son visualizados los errores como primer paso del proceso ?
  9. Se preparan listados periódicos de los archivos maestros?
  10. Registra el sistema automáticamente las intervenciones del operador?
  11. Tiene el sistema bloqueo contra intento de violaciones de programas ?
  12. Se registra y controla el uso del ordenador, los tiempos y equipos activados?
  13. Se estructuran sistemas en tiempo real, para que los datos se procesen apenas se ingresen al sistema ?
  14. Los cambios de sistemas prevén aprobación de cambios, por autoridad que no sea programador del programa a modificar?
    Prueba del programa después de los cambios.?

Producción de información
Examina el sector control la producción de información?

  1. Se controla la devolución de información corregida?
  2. Examina control los listados de excepción emitido por el equipo?
  3. Remiten de inmediato los usuarios las informaciones corregidas ?
  4. Hay verificación de resultados de salidas y los calculados manualmente usando los mismos datos de entrada a la terminal.?
  5. Se prevé verificación estadística de las tendencias de información de lotes similares producidos anteriormente.?

Existen normas para modificar sistemas o programas ?

  1. El cambio en el procedimiento propuesto es explicado por escrito e interviene en su aprobación, la otorga el sector afectado ?
  2. Los cambios de procedimiento son realizados únicamente por el grupo encargado de sistemas y no por el de operaciones ?
  3. El cambio es ser revisado por personal independiente al diseñador de las modificaciones ?.
  4. Al final de la revisión, el control de modificacionesestá a cargo del operador ?.
    Este, procesa datos de entrada de prueba, usando el programa original, y luego el programa revisado ?.
  5. La salida de ambas operaciones son revisadas para certificar que,
    solo aquellos registros que debieron ser afectados,
    lo fueron realmente y solo se realizaron los cambios previstos.?
  6. Luego de los cambios, el ordenador queda bajo control del personal ordinariamente afectado a operar el equipo, mas no en un programador.?

Bibliotecas informaticas
Está normado el acceso y uso de la biblioteca informática.

  1. Se encuentra restringido el acceso al custodio?
  2. Existen planes de mantenimiento y reparación?
  3. Están los archivos debidamente rotulados?
  4. Existen registro de control de stock de productos informáticos?
  5. Se encuentra la biblioteca fuera del ámbito de procesamiento?
  6. Existen copias de programa en lugares separados de los originales?
  7. Existen archivos de generaciones reservados en lugares separados?
  8. Hay información permanente sobre la disponibilidad de soportes?
  9. Existen normas para: Localizar soportes determinados?
    El historial de cada soporte utilizado?
  10. Existen sistemas que permitan reconstruir archivos en caso de ser accidentalmente destruidos?
  11. Los archivos maestros están almacenados de modo de garantizar protección razonable contra daño o destrucción accidental?
    Las salidas de impresión están legiblemente etiquetadas, controladas y revisadas por personas que no son los operadores habituales?
  12. Las normas para acceder a los datos están formuladas por escrito y limitadas a casos que no puedan manejarse por programas ordinarios ?

Auditoría de
P Y M E S
Investiga críticamente la información contable buscando una conclusión razonable sobre aspectos económicos y financieros de una pymes.
Son administrados por sus dueños para obtener mayor rentabilidad.
Evalúa la información de los estados:
a)Patrimoniales sirven para medir el estado general de activos y pasivos
b)Resultado miden la obtención de ganancias y perdidas
c)De origen y uso de fondos

La información debe cumplir:
- Leyes que obligan a las empresas a confeccionarlos periódicamente
- Leyes impositivas confeccionadas para la liquidación de impuestos.
- Informes de tipo gerencial en forma periódica para accionistas o dueños.
- Informes para acreedores, terceros interesados, etc.

Clasificación
Auditar la información contable de la empresa, la puede realizar tanto personal externo como empleados de la misma.

1) AuditoriaPymes INTERNA
Realizada por los empleados con funciones de:
- Revisar procedimientos y evaluar su efectividad.
- Controlar los activos a través de recuentos físicos.
- Verificar la autenticidad y exactitud de las políticas y procedimientos establecidos por la conducción de la empresa.
- Revisar relaciones contractuales que se tengan con terceros ajenos a la empresa.

2) AuditoriaPymes EXTERNA
Proceso de relevamiento y control de información, realizado por terceros independientes al que preparo la información, para establecer razonabilidad de la misma y cuyo informe final, queda disponible a terceros.
Responde a intereses ajenos a los de su propia conducción o administración.

Otra clasificación a las AuditoriaPymess es:
- AuditoriaPymes de Estados Financieros
- AuditoriaPymes Operacional
- AuditoriaPymes de Procedimientos

La AuditoriaPymes de Estados Financieros determina si la información contable de esos estados están de acuerdo a los PCGA: principios de contabilidad generalmente aceptados.
Este tipo de AuditoriaPymes se realiza, sobre el estado:
1- Financiero o Estado Patrimonial de la empresa.
2- De Resultados o Estados de Ganancias y Perdidas.
3- De Origen y Aplicación de Fondos o Estado de flujo de Efectivo.

Sistemas de
CONTROL INTERNO
Procedimientos para lograr mayor seguridad operatoria de la información, a fin de:
a) Evitar errores
b) Lograr confianza o seguridad en su operatoria

El control interno busca detectar situaciones anormales o desviaciones inesperadas.
El diseño del control interno de una empresa debe estar planificado para prevenir situaciones anormales y evitarlas.
Planificar los posibles desvíos de operaciones, genera a la empresa mayor eficiencia y eficacia en su gestión

Las características básicas del objetivo de un control interno buscan:
- Cumplimiento continuo de normas establecidas
- Proteger los bienes y servicios de la empresa
- Evitar errores y obtener confianza en la información contable
- Una mayor eficacia y eficiencia en las operaciones cotidianas
La información será base para la liquidación de los tributos o impuestos, estadísticas económicas u otro fin que le interese al estado

Proceso

  1. Investigación preliminar:
    Observar el estado general del área de:

    ADMINISTRACIÓN: Recopilar la información para lograr la visión general del area.
    1. Objetivos a corto y largo plazo.
    2. Recursos materiales y técnicos
    3. Solicitar documentos sobre los equipos, número de ellos, localización y características.
    4. Estudios de viabilidad.
    5. Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
    6. Fechas de instalación de los equipos y planes de instalación.
    7. Contratos vigentes de compra, renta y servicio de mantenimiento.
    8. Contratos de seguros.
    9. Convenios que se tienen con otras instalaciones.
    10. Configuración de los equipos y capacidades actuales y máximas.
    11. Planes de expansión.
    12. Ubicación general de los equipos.
    13. Políticas de operación.
    14. Políticas de uso de los equipos.

    SISTEMAS: Descripción general de los sistemas.
    1. Manual de formas.
    2. Manual de procedimientos de los sistemas.
    3. Descripción genérica.
    4. Diagramas de entrada, archivos, salida.
    5. Salidas.
    6. Fecha de instalación de los sistemas.
    7. Proyecto de instalación de nuevos sistemas.

  2. Personal participante:
    El personal auditor debe estar capacitado con las siguientes características:
    1. Profesional en informática.
    2. Experiencia en creación y análisis de sistemas.
    3. Experiencia en auditoría sistémica informática.

  3. Proceso:
    El auditor de sistemas debe
    1. Reúnir evidencia,
    2. Evalúar fortalezas y debilidades de los controles existentes basado en la evidencia recopilada,
    3. Registrar en un informe de auditoria para la gerencia.
    4. La gerencia de auditoria debe garantizar disponibilidad y asignación adecuada de recursos.

  • CLASES de AUDITORIA Volver al principio
    1. Auditoria Externa:
      Examen crítico, sistemático y detallado del sistema de información, efectuado por especialista sin vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento.

      La Auditoria Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos, pero las empresas generalmente requieren de la evaluación de su sistema de información financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el término Auditoria Externa a Auditoria de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditoria Externa del Sistema de Información Tributario, Auditoria Externa del Sistema de Información Administrativo, Auditoria Externa del Sistema de Información Automático, etc.

      La Auditoria Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella información producida por los sistemas de la organización.
      Una Auditoria Externa se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de información examinado con el fin de acompañar al mismo una opinión independiente que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando en las declaraciones del Auditor.

      Una auditoria debe hacerla una persona o firma independiente de capacidad profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinión imparcial y profesionalmente experta a cerca de los resultados de auditoria, basándose en el hecho de que su opinión ha de acompañar el informe presentado al término del examen y concediendo que pueda expresarse una opinión basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigación.

    2. Auditoria Interna:
      Es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma.
      Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica.

      Las auditorias internas son hechas por personal de la empresa.
      Un auditor interno tiene a su cargo la evaluación permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los métodos y procedimientos de control interno que redunden en una operación más eficiente y eficaz.

      La auditoria interna es un servicio que reporta al más alto nivel de la dirección de la organización y tiene características de función asesora de control, por tanto no puede ni debe tener autoridad de línea sobre ningún funcionario de la empresa, a excepción de los que forman parte de la planta de la oficina de auditoria interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su función es evaluar y opinar sobre los mismos, para que la alta dirección toma las medidas necesarias para su mejor funcionamiento.

    PARADIGMA:
    Nunca andes por el camino trazado..
    pues él te conduce únicamente
    hacia donde los otros fueron."
    Grahan Bell

    Te espero en:
    wilocarpio@gmail.com

    Esta page está en:
    www.wilocarpio.com

    15/03/2002

    Volver al principio