You are on page 1of 97

FACULTAD DE CIENCIAS CONTABLES, ECONOMICAS Y FINANCIERAS

DEPARTAMENTO ACADÉMICO DE CONTABILIDAD Y FINANZAS

MANUAL:

AUDITORIA DE SISTEMAS

CICLO X

SEMESTRE ACADEMICO 2008 I-II


Material didáctico para uso exclusivo de los alumnos.

LIMA - PERÚ
UNIVERSIDAD DE SAN MARTIN DE PORRES

Rector(e)
Ing. Raúl E Bao García

Vicerrector
Ing. Raúl E Bao García

FACULTAD DE CIENCIAS CONTABLES, ECONÓMICAS


Y FINANCIERAS

Decano
Dr. Domingo Sáenz Yaya

Director de la Escuela Profesional de Contabilidad y Finanzas


Dr. Juan Amadeo Alva Gómez

Director del Departamento Académico de Contabilidad y Finanzas


Dr. Enrique Loo Ayne

Secretario de Facultad
Dr. Augusto H. Blanco Falcón

Directora de la Sección Postgrado


Dra. Yolanda Salinas Guerrero

Director del Instituto de Investigación


Mo. Víctor Loret de Mola Cobarrubias

Director de la Oficina de Grados y Títulos


Dr. Sebastián Ferril Márquez

Jefa de la Oficina de Registros Académicos


Sra. Belinda Quicaño Macedo

Jefa de la Oficina de Bienestar Universitario


Lic. Maria Pizarro Dioses

Jefe de la Oficina de Administración


Dr. Luis Flores Barros

2
ÍNDICE

PORTADA
INTRODUCCIÓN
ÍNDICE DE CONTENIDO
OBJETIVOS
PAUTAS PARA EL ESTUDIO Y LOS TRABAJOS DE APLICACIÓN

UNIDAD I: CONCEPTOS, DEFINICIONES Y EL SISTEMA INFORMATICO.

TEMA N° 1: CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS. 12-15


1. Definiciones, conceptos aplicados.
2. Normas aplicables.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

TEMA N° 2: PROPUESTAS DE AUDITORIA DE SISTEMAS. (Laboratorio) 16 -20


1. Presentación de propuestas de auditoria de sistemas.(Empresa Publica y Privada)
2. Alcances y objetivos.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

TEMA N° 3: EL SISTEMA INFORMATICO. 21-27


1. Objetivos, fases, rol del auditor de sistemas.
2. Atributos del sistema informático.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

TEMA N° 4: CONCENTRACION DE LOS SISTEMAS INFORMATICOS.


(Laboratorio) 28-33
1. Complejidad de los sistemas.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

UNIDAD II: INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE


PRUEBAS.
TEMA N° 5: BASE DE DATOS PARA AUDITORIA DE SISTEMAS. 41-44
1. Conceptos, importancia y usos.
2. Control de sistemas en Funcionamiento.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

3
TEMA N° 6: ASPECTOS AREVISAR 36-40
1. Guías y Planes.
2. Aspectos a revisar.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

TEMA N° 7: CONCEPTUALIZACIONES DE DISEÑO Y PRODUCCION DE


SOFWARE. 45-49
1. Conceptos y modelos usados.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

TEMA N° 8: PRUEBAS DE AUDITORIA.


50-54
1. Niveles de pruebas.(Laboratorio)
2. Pruebas especiales.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

UNIDAD III: PLANEACION DE LA AUDITORIA DE SISTEMAS.

TEMA N° 9: EVALUACION D ELA GESTION 55-59


1. Evaluación de riesgo.
2. Evaluación del proceso de datos.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

TEMA N° 10: EVALUACION DE SISTEMAS EN FUNCIONAMIENTO.


60-63
1. Plan de trabajo, aspectos a revisar.(Laboratorio)
2. Formularios de control.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

TEMA N° 11: MODALIDAD DE PRUEBAS.


64-77
1. Niveles de Control.
2. Plan del tipo de informe.

4
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

TEMA N° 12: MODELOS DE INFORME LARGO.


78-82
1. Gestión de uso de los sistemas
2. Elaboración de los términos de referencia.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

UNIDAD IV: TRABAJO DE CAMPO E INFORMES DE AUDITORIA DE


SISTEMAS.

TEMA N° 13: EJECUCION DEL PLAN Y PROGRAMA DE AUDITORIA.


83-87
1. Revisión de evidencias, cartas de hallazgo. (Laboratorio)
2. Decisiones y responsabilidades.
3. Papeles de trabajo, archivos y tipos de archivos
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN

TEMA N° 14: INFORMES PARA DISCUSION


90-96
1. Usos e importancias.
2. Modelos, diseñios.
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

TEMA N° 15: INFORME FINAL.


97-99
1. Caso practico. Elaboración del informe final (Laboratorio)
ACTIVIDADES APLICATIVAS
AUTOEVALUACIÓN
REFERENCIAS DOCUMENTALES

FUENTES DE INFORMACIÓN 100 -101

5
OBJETIVOS
OBJETIVO GENERAL.
Comprende los conceptos fundamentales de la auditoria de sistemas, los
procedimientos técnicos de control y auditoria de la administración o gerencial y el
desarrollo del análisis de la planeación y ejecución de la auditoria de sistemas o
gerencial.
OBJETIVOS ESPECIFICOS.
• Fija conceptos, fundamentos y criterios de la Auditoria de Sistemas.
• Determina el cumplimiento de las disposiciones y reglamentos referidos a la gestión
gerencial.
• Establece si los objetivos y metas previstos se están cumpliendo.
• Establece si la entidad tiene un sistema adecuado de control.
• Maneja los distintos métodos de planeacion para el desarrollo de la Auditoria de
sistemas, el Plan de Auditoria, los programas de auditoria y el archivo permanente.
• Ejecuta y desarrolla la fase de ejecución, los papeles de trabajo, emite las cartas de
Hallazgo, interpreta las observaciones y aplica responsabilidades.
• Emite y reconoce los informes para discusión e informes finales de Auditoria de
Sistemas.
PAUTAS PARA EL ESTUDIO Y LOS
TRABAJOS DE APLICACIÓN
• Este Manual será utilizado como apoyo importante al desarrollo de la asignatura de
Auditoria de Sistemas, en algunos casos será estudiado previamente por indicación del
profesor, lo que permitirá el análisis y debate colectivo del tema leído; en otros casos,
servirá para una lectura que complemente las explicaciones recibidas durante las
sesiones de aprendizaje. Esta lectura será comprensiva y deberá utilizar las técnicas de
estudio que se propone en uno de los temas desarrollados.

• Después de la lectura comprensiva efectuada deberás desarrollar las actividades de


aplicación propuestas en el Manual. Algunos trabajos son individuales y otros son
para desarrollarse en grupos. Pueden ser realizados en aula, o requerir de trabajo de
campo; ambas modalidades fortalecen la capacidad de autoaprendizaje del estudiante.

• También deberás resolver las cuestiones planteadas en la autoevaluación al final de


cada tema. Si tuvieras dificultad consulta a tu profesor o efectúa investigaciones
puntuales.

Éxitos y buena suerte


6
DIAGRAMA DE CONTENIDOS

CONCEPTOS,
DEFINICIONES Y EL
SISTEMA INFORMATICO
SISTEMAS

INGENIERIA DE LA
INFORMACION Y LA
METODOLOGIA DE
PRUEBAS
AUDITORIA DE

PLANEAICON DE LA
AUDITORIA DE SISTEMAS

TRABAJO DE CAMPO E
INFORMES DE AUDITORIA.

7
UNIDAD I

CONCEPTOS, DEFINICIONES Y EL SISTEMA INFORMATICO

El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso
de sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor –
Contador , hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria.

CONTENIDOS PROCEDIMENTALES
• Manejo de las bases y Normas identificables con la Auditoria de sistemas.
• Observa e interpreta las diferentes propuestas.
• Reconoce e identifica los sistemas informáticos.
• Elabora las guías y programas de auditoria.
• Elabora las técnicas de muestreo
• Reconoce el rol del auditor de sistemas en estos nuevos
• Analiza y evalúa el control interno, base de datos y el Planeamiento de
auditoria

CONTENIDOS ACTITUDINALES.
• Identifica y reconoce las diferentes Normas utilizadas en los trabajos de
auditoria dirigidas a los sistemas.
• Realiza una propuesta de trabajo de auditoria para empresa privada y
publica.
• Maneja la relación Normas – Auditoria.
• Cuida el manejo de los procedimientos de aplicación de las cotizaciones de
auditoria.
• Maneja y elabora programas de auditoria. Evaluación de los controles de
sistemas.
• Valora el planeamiento en todo trabajo de su vida.

CONTENIDOS CONCEPTUALES

TEMA No. 1: CARACTERITICAS DE LA AUDITORIA DE SISTEMAS.


TEMA No. 2: PROPUESTAS DE AUDITORIA DE SISTEMAS.
TEMA No. 3: EL SISTEMA INFORMATICO
TEMA No. 4. CONCENTRACION DE LOS SISTEMAS INFORMATICOS.

8
DIAGRAMA DE CONTENIDOS
S I S T E M A

CARACTERISTICAS DE LA
AUDITORIA DE SISTEMAS
E L

PROPUESTAS DE
D E F I N I C I O N E S Y

AUDITORIA DE SISTEMAS
I N F O R M A T I C O

EL SISTEMA INFORMATICO
C O N C E P T O S ,

CONCENTRACION DELA
INFORMACION Y LA
METODOLOGIA DE
PRUEBAS.
9
TEMA N° 01

CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS.

EL PROCESO DE LA AUDITORIA DE SISTEMAS

1. DEFINICION
• Es un examen objetivo, sistemático y profesional de evidencias, realizado con
el fin de proporcionar una evaluación independiente sobre el desempeño de los
sistemas utilizados en una entidad, programa o actividad.

2. Objetivos
• Determinar el grado en que se están logrando los resultados previstos.
• Establecer si se adquiere y protege los recursos en forma económica y eficiente
• Determinar si se ha cumplido con las leyes en materia de eficiencia y economía.
• Establecer si los controles gerenciales son efectivos.

3. Metodología
• Planeamiento: Comprende dos etapas
1. Revisión General
* Conocimiento inicial de la entidad por examinar.
* Análisis preliminar en la entidad
* Formulación del plan de revisión estratégica
2. Revisión Estratégica
*Ejecución del plan
*Aplicación de pruebas preliminares
* Identificación de los criterios de auditoria.
* Formulación del reporte de revisión estratégica
3. Elaboración del Plan De AUDITORIA.
• Ejecución:
1. Elaboración de los programas de auditoria, la recopilación de
documentos, realización de pruebas y análisis de evidencias para
asegurar su suficiencia y competencia, para acumular bases suficientes
para la formulación de observaciones, conclusiones y recomendaciones
debidamente sustentadas.
2. Se aplica procedimientos y técnicas de auditoria, pruebas de evaluación
de controles, identificación de hallazgo (condición y criterio).
• Informe:
1. Formaliza sus observaciones en el informe de auditoria.
2. Producto final; deberá detallar los elementos de la observación
(condición, criterio, causa y efecto), comentarios de la entidad,
evaluación final de tales comentarios, conclusiones y recomendaciones.
3. Debe tener requisitos de calidad y confiabilidad.
4. Aprobado y remitido a la entidad auditada. (forma y modo establecido
por la Contraloría)

10
Conocimiento Inicial de las Actividades y Operaciones de la Entidad o
Programa a Examinar

Fase de
Análisis Preliminar de la Entidad Y plan de Revisión Estratégica Planeamiento

Formulación del Reporte de Revisión Estratégica y Plan de Auditoria

Preparación de Programa de Auditoria

Fase de
Aplicación de Pruebas y Obtención de Evidencias de Auditoria Ejecución

Elaboración de Hallazgos de Auditoria, Observaciones, Conclusiones y


Recomendaciones
Fase de Informe

Aprobación del Informe de auditoria y Remisión a la Entidad Auditada

Seguimiento de Medidas
Correctivas Adoptadas por
Entidad Auditada

ANALISIS DE COSTO BENEFICIO

Es una técnica utilizada en el análisis de Sistemas: que tiene como objetivo fundamental proporcionar una
medida de los costos en que se incurren en la realización de un proyecto informático y a su vez, comparar
dichos costos previstos con los beneficios esperados en la realización de dicho proyecto.
Formula.
B/c = Ingreso total (FAS % años) + Valor Residual (FAS % Años)

Costo inicial + Costo Operativo (FAS % Años)

11
ANALISIS DE SISTEMAS

Es el proceso mediante el cual se estudian e interpretan los hechos del Sistema actual, con el fin de
especificar los requerimientos y especificaciones funcionales del nuevo Sistema a desarrollar
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D.).
- Modelizaci¢n de Datos.
- Diagrama de Estructura de Datos (D.E.D.).
- Historia de Vida de la Entidad (H.E.V.).
- Análisis de Costo-Beneficio (A.C.B.).

CONFIABILIDAD DEL SISTEMA


Se define que un sistema es confiable cuando posee los controles y las seguridades del caso,
permitiendo que sus resultados sean exactos y que su operación sea estable y segura.
• Detección de errores.
• Prevención de acceso no autorizado y mal uso de la información y del equipo.
• Controles ambientales y seguridad

DISEÑO ESTRUCTURADO
Es una técnica utilizada en el diseño de Sistemas, para obtener la estructura modular y los detalles de proceso del sistema, partiendo solamente
de la información obtenida en la fase de análisis de sistemas. En esta se define como debe estructurarse el sistema utilizando herramientas
graficas

DIAGRAMA DE ESTRUCTURA DE CUADROS


Es una técnica utilizada en el diseño de sistemas para modelar el sistema computarizado, visualizando modularmente el sistema, la conexión y
comunicación entre los mismos; dando una visión integral de la arquitectura del sistema.

DIAGRAMA DE ESTRUCTURA DE DATOS (DED)


Es una técnica utilizada en el análisis de sistemas para la modelizacion de datos, la cual representa un conjunto de datos relacionados entre si
y describen en forma colectiva un componente del sistema

DIAGRAMA DE FLUJO DE DATOS (DFD)


Proporciona una representación del sistema a nivel lógico y conceptual, describiendo el movimiento de los datos en el sistema, ya sea manual
o automático, incluyendo procesos y lugares para almacenar datos.

DIAGRAMAS DE GANTT
Son herramientas que se utilizan en la planificación de un proyecto o etapas del mismo y que consiste en el registro
de lo planificado y de lo ejecutado a través de barras de diferente diseño en dos ejes, una de actividades y otra de

DISEÑO DE PRUEBAS
Es una técnica utilizada en el diseño de Sistemas, que consiste en definir un programa de pruebas, para asegurar la confiabilidad del diseño y
que no existen errores en los programas que se especifiquen.
• Prueba de carga máxima.
• Prueba de almacenamiento.
• Prueba de tiempo de ejecución.
• Prueba de recuperación.
• Prueba de procedimientos. 12
DISEÑO DE SISTEMAS
Es el proceso de definición de la arquitectura de software, componentes, modulos, interfases, procedimientos de pruebas y datos de un sistema
que se crean para satisfacer unos requerimientos específicos.

ENTREVISTAS
Es una técnica que se utiliza en el análisis de sistemas para recabar la información verbal, a través de una serie de
preguntas que propone el analista. Esta a su vez es imprescindible para obtener información cualitativa, relacionarse
con los usuarios y recoger un conjunto de hechos y/o requerimientos de información necesaria para el estudio.

HISTORIA DE VIDA DE LA ENTIDAD


Es una técnica utilizada en el análisis de Sistemas que permite describir la evolución de las entidades de datos del sistema. Esta técnica utiliza las
entidades de datos identificados y descritas en los Diagramas de Estructura de Datos (DED) y las transacciones o eventos del sistema identificado
en el Diagrama de Flujo de Datos (DFD). También constituye un poderoso instrumento para verificar la exactitud de los dos modelos antes
mencionados y garantizar la coherencia.

IMPLANTACION DE SISTEMAS

Es el proceso por el cual se instala un sistema, se crean archivos maestros, se capacita al personal involucrado, se
procesa un periodo de información, se efectúan ajustes al sistema y se inicia la producción del sistema.

INTEGRACION DE SISTEMAS
Es el proceso por el cual se analiza, diseña y programa las interfases entre diferentes aplicaciones, sub.-sistemas y sistemas; de tal forma que no
se desarrollen sistemas aislados; sino mas bien interconectados que compartan archivo y base de datos comunes y se transfieran información
entre ellos.

.
INTEGRIDAD DE LA INFORMACION
Consiste en que los valores de los datos se mantengan tal como fueron puestos intencionalmente en el Sistema. Las
técnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el Software de la
Base de Datos o por fallas de programas o del sistema.
El concepto de integridad abarca la precisión y la fiabilidad de los datos: así como la discreción que sed debe tener con
ellos.

INTEGRIDAD DEL SISTEMA


Es una característica que deben poseer los sistemas computarizados. Consiste en que deben tener las seguridades de que el software no puede ser
alterado ni la información producida puede ser accesada por personas no autorizadas, para lo cual deben existir los controles y seguridades del
caso.

MODELIZACION DE DATOS
Es una técnica utilizada en el análisis de Sistemas para conseguir estructura de Datos no redundantes, sin inconsistencias, seguras e integras,
utilizando representaciones graficas.

13
OPTIMIZACION DEL DISEÑO FISICO
Es una técnica utilizada en el diseño de Sistemas para optimizar el modelo de Datos elaborado en la fase de Análisis de Sistemas Permitiendo
PERT-CPM
obtener la estructura física del sistema,; así como la representación optima de la información.

Es una técnica que se utiliza en la planificación de proyectos o etapas del mismo y que consiste en el registro de las
actividades, recursos y costos planificados; así como los ejecutados realmente, mediante representación grafica de
modos y fechas de dependencia de actividades.

PLATAFORMA DE HARDWARE
Es el conjunto de equipos que se utilizan para desarrollar y operar un sistema o todos los sistemas de una organización, comprendiendo el
computador central, las instalaciones de trabajo; tales como terminales, equipos de micro computación, impresoras; así como equipos de
comunicación local en Red o Remotas.

PLATAFORMA DE SOFTWARE

Es el conjunto de Software de base y aplicativos de uso general, que se utiliza para un sistema determinado o para toda la organización; consistente
de los sistemas operativos, sistemas de base de datos, sistema de redes, sistemas de comunicaciones y sistemas generales de automatización de
oficinas.

PROCESO EN PARALELO
Es una técnica utilizada en la implantación de sistemas, que consiste en permitir que se siga utilizando el sistema anterior,
mientras se procesa paralelamente el nuevo sistema, de tal forma de comparar resultados y efectuar el reemplazo
necesario con la seguridad de la correcta operatividad y confiabilidad del nuevo sistema.

PROGRAMACION ESTRUCTURADA

Es una técnica utilizada en la programación de sistemas y que consiste en llevar a cabo la programación en forma modular y utilizar sub.funciones
para ser utilizadas en forma común.

PROGRAMACION DE SISTEMAS
Es el proceso por el cual el diseño de un sistema se transcribe a un lenguaje de programación, que pueda ser interpretado por el computador, para
que este ejecute instrucciones que realicen las funciones, especificados para el nuevo sistema.

PROTOTIPEO

Es una técnica utilizada en el Análisis de sistemas y Diseño de sistemas, que permite desarrollar con rapidez un sistema de trabajo computarizado,
para posibilitar probar el diseño ante el usuario en un Software provisional que permite analizar en forma física el ingreso de los datos, el
procesamiento y la emisión de resultados; y poder efectuar los ajustes necesarios para el diseño definitivo.

PRUEBAS DE INTEGRACION
Son las que deben realizarse para probar la integración entre los componentes del sistema y asegurarse que encajen correctamente.

14
PRUEBAS DEL SISTEMA
Son las que deben realizarse para probar el sistema globalmente.

PRUEBAS UNITARIAS

Son las que deben realizarse para probar todos los componentes del sistema que se desarrollan individualmente.

RESPALDO DE LA INFORMACION

Es la información que se archiva en un medio alternativo al del almacenamiento de un computador, con fines de disponer de una copia de seguridad
por si ocurriese perdidas del sistema o la información

NORMAS DE AUDITORIA

1.10 Entrenamiento técnico y


Capacidad profesional
NORMAS GENERALES 1.20 Independencia
1.30 Cuidado y esmero profesional

1.40 Confidencialidad
1.50 Participación de especialistas
1.60 Control De Calidad
2.10 Planificación General
2.20 Planificación Especifica
2.30 Programa de Auditoria Normas para la planificación
2.40 Archivo Permanente

3.10 Estudio y evaluación del


Normas para la Ejecución Control interno

3.20 Evaluación y cumplimiento de


Normas legales y reglamentos

3.30 Supervisión del trabajo

3.40 Evidencia suficiente y


competente
3.50 Papeles de Trabajo
4.10 Forma Escrita
3.60 Comunicación de Hallazgos
4.20 Oportunidad del Informe
15
4.30 Presentación del Informe 3.70 Carta de representación

4.40 Contenido del Informe

4.50 Informe Especial Normas para el Informe

NAGU 1.50 PARTICIPACION DE PROFESIONALES Y/O ESPECIALISTAS


Integran el equipo de auditoria, en calidad de apoyo, los profesionales y/o especialistas que ejercen sus
actividades en campos diferentes a la auditoria gubernamental, cuando sus servicios se consideren
necesarios para el desarrollo del examen. De ser pertinente, los resultados de sus labores se incluirán en
NAGU 2.20 PLANIFICACION ESPECIFICA
El trabajo del auditor debe ser adecuadamente planificado, a fin de asegurar la realización de una
auditoria de alta calidad y debe estar basado tanto en el conocimiento de la actividad que
desarrolla la entidad a examinar, como de las disposiciones legales que la afectan.
Preparación de una estrategia general, actualizar el conocimiento y comprensión del entorno
de la entidad, sus principales operaciones, la estructura de control interno, disposiciones legales,
nivel de riesgo, áreas criticas, potenciales hallazgos, programar la naturaleza, oportunidad de los
procedimientos a aplicar..
Gestión: objetivos, metas y programas, seguimiento de recomendaciones anteriores.
• Evaluación y actualización del archivo permanente.
• Emisión del plan y programa de auditoria para ejecutar en el trabajo de campo
Guía de la Planificación
1. Revise la carta de compromiso (el contrato) y todos los archivos de correspondencia y
anote cualquier información que tenga un efecto significativo en el examen del año en
curso.

2. En caso de trabajos recurrentes, revisar los papeles de trabajo de la auditoria del año
anterior y las sugerencias para futuras revisiones, archivos permanentes, informes de
auditoria, archivo de impuestos, cartas de gerencia y otros documentos relevantes

3. Reunión con el personal del cliente:


a.- Indague sobre el desarrollo comercial y las condiciones económicas que afecten el
negocio del cliente
b.- Revise los resultados operativos del cliente, esperados para el año fiscal. Obtenga y
revise los EEFF mensuales mas recientes.
c.- Prepare una relación de papeles de trabajo y otros datos que serán proporcionados por
el cliente. Incluyendo un cronograma.

4. Reunión con el personal de la firma


a.- Discuta los temas significativos cubiertos en la reunión con el personal del cliente
b.- Discuta naturaleza, oportunidad y alcance de los procedimientos de auditoria y el
grado de confianza que podamos tener en los controles internos
c.- discuta los tipos de informe que se deben emitir, revisar el presupuesto de tiempo

He revisado los temas incluidos en el Plan de Auditoria y he anotado todos los puntos
significativos en la sección de comentarios 16
Firma del responsable de la Firma de Socio responsable
Planificación del compromiso
NAGU 2.30 PROGRAMA DE AUDITORIA
Para cada auditoria gubernamental deben preparase programas específicos que incluyan
objetivos, alcance de la muestra, procedimientos detallados y oportunidad de su aplicación, así
como el personal encargado de su desarrollo.
Programa
1. Objetivo del Examen
• Informe de Auditoria Financiera: Emitir opinión sobre la razonabilidad de los
EEFF.
• Informe Examen Especial de la Información Presupuestaria: Razonabilidad de la
información presupuestaria. Presupuestado versus ejecutado.
• Informe Largo: Funcionamiento y efectividad del Sistema de Control Interno.
Evaluar la gestión Administrativa y operativa.(metas y Objetivos)
Adquisición de bienes y servicios.
Normas de control de producción
Proyectos de inversión u Obras publicas
Controles de donación
Seguimiento a la implementación de las recomendaciones.

2. Alcance: Aplicación de las NAGU, vista de locales y otros


3. Descripción de la Entidad: Constitución, principales operaciones, sistema de
contabilidad
4. Normativa Aplicable: Bajo que leyes se encuentra
5. Informes a Emitir: Informe corto, largo, especial, con fechas de entrega.
6. Identificación de áreas criticas: Evaluación de riesgos Alto, bajo o moderado
7. Puntos de Atención: posibles problemas
8. Funcionarios de la entidad: Nombres, cargos y fechas de trabajo
9. Presupuesto de Tiempo: Personal que va intervenir en la auditoria con horas / hombre.
10. Participación de Especialistas: Si es el caso.

NAGU 2.40 ARCHIVO PERMANENTE


Es la información básica de la entidad o área a auditar Para cada entidad sujeta a control se
debe implantar, organizar y mantener actualizado el archivo permanente.
Contenido:
P1 Información sobre los antecedentes y organización de la entidad
* Estructura Orgánica, Constitución * Reglamento de organización y
funciones
* Manual de organización y funciones * Manual de Procedimientos
P2 Extractos o copias de acuerdos importantes
* Leyes de creación, modificatorias y otras * estatuto Social
* Plan operativo Institucional * Presupuestos
* Memoria Institucional * Acuerdos de directorio
P3 Extractos sobre el sistema de contabilidad
* Registros * Empleados claves autorización de
firmas
* Políticas contables * Flujo grama, principales operaciones
* EEFF
17
P4 Documentos dE Auditoria Externa
* Informes de Auditoria * Plan Anual de auditoria
NAGU 3.10 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO
Se debe efectuar un estudio apropiado y evaluación del control interno, para identificar las áreas
criticas que requieren un examen profundo, determinar su grado de confiabilidad a fin de establecer la
naturaleza, alcance, oportunidad y selectividad en la aplicación de procedimientos de auditoria..
Conjunto de planes, métodos y procedimientos, incluyendo políticas de dirección, que ofrecen
seguridad razonable que se cumplen los objetivos de control (promover la eficiencia, la eficacia y la
economía) y proteger los recursos públicos.
La estructura:
1. Ambiente de Control: Los órganos de dirección estimulan e influyen en su personal, para
crear conciencia sobre los beneficios de una adecuado-+ control.
2. Evaluación del riesgo: Como la entidad identifica y analiza los riesgos que afectan el
cumplimiento de sus objetivos.
3. Actividades de Control Gerencial: Políticas y procedimientos que imparte la gerencia.
4. Sistema de Información y Comunicación: Métodos y procedimientos establecidos por la
gerencia para procesar adecuadamente la información y ayudar a la toma de decisiones.
5. Actividades de Monitoreo: Mantener el control interno – evaluación continua.

Evaluación de la estructura: comprende 2 etapas


1. Obtención de información relacionada con el diseño e implementación de los controles sujetos
a evaluación.
2. Comprobación de que los controles identificados funcionan adecuadamente y logran sus
objetivos
Al termino de esta evaluación: Memorandun de Control Interno - debilidades y las
recomendaciones

NAGU 3.40 EVIDENCIA SUFICIENTE, COMPETENTE Y RELEVANTE


El auditor debe obtener evidencia suficiente, competente y relevante, mediante la aplicación de
pruebas de control y procedimientos sustantivos que le permitan fundamentar razonablemente los
juicios y conclusiones que formule respecto al organismo, programa, actividad o función que sea
objeto de la auditoria.
a. Suficiencia: evidencia objetiva y convincente, que basta para sustentar los hallazgos.
b. Competente: valida y confiable..
c. Relevancia: esta en relación a su uso.

Evidencia física: observación, inspección directa. Se presenta en memorando(fotos, mapas, etc)


Evidencia documental: cartas, contratos, registros, facturas, documentos de la administración
Evidencia testimonial: declaraciones, entrevistas.
Evidencia analítica: cálculos, comparaciones, razonamientos

18
NAGU 3.60 COMUNICACIÓN DE HALLAZGOS
Durante el proceso de la auditoria, el auditor encargado debe comunicar oportunamente los
hallazgos a las personas comprendidas en los mismos, a fin de que en un plazo fijado, presenten
sus aclaraciones o comentarios sustentados documentariamente, para su evaluación y
consideración en el informe correspondiente.
Se pondrá en conocimiento del titular el inicio de la comunicación de hallazgos
De la entrega:
• La comunicación es por escrito, directa y reservada.
• Si la persona no esta se le dejara Notificación plazo 2 días hábiles.
• Publicación en el peruano y otro :plazo 2 días hábiles.
• Puede ser recogido por representante acreditado.
• Vencido el plazo se dará por agotado el proceso de comunicación
De la Respuesta.
• Señalar plazo final de recepción de las aclaraciones. no menor de 2 ni mayor de 5 hábiles
• Si no hay respuesta o es extemporánea se consignara en el informe
• Excepcionalmente se ampliara por única ves 3 días hábiles
• Exceptuarse en casos de absoluta certeza de presunción de delito ( informe especial)

NAGU 4.40 CONTENIDO DEL INFORME


Al finalizar el trabajo, el auditor debe elaborar un informe en el cual expondrá apropiadamente los
resultados del examen, señalando que se realizo de acuerdo a las normas de auditoria
gubernamental.
ESTRUCTURA
1. Denominación: Informe Largo, etc. No... Titulo general del tema abordado
2. Origen del examen: Razones del examen por: plan anual, denuncia, solicitud del titular,
Contraloría, No de Resolución
3. Naturaleza y Objetivos del examen: Auditoria financiera, de Gestión, objetivos previstos
4. Alcance del Examen: Cobertura, periodo, áreas, geografía , de acuerdo con las NAGU,
NIAS, y otras, limitaciones encontradas en el trabajo de campo.
5. Antecedentes y base legal de la entidad: constitución, resolución y otras.
6. Comunicación de Hallazgos: Se ha cumplido con la norma de comunicación oportuna, se
debe incluir una relación con el personal involucrado en el examen
7. Memorando de Control Interno: Se indicara la emisión del memorandun en el cual se
informo al titular la efectividad de los controles internos implantados. Dicho documento; así
como el reporte de las acciones correctivas que en virtud del mismo se hallan adoptado se
deberán adjuntar como anexo.
8. Observaciones: Sumilla, condición, criterio, efecto, causa, comentarios del personal
involucrado y evaluación de los comentarios.
9. Conclusiones: Juicio de carácter profesional basados en las observaciones
10. Recomendaciones: Medidas especificas y posibles
11. Anexos: Documentos indispensables, concisos, importantes
12. Firma: Jefe de comisión, supervisor, nivel gerencial competente
13. SÍNTESIS GERENCIAL: Contenido breve y preciso
19
NAGU 4.50 INFORME ESPECIAL
Cuando en la ejecución del trabajo de auditoria, se evidencien faltas graves y/o indicios razonables de
comisión de delito, en cautela de los intereses del estado, el auditor, sin perjuicio de la continuidad del
respectivo examen y previa evaluación de las aclaraciones a que se refiere la Nagu 3.60
Comunicación de hallazgos; emitirá con la celeridad del caso un informe especial con el debido
sustento técnico legal, el cual se remitirá al comité de calidad de la contraloría para su revisión.
DENOMINACIÓN: Titulo informe Especial No.. titulo del asunto que abarca, sin considerar nombres
específicos
Estructura
1. INTRODUCCIÓN: Origen, motivo, alcance, área geográfica de la acción de control, disposiciones
que sustentan la emisión del informe especial (NAGU 4.50).
2. FUNDAMENTOS DE HECHO: Breve sumilla Condición , Criterio, efecto y causa, aclaraciones de
los involucrados, el resultado de la evaluación.
Responsabilidad Penal: revelados en termino de indicios.
Responsabilidad Civil: cuantificado. No recuperable por vía administrativa
3. FUNDAMENTOS DE DERECHO: Análisis del tipo de responsabilidad. Sustentación de la
Tipificación, indicación e los artículos pertinentes del código civil o penal; fundamentos jurídicos,
señalar prescripción.
4. IDENTIFICACIÓN DE PARTICIPES EN LOS HECHOS: Individualización de las personas
Nombres y apellidos completos, identificación, cargo, periodo, así como terceras personas, incluso
cuantificación del monto.
5. PRUEBAS: Identificación de las pruebas en forma ordenada y detallada por cada hecho, anexos
correspondientes, autenticadas, informe técnico si lo hubiere (abogado, ingeniero, otros)
6. RECOMENDACIÓN: la acción legal respectiva. Dirigida al titular de entidad, si
Este estuviera involucrado al titular del sector para la participación del procurador.
7. ANEXOS: Contiene las pruebas que sustentan los hechos. Deben tener un índice, donde se
se indique numero y titulo del asunto, así como la nomina del personal involucrado.

Remisión de los informes especiales a la CGR


Comité de Calidad de CGR, para su revisión; por única ves podrá recepcionar información de los
involucrados y dará un pronunciamiento. Remitirá al titular de la entidad
Titular de la entidad, : para tomar las acciones legales correspondientes, el seguimiento e informar al
organismo superior de control, copia de denuncia dentro de los 5 días de hecha

Niveles de Aprobación
• CGR: suscrito, auditor, abogado, jefe de comisión, supervisor y la gerencia competente.
• Auditoria Interna: auditor, abogado, jefe de comisión, supervisor y la gerencia competente
• Sociedad de auditoria: abogado y socio participante

Situaciones Especiales: Serán revelados en el informe de la acción de control


• Cuando se determine que se puede recuperar vía acción administrativa
• Cuando los participes son únicamente terceras personas
• Se podrá separar los informes en relación a su responsabilidad

Limitaciones:
• La revisión del comité de control de calidad solo serán si la entidad esta en Lima.
• En provincia se remitirán al titular de la entidad
20
• En ambos casos se remitirá simultáneamente un ejemplar a la CGR
NAGU 4.60 SEGUIMIENTO DE RECOMENDACIONES DE AUDITORIAS
ANTERIORES
Los órganos conformantes del Sistema Nacional de Control deben efectuar el seguimiento a la
implementación de las recomendaciones planteadas en los informes de auditorias anteriores,
con la finalidad de determinar si se emprendieron acciones correctivas por parte de los
funcionarios responsables de las organizaciones auditadas.
1. La administración es la responsable de superar las observaciones mediante la
implementación de las recomendaciones. En concordancia con el Art.24 literal g Ley
26162 En caso que el titular no siga esto la CGR lo sancionara
2. Auditoria interna le corresponde hacer el seguimiento.
3. Para efectos de seguimiento se deben reportar de la siguiente manera:
• Pendientes: cuando el titular no ha designado a los responsables de aplicar las
recomendaciones.
• En Proceso: Cuando el titular ha designado a los responsables y estos han
iniciado las acciones.
• Superadas: Ya se han aplicado las medidas sugeridas en las recomendaciones.

INTERNACIONAL STANDARD ON AUDITING 401


AUDITING IN A COMPUTER INFORMATION
¾ El propósito de este estándar internacional de auditoria (ISA), es establecer estándares y
proporcionar la dirección en los requerimientos que se seguirán cuando una auditoria se conduce en
los sistemas de información computarizados (Ambiente CIS).
¾ Para los propósitos de esta norma ISA, un ambiente CIS existe cuando una computadora de
cualquier tipo o tamaño es implicada en el proceso de la información de la empresa, con suficiente
importancia para la auditoria; ya sea que esta computadora sea operada por la entidad o por terceros.
¾ El auditor debe considerar ¿Cómo un ambiente CIS afecta la auditoria ?.
¾ El objetivo y el alcance totales de una auditoria no cambia en una ambiente CIS. Sin embargo, el uso
de una computadora cambia el proceso, almacenaje y la comunicación de información y puede afectar
los sistemas de control interno empleados en la entidad. Por consiguiente, un ambiente CIS puede afectar:
* Los procedimientos que se seguirán por el auditor en la obtención de una suficiente comprensión
de los sistemas utilizados.
* La consideración del riesgo inherente y del riesgo del control con la cual el auditor llega a su evaluación
del riesgo.
* Los diseños y funcionamiento de las pruebas del control y los procedimientos substantivos apropiados
que determinaron los auditores para resolver el objetivo de la auditoria.

INTERNACIONAL STANDARD ON AUDITING 401


AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT

¾ Norma IFAC contenido en el Manual ISA 2003.


¾ Comprende:
* Introducción.
* Habilidades y Competencias.
* Planeamiento.
* Evaluación de Riesgo.
* Procedimientos de Auditoria.

21
TALLER 01
ACTIVIDAD APLICATIVA
APLICABILIDAD DE LAS NORMAS EN LA AUDITORIA DE SISTEMAS.

Objetivo
Identificar y reconocer las Normas que se aplican en la auditoria de Sistemas

Orientaciones
En grupos, durante 40 minutos, los alumnos discuten analizan las normas que se adecuan a
la auditoria de sistemas y elaboran conclusiones.

AUTOEVALUACIÓN

1. Explique la importancia de las normas aplicables en una auditoria de sistemas.


2. Establezca diferencias entre las que se usan para las demás auditorias.
3. Diga ¿qué función tienen las normas discutidas en la auditoria de sistemas?

REFERENCIAS DOCUMENTALES

Código 657.458/B826C
Autor Bravo Cervantes, Miguel H.
Título Control interno
Pie
Lima: San Marcos, 2000
Imprenta
Páginas 550
Contenido 1. El papel del auditor 2. El trabajo del auditor 3. Teoría de la evidencia
en auditoria 4. Obtención de la evidencia 5. El programa de trabajo 6. El
control interno 7. Elementos fundamentales de un sistema de control
interno 8. La auditoria y el control interno

Código 657/I59
Autor Estrella, Edison E.
Título Sistema Integrado de Auditoria Gubernamental, SIAGSistema Integrado
de Auditoria Gubernamental, SIAG21. Conferencia Interamericana de
Contabilidad
Conferencia 21. Conferencia Interamericana de Contabilidad.10-14 Sep
1995Cancún
Institución Instituto Mexicano de Contadores Públicos, Asociación Interamericana
de Contabilidad, Florida (Estados Unidos).
Pie
México, D.F.: De Letras, 1995
Imprenta
Páginas 273-286

22
TEMA N° 02
PROPUESTAS DE AUDITORIA DE SISTEMAS.

ESTRUCTURA DE PROPUESTA EMPRESA PUBLICA

Las Sociedades de Auditoria participantes en el presente Concurso de Méritos, presentarán sus


propuestas conteniendo lo siguiente:

SOBRE "A"

a. El Programa de trabajo tentativo que proponga la Sociedad para la ejecución de la auditoria deberá
considerar los objetivos generales de las Bases, tomando en cuenta:
- Normas Internacionales de Auditoria (NIA)
- Normas de Auditoria Gubernamental (NAGU)
- Manual de Auditoria Gubernamental (MAGU).

b. Asignación de personal, tiempo y otros (Formato Nº 2).

c. En todos los casos de Personal eventual o contratado, así como de personal Especialista incluido en la
Propuesta de servicios, contratados sólo para el examen a realizarse, deberá adjuntarse:
- Título Profesional
- Copia de Certificados de participación en cursos en los últimos 24 meses
- Currículum Vitae
- Contrato firmado por la Sociedad y el especialista y/o contratado
- Formato Nº 3
En caso estar registrado como personal permanente no será necesario.

e. Plazos, Cronograma de Trabajo (Formato Nº 4).

f. Declaración Jurada de:

- Conocimiento y adhesión a las Bases del Concurso Público de Méritos (Formato Nº 5).

- No estar incursos en los impedimentos señalados en el Artículo 22º del citado Reglamento
(Formato Nº 6).

- Compromiso cumplimiento de normas de conducta profesional y personal (Formato Nº 7).

g. Constancia de Habilitación del Colegio de Contadores Públicos de la Sociedad de Auditoria; asimismo,


Constancia de Habilitación del Colegio Profesional respectivo de todos los profesionales integrantes de
la Comisión Propuesta.

h. Declaración de Asociación, según lo previsto por el Artículo 5º del citado Reglamento.

i. Confirmación de visita a la entidad (credencial).

j. De ser el caso, constancia de inscripción en Organismo Financieros Internacionales.

El personal que se proponga no deberá estar comprometido en la realización de otros trabajos


durante la ejecución de la auditoria a la que se postula, con excepción del Supervisor y de los
Especialistas, siempre y cuando no exceda las horas - hombre estipuladas en el contrato, caso contrario
será causal de eliminación de la propuesta.

SOBRE "B"

Contendrá la propuesta económica, de acuerdo al siguiente esquema:

23
I. Costo de la Auditoria

- Honorarios (Anexo Nº 1 y 2) S/. ________________

- Gastos (Pasajes y viáticos) S/. ________________

TOTAL S/. ================


II. Forma de Pago

NOTAS
a. Con la finalidad de optimizar la presentación de las propuestas de servicios, es necesario que las firmas
auditoras lean cuidadosamente las instrucciones consignadas en la Estructura de Propuesta elaborada
por la Contraloría General.

b. Todas las hojas de la propuesta deberán estar selladas y rubricadas por el representante legal de la
Sociedad de Auditoria, así como, correctamente ordenadas y foliadas.

c. Las Propuestas deberán presentarse debidamente anilladas en dos (2) sobres lacrados "A" y "B",
dirigidas al Contralor General en la fecha establecida. En cada sobre se referenciará:

1. La razón social de la entidad por auditar.


2. El nombre de la Sociedad de Auditoria.

d. La información sobre el personal permanente, que por primera vez será incluido en una Propuesta,
deberá ser presentada a la Contraloría General, en el Diskette de actualización (RUNSA.EXE) hasta el
día anterior a la venta de bases, a los efectos de su registro; la información que llegue después de dicho
plazo “no será considerada para los efectos del Concurso”.

e. Los formatos 2 y 4 debidamente confeccionados, tal como se instruye en el modelo de la propuesta, en


los cuales debe coincidir el total de horas consignadas para la Comisión y para cada uno de sus
integrantes.

De otro lado, los datos colocados en las columnas "Total días útiles" y "Total horas" del formato Nº 4,
deben estar relacionados en forma lógica.

f. Las Constancias de Habilitación del Colegio de Contadores Públicos de Lima serán presentadas en la
Propuesta empleando una de las siguientes opciones:

. Original y/o
. Copia autenticada notarialmente.

g. Cuando el examen incluya préstamos de Organismos Internacionales, éstos deberán expresar


previamente su conformidad con respecto a la firma auditora cuya designación se propone

24
FORMATO Nº 2

INTEGRANTES DEL EQUIPO PROPUESTO

SOCIEDAD: ................……………………………... ENTIDAD: .…………………………………...................

CARGO EN LA AÑOS EN EL
CONDICIÓN COMISIÓN HORAS DÍAS
LIBRETA ELECTORAL APELLIDOS Y NOMBRES CARGO EN ESPECIALISTA
LABORAL ASIGNADAS ÚTILES
DESCRIPCIÓN LA SOA

NOTAS:
1. Colocar a los integrantes en orden jerárquico del cargo en la Comisión (Supervisor, Jefe de Comisión, Profesionales, Asistentes, Especialistas y Socios).
2. Marcar con una "X" cuando se trate de Especialistas Contratados, sólo si así lo requieren las Bases, respecto de los cuales se debe adjuntar el Currículum Vitae, y de ser el caso, Contrato y
Formato Nº 3.
3. Condición Laboral – P = Permanente, E= Eventual.

25
FORMATO 3

Contraloría General Datos Personales de los Integrantes Fecha : ../../..


Registro de Sociedades Página : ....
----------------------------------------------------------------------------
Sociedad : ..............................................................
Integrante : .................................
----------------------------------------------------------------------------
L.Electoral: ........ | Ingreso : ../../.. (a la Sociedad)
R.U.C.: ......... | Instrucción: ............. Profesión : ...(Ver Tabla)
C.Extranj. : ......... | Grado : ..(Ver Tabla) Centro Estud..............
Núm.Coleg. : ........ | Condición : ..(Ver Tabla) ..(Años)
Fecha Coleg: ../../.. | Experiencia: ..(Años Prof) ..(Años Auditoría)
----------------------------------------------------------------------------

Capacitación Ultimos 24 Meses


----------------------------------------------------------------------------
Materia | Entidad | D u r a c i o n
-----------------------------------| Docente |-------------------------
Cód.|Sec| Descripción | | Inicio | Fin. | H.A
----|---|--------------------------|--------------- |---------|---------|-----
...|...|..........................| ............. | ../../..| ../../..| ....
...|...|..........................| ............. | ../../..| ../../..| ....
...|...|..........................| ............. | ../../..| ../../..| ....
...|...|..........................| ............. | ../../..| ../../..| ....
...|...|..........................| ............. | ../../..| ../../..| ....
-----------------------------------------------------------------------------

Auditorías Realizadas Ultimos 24 Meses


-----------------------------------------------------------------------------
| | Período |Fun-| Duración de la
Entidad |AEP| Aud.(Años)|ción| Actividad
---------------------------------|---|---+---+----|----|----------------------
Nombre | R.U.C.|Cód| 1 | 2 | 3 |Cód.| Inicio | Fin |H.C
------------------------|--------|---|---|----|---|----|--------|--------|----
.......................|........|...|...|...|...|....|../../..|../../..|....
.......................|........|...|...|...|...|....|../../..|../../..|....
.......................|........|...|...|...|...|....|../../..|../../..|....
.......................|........|...|...|...|...|....|../../..|../../..|....
.......................|........|...|...|...|...|....|../../..|../../..|....

-----------------------------------------------------------------------------
H.A=Horas Académicas H.C=Horas Comprometidas C=Código AEP=Act.Ecón.Principal

------------------------- --------------------
Sello y Firma Firma
Sociedad de Auditoría

26
FORMATO 4

CRONOGRAMA DE TRABAJO DEL EQUIPO PROPUESTO

SOCIEDAD:................……………… …..….. ENTIDAD:.………………………….. …..

LIBRETA ELABORACIÓN DEL


VISITA PRELIMINAR TRABAJO DE CAMPO TOTAL
ELECTORAL INFORME TOTAL
DÍAS
INTEGRANTE DEL HORAS
DEL AL DEL AL DEL AL ÚTILES
EQUIPO

NOTA:
Indicar las fechas (día,mes,año) de inicio y fin de las etapas que desarrolla cada persona; en el mismo orden del
Formato No. 2.

27
FORMATO Nº 5
DECLARACION JURADA
CONOCIMIENTO Y DE ADHESIÓN A LAS BASES DEL CONCURSO

Declaramos que los socios y el personal de auditoría propuesto por la firma tienen conocimiento y
dominio de las disposiciones emanadas del Sistema Nacional de Control.

Asimismo, declaramos conocer y manifestamos nuestra adhesión en extenso a los aspectos


establecidos en las bases del Concurso de Méritos Nº…….-…..., convocado para
auditar………………………………………………………...por el (los) períodos (s)..................................., de acuerdo a
los lineamientos establecidos por la Contraloría General.

En muestra de lo cual adjuntamos, en señal de conformidad, las Bases que fueron adquiridas para
el presente Concurso de Méritos debidamente rubricadas en cada una de sus páginas.

Lima,

------------------------------------------------------------
FIRMA (SOCIO)
FORMATO Nº 6

DECLARACIÓN JURADA DE AUSENCIA DE INCOMPATIBILIDAD


De acuerdo a lo dispuesto en el Artículo 22º del Reglamento de Designación de Sociedades de Auditoria, aprobado por R.C. 162-93-
CG de 19.NOV.93 y sus modificatorias, y en la Norma de Auditoría Gubernamental N° 1.20 –INDEPENDENCIA , declaro en mi calidad
de socio y representante legal de la Sociedad, que nos encontramos libres de impedimentos de toda índole, directos o indirectos o
relacionados con los señalados en las Bases del Concurso, que limiten efectuar una labor imparcial y objetiva en la auditoría a
efectuarse en la Contraloría General de la República, tales como:

1. Si los socios y/o miembros del equipo se desempeñan como funcionarios o servidores públicos, y en caso de
ser ex funcionarios públicos, no haber sido observados por la Contraloría General.

2. Si los socios y/o miembros del equipo han mantenido, durante el ejercicio a auditar, vinculo laboral o contractual
con la entidad bajo examen, con los titulares y representantes legales o vínculos familiares hasta el 4° grado de
consanguinidad y 2° de afinidad con los miembros.

3. Si la Sociedad de Auditoria, socios y/o miembro del equipo tuvieran pleito pendiente con la Contraloría General
o cualquier otra entidad del Estado.

4. Si la Sociedad de Auditoria, socios y/o miembros del equipo asignado para la ejecución de la auditoria se
encuentran inhabilitados por el Colegio de Contadores Públicos, otros Colegios Profesionales u Organismos.

5. Si la Sociedad de Auditoria se encuentra suspendida temporalmente o está sometida a proceso investigatorio


por parte de la Contraloría General y/u otros organismos.

6. Si los socios y/o miembros del equipo propuesto para la realización de la auditoria ha infringido el Código de
Ética de su respectivo Colegio Profesional.

7. Si los socios y/o el personal técnico profesional propuesto como integrante del equipo, han ocupado cargos
jerárquicos de confianza en la Contraloría General de la República, vinculados a funciones de conducción,
supervisión o de control sobre los procesos de designación y contratación de dichas sociedades o sus labores
subsecuentes en aplicación del presente Reglamento, hasta un año después de haber usado en el cargo.
Dicha limitación es aplicable asimismo, respecto del cónyuge y parientes hasta el 4º grado de consanguinidad y
2º de afinidad, y es extensiva sobre quienes ocupen los cargos de confianza a que se refiere el párrafo
precedente a la fecha de la convocatoria del concurso correspondiente.

CONSIDERACIONES FINALES
Declaramos bajo juramento que nos acogemos a la presunción de veracidad establecida en los artículos IV y 42º de
la Ley N° 27444; declarando asimismo, conocer las consecuencias de orden pecuniario, administrativo y penal en
caso de falsedad de ésta declaración conforme lo regula el artículo 32° de la citada Ley y el Código Penal.
28
Fecha,....................................................

-----------------------------------------------------------------
Firma del Representante Legal de la Sociedad

FORMATO Nº 7

COMPROMISO DE CUMPLIMIENTO DE NORMAS DE CONDUCTA PROFESIONAL Y PERSONAL


Deberes Funcionales.
Exigencias al Personal Auditor (NAGU N° 1 Normas Generales)

1. Para el ejercicio de la presente auditoria declaramos someternos a la calificación exigida por las normas de
auditoria gubernamental, dando relevancia:

- Independencia de criterio respecto de la entidad auditada, que nos permita formular juicios fundados en
elementos objetivos de los aspectos examinados, lo que implica además, mantenernos libres de cualquier
situación que pudiera señalarse como incompatible con nuestra integridad y objetividad. (NAGU 1.20)

2. Por la presente declaramos que, para el ejercicio de la presente auditoria nos encontramos exentos de
incompatibilidad y/o prohibición personales o funcionales que impidan nuestro desempeño laboral
independiente, conforme a las exigencias previstas para el auditor en las normas del Sistema Nacional de
Control, dejando constancia de las siguientes situaciones:

a) No haber laborado, bajo cualquier forma o modalidad contractual, por lo menos dos años antes en la entidad a
auditar, en las áreas materias del objetivo del examen, y/o participado o intervenido directa o indirectamente en
aspectos objeto de la auditoria.

b) Encontrarnos libres de prejuicios acerca de los funcionarios y servidores auditados, intereses personales, de
ideas preconcebidas, influencias o presiones de terceros respecto de la entidad a auditar; tales como, mal
concepto de la actuación funcional o personal de los funcionarios y/o servidores auditados, haber recibido
ofrecimiento de empleo o negocio en la entidad o con sus funcionarios, etc.

CONSIDERACIONES FINALES
Declaramos bajo juramento que nos acogemos a la presunción de veracidad establecida en los artículos IV y 42º de
la Ley N° 27444; declarando asimismo, conocer las consecuencias de orden pecuniario, administrativo y penal en
caso de falsedad de ésta declaración conforme lo regula el artículo 32° de la citada Ley y el Código Penal.

Fecha,....................................................

-----------------------------------------------------------------
Firma del Representante Legal de la Sociedad

29
ANEXO Nº 1

COMPOSICIÓN DEL COSTO = HONORARIOS


NOMBRE DE LA ENTIDAD: ..........................................
S/.

- COSTO DEL PERSONAL TECNICO PROPUESTO


(ANEXO Nº 2)

- COSTO DEL PERSONAL ADMINISTRATIVO


- OTROS GASTOS
- UTILIDAD PREVISTA
COSTO TOTAL DE HONORARIOS ---------------------------------
===================
ANEXO Nº 2

COSTO HORA/HOMBRE DEL EQUIPO PRESUPUESTO

NOMBRE DE LA ENTIDAD:...........................................

TOTAL HORAS DEL CARGO


COSTO H/H TOTAL COSTO H/H
CARGO S/ PROPUESTA
(a) (a x b)
(b)

S/

30
TABLAS

CONDICIÓN

1 PERMANENTE
2 CONTRATADO

GRADO

1 ESTUDIANTE SUPERIOR
2 EGRESADO
3 BACHILLER
4 TITULADO
5 MAESTRIA
6 DOCTORADO

PROFESIÓN

0100 CONTABILIDAD
0200 DERECHO Y CIENCIAS POLITICAS
0300 ADMINISTRACION
0400 ECONOMIA
0500 ARQUITECTURA
0600 ING. AGRICOLA
0700 ING. CIVIL
0800 ING. QUIMICA
0900 ING. INDUSTRIAL
1000 ING. PESQUERA
1100 ING. ELECTRICA
1200 ING. SANITARIA
1300 ING. DE INDUSTRIAS ALIMENTARIAS
1400 ING. DE MINAS
1500 ING. DE MECANICA
1600 ING. DE PETROLEOS
1700 ING. DE SISTEMAS
1800 ING. METALURGICA
1900 ING. ZOOTECNICA
2000 GEOLOGIA
2100 MEDICINA HUMANA
2200 COMPUTACION
2300 MATEMATICAS
2400 ESTADISTICA
2500 EDUCACION
2600 SOCIOLOGIA
2700 ASISTENCIA SOCIAL
2800 CIENCIAS DE LA COMUNICACION
2900 PSICOLOGIA
9999 OTROS
31
TALLER 02
ACTIVIDAD APLICATIVA
PROPUESTAS DE AUDITORIA DE SISTEMAS.

Objetivo
Elaborar Propuesta para trabajos de auditorias para empresas privadas y públicas de acuerdo a
los formularios establecidos

Orientaciones
En el laboratorio bajar información de la página Web. De la Contraloría general de la
Republica, de los formularios para la presentación de propuesta de auditoria de sistemas.
WWW: contraloria.gob.pe.
AUTOEVALUACIÓN

1. Llenar los formularios bajados de internet para la propuesta de trabajo para una auditoria
publica..
2. Elaborara una propuesta para empresa privada para un trabajo de auditoria de sistemaas.

REFERENCIAS DOCUMENTALES

• www.contraloria.gob.pe

TEMA N° 03

EL SISTEMA INFORMATICO.

REQUISITOS DEL AUDITOR INFORMATICO

¾Debe tener conocimiento


suficiente de Sistemas.
Análisis - FODA por Cliente.

¾ Seguridad y Profesionalismo.
¾No es conocedor de todas las
especialidades.

¾ No opinar con facilidad.


¾ Conocimiento de hardware
Software – Relativos

32
PAPEL DEL AUDITOR DE SISTEMAS

¾Estudiar el sistema de ¾ En relación a los


Información y analizar sus controles temas técnicos, debe
organizativos y operativos. (PED). requerir del Ingeniero

¾
de sistemas.
Investigar y analizar las aplicaciones
informáticas en producción o desarrollo. ¾ Revisar los papeles de trabajo.

¾ Evaluar la eficiencia y eficacia de los ¾ Analizar con el


sistemas de información. abogado los Hallazgos

¾
y respuestas.
Deben conocer los puntos fuertes y
débiles del sistema. ¾Discutir con el equipo
¾ Debe establecer un adecuado nivel de
el informe en borrador.

comunicación con el personal de PED. ¾ Elaborar y firmar el Informe en limpio.

ENFOQUES EN LA AUDITORIA DE SISTEMAS

• Auditoria alrededor • Auditoria en el


del computador. Computador.
• Análisis de • Examen de
procedimientos , aplicaciones.
métodos y otros
usados en los • Eficiencia / eficacia
dif i de los sistemas
asistidos CIS

• Auditoria a través del Computador.


• Controles – entrada / salida
• Eficiencia / Eficacia en la operación de los sistemas.
• Otros

33
Conceptos de Seguridad de la Información

Seguridad: Asociado a Certeza – Falta de riesgo o contingencia.


Niveles de Seguridad: Esto depende del conjunto de técnicas
usadas por la empresa; encaminadas a obtener un menor riesgo.
Íntimamente ligada a la Organización.
‰ ALTO
‰ MODERADO
‰BAJO.

Sistema de Seguridad =
Tecnología + Organización

Sistemas de Respaldo y Redundantes

Técnicas de Protección:
¾ Backup.
¾ Copias de Seguridad.
¾ Unidades de Espejo.
¾ Niveles de Respaldo y Redundancia.
¾ Tolerancia a fallos.
¾ Capacidad de respuesta a un suceso inesperado.
Hardware – Software – Electricidad – Borrado accidental
operación Negligente -
¾ UPS – Grupos electrogenos.
¾ Protección contra Virus.

34
ATRIBUTOS DELS ISTEMA INFORMATICO
Concepto de sistema

La palabra sistema puede ser utilizada con varios sentidos diferentes. Por ejemplo, podemos decir
que el profesor José tiene un sistema de evaluación muy riguroso o que don Juan tiene un sistema
estupendo para jugar el “me late”, o inclusive que el sistema solar tiende a alejarse de un hoyo
negro. Sin embargo, para nuestro propósito, diremos que sistema es un conjunto de partes
integradas que tienen la finalidad común de alcanzar determinado objetivo u objetivos. De este
concepto podemos extraer tres características básicas:

Un conjunto de partes: Todo sistema tiene más de un elemento.

Partes integradas: Existe una relación lógica entre las partes que constituyen un sistema.
Sistemas electrónicos o mecánicos, como una máquina de lavar ropa o de un videojuego, posen
componentes que trabajan en conjunto. Un sistema de administración de personal consiste en
procedimientos integrados para reclutar, seleccionar, capacitar y evaluar empleados.

Propósito común de alcanzar determinado objetivo: Todo sistema existe para alcanzar uno o
más objetivos, y sus partes integrantes deben ajustarse entre sí para lograr el objetivo global del
sistema.

En la medida en que las partes están interrelacionadas y unidas, el sistema alcanza un estado
sólido y firma. El resultado del sistema es mayor que la suma de sus partes, porque la
interrelación de ellas produce un efecto multiplicador denominado Sinergia. Cada parte ayuda a
otra y el efecto sinegético hace que el resultado del conjunto sea maximizado.

Sin embargo, si las partes no están correctamente interrelacionadas el sistema entra en un estado
de descomposición y desintegración llamado Entropía. Cada parte se desliga de la otra y el efecto
entrópico produce perdidas y deterioro.

- Finalidad de los sistemas

Vimos que el sistema existe para lograr uno o más objetivos. Un objetivo es una situación
deseada, un resultado a alcanzar. Vimos también que un sistema, es eficaz cuando alcanza
adecuadamente los objetivos para los cuales fue creado. La eficacia esta ligada a los fines, a los
resultados, a los objetivos logrados.

3.- Componentes de los sistemas

Todo sistema está constituido por partes relacionadas entre sí. Las partes son los subsistemas que
a su vez están constituidos por otras partes relacionadas entre sí, y así sucesivamente. Por otro
lado, todo sistema es parte de un sistema mayor, el SUPRA SISTEMA. Este es el atractivo que la

35
TEORIA DE SISTEMA ofrece. Se puede estudiar cada sistema con sus subsistemas integrantes,
como partes de un sistema más grande.

LOS COMPONENTES DE TODO SISTEMA SON LOS SIGUIENTES. :

Entradas o Insumos (input): es todo lo que ingresa al sistema para hacerlo funcionar. Ningún
sistema es autosuficiente o autónomo. El sistema necesita de insumos, en forma de recursos,
energía o información. En el organismo humano, los insumos son variados, el aire, los, el agua,
las imágenes, los sonidos, etc. que provienen del medio ambiente externo.

Operación o procesamiento: todo sistema procesa o convierte sus entradas mediante sus
subsistemas. Cada subsistema se encarga de un tipo de insumo que le es peculiar. En el
organismo humano, el aire que respiramos es procesado por el aparato respiratorio, la comida
que comemos por el aparato digestivo, las imágenes por los sistemas visual y nervioso

Salidas o resultados (output): Todo sistema coloca en el medio ambiente externo las salidas o
resultados de sus operaciones. Las entradas debidamente procesadas y convertidas en resultados
se exportan de nuevo al ambiente, en forma de productos o servicios prestados, en el caso de las
empresas.

Retroacción o retroalimentación (feedback): es la reentrada o retorno al sistema de sus salidas


o resultados, que pasan a influir sobre su funciona miento. La retroacción es generalmente una
información o energía de retorno que vuelve al sistema para realimentarlo o alterar su
funcionamiento como consecuencia de sus resultados o salidas.

A partir de esos Componentes, se puede evaluar el funcionamiento de un sistema. En lenguaje


“sistémico”, la eficiencia es el cuociente de salida sobre le entrada, es, es decir, la cantidad de
salida por unidad de entrada. Si dos sistema presentan los mismos resultados, pero uno de ellos
requiere menos recursos de entrada, entonces éste será más eficiente. O dos sistemas utilizan la
misma cantidad de insumos, pero uno de ellos produce mejor resultado, entonces éste será el más
eficiente. La eficacia, por otro lado, es la relación entre la salida y el objetivo del sistema, esto es,
en cuanto más contribuye el resultado al alcance del objetivo, más eficaz será el sistema.

4.- Clasificación de los sistemas

Hay varias maneras de clasificar los sistemas: en cuanto a su constitución y en cuanto a su


relación con el medio ambiente.

En cuanto a su constitución, los sistemas pueden clasificarse en:

Físicos o concretos (en inglés: hardware): son los sistemas compuestos de elementos
palpables y concretos, como máquinas, equipos, instalaciones, edificios, materias primas, etc.

36
Conceptuales o abstractos (en ingles: software): son los sistemas compuestos de aspectos
intangibles y abstractos, como filosofías, políticas, directivas, programas, procedimientos, reglas
y reglamentos, etc.

En realidad, las empresas son sistemas constituidos por subsistemas físicos y conceptuales: ellas
necesitan de máquinas, equipos e instalaciones, pero requieren también de filosofías, directrices,
reglas y reglamentos para funcionar.

En cuanto a su relación con el medio ambiente, los sistemas pueden clasificarse en:

Cerrados o mecánicos: son los sistemas cuyas entradas y salidas hacia el medio ambiente
externo son pocas y sobre todo conocidas. Son los sistemas mecánicos o determinismo que con
determinada entrada producen determinada salida, como el motor, la máquina, etc. Son
previsibles y sujetos a certezas.

Abiertos u orgánicos: son los sistemas que tienen una infinidad de entradas y salidas hacia el
medio ambiente externo, no siempre bien conocidas. Mantienen intenso intercambio con el
ambiente. Son los sistemas vivos y orgánicos sujetos a la indeterminación e incertidumbre.

En realidad, no existen sistemas absolutamente cerrados o absolutamente abiertos: los primeros


serían herméticos y los últimos se confundirían con el ambiente externo. En las empresas existen
sistemas mecánicos (como las máquinas, equipos, instalaciones, etc.) y sistemas orgánicos (como
las personas, principalmente). La propia empresa es un sistema orgánico, vivo y abierto.

Sistemas de sugestión

Los sistemas de sugestión son importantes y pueden incluirse en una discusión del pensamiento
creativo.

Por medio de los sistemas de sugestión, se anima a los empleados a que sometan sus ideas para
mejorar las operaciones y las condiciones de trabajo. Las sugestiones adoptadas recompensan a
su autor, usualmente en la forma de premios en efectivo. Cuando se le da amplia atención y
apoyo suficiente, el sistema de sugestiones no solo proporciona las ideas sino que contribuye
significativamente al logro de buenas relaciones humanas. Es imperativo que los gerentes den al
sistema de sugestiones de su empresa apoyo entusiasta y que lo expliquen minuciosamente a
todos los empleados.

El éxito de los sistemas de sugestiones requiere una promoción y publicidad continuas. Es


demasiado frecuente que se inicie un sistema con brote de entusiasmo y que se desvanezca
prácticamente en nada al los pocos meses, debido a la falsa creencia de que el sistema debe ser
auto generador y debe continuar así. Hay que fomentar el que los empleados hagan sugestiones y
ayudarlos a redactarlas.

37
La siguiente figura incluye lo que el gerente puede hacer a este respecto

La experiencia muestra que unas cajas para sugestiones convenientemente ubicadas. en un sitio
al lado para escribir. Bastantes formas a la mano para sugestiones una buena recolección de las
sugestiones y un rápido acuse de recibo de las mismas. Son de bastante utilidad para mantener
despierto el interés en un sistema de sugestiones.

De igual manera la decisión sobre las sugestiones se determinará en un periodo razonable. Es


conveniente llevar un catalogo de sugestiones, de manera que las anteriores puedan servir de
referencia, con el destino que se les haya dado. Si una sugestión requiere mas del tiempo normal
para juzgarla, quien la haya hecho debe ser informado de esta situación, ya que es perfectamente
normal que un empleado desee saber que pasó con su idea o las condiciones en que se encuentra
su sugerencia. Las decisiones junto a los razonamientos y las cantidades de los premios deben
hacerse del conocimiento de todos los empleados. Esto puede efectuarse por medio de carteles,
en un tablero de boletines o mediante inserciones en las publicaciones de la compañía. En
muchos casos es conveniente no dar a conocer el nombre del colaborador, con objeto de eliminar
cualquier influencia personal al juzgar, para mejorar la precisión de los premios o por cualquiera
de varia circunstancias que atañen al individuo. También es importante una rápida acción
después de que se llegue a una decisión con respecto a una sugestión. Las recompensas deben ser
pagadas sin demora, la sugestión debe ser puesta en vigor tan rápido como sea posible, y lograr la
continuación de las sugestiones aprobadas. La cantidad del premio puede variar pero desde un
mínimo de 5% hasta un máximo del 10 % de los ahorros del primer año derivados de la adopción
de la sugestión. La recompensa debe ser lo bastante para retener el interés de los empleados y su
participación activa.

Es conveniente activar de inmediato una sugestión aprobada, ya que muchos empleados están
mas interesados en ver sus sugestiones llevadas a la práctica que en recibir la recompensa. La
continuación de las sugestiones demuestra un interés continuo de parte de los gerentes y revela el
grado hasta el cual se siguen las sugestiones y los benéficos a largo plazo que se deriven.

Las ideas y su aplicación pueden ser la ruta hacia el éxito y la fama en la administración. Se
necesitan nuevas y mejores ideas si es que la administración va a continuar progresando. Existen
medios definidos y pueden ser adoptados para desarrollar la facultad de crear ideas, lo mismo
que para ponerlas en práctica. Debe contarse con un ambiente de trabajo que conduzca y fomente
la creación de ideas y la innovación. Pero esta atmósfera favorable no puede crearse de la noche
a la mañana o por un mero ademán, no importa lo bien dispuesto que encuentren los gerentes.

Toma tiempo, esfuerzo de concentración, fe en la importancia de las ideas y la convicción de que


pueden crearse mejoras y mejores objetivos administrativos, así como los medios para utilizarlos.

38
TALLER 03
ACTIVIDAD APLICATIVA
SISTEMAS INFORMATICOS.

Objetivo
Conocer los atributos de los sistemas informáticos y los modos de aplicar pruebas de
auditoria.

Orientaciones
En forma grupal identificar y analizar los modelos y sistemas informático a mas usados en las
empresas.
AUTOEVALUACIÓN

1. Referencia los modelos de sistemas informáticos usados en las empresas?


2. Conocer la manipulación de los sistemas informáticos en las áreas principales de las
empresas?..

REFERENCIAS DOCUMENTALES

• www.esinet.es.
• www.infoplus.es.
TEMA N° 04

CONCENTRACION DE LOS SISTEMAS INFORMATICOS

Lo Importante es Proteger la Información

Los Datos y la Información son los sujetos


principales de protección
Confidencialidad: Información conocida por individuos
autorizados.
Existen infinidad de posibles ataques contra la privacidad.

Integridad: Seguridad de la información.


La Información no sufre alteración, no es borrada,

Disponibilidad: Seguridad que la información pueda ser


recuperada en el momento que se necesite.

39
TORTAS PERU
Cliente del
Exterior

Paga con
VISA VISA
IGV: Venta se trata como
venta local
Se encarga
a preparar la
Honorarios: Locales
torta a Renta: Fuente peruana
afiliada mas Se paga desde el exterior
cercana al
domicilio del
beneficiario

Preguntas: IGV – Renta de fuente – Exportacion ????????

El Cliente
paga con
Visa

El cliente (
India) hace su
pedido vía Cuba
Internet
envía
EMPRESARIO
al
Perú
cliente
Pone
en
una
India
empresa Empresa
Virtual Virtual
en
Internet

Se compra en Cuba habanos para


ser enviados a India
40
TALLER 04
ACTIVIDAD APLICATIVA
SISTEMAS INFORMATICOS AUDITABLES.

Objetivo
Conocer los atributos de los sistemas informáticos y los modos de aplicar pruebas de
auditoria.

Orientaciones
En forma grupal identificar y analizar los modelos y sistemas informático a mas usados en las
empresas.
AUTOEVALUACIÓN

1. Referencia los modelos de sistemas informáticos usados en las empresas?


2. Conocer la manipulación de los sistemas informáticos en las áreas principales de las
empresas?..

REFERENCIAS DOCUMENTALES
• www.esinet.es.
• www.infoplus.es.

Revista Informativo Vera Paredes


Título Auditoria en un ambiente de sistemas de información computarizada (NIA 401)
Número Nø 8 (Abr. 2004)
Fecha 2004
Páginas B1-B8

UNIDAD II
INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS.
El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso de
sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor – Contador,
hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria.

CONTENIDOS PRODEDIMENTALES
• Identifica conceptos de software, evaluación y control de los mismos.
• Manejo de los diseños y producción de software.
• Aplica e interpreta las diferentes formas de metodologías de pruebas de
auditoria.
41
Aplica las pruebas sustantivas de auditoria basados en tipos de datos.
CONTENIDOS ACTITUDINALES:
• Maneja y cuida el software propuesto para la evaluación propuesta.
• Conoce los sistemas informáticos: diseño, proceso y mantenimiento.
• Maneja la metodología de pruebas de auditoria.
Contenidos conceptuales:
CONTENIDOS CONCEPTUALES

TEMA No. 5: BASE DE DATOS PARA LA AUDITORIA DE SISTEMAS.


TEMA No. 6: ASPECTOS A CONTROLAR EN LA AUDITORIA DE SISTEMAS.
TEMA No. 7: CONCEPTUALIZACIONES DE DISEÑO Y PRODUCCION DE SOFTWARE.
TEMA No. 8. PRUEBAS DE AUDITORIA.
DIAGRAMA DE CONTENIDOS
INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS

BASE DE DATOS

ASPECTOS A CONTROLAR
EN LA AUDITORIA DE

CONCEPTUALIZACIONES DE
DISEÑO Y PRODUCCION DE
SOFTWARE

PRUEBAS DE AUDITORIA

42
TEMA N° 05

BASE DE DATOS PARA AUDITORIA

• Una Base de Datos describe organizaciones del mundo real, representa simbólicamente
los objetos del mundo real como tablas.
• Importancia del diseño de la BD.
• Diseño lógico: proceso iterativo.
• Partir grandes estructuras heterogéneas en otras estructuras más pequeñas y homogéneas.
• A este proceso se le llama normalización. (Fco. Nava)

DISEÑO DE BASE DE DATOS:

Etapa previa a la introducción (Grabación) de datos.


¾ Proceso iterativo (normalización): se buscan estructuras pequeñas y homogéneas.
¾ Normalización: determinación de las relaciones naturales entre los datos.
¾ Mecanismos de normalización: división de tablas en otras con menos atributos.
¾ Importante: que no se pierdan datos (recuperación de las tablas originales mediante uniones
naturales).

OBJETIVOS
• Objetivo de la normalización: determinar las relaciones naturales entre los datos.
ƒ Se parte una tabla en dos o más con menos columnas.
ƒ No hay pérdida de información.
ƒ Información de la tabla original: operación de unión de las tablas.
ƒ Satisfacer los requisitos de los usuarios.
ƒ Asegurar la integridad y consistencia de los datos (respecto a las restricciones).
ƒ Proporcionar una estructura de la información natural (consultas fáciles de entender,
actualizaciones sencillas).
ƒ Satisfacer los requisitos de rendimiento.

CONTROL DE SISTEMAS EN FUNCIONAMIENTO


PLAN DE TRABAJO
Para efectuar el Control, el Especialista deber establecer su plan de trabajo, el cual debe
basarse en pasos y etapas a ejecutar en un plazo determinado y deber contemplar las etapas
siguientes:
a) Planeamiento del Trabajo a Realizar.
b) Investigación Preliminar.
c) Evaluación del Sistema.
d) Planeamiento y Diseño de las Pruebas de Control.
e) Ejecución y Evaluación de los Resultados de las Pruebas.
f) Confección del Informe de Auditoria del Sistema.
g) Revisión y Opinión del Informe.
43
h) Seguimiento de las Recomendaciones de Auditoria.

a. Planeamiento del trabajo a realizar


Consiste en la estrategia que conduzca al logro de los objetivos concretos y a las
expectativas de la Alta Dirección en el menor tiempo posible, para lo cual se elaborar el
plan de trabajo que permita medir el avance del trabajo en puntos claves y administrar
Eficientemente los recursos de tiempo y personal que sean asignados.
En el documento de planeación se debe considerar lo siguiente:

1 Objetivo general del trabajo a realizar. En forma concreta se plantea los objetivos del
trabajo.
1 Alcances del trabajo a realizar. Se marcan los escenarios de riesgos que se van
examinados en el trabajo, pudiendo ser todos o solamente algunos.
1 Puntos de interés para este trabajo. Se registran los aspectos que requieren especial
atención, de acuerdo con los antecedentes que se conozcan de la aplicación o de otras
similares y de la información que se procesa con ella.
1 Auditores asignados. Un grupo se encarga de verificar que se cumplan con los
estándares de calidad y las normas y directivas que ha emitido la Institución y el ente
rector en Informática. Otro grupo se encarga de verificar el funcionamiento
de los sistemas.
1 Duración estimada. Comprende la suma de los tiempos estimados asignados a cada una
de las etapas desde la b) hasta la h).
1 Fechas de iniciación / terminación. Para el desarrollo completo de las actividades del
proyecto.
1 Diagrama de actividades. Se coloca el tiempo estimado que va a durar cada una de las
actividades.
1 Entrevista de iniciación de auditoria. Se realiza una reunión con el personal directivo de
Sistemas en la cual se plantean los objetivos y el enfoque de trabajo a realizar y se
Establecen los mecanismos de comunicación a emplear en el desarrollo del trabajo.
1 Puede utilizar el formato de Plan de Trabajo indicado en el diagrama No. 5.

b. Investigación Preliminar
Se determinan las características técnicas y operativas de la aplicación objeto del trabajo
y su importancia para los objetivos y metas de la Institución.
Se debe conseguir la documentación del sistema, para que en el trabajo de gabinete pueda
investigarse en forma preliminar el Sistema, con la siguiente información:
. Dependencias involucradas en el manejo de la aplicación.
. Inventario de documentos fuentes.
. Inventario de informe que produce.
. Normas legales e institucionales que rigen el funcionamiento de la aplicación.
. Interfases de la aplicación con otros sistemas.
. Procesos manuales y automatizados que realiza la aplicación.
. Perfil técnico de la aplicación.

44
. Personal clave para el manejo de la aplicación en cada dependencia involucrada.
. Inventario de manuales de documentación existente.
. Información sobre fraudes que se hayan cometido.
(Diagrama 5)
c. Evaluación del Sistema
Se debe efectuar la revisión de los 10 aspectos indicados en el punto 3.2.
Al evaluar el sistema también debe considerarse los riesgos determinándose cuales son las
situaciones de riesgo y cuales sus causas.
Para evaluar los controles existentes se deben utilizar una de las dos alternativas, o ambas:
- Análisis de Riesgo.
- Cuestionarios de Control.

Riesgos:

. Riesgos Accidentales
1 Ingreso accidental ya en apertura.
1 Falla imprevista que anula seguridad.
1 Error en sistema de comunicación.

³ CONTROL DE SISTEMAS EN FUNCIONAMIENTO :


³ AUDITOR RESPONSABLE:
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄ
³ ACTIVIDADES ³ PEDIDOS: DIAS O SEMANAS ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÂÄÄÂÄÄÂ
ÄÄÂÄ
³1. PLANEAMIENTO ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 1.1 Elaboración del Plan ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 1.2 Aprobación del Plan ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³2. INVESTIGACION PRELIMINAR ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 2.1 Relevamiento de información ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 2.3 Análisis de Información ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ

45
³3. EVALUACION ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.1 Documentación del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.2 Procesamiento del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.3 Operatividad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.4 Controles del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.5 Integridad de Datos ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.6 Validez de Resultado ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.7 Seguridad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.8 Sistema de Respaldo ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.9 Auditabilidad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³ 3.10 Efectividad del Sistema ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³4. DISEÑÓ DE PRUEBAS DE CONTROL ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³5. EJECUCION-EVALUACION RESULTADOS ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³6. ELABORACION INFORME DE AUDITORIA ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³7. REVISION OPINIONES DEL INFORME ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³

46
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³8. EMISION DE INFORME FINAL ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÅÄÄÅÄÄÅ
ÄÄÅÄ
³9. SEGUIMIENTO DE RECOMENDACIONES ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³ ³

. Riesgos Pasivos
Captación electromagnética de transmisión de microondas.
1 Intercepción por alambres o cables coaxiales.
1 Acceso vía procedimientos técnicos avanzados.

. Amenazas Activas
1 Otorgamiento de clave de seguridad a usuario realmente no autorizado.
1 Ingresar al sistema cuando el usuario autorizado ha dejado su terminal abierto, sin
salir del sistema.
1 Ingreso por personas expertas.

d. Planeamiento y diseño de las pruebas de control


Se deben diseñar los juegos de datos de pruebas, los cuales deben asegurar que se investigue
totalmente la confiabilidad del sistema y los controles que poseen.
En esta se debe considerar :

1 Naturaleza y extensión de las pruebas de auditoria.


1 Plan de las pruebas a ejecutar.
1 Diseño de las pruebas de auditoria.

e. Ejecución y Evaluación de los resultados de las pruebas


Una vez, ejecutadas las pruebas se deben evaluar los resultados de las mismas y determinar
en que módulos, el Sistema no es confiable y controles que no posee, que deban ser
imprescindibles.

f. Confección del Informe de Auditoria del Sistema


Producto de la revisión del Sistema se deber preparar el Informe de Auditoria y Control del
Sistema.
El informe preliminar debe ser opinado y recibirse los comentarios del caso para posterior
emitir el informe final

g. Revisión y Opinión del Informe


Tanto el usuario, como el de Informática que desarrolló ó administra la operación del
Sistema, deben tener la oportunidad de revisar y opinar sobre el informe preliminar, de tal
forma de asegurar que se estén aceptando las observaciones indicadas.

47
h. Seguimiento de las Recomendaciones de Auditoria
Siendo el objetivo de este trabajo que se mejore el sistema y se superen sus deficiencias para
beneficio de la Institución, se debe a través de un Registro de Seguimiento, efectuar el
control de las acciones tomadas y las observaciones superadas.

ASPECTOS A REVISAR
Los aspectos que deben ser revisados son :
1- La documentación del sistema.
2- El procedimiento del sistema.
3- La operatividad del sistema.
4- Controles del sistema.
5- Integridad de los datos.
6- Validez de los resultados.
7- Seguridad del sistema.
8- Sistema de Respaldo.
9- Auditabilidad del sistema.
10- Efectividad del sistema.

1 Documentación del Sistema : Como paso inicial del proceso de control de una
aplicación en funcionamiento, debe ser revisada la documentación existente, la cual
permite además de tomar conocimiento escrito del mismo, revisar si se ha
cumplido con la metodología y estándares establecidos para el desarrollo de
sistemas, anotando las falencias para su evaluación en los pasos siguientes, ya que
podrían ser causa de problemas del sistema en operación.

2 Procedimiento del Sistema: Todo sistema es un conjunto de procesos manuales y


automatizados, cuya operativizaci¢n debe estar definida en un Procedimiento del
Sistema. Es imprescindible la existencia del procedimiento formal para efectos de
poder operativizar eficientemente y con eficacia el sistema.

3. Operatividad del Sistema: Una vez revisada la documentación del Sistema, se debe
proceder a revisar su operatividad.
Se revisa todo el ciclo del sistema:
. Generación del Dato.
. Ingreso del Dato al sistema.
. Transmisión del Dato.
. Procesamiento del Dato.
. Actualización de Archivos.
. Emisión de Reportes y Consultas.
Se debe verificar que el sistema efectúe en cada etapa de su ciclo las
Especificaciones establecidas en el Análisis y Diseño y se cumpla con el
Procedimiento aprobado para el sistema.
Debe analizarse y observar si realmente tiene los requisitos de operatividad que

48
Hagan al sistema eficiente y eficaz.

4 Controles del Sistema:


a.- Generación del Dato
Debe verificarse las condiciones en que se genera el dato, ya sea este, externo o
interno a la Institución, revisando que sea veraz, consistente y que refleje exactamente la
operación realizada. Se podrá tomar una muestra de datos para efectos de verificar
su exactitud.

El sistema debe contemplar como uno de sus controles efectúa muestreos de calidad
de los datos con una frecuencia PRE-establecida.

b.- Ingreso del Dato


Debe revisarse que el ingreso o transcripción de los datos se efectúe cumpliendo con
controles básicos, tal como se indica:
1 Si el sistema es descentralizado, que el dato sea ingresado por el mismo que lo
genera, para tener un mayor control sobre la calidad del ingreso del dato, ya que
dicha persona es la que mas conoce la información y es la responsable de la misma.
1 En el caso de que sean varias personas las que tengan que ingresar datos por que
la organización establece responsabilidades diferenciadas, debe constatarse que el
sistema registre de alguna forma el código del ingresador del dato, para los
controles del caso.
1 Si el Sistema es centralizado en un centro de computo del usuario o de la
Dirección de Servicios Informáticos, los datos deben ser recepcionados por lotes y
con hojas de control que indiquen el total de datos lotizado y totales de
control, que permitan validar la completitud de los datos al ingresar la información
por personas transcriptoras de datos.
1 Que los programas de ingreso de datos tengan consistencia física y lógica de datos.
1 La consistencia física debe ser sobre el registro de datos en si, donde debe existir
datos obligatorios y opcionales y rangos de valores de los datos.
1 La consistencia lógica debe ser contra los archivos maestros del sistema y contra
reglas de validación cruzadas que deba cumplir la información.
1 Que los datos ingresados deban imprimirse como validación del ingreso de datos,
de la forma más conveniente dependiendo de la naturaleza del sistema.
1 Si el ingreso de datos es desde terminales y en ventanillas de atención al público,
debe efectuarse una revisión visual previa y debe imprimirse el comprobante
producto del ingreso del conjunto de datos y al final del turno o día de trabajo,
debe emitirse un parte diario de comprobación y cuadre.
1 Si el ingreso de datos es desde terminales, pero en forma de proceso en lotes, al
final de cada lote debe imprimirse un listado de revisión visual y de cuadre para
poder ser revisado con todos los documentos fuentes, si el volumen de
registros es manejable, o por técnica de muestreo, cuando existe una cantidad

49
considerable de registros. Al final del día debe adicionalmente imprimirse un parte
diario de los lotes ingresados.

c.- La Transmisión del Dato


En un sistema en línea la transmisión del dato desde el terminal a la Base de Datos
Central es manejada por el Software de Comunicaciones, Software de Red y Software de
Base de Datos, debiendo en este caso:
1 El Sistema aplicativo debe tener rutinas programadas que controlen la optima
transacción procesada en caso de caídas del sistema y un programa alternativo de
captura descentralizada del dato en el terminal, si su configuración de equipo lo
permite y posterior transmisión y registro en la base de datos central.
1 En un sistema de proceso en lotes, la transmisión del dato puede ser vía disquetes
o módems. En este caso debe verificarse:
1.- Que los disquetes sean probados previamente antes de su remisión y que
Quede un medio de respaldo en el centro de ingreso de datos.
Asimismo se les coloque en modo protegido contra escritura y este
Claramente identificado en su etiqueta el número o números de lote y la
Cantidad de registros que contiene.

2.- Que Para el caso de transmisión de datos vía MODEM, el archivo a


Transmitir debe poseer un registro de encabezado de control que
Indique el número o números de lote y la cantidad de registros que
Contiene, debiendo el aplicativo que leer dicha información efectuar la
Verificación de la información del registro encabezado con los registros
Leídos.

d.- El Procesamiento del Dato


Comprende los procesos manuales y automatizados que se realizan para producir los
resultados previstos en las diferentes funciones que satisface el sistema.

1 Se da especial énfasis a los controles incluidos en el software de las aplicaciones


para lograr exactitud y confiabilidad del proceso y de los resultados que produce.
1 Debe verificarse que el sistema tenga registros y rutinas de control que permitan
que ante una caída del sistema pueda reiniciarse el procesamiento desde la última
transacción procesada, ya sea el sistema en línea o en lotes.
1 Para asegurar la integridad del procesamiento de los datos, en los sistemas en
línea debe contarse con las seguridades físicas tales como UPS y equipos de
respaldo de energía eléctrica de tal forma que evite el truncamiento del
procesamiento y desincronizaci¢n de su operación.
1 En los casos de los sistemas de procesamiento en lotes debe existir
procedimientos computarizados para que los programas se ejecuten en la
secuencia prevista y de acuerdo a las bifurcaciones establecidas.

50
1 Deben establecerse condiciones de error que no puedan ser consistenciados física
o lógicamente en la etapa de ingreso de datos, que no deben paralizar el
procesamiento, sino mas bien reportar las ocurrencias para hacían inmediata en los
sistemas en lineal o acciones posteriores en los sistemas de procesos de lotes.

e.- Actualización de Archivos


Debe verificarse que existan registros y rutinas de control que con cierta frecuencia de
tiempo o de periodo, determine si existe coherencia entre la cantidad de registros y
valores de los totales de los archivos. Por ejemplo, si se ha producido una cantidad de
nuevas entidades debe reflejarse esto en un incremento del número de registros del
archivo principal. Al final del día debería producirse un reporte de integridad de archivos.

f.- Emisión de Reportes y Consultas.


Deben existir rutinas de control y procedimientos que permitan al final de un periodo
cuadrar cifras entre reportes y consultas, que aseguren la integridad de los resultados
emitidos. Cada sistema, según su naturaleza, tiene una lógica de cuadre entre reportes, la
cual debe estar claramente definida en el procedimiento.

5.- Integridad De Datos


Adicionalmente a los controles anteriormente mencionados, para fines de asegurar la
integridad de los datos en cuanto a su completitud y confiabilidad, el sistema debe poseer
programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la
información.

Debe asimismo, en forma externa, establecerse procedimientos de comparación de la


información producida por el sistema contra otras informaciones disponibles, para efectos
de determinar la confiabilidad de la información. Dentro de este aspecto estan las
circularizaciones de comprobación de la información del computador con las áreas o
personas involucradas.

6.- Validez de los Resultados


El aspecto mas importante de todo el sistema son los resultados, por lo que al revisar el
sistema debe verificarse que los resultados cumplan con las especificaciones del diseño
del sistema, lo cual debe comprobarse mediante juegos de datos de pruebas
especialmente preparados, y que prueben todas las posibilidades de las entidades, datos
y situaciones.

7 Seguridad del Sistema


Debe comprobarse que el Sistema cuente con los siguientes tipos de seguridad:
- Seguridad en el acceso a la información.
- Seguridad del sistema.
- Seguridades Físicas.

51
a. Seguridad de acceso a la información: Debe existir a nivel Institución, un esquema
global de seguridad de acceso a la información, donde deben existir para cada área y
para cada funcionario Perfiles de Acceso a los Sistemas, a las funciones dentro de cada
sistema y a la Base de Datos, constituyendo una matriz de accesos usuario versus
sistemas, funciones donde el nivel de usuario es el código de cada funcionario.

El sistema debe tener claves de seguridad discriminadas donde cada usuario tiene
un acceso basado en las siguientes opciones:
. Ingreso de datos.
. Procesamiento de los datos.
. Consultas por niveles.
. Emisión de Reportes.
Asimismo el sistema debe mantener un log de uso del sistema por sesión de
trabajo.
Los niveles de acceso a la información pueden ser :
. Nivel de consulta de información no restringida.
. Nivel de mantenimiento de la información no restringida.
. Nivel de consulta incluyendo la información restringida.
. Nivel de mantenimiento de la información restringida.

b. Seguridad del sistema:


Acceso y Seguridad a los Programas
1 El Área de Servicio informatico debe ser la única que debe tener acceso sobre los
programas fuentes, que deben estar archivados en bibliotecas especiales, bajo
control de un Administrador de Sistemas.
1 Asimismo, los programas objetos también deben tener nombres solo conocidos por
el administrador del sistema, quien le coloca los nombres claves una vez recibidos
los programas fuentes y estos son compilados.
1 En la medida de lo posible, dependiendo de la envergadura del Servicio
Informatico y de la naturaleza de los sistemas, se deberla tratar de utilizar un
Software de Resguardo Automático de Redes.

Cambios a los Programas de Aplicación :

1 Debe existir una solicitud con la autorización respectiva para proceder a realizar
los cambios a los programas.
1 El control sobre los programas objetos debe tenerlo el Administrador de Sistemas,
y cualquier cambio a los programas deben ser probados y solo reemplazados,
después de demostrarse la confiabilidad del mismo.

52
1 Cuando se cambien los programas fuentes deben documentarse en el programa con
comentarios y registrar las modificaciones en el Registro de Control de Cambios.
1 Asimismo el sistema debe contar con los elementos necesarios para poder darle
mantenimiento, por lo que debe disponer de :
. Manuales de Análisis y Diseño.
. Manual de Programación.
. Programas Fuentes.
. Originales de Software de Base.
. Personal de programación que conozca el sistema.

c. Seguridades Físicas
1 Los ambientes donde se procesan los sistemas deben contar con un suministro de
energía eléctrica de calidad, con pozo de línea a tierra, estabilizadores, UPS,
equipos de reemplazo de energía eléctrica, y extintores contra incendio.
1 Debe también, en la medida de lo posible, disponer el acceso restringido donde se
procesa la información, sea al ambiente de los terminalista o al centro de computo.

Seguridad ante contaminación de Virus

1 Ante la creciente proliferación de virus, debe existir instalado en el equipo central y


equipos descentralizados sistemas antivirus, para prevenir la contaminación y
afección de virus.
1 Deben, establecerse disposiciones especificas que prohíban al personal de sistemas o
usuarios, utilicen diskettes externos a la institución, para evitar la introducción de
virus. En caso de recibir diskettes externos de trabajo oficial, estos de todas
maneras, deben ser desinfectados antes de ser leídos por los equipos de computo.
1 Cuando sea factible, tal es el caso de sistemas que requieren solo terminales, es
preferible que estos no tengan unidad de diskette para evitar la contaminación o
infección.
1 En lo posible también deber tratarse de utilizar Sistemas Operativos, que eviten la
contaminación por virus.

8 Sistema de Respaldo
1 Previendo posibles problemas con el hardware o el software es necesario que el equipo
central cuente con características técnicas de respaldo tales como :
- Sistema tolerante a fallas.
- tape-backup.
- Equipo de capacidad similar de respaldo.
1 Asimismo, debe contarse con elementos para ser cargados en el otro equipo de respaldo:
- Instalador del Sistema o Backup del Sistema.
- Backup de la Base de Datos por lo menos del turno anterior.

53
1 En muchas oportunidades es conveniente, para áreas criticas de atención al publico,
disponer de listados diarios de información resumen para poder seguir operando por lo
menos manualmente en casos extremos.
1 Los backups de la Base de Datos deben efectuarse por cada cambio de turno de trabajo o
como mínimo al final del día, debiendo inclusive el sistema haber sido programado
para que exija efectuar el backup respectivo.
1 Una copia de respaldo de los programas fuentes y objetos de las aplicaciones, de la
plataforma de software y de las bases de datos completas de la Institución (hasta de
tres periodos anteriores) y debe guardarse una copia en el local ad-hoc de la
Institución e inclusive una copia adicional en otro local para afrontar siniestros o
desastres que pudieran ocurrir.

9 Auditibilidad del Sistema


1 Todo Sistema debe tener la capacidad de poder ser auditado, para lo cual debe reunir una
serie de características que lo permitan :
. Contar con la documentación completa.
. Disponer de una biblioteca de pruebas.
. Disponer de Log del Sistema.
. Contar con reportes de auditoria del sistema.
. Contar con reporteadores de base de datos para producir reportes de cruce de
información.
1 Por lo tanto debe verificarse que el sistema disponga de los elementos antes indicados
para poder facilitar su auditoria y en caso de no contar con ellos exigir se disponga de
ellos.
10 Efectividad del Sistema
Uno de los aspectos mas importante del sistema, por ser su razón de ser, es que sea
efectivo en conseguir los objetivos y beneficios esperados, por lo que se debe :
1 Efectuar visitas a los usuarios e indagar sobre su opinión respecto a :
- su satisfacción de los resultados del sistema.
- el grado de confiabilidad que le dan al sistema.
1 Evaluar en forma independiente en que magnitud los beneficios han sido
conseguidos y cuales son las razones o limitaciones que impiden que estos se logren.
1 Determinar si los costos de operación del sistema se encuentran dentro de lo planificado
y si son actualmente razonables para los beneficios tangible e intangibles obtenidos.
Se deben evaluar aspectos tales como :
. Que mejoras se han obtenido en la reducción de costos de operación.
. Que mejoras se han obtenido en las operaciones de la Institución.
. Cuanto ha mejorado la precisión de la información obtenida.
. Que mejoras se han obtenido en disponer de la información completa requerida.
. Que mejoras se han obtenido respecto a incluir controles en las operaciones de la
Institución.
. Que incremento se han obtenido en el número de operaciones atendidas,
mejorando el tiempo de atención a los usuarios.

54
TALLER 05
ACTIVIDAD APLICATIVA
BASE DE DATOS.

Objetivo
Conocer las base de datos usadas para auditoria y su importancia en la planeacion.

Orientaciones
En grupos se elabora y practica los usos de las base de datos.
AUTOEVALUACIÓN

1. Manipular y practicar los tipos de bases de datos que se pueden utilizar en la


auditoria.(Laboratorio).

REFERENCIAS DOCUMENTALES

ƒ www.lawebdelprogrmador.com

TEMA N° 06

ASPECTOS A CONTROLAR DE LOS SISTEMAS

EVALUACIONES Y CONTROLES

A.- AUDITORIA DE SISTEMAS

La Auditoria de Sistemas es el conjunto de técnicas que permiten detectar deficiencias en las


organizaciones de informática y en los sistemas que se desarrollan u operan en ellas,
incluyendo los servicios externos de computación, que permitan efectuar acciones
preventivas y correctivas para eliminar las fallas y carencias que se detecten.
Se verifica la existencia y aplicación de todas las normas y procedimientos requeridos para
minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los
programas computacionales y los datos, en todo el ámbito del Sistema: usuarios,
instalaciones, equipos.
Las Instituciones efectúan Auditorias de Sistemas, con la finalidad de asegurar la
eficiencia de las organizaciones de informática, así como la confiabilidad y seguridad de
sus sistemas.

B.- ASPECTOS A CONTROLAR


Para lograr desarrollar e implantar un Sistema con Calidad, dentro de los plazos y costos
previstos, cuyos beneficios sean los planificados, es necesario controlar que:
55
1.1 El Proyecto de Desarrollo de Sistemas este enmarcado dentro del Plan General de
Sistemas.
1.2 El Cronograma del Proyecto sea realista y el Sistema este operativo en forma
oportuna, de acuerdo a las necesidades de la Institución.
1.3 Se aplique la Metodología de Desarrollo de Sistemas.
1.4 Exista un control permanente de la consistencia y confiabilidad de los Sistemas
Informáticos.
1.5 La Calidad del Sistema producido, permita una óptima operatividad del mismo.
1.6 La tecnología utilizada sea la más adecuada a los fines del sistema y permita una vida
útil satisfactoria para la inversión realizada.
1.7 Los Costos, tanto del desarrollo como de su operación y mantenimiento, sean los
planificados y exista un retorno de la inversión.
1.8 Se hayan logrado los beneficios esperados.

1.1 El Proyecto de Desarrollo de Sistemas este enmarcado dentro del Plan General de
Sistemas.
Para asegurar que el Sistema a desarrollar o desarrollado logre estar integrado y
tenga todas las interfases con los demás sistemas, es necesario se compruebe que es
uno de los componentes del Sistema Global de Información de la Institución y este
interrelacionado con otros sistemas, a través del intercambio de información o acceso a
información común.

1.2 El Cronograma del Proyecto permita o haya permitido que el Sistema este
Operativo oportunamente.
Debe verificarse que exista un Cronograma del Desarrollo del Sistema, usando el método
de Gantt como mínimo, siendo ideal utilizar adicionalmente el PERT-CPM.
Se debe evaluar, de acuerdo a la estacionalidad del ciclo operativo del sistema, si el inicio de
la implantación y puesta en marcha es acorde con las necesidades de la Institución,
debiendo empezar, de ser factible, simultáneamente al comenzar el ciclo administrativo, de
tal forma que se evite la puesta al día de información
1.3 Se aplique la Metodología de Desarrollo de Sistemas.
La forma mas adecuada para asegurar que el Sistema se desarrolle de acuerdo a
una metodología, consiste en verificar dos aspectos:
1 Que cuente con toda la documentación del Análisis, Diseño e Implantación del
Sistema.
1 Que se hayan aplicado correctamente las técnicas de análisis y diseño de Sistemas.

a.- Documentación de Sistemas:

Si el control es realizado preventivamente, la documentación deber ser revisada al


finalizar cada sub.-etapa, siendo recomendable que se revise internamente en la
Dirección de Informática, previa a la entrega del mismo al Comité del Sistema.

56
1 Deber llevarse un Registro de la Documentación generada, para efectos de seguimiento
permanente y control posterior.
1 Debe contarse con la firma de conformidad del usuario de la documentación que este
deba aprobar.
1 Si el control es realizado posteriormente, deber verificarse la existencia de toda la
documentación y la aprobación del usuario.
1 Con la documentación de sistemas generada, se debe verificar que todas las etapas y
sub.-etapas de la Metodología de Análisis. Diseño, Programación e Implantación de
Sistemas se hayan ejecutado, con resultados satisfactorios.

b.- Aplicación de Técnicas:

Se debe verificar que se hayan utilizado las técnicas adecuadas para cada etapa y sub.-
etapas del desarrollo e implantación del Sistema.
Para cada etapa se aplican las siguientes técnicas:

1) Análisis de Sistemas :
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D.).
- Modelizaci¢n de Datos.
- Diagrama de Estructura de Datos (D.E.D.).
- Historia de Vida de la Entidad (H.E.V.).
- Análisis de Costo-Beneficio (A.C.B.).
- Prototipo.

2) Diseño de Sistemas :
- Diseño Estructurado.
- Diagrama de Estructura de Cuadros.
- Optimización del Diseño Físico.
- Diseño de Pruebas.
- Prototipo.
3) Programación :
- Programación Estructurada.
- Pruebas Unitarias.
- Pruebas de Integración.
- Prueba del Sistema.

4) Implantación de Sistemas :
- Capacitación.
- Creación de archivos iniciales.
- Proceso en paralelo.

1.4 Exista un control permanente de la consistencia y confiabilidad de

57
Los Sistemas Informáticos.
Deben existir los controles específicos de:

- Detección de errores.
- Prevención de acceso no autorizado y mal uso de la información y del equipo.
- Controles ambientales y seguridad.

1.5 La Calidad del Sistema producido sea tal que permita una óptima
Operatividad del mismo.
Este aspecto, además de ser evaluado por un especialista en Sistemas, debe
también ser verificado con el usuario, ya que el puede dar su apreciación del sistema, en
forma real y responsable, porque se encarga de operarlo y administrarlo. La información
garantizara que:

- Cumpla con los requerimientos del usuario, establecido en la fase de Análisis y


Diseño del Sistema.
- La secuencia de trabajo u operación del sistema, sea el mismo que el de proceso real.
- El sistema sea totalmente operado con:
. Gula al usuario.
. Ayudas permanentes en línea.
- El tiempo de respuesta sea adecuado para el volumen real de datos.
- El consumo de recursos de computo sea razonable y este dentro de lo previsto.
- Responda a todas las bifurcaciones posibles en la operación del sistema.
- La interfase-usuario sea adecuada y de fácil manejo y comprensión
- Se disponga de todas las facilidades utilitarias de reorganización de archivos y
copias de respaldo.
- Se disponga de procedimientos de respaldo ante caídas del sistema.

1.6 La tecnología utilizada sea la mas adecuada a los fines del sistema, y permita
Una vida útil satisfactoria para la inversión realizada.

Se debe verificar que los siguientes elementos sean los mas adecuados:
- Equipos.
- Sistema de Red.
- Sistema de Base de Datos.
- Sistema de Comunicaciones.
- Lenguaje de Programación.

Es conveniente indicar que en algunas organizaciones se define en forma global toda la


plataforma de Hardware y Software a utilizar como Standard para la Institución, quedando
en este caso tratar de aprovecharla al máximo.

58
Sin embargo, existen organizaciones en la que se dan soluciones departamentalizadas con
interfases entre ellas, manteniendo cierta independencia entre si. A continuación
mencionamos algunas consideraciones que se deben tener en cuenta para evaluar si el
equipamiento y software es adecuado para el sistema.

a.- Equipos:
Se debe utilizar los equipos adecuados, de acuerdo al tipo de sistema desarrollado. Si la
aplicación es monousuaria, se requerirá un equipo que tenga independencia de operación,
debiendo contar individualmente con la potencia del caso para soportar todo el
procesamiento.
En caso de que el sistema sea multiusuario, deben utilizarse equipos terminales
conectados a un servidor, debiendo estar balanceados adecuadamente los recursos entre
ambos, de tal forma de contar con el tiempo de respuesta requerido.
b.- Sistema de Red:
Dependiendo del tipo de Sistema, se deber utilizar el tipo de plataforma de Red que
mas convenga. Si el sistema es cerrado y netamente operativo con un criterio de
procesamiento centralizado, pueden utilizarse los Sistemas orientados a la centralización y si
el sistema es de filosofía abierta y descentralizada, se deben utilizar redes de este tipo.

c.- Sistema de Base de Datos:


En función a las necesidades del sistema se debe utilizar la plataforma necesaria de
Base de Datos. Para aplicaciones sencillas e independientes, se utiliza el manejador de
base de datos del lenguaje. Sin embargo, para aplicaciones corporativas, se utilizan
manejadores de base de datos relacionales de nivel, así como para aplicaciones de tipo
cliente-servidor.
d.- Sistema de Comunicaciones:
Este es un factor importante a evaluar en función a la naturaleza del sistema. Muchas
veces el sistema debe instalarse en una tipología de comunicaciones PRE-establecida y hay
que tratar de aprovecharla al máximo. Sin embargo, si el diseño de las comunicaciones
pudiera estar correlacionado con el sistema, permitirla un mejor desempeño de las
mismas.
Se debe evaluar si el lenguaje a utilizar o ya utilizado es el mas conveniente, dependiendo
de las necesidades de eficiencia y facilidad de desarrollo y explotación, por lo que deben
evaluarse los siguientes factores :
- Tiempos de procesamiento y respuesta.
- Facilidades en tiempos de programación y mantenimiento de sistemas.
- Rapidez en el desarrollo de sistemas a través de generadores de programas.
- Ambientes gráficos.

1.7 Que los Costos, tanto del desarrollo así como de su operación y
Mantenimiento, sean los planificados y que exista un retorno de la inversión.

59
El proyecto para ser aprobado debe contar con un presupuesto general, el cual debe
ser detallado en la fase de Análisis de Sistemas. Los componentes de costos deben ser:
. Costos de Personal de Sistemas y del Usuario.
. Costo de Supervisión.
. Costos de Equipamiento.
. Costos de Originales de Software de Base.
. Costos de Instalaciones y Servicios.
. Costo de Relevamiento de Datos.
. Costo de Capacitación.
. Costo de Creación de Archivos Maestros.
. Costo de Procesamiento en Paralelo.
. Costo de Producción.
. Costo de Mantenimiento.

El control de costos debe efectuarse por etapas:


. Análisis y Diseño del sistema.
. Programación del sistema.
. Implantación del sistema.
. Operación del sistema.

1.8 Se hayan logrado los beneficios esperados.

Una vez puesto en operación el sistema, se debe esperar que transcurran por lo menos
dos periodos de procesamiento para evaluar si los beneficios del sistema se han logrado,
tanto en las ventajas esperadas por su implantación, como los beneficios económicos
que estaban planificados.

2. INSTRUMENTOS DE CONTROL
Los Elementos e Instrumentos de Control a utilizar en forma individual o en forma
conjunta son:
- Documentación de las sub.-etapas del Desarrollo e Implantación de Sistemas.
- Reuniones de Revisión Técnica.
- Benchmark o pruebas del sistema.
- Formularios de Control.

2.1 Documentación de las sub.-etapas del Desarrollo e Implantación


De Sistemas
La primera información que debe servir de base para efectuar un análisis para el control del
sistema lo constituye la documentación generada en las diferentes fases de desarrollo e
implantación del sistema.
60
La documentación debe leerse detenidamente con la finalidad de:
. Comprender la concepción del sistema.
. Planificar el contenido de las reuniones de revisión técnica.
. Determinar los vacíos o carencias de información.
. Elaborar los cuestionarios de consultas.
. Efectuar el control del Sistema, con un conocimiento sólido del mismo.
El t‚técnico que efectúe el control del sistema debe tomar conocimiento completo de la
documentación escrita existente, de tal forma de reducir el tiempo del proceso de auditoria
del sistema y brindar resultados en corto plazo.

2.2 Reuniones de Revisión Técnica

Un aspecto fundamental para efectuar un buen control del sistema son las Entrevistas
de Revisión Técnica, ya que la documentación en la mayoría de los casos es muy escasa
y deficiente y generalmente cubre solo una parte de la información y las entrevistas
permiten complementar la información técnica y recabar opiniones sobre
deficiencias del sistema.
Las reuniones de Revisión Técnica, debe estar debidamente planificadas y contar con
formularios de los temas y consultas a tratar, para evitar olvidar cualquier aspecto
fundamental para el análisis y la investigación.
Las reuniones de Revisión Técnica deben efectuarse con todas las personas que participaron
en el desarrollo e implantación del sistema, así como los que operan y utilizan el sistema.
Deben efectuarse reuniones de Revisión Técnica con cada participante en forma separada
para lograr información y opiniones libres e independientes de cada uno de ellos,
después de las reuniones individuales puede efectuarse una reunión global para determinar
las conclusiones de consenso.
Las Entrevistas de Revisión Técnica deben efectuarse con la o las siguientes personas que
llevaron o llevan a cabo las siguientes funciones:
. El Analista de Sistemas.
. El Programador.
. El Implementador.
. El / los Operadores del Sistema.
. Los Usuarios Operativos que utilizan el Sistema.
. Los Usuarios que utilizan la información para la toma de decisiones.
En todo caso deben consultarse los factores que limitaron el desarrollo, implantación,
operación y uso del sistema, así como las deficiencias, aspectos de confiabilidad y
seguridad, en función de cada persona.

2.3 BENCHMARK O PRUEBAS DEL SISTEMA


Instrumento vital para evaluar la confiabilidad del Sistema es lo que se denomina Benchmark
o Pruebas del Sistema. No basta con evaluar el sistema tomando conocimiento de su
documentación y sosteniendo reuniones de revisión técnica con el personal involucrado, lo
fundamental que demuestra la buena funcionalidad y confiabilidad del sistema es efectuar
61
procesos de prueba simulando situaciones extremas de tal forma de determinar si el sistema
responde a lo especificado y es confiable produciendo resultados correctos en los tiempos
esperados Es por eso que se deben realizar Benchmark o procesos de prueba especiales
tales como:
. Prueba de carga máxima.
. Prueba de almacenamiento.
. Prueba de tiempo de ejecución.
. Prueba de recuperación.

2.4 FORMULARIOS DE CONTROL

Para efectos de registrar y controlar preventivamente el desarrollo e implantación del


Sistema o evaluarlo posteriormente, es necesario utilizar formularios denominados de
control, cuya relación se indica a continuación:
. Control de Cronograma del Proyecto.
. Control de Documentación de Sistemas.
. Control Técnico del Análisis del Sistema.
. Control Técnico del Diseño del Sistema.
. Benchmark o Prueba real del Sistema.
. Control de la Implantación.
a.- Control de Cronograma del Proyecto : Para efectos de controlar o evaluar el
cumplimiento de los plazos y la duración de las etapas del sistema y por razones de sencillez
se recomienda utilizar el diagrama de GANTT, debiendo en el mismo cuadro registrar lo
planeado y lo ejecutado con dos símbolos diferentes.
Diagrama No 1
³ CONTROL DE CONOGRAMA DE PROYECTO ³
³CONTROL DEL DESARROLLO E IMPLANTACION DE SISTEMA :
³ ³
³ JEFE DE PROYECTO: ³
³ ³ PERIODO : SEMANAS / MESES ³
³ ETAPAS/SUB-ETAPAS
³1. PROYECTO
³ ³1.1 Definición del Proyecto
³ ³1.2 Cronograma del Proyecto
³2. ANALISIS DE SISTEMA
³ ³2.1 Análisis requisitos Sistema
³ ³2.2 Especificación Funcional
³ ³2.3 Interfase del Sistema
³3. DISE¥O DEL SISTEMA
³ ³3.1 Diseño Físico del Sistema
³ ³3.2 Especifica. Complementaria
³4. PROGRAMACION
62
³ ³4.1 Programación del Sistema
³ ³4.2 Pruebas del Sistema
³5. IMPLANTACION DE SISTEMAS
³ ³5.1 Capacitación
³ ³5.2 Benchmark del Sistema
³ ³5.3 Creación de Archivos
³ ³5.4 Proceso en Paralelo
³6. PRODUCCION
³7. EVALUACION

b.- Control de Documentación de Sistemas: Este formulario permite verificar la


aplicación de la metodología de desarrollo e implantación de sistemas, mediante el registro
de la documentación que se debe haber generado para cada etapa y sub.-etapa. Debe contarse
con la firma de conformidad del usuario de la documentación que este deba aprobar.
Utilizar el diagrama No 2.
c.- Control Técnico del Análisis: Para verificar que el Control del Análisis se haya
efectuado adecuadamente, se debe utilizar el Formulario de Registro de Técnicas Utilizadas y
se deben realizar estudios de gabinete de la documentación generada, así como efectuar
reuniones de revisión técnica, conjuntamente con el personal de analistas del proyecto. En
caso de verificarse la falta de aplicación de las técnicas o
Errores en el trabajo de análisis, estas se registran en un acta, para que sean superadas.
Es mejor efectuar el control en forma permanente, apenas se finaliza una sub.-etapa y antes
de proceder a la próxima, pues hacerlo en forma posterior, es más costoso y requiere de
mayor tiempo, teniendo mayores implicancias.

Las técnicas que se deben haber utilizado son:


- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D).
- Modelizaci¢n de Datos.
- Diagrama de Estructura de Datos (D.E.D).
- Historia de Vida de la Entidad (H.E.V).
- Análisis de Costo-Beneficio (A.C.B).
- Prototipo.
Se utiliza el diagrama No 3 para facilitar el registro de las técnicas que se han utilizado para
cada etapa o sub.-etapa, marcándolas con asterisco (*)

d.- Control Técnico del Diseño: Para verificar que el Control Técnico del Diseño se ha
efectuado adecuadamente, se debe utilizar el Formulario de Registro de
Técnicas de Diseño y se deben realizar estudios de gabinete de la documentación generada,
así como efectuar reuniones de revisión técnica, conjuntamente con el personal de analistas
del proyecto.
63
En caso de verificarse la falta de aplicación de las técnicas o errores en el trabajo de diseño,
estas se registran en un acta, para que sean superadas.
En este caso también es mejor efectuar el control en forma permanente, apenas se finaliza
una sub.-etapa y antes de proceder a la próxima, pues hacerlo en forma posterior es mas
costoso y requiere de mayor tiempo, teniendo mayores implicancias.
Diagrama No 2
CONTROL DE DOCUMENTACION DE SISTEMAS

³ CONTROL DE DESARROLLO: ³E DE SISTEMAS ³


³ IMPLANTACIO
N
³
JEFE DE
PROYECTO
:
³³³ ³ Fecha De Fecha De Aprobación
Emisión
³ DOCUMENTACION INFORMATI USUARI
CA O

³1. ETAPA: ANALISIS DEL


SISTEMA
³1.1 Definición del Proyecto ³
³1.2 Cronograma de Proyecto ³
³1.3 Análisis del Sistema Actual ³
³ ³1.3.1 Descripción del Sist. Actual ³
³ ³1.3.2 Catalogo Requisitos Sist. ³
³ ³1.3.3 Análisis de Alternativas ³
³1.4 Especificación Funcional ³
³ ³1.4.1 Especific. Sistema ³
³ ³1.4.2 Especific. sub.-Sistemas ³
³ ³1.4.3 Modelo de Datos Sistema
³ ³1.4.4 Modelo Eventos Sistema
³1.5 Interfase del Sistema ³
³ ³1.5.1 Interfase con Usuario ³
³ ³1.5.2 Seguridad y control ³
³ ³1.5.3 Especific. de Entrega ³
³ 2. DISE¥O DEL SISTEMA
³ 2.1 Diseño Físico del Sistema
³ ³2.1.1 Arquitectura Física Sist
³ ³2.1.2 Estructura de Datos
³ ³2.1.3 Entorno Tecnológico

64
³2.2 Especif. Complementarias
³ ³2.2.1 Plan Pruebas del Sistema
³ ³2.2.2 Especific. Diseño
³3. PROGRAMACION DE SISTEMA
³ 3.1 Manual de Programación
³4. IMPLANTACION DEL SISTEMA
³4.1 Manual: Operación y Usuario

DIAGRAMA No 3
CONTROL TECNICO DEL ANALISIS DEL SISTEMA
Diagrama de Flujo de Model Diagrama de Historia Análisis De Costos Beneficio
Entrevista Datos o De Estructura de Vida
Datos De Datos de la
Entidad
³ ETAPA / SUB-ETAPA DFD Datos DED HVE C.B
³1. ANALISIS REQUISISTOS DEL
SIST.
³ 1.1 Identificación de Requisitos
³ 1.2 Diseño del Modelo Lógico
Actual
³ 1.3 Estudios Alternativas
³2. ESPECIFICACION FUNCIONAL
SIST.
³ 2.1 Modelo de proceso
³ 2.2 Modelo de Datos
³ 2.3 Análisis detallado
³3. INTERFASES DEL SISTEMA
³ 3.1 Interfase con usuario
³3.2 Complementar Especificaciones
Sistema
³ 3.3 Complementar
Especificaciones de
Entrega

DIAGRAMA No 4

CONTROL TECNICO DEL DISE¥O DEL SISTEMA

Diseño Diagrama De Estructura De Optimización Del Diseño De Pruebas


Estructurado Cuadros Diseño Físico
³1. DISEÑO FISICO DEL SISTEMA
³1.1 ARQUITECTURA FISICA DEL
SISTEMA
³ 1.2 ESTRUCTURA DE DATOS
³ 1.3 ENTORNO TECNOLOGICO
³ 1.4 ESTUDIOS ALTERNATIVAS
³2. ESPECIFICACIÓN
COMPLEMENTARIAS
³ COMPLEMENTARIAS
65
Auditoria de Sistemas

³ 2.1 PLAN DE PRUEBAS SISTEMAS


³ 2.2 ESPECIFICACIONES SISTEMAS

TALLER 06
ACTIVIDAD APLICATIVA
ASPECTOS A CONTROLAR.

Objetivo
Conocer las situaciones y bases a revisar.

Orientaciones
En grupos se critica y acuerda cuales son los aspectos que sed ebe controlar de los sistemas
usados.
AUTOEVALUACIÓN

1. conoce ud. cuales son los aspectos a revisar dentro de los sistemas.?.

REFERENCIAS DOCUMENTALES

ƒ www.lawebdelprogrmador.com

TEMA N° 07

CONCEPTUALIZACION DE DISEÑO Y PRODUCCION DE SOFWARE

Arquitectura
i. Organización de computadoras eficientes y confiables
ii. Implantación de procesadores, memoria, comunicaciones, interfaces
iii. Diseño y control de sistemas computacionales grandes y confiables

Inteligencia Artificial y robótica


iv. Modelos de conducta
v. Construcción de máquinas reales o virtuales que simulan conducta animal o
humana
vi. Inferencia, deducción, reconocimiento de patrones, representación del
conocimiento

Bancos de datos e “information retrieval”


vii. Organización de información y diseño de algoritmos para acceder y actualizar
eficientemente la información
viii. Modelaje de relaciones de datos
ix. Seguridad y protección de la información
x. Características de dispositivos de almacenaje

66 Contabilidad y Finanzas
Auditoria de Sistemas

Comunicación humano-computadora
i. Transferencia eficiente de información entre humanos y máquinas
ii. Gráficas
iii. Factores humanos que afectan interacción
iv. Organización y presentación de información para uso efectivo por humanos

Sistemas operativos
i. Mecanismos de control para coordinar recursos múltiples en un sistema
ii. Atención apropiada a las peticiones de usuarios
iii. Estrategias efectivas de control de recursos
iv. Organización efectiva para apoyar computación distribuída

Lenguajes de programación
v. Notaciones para definir máquinas virtuales que ejecuten algoritmos
vi. Traducción eficiente de lenguajes de alto nivel a lenguaje de máquina
vii. Mecanismos de extensión provistos con lenguajes

Metodología
i. Especificación, diseño y producción de sistemas programados grandes
ii. Principios de programación, y desarrollo, verificación y validación de software
iii. Especificación y producción de software seguro y confiable

TALLER 07
ACTIVIDAD APLICATIVA
DISEÑO Y PRODUCCION DE SOFWARE

Objetivo
Conocer el diseño y producción de sofware mas usados por las empresas..

Orientaciones
En trabajo personal y grupal discutir y criticar los modelos de sofware que se usan en las
empresas.

AUTOEVALUACIÓN

1. Conoce y manipula algún sofware que controla las áreas de la empresa?


2. Es pesado o liviano los software utilizados en su empresa?
3. Análisis de usuarios.

REFERENCIAS DOCUMENTALES

ƒ www.lawebdelprogrmador.com

67 Contabilidad y Finanzas
Auditoria de Sistemas
Cuando el CIS es significativo:
¾ Verificar controles Gerenciales. Variedad de herramientas analíticas. Ratios.
¾ Proveer al auditor de técnicas de ayuda asistida por computadora. Excel – etc.
¾ ISA 400 – El auditor debe aseverar opinion sobre el Control Interno.
* Riesgos de Control en un ambiente CIS. Deficiencias del desarrollo y
mantenimiento de los sistemas.
* Software del Sistema. Operaciones realizadas.
* Seguridad física. Control de accesos al programa.
¾ Password de seguridad – Control Gerencial de las mismas.
¾ Personal Master – Llave desbloqueadora, etc.
¾ Control de Planillas. Redondeo. (0.50 + o -).
¾ Empresas que todo depende de la computadora – (Bancos).

TEMA N° 08

PRUEBAS DE AUDITORIA

¾ Works paper evolution.


¾ Diskette.
¾ Aprobación Magnetizada.
¾Registros Electrónicos.
¾ Modelo de Preparación de los Requerimientos.
¾ Detección de errores.
¾Cálculos complejos. (Planilas,etc.).
¾ Riesgos de relevamiento de información.
( Visita Previa)
* Tecnología utilizada.
* Lenguaje de computación, etc.

68 Contabilidad y Finanzas
Auditoria de Sistemas

Situaciones atener en cuenta:

¾ El volumen de las transacciones.


¾ Métodos manuales y/o mecanizados usados (Hardware y Software).
¾ Si se generan automáticamente transacciones.( Materiales – Independientes)
¾ Si se realizan cómputos y/o cálculos complicados.
¾ Si hay transacciones automáticas con otras organizaciones. (Sin revisión).
¾ La Organización del cliente y las actividades CIS – grado de concentracion.
¾ Disponibilidad de datos, los documentos fuentes, impactados por Sistema CIS.
Archivos, carpetas, base de datos, backups otros.

¾ Programas fuente ( Código Tributarios -no hay en las empresas)

INTERNACIONAL STANDARD ON AUDITING 401


AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT – Planeamiento

Cuando el CIS es significativo:

¾ Carencia de los rastros de la transacción – En forma legible solo x computador.


¾ Hay sistema que integra funciones que por su naturaleza deben ser separados
– Cotizacion – Compra – Despacho.

¾ No hay Archivos documentarios. No se puede sacar copias.(telemático)


Ejemplo. SISLOG – Comprobacion – dia – hora – password.

¾Hay Proceso de transacciones uniformes. Si se detecta un error en un sistema


el error esta en todas estas.

¾ La detección de errores pueden seguir siendo desapercibidos por largo tiempo.


¾ Dependencia de otros controles. Cambios en los programas (parches) arreglan una aplicación y malogran otros.
Se cae el Sistema. Procedimientos alternativos.

¾ Registros contables computarizados. (Sunat).

69 Contabilidad y Finanzas
Auditoria de Sistemas

INTERNACIONAL STANDARD ON AUDITING 401


AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT – Procedimientos de Auditoria

Revisión –Observacion – Inspeccion – Prueba evidente – exactitud -


Reconciliacion

¾ ISA 400 y el Control Interno, el


auditor debe considerar el ambiente
CIS.
¾ Procesamientos forzados por la
influencia de los métodos del
ordenador.
¾ Se Usa procedimientos manuales,
asistidas por computadora o una
combinación.
¾ Obtener evidencia suficiente,
competente y relevante.

ENFOQUES EN LA AUDITORIA DE SISTEMAS

• Auditoria alrededor • Auditoria en el


del computador. Computador.
• Análisis de • Examen de
procedimientos , aplicaciones.
métodos y otros
usados en los • Eficiencia / eficacia
dif i de los sistemas
asistidos CIS

• Auditoria a través del Computador.


• Controles – entrada / salida
• Eficiencia / Eficacia en la operación de los sistemas.
• Otros

70 Contabilidad y Finanzas
Auditoria de Sistemas

TALLER 08
ACTIVIDAD APLICATIVA
PRUEBAS DE AUDITORIA
Objetivo
Decidir que tipos de pruebas son las ajustables a cada tipo de empresa y área auditada del
sistema utilizado.

Orientaciones
En grupos tomar la decisión de los modelos de pruebas a usar en cada área auditable.

AUTOEVALUACIÓN

1. Conoce las pruebas sustantivas de auditoria?


2. Aplica pruebas de propiedad de suficiencia u otras?

REFERENCIAS DOCUMENTALES

• www.lawebdelprogrmador.com
• www.esinet.es.
• www.infoplus.es

Código 657.5/F387
Autor Ferreyros Morón, Juan A.
Título Informática contable y auditoria de sistemas
Pie Imprenta Lima: [s.n.], 1993
Páginas 248

Código R/658.03/B624/1997
Autor Bittel, Lester R.; Ramsey, Jackson E.
Título Enciclopedia del management
Pie Imprenta Barcelona: Océano/Centrum, 1997
Páginas 1307

UNIDAD III

PLANEACION DE LA AUDITORIA.
El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso de
sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor – Contador,
hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria.

71 Contabilidad y Finanzas
Auditoria de Sistemas

CONTENIDOS PROCEDIMENTALES:
• Planifica y desarrolla planes y guias de auditoria de sistemas.
• Desarrolla evaluación de los sistemas de seguridad.
• Elabora las guías y programas de auditoria.
• Elabora las técnicas de muestreo
• Reconoce el rol del auditor de sistemas en estos nuevos
Analiza y evalúa el control interno, base de datos y el Planeamiento de auditoria

CONTENIDOS ACTITUDINALES:
• Participa en la planificación de guías de sistemas
• Valora el planeamiento en todo trabajo de su vida.
• Maneja y elabora programas de auditoria. Evaluación de los controles de
sistemas.

CONTENIDOS CONCEPTUALES

TEMA No. 9: PLANEACION DE LA AUDITORIA DE SISTEMAS.


TEMA No. 10: GUIAS DE PLANEACION.
TEMA No. 11: PROGRAMAS DE AUDITORIA..
TEMA No. 12. REQUERIMIENTOS.

72 Contabilidad y Finanzas
Auditoria de Sistemas

DIAGRAMA DE CONTENIDOS

PLANEACION DE LA
PLANEACION DEL TRABAJO DE AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS

GUIAS DE PLANIFICACION

PROGRAMAS DE AUDITORIA

REQUERIMIENTOS

73 Contabilidad y Finanzas
Auditoria de Sistemas

TEMA: NUEVE

PLANEACION DE LA AUDITORIA DE SISTEMAS.

ANALISIS CICLICO DE LA AUDITORIA

Publicación de La Necesidad de la Entidad, Objetivos


Auditoria Honorarios, Locales
Monto Referencial
Calidad de Personal

A: Propuesta Económica
Compra de Bases B: Programa Tentativo: “ANEXO 1”
know how de la empresa
Del personal
Otros
Estructura de Propuesta dictada x la
Contraloría General de la republica
Empresas de Auditorias Y para una empresa privada

Fechas de instalación, Plazos


Designación de la empresa de Auditoria entrega de informes (45 días)
Carta Fianza, Porcentajes y
fechas de pago.

Firma Del Contrato

1. Plan de auditoria: Visita previa “ANEXO 2”


PROCEDIMIENTO DE PLANIFICACIÓN
a.- Objetivos
Trabajo De Campo b.- Guía para el proceso de planificación
c.-Guía del Programa de Auditoria: Papeles de
trabajo, archivos

Informe Para
Discusión Ejemplo: Trabajo de Campo para el
“INFORME LARGO” ANEXO 3

Informa Final

74 Contabilidad y Finanzas
Auditoria de Sistemas

TALLER 09
ACTIVIDAD APLICATIVA
SISTEMAS INFORMATICOS AUDITABLES.

Objetivo
Elaborar guías y Programas de auditoria.

Orientaciones
En el laboratorio bajar información de la página Web. Y elaborar guías y programas de
auditoria para trabajos en sistemas..
AUTOEVALUACIÓN

1. Elaborar y diseñar programas para las áreas de auditoria de sistemas.(Laboratorio).

REFERENCIAS DOCUMENTALES
Código SMP/FICS/004.67/C734/2000
Autor Common Perú, Lima (Perú); Universidad de San Martín de Porres, Lima
Institucional (Perú). Facultad de Ingenieria de Computación y Sistemas
Título Common university 2000: cuarta conferencia anual universitaria
Pie Imprenta Lima: , 2000
Páginas 215
Contenido 1. Tendencias tecnológicas en E-Business 2. Innovación de procesos 3.
La gestión del conocimiento y como los conocimientos se integran
alrededor del balanced score card 4. Análisis y diseños orientados a
objetos basado en le stándard UML: un caso práctico 5. Tecnología de
información-estrategia de negocios 6. Modelo de objeto para el diseño de
base de datos 7. Bussiness dentro de Bussiness 8. Auditoria de sistemas
y reingenieria

TEMA 10
GUIAS DE PLANIFICACION

GUÍA DE PROGRAMAS DE AUDITORIA

El propósito principal del auditor es estudiar y evaluar el sistema de control interno del cliente,

es determinar la naturaleza, oportunidad y alcance de los procedimientos de auditoria, como lo

establece la segunda norma de trabajo en el campo. Esta guía de programas de auditoria debe

ser usada conjuntamente con el “Manual de la Auditoria”, como una ayuda al preparar un

programa de auditoria para un trabajo específico.

75 Contabilidad y Finanzas
Auditoria de Sistemas

No debe ser usado como un programa estándar de auditoria. Esta guía pretende ahorrar tiempo

en escribir un programa de auditoria, ya que enfoca aquellos procedimientos de auditoria que

son requeridos en la mayoría de los trabajos. Sin embargo, cada sección de la guía requiere de

ampliación y/o descarte de procedimientos, para que el programa de auditoria finalmente

diseñado sea adecuado con el sistema de control interno que estamos probando. Además, el

programa de auditoria está continuamente sujeto a revisión y no puede ser terminado hasta que

el auditor haya: (1) logrado un conocimiento del negocio; (2) revisado el sistema; (3) probado

el sistema y evaluado sus debilidades.

Debe notarse que se ha provisto un espacio para referencia a papeles de trabajo, el cual debería

ser usado ampliamente para cruzar “evidencia competente y suficiente” en los papeles de

trabajo, como indica la tercera norma del trabajo en el campo. Al terminar el programa, deberá

colocarse, el nombre del cliente, el período bajo examen y los números de páginas.

Términos como “voucheado” o “N/A” no son aceptables en un programa de auditoria. Cuando

la, respuesta a un procedimiento es “ninguno” esta palabra debe ser usada. En aquellos casos

en que la ampliación y/o descarte de procedimientos voluminosos, la guía deberá ser

reemplazada por un programa escrito de auditoria.

Esta cubierta explicatoria debe ser descartada una vez que la guía ha sido incorporada en el

programa de auditoria desarrollado para el uso de un trabajo específico.

En forma abreviada, una auditoria incluye lo siguiente:

1. El examen de los contratos de la organización - la escritura constitutiva y las reformas de la

misma, los contratos de la sociedad en nombre colectivo y los contratos de fideicomiso.

2. Examen de las actas de las asambleas de accionistas y del consejo de administración: examen

de los contratos y de los sistemas de contabilidad en operación.

76 Contabilidad y Finanzas
Auditoria de Sistemas

3. Examen de los sistemas de control interno: un buen sistema de control interno reduce la

cantidad de trabajo detallado de auditoria.

4. Comprobación de que están incluidos todos los activos poseídos en el Balance General, y

comprobación de la propiedad de todos los activos incluidos.

5. Comprobación de que todos los pasivos están incluidos en el balance general en la cantidad

adecuada.

6. Comprobación de que el capital contable está presentado propiamente en cuanto al importe y

clasificado adecuadamente.

7. Determinación de que los estados financieros están formulados de acuerdo con principios de

contabilidad reconocidos y aplicados consistentemente.

8. El análisis de los renglones clave de importe de material y/o su importancia.

9. Determinación de la utilidad neta periódica adecuada: esto implica el análisis y comprobación

de los ingresos y gastos en el grado que sea necesario, para permitir la expresión de una

opinión relativa a los estados financieros.

TALLER 10
ACTIVIDAD APLICATIVA
GUIAS DE PLANIFICACION DE AUDITORIA DE SISTEMAS.

Objetivo
Elaborar guías y Programas de auditoria.

Orientaciones
En el laboratorio bajar información de la página Web. Y elaborar programas de auditoria para
trabajos en sistemas..
AUTOEVALUACIÓN

1. Elaborar y diseñar programas para las áreas de auditoria de sistemas.

REFERENCIAS DOCUMENTALES

Revista Actualidad Empresarial

77 Contabilidad y Finanzas
Auditoria de Sistemas

Autor Villacorta Cavero, Armando


Título Hacia la sistematización del proceso de auditoria de gestión
Volúmen 4
Número Nø60, (Abr. 2004)
Fecha 2004
Páginas VIII1-VIII2

Código 658/P437
Autor Perel, Vicente L.; López Cascante, Jesús D.; Messuti, Domingo Jorge E.
Título Administración general: organización, planeamiento, control
Pie
Buenos Aires: Macchi, 1996
Imprenta
Páginas 529
Contenido 1. Control de gestión 2. Los manuales 3. Auditoria estratégica 4. El
planeamiento empresario 5. conformación de sistemas 6. El análisis de
sistemas 7. Sistemas de gestión comercial

TEMA 11

PROGRAMA TENTATIVO

MENORANDUM DE PLANEAMIENTO

1. OBJETIVOS DEL EXAMEN

Donde se resume los objetivos del examen estos pueden ser varios, pero los principales son:
• Auditoria de Sistemas: Emitir un informe de los sistemas contable, administrativo, logístico e informático.
• Informe Examen Especial de la Información Presupuestaria: Razonabilidad de la información
presupuestaria. Presupuestado versus ejecutado.
Informe Largo: Funcionamiento y efectividad del Sistema de Control Interno.
Evaluar la gestión Administrativa y operativa.(metas y Objetivos)
Adquisición de bienes y servicios.
Normas de control de producción
Proyectos de inversión u Obras publicas
Controles de donación
Seguimiento a la implementación de las recomendaciones.

2. ALCANCE

1. NAGU- 4.40 NAGAS , etc.Estructura del Informa Largo Síntesis Gerencial y el memorando de
Control Interno – 3.60 Hallazgos- 4.50 Informe especial Comisión de delito o responsabilidad;
MAGU, Guías de auditoria.
2. Visita de los locales
3. Otros.

78 Contabilidad y Finanzas
Auditoria de Sistemas

3. DESCRIPCIÓN DE LA ENTIDAD
1. Constitución, finalidad, duración
2. Organización y administración – Junta – Directorio- Gerencias- Niveles jerárquicos
3. Locales
4. Principales productos
5. Principales clientes
6. Sistema de Contabilidad

4. NORMATIVA APLICABLE Bajo Que Leyes o Normas se encuentra creada, o


se rige (NLS, Resoluciones, IGV, Renta, etc.

No de días Fecha de
Útiles Entrega

Memorandun de Planeamiento 15 14 .01. 2003


5. INFORMES A EMITIR Informe de Sistemas 45 25 02 2003
Y FECHAS DE Informe Largo 45 25 02 2003
Informe Especial 45 25 02 2003
ENTREGA

Evaluación de riesgos: control interno, rubros del balance


6. IDENTIFICACIÓN DE AREAS mas próximo (criterio)
CRITICAS

No CUENTA % Factores de Riesgo Riesgo Enfoque de Procedimientos de


Total Auditoria Auditoria a aplicar
1 Cartera pesada 10 Empresas que han Moderado Pruebas *Análisis de
(créditos con reestructurado su deuda analíticas fluctuaciones de
problemas ante Indecopi ingresos
potenciales) Empresas que han *Verificación del total
vencido sus créditos y de la cuenta con el
no vienen cumpliendo registro de ventas
con sus obligaciones

Sistema de 60 Las transacciones se Alto


Ventas han diversificado Pruebas
analíticas

79 Contabilidad y Finanzas
Auditoria de Sistemas

2 Informática y N/A El software contiene Moderado Pruebas de *Verificación de


Sistemas aplicaciones que no cumplimiento manuales de
están siendo utilizadas. instrucción, revisión de
la implementación
3 Sistema de N/A Existen 30 Ctas. Ctes Moderado Pruebas *Conciliación y
Tesorería sobre las cuales se sustantivas confirmación de saldos
elaboran conciliaciones al 31.12.01
bancarias mensuales

Posibles Problemas Que se han encontrado y en


7. PUNTOS DE ATENCIÓN que rubros. EE.FF. Intermedios

8. FUNCIONARIOS DE LA Según la NAGU 4.40 se debe exponer en un cuadro los


ENTIDAD A EXAMINAR nombres de los funcionarios involucrados, cargos, función
principal y fechas de ingreso y salida

9. PRESUPUESTO DE TIEMPO
Cuadro con los profesionales que van a intervenir, con sus cargos, tiempo en horas y días

No Nombres Cargo Total

Días Horas
1 Lizet Supervisor 15 120
2 Mirtha Jefe de Auditoria 25 200
3 Eliana Auditor 25 200
4 Pablo Auditor 25 200
5 Patricia Auditor 20 160
6 Elcida Ing de Sistemas 20 160
7 Xtian Abogado 05 40

135 1.080

Se debe considerar la necesidad de la participación de algunos


10. PARTICIPACIÓN DE ESPECIALISTAS
especialistas si el examen lo requiere y presentarlo en el cuadro de
Presupuesto de Tiempos. Como son el Ingeniero de Sistemas y el Abogado.

ANEXO 2: PLAN DE AUDITORIA


1.- OBJETIVO
CLIENTE: .............................
FECHA DE CIERRE: ......................................
Se realiza por objetivos en este caso daríamos un ejemplo del objetivo 1: Informe de Auditoria Financiera: Emitir
opinión sobre la razonabilidad de los EEFF
Las fases que se ejecutan son las siguientes:
1. Comprensión de las operaciones de la entidad
2. Comprensión de la estructura de control (ambiente de control, sistema de contabilidad, SIC, función de
auditoria interna.
3. Evaluación de riesgo
4. Elaboración del memorando de planeamiento y ajuste al programa tentativo de auditoria.
80 Contabilidad y Finanzas
Auditoria de Sistemas

Es parte de los papeles


2.- GUIA PARA EL PROCESO DE PLANIFICACIÓN de trabajo

PROCEDIMIENTO DE PLANIFICACION

Comentarios SI NO N/A
1. Revise la carta de compromiso (el contrato) y todos los archivos de
correspondencia y anote cualquier información que tenga un efecto
significativo en el examen del año en curso.

2. En caso de trabajos recurrentes, revisar los papeles de trabajo de la


auditoria del año anterior y las sugerencias para futuras revisiones,
archivos permanentes, informes de auditoria, archivo de impuestos,
cartas de gerencia y otros documentos relevantes

3. Reunión con el personal del cliente:


a.- Indague sobre el desarrollo comercial y las condiciones
económicas que afecten el negocio del cliente
b.- Revise los resultados operativos del cliente, esperados para el año
fiscal. Obtenga y revise los EEFF mensuales mas recientes.
c.- Prepare una relación de papeles de trabajo y otros datos que serán
proporcionados por el cliente. Incluyendo un cronograma.

4. Reunión con el personal de la firma


a.- Discuta los temas significativos cubiertos en la reunión con el
personal del cliente
b.- Discuta naturaleza, oportunidad y alcance de los procedimientos
de auditoria y el grado de confianza que podamos tener en los
controles internos
c.- discuta los tipos de informe que se deben emitir, revisar el
presupuesto de tiempo

5. Obtenga y documente lo que se conoce de la estructura de control


interno del cliente, efectuando lo siguiente:
a.- Prepare un memorando documentando nuestro conocimiento del
ambiente de control.
b.- Determine las áreas, y prepare un memorando discutiendo nuestra
decisión de documentar dichas áreas:
• Efectivo (conciliaciones, recibos y desembolsos)
• Cuentas por cobrar
• Cuentas por pagar
• Inventario
• Activo fijo
• Prestamos por cobrar (incluyendo lo pactado)
• Transacciones de acciones o capital

81 Contabilidad y Finanzas
Auditoria de Sistemas

He revisado los temas incluidos en el Plan de Auditoria y he anotado todos


los puntos significativos en la sección de comentarios
Firma del responsable de la Firma de Socio responsable
planificación del compromiso

3.- GUIA DE PROGRAMA DE AUDITORIA

Manual de la auditoria: Propósitos


1. Logrado un conocimiento del negocio
2. Revisado el sistema
3. Probado el sistema y evaluado sus debilidades

En forma abreviada una auditoria incluye lo siguiente


1. El examen de los contratos de la organización (constitución,
contratos, fideicomiso)
2. Examen de actas, asambleas (accionistas, consejo de
administración, sistemas de contabilidad en operación.
3. Examen de los sistemas de control interno
4. Comprobación de activos poseídos, comprobación de la propiedad
5. Comprobación que todos los pasivos están incluidos en el balance.
6. Comprobación de que el capital contable esta presentado
apropiadamente
7. Determinación de que los EEFF, están formulados de acuerdo
PCGA, NICs
8. Análisis y comprobación de los ingresos y gastos en el grado que
sea necesario para permitir la expresión de una opinión relativa a
los EEFF

TALLER 11
ACTIVIDAD APLICATIVA
PROGRAMAS DE AUDITORIA.

Objetivo
Elaborar guías y Programas de auditoria.

Orientaciones
En el laboratorio bajar información de la página Web. Y elaborar programas de auditoria para
trabajos en sistemas..
AUTOEVALUACIÓN

1. Elaborar y diseñar programas para las áreas de auditoria de sistemas.

82 Contabilidad y Finanzas
Auditoria de Sistemas

REFERENCIAS DOCUMENTALES

Código 658.562/C397
Autor
Centro de Comercio Internacional UNCTAD/OMC, Ginebra [Suiza]
Institucional
Título Aplicación de los sistemas ISO 9000 de gestión de la calidad
Pie Imprenta Ginebra: CCI, 1996
Páginas 141
Contenido 1. Conceptos de gestión de la calidad. 2. La familia de normas ISO 9000.
3. ISO 9001: 1994, sistemas de la calidad. 4. Desarrollo y aplicación de
un sistema de gestión de la calidad. 5. Documentación del sistema de la
calidad. 6. Auditoria interna de la calidad. 7.Estructura para ISO 9000 a
nivel nacional. 8. Evaluación y certificación. 9. Estudio de casos y
encuestas sobre ISO 9000.10 ISO 9000 como base del mejoramiento
contínuo y la gestión total de la calidad (TQM). 11. Glosario de términos
en la serie de normas ISO 9000

TEMA 12 REQUERIMIENTOS

CONOCIMIENTO DEL NEGOCIO

ORGANIZACIÓN Y GIRO DEL CLIENTE

El propósito de esta sección es reunir información pertinente al cliente, así como al


auditor, del conocimiento necesario acerca del negocio y organización del cliente. Si la
auditoría es repetitiva, la información deberá actualizarse anualmente. (Los espacios no
son limitativos)

1. Historia del cliente (Descríbase la naturaleza y el desarrollo del negocio del


cliente, incluyendo la descripción de la industria y de la competencia en el
mercado).
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
_______________________________________________________________

83 Contabilidad y Finanzas
Auditoria de Sistemas

2. Descríbase la Organización Básica - Incluir un organigrama de la empresa,


mencionando el personal que interviene.
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
____________________________
3. Funcionarios (Descríbase la naturaleza de sus obligaciones (1), cargo en el
Directorio (2), participación como accionista en la empresa (3), años de servicio
(4) y antigüedad en el puesto actual (5).

Cargo Nombre 1 2 3 4 5
Gerente
General
Gerente
Financ.
Contador

Contralor

Cargo Nombre 1 2 3 4 5
Otros
Especifiqu
e

4. Directores (Descríbase la naturaleza de sus obligaciones (1), cargo (2),


participación como accionista en la empresa (3), años de servicio (4) y principal
ocupación en los negocios (5), de todos los Directores no incluidos en
“Funcionarios” antes mencionados)

Nombre 1 2 3 4 5

84 Contabilidad y Finanzas
Auditoria de Sistemas

5. Mercadotecnia (Por ejemplo características de los clientes, principales


mercados, mercados potenciales, futuros productos).

________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
______

6. Productos (Descríbase las principales líneas y/o clases de productos; su


evolución, volumen y margen de utilidad; inventarios y almacenaje).

________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________

7. Ventas (Por ejemplo, capacidad de ventas, sistemas de distribución, políticas


para las comisiones, técnicas de ventas).

85 Contabilidad y Finanzas
Auditoria de Sistemas

________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________

8. Finanzas (Por ejemplo, relaciones bancarias, estrategias de recursos


financieros, planes para financiamiento futuro).

________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
__
TALLER 12
ACTIVIDAD APLICATIVA
REQUERIMIENTOS.

Objetivo
Documentación a pedir a los clientes a través del conocimiento del cliente.

Orientaciones
En grupos llenar y elaborar los requerimientos necesarios para levantar información de los
clientes.
AUTOEVALUACIÓN

1. Elaborar y diseñar los requerimientos a levantar..

REFERENCIAS DOCUMENTALES

www.lawebdelprogrmador.com

86 Contabilidad y Finanzas
Auditoria de Sistemas

UNIDAD IV

TRABAJO DE CAMPO.
El avance tecnológico y la necesidad de las empresas de tener la identificación necesaria del buen uso de
sus sistemas, la certificación a través de la opinión de un profesional independiente Auditor – Contador,
hace necesario tener la aplicación de técnicas y modelos de pruebas de auditoria.

CONTENIDOS PROCEDIMENTALES:
• Desarrolla y elabora papeles de trabajo, Cartas de hallazgos, Observaciones.
• Evalúa las áreas criticas y lo sistemas usados en las empresas.
• Elabora las guías y programas de auditoria.
• Analiza y evalúa el control interno, Informe largo y el seguimiento de las medidas
correctivas.
CONTENIDOS ACTITUDINALES:
• Cuida los papeles de trabajo planteados.
• Cuidado y esmero profesional en la elaboración de informes para discutir..
• Valora los datos de los informes finales de auditoria de sistemas
Contenidos conceptuales:

CONTENIDOS CONCEPTUALES

TEMA No. 13: PAPELES DETRABAJO.


TEMA No. 14: INFORMES PARA DISCUSION.
TEMA No. 15: INFORME FINAL..

87 Contabilidad y Finanzas
Auditoria de Sistemas

DIAGRAMA DE CONTENIDOS

PAPELES DE TRABAJO
TRABAJO DE CAMPO

INFORME PARA DISCUSION

INFORME FINAL

88 Contabilidad y Finanzas
Auditoria de Sistemas

TEMA 13
PAPELES DE TRABAJO PARA AUDITORIA DE SISTEMAS

CICLO DE INGRESOS

I. OBJETIVOS DE AUDITORIA
A. Los ingresos representan transacciones válidas, están presentados razonablemente,
aplicables al período, incluyendo todas las transacciones y están descritos y
clasificados apropiadamente.

Ref. Fecha
P/T
I. REVISIÓN DEL SISTEMA

A. Seguimiento - Seleccionar una transacción de cada


tipo que origina ingresos y seguirla a través del
sistema desde el momento que entra al sistema hasta
que completa el ciclo. Del mismo modo, las
transacciones que dan lugar a abonos a cuentas por
cobrar tales como notas de crédito, deben ser seguidas
a través del sistema.
1. Factura
2. Notas de crédito
3. Guías de remisión
4. Ingreso a caja

II. PRUEBA DEL SISTEMA

A. Selección de la muestra -Hacer una muestra al azar de


facturas de venta y nota de crédito (ver la sección de
muestreo estadístico del programa de auditoria).
1. Compilar la lista de los números de documentos y
localizar:
a. Factura
b. Orden de compra
c. Guías de remisión
d. Notas de crédito

2. Examinar lo siguiente:
a. Evidencias de remisión
b. Precios correctos
c. Suma y cálculos
d. Registro en el diario de ventas
e. Pases del mayor auxiliar de cuentas por cobrar.
f. Registro en libro de ingresos a caja, papeletas de
depósito y estado bancario.
3. Muestreo de notas de crédito para comprobar:

89 Contabilidad y Finanzas
Auditoria de Sistemas

a. Autorización apropiada
b. Exactitud matemática
c. Registro en el mayor auxiliar de cuentas por
d. Evidencia de reintegro de existencias en caso de
devoluciones.

B. Conclusiones
1. Aclarar todas las excepciones notadas en el
muestreo.
a. Discutir con personal apropiado, indicando
nombre, cargo, fecha de discusión y solución de
las excepciones.
b. Sustentar las aclaraciones con otras
comprobaciones adicionales o con explicaciones
basadas en su conocimiento de las
circunstancias inherentes.

2. Evaluar los resultados del muestreo. El trabajo


debe sustentar las respuestas dadas en el
cuestionario de control interno.

3. Escribir un memorándum que contenga las


conclusiones sobre la prueba del sistema.

CICLO DE EGRESOS

I. OBJETIVOS DE LA AUDITORIA

A. Los costos y gastos representan transacciones válidas, están determinados


adecuadamente, son aplicables al período, incluyen todas las transacciones que
deben ser reconocidas y están descritas y clasificadas apropiadamente.Si los
sistemas de control son los adecuados.
Ref. Fecha
P/T
I. SEGUIMIENTO DEL SISTEMA

A. Revisar y reexaminar las secciones apropiadas del


cuestionario de control interno.
B. Hacer seguimiento. Seleccionar una transacción de
cada tipo que de un lugar a un egreso y seguirla a
través del sistema desde un inicio hasta el final del
ciclo.
1) Orden de Compra.
2) Factura proveedor

90 Contabilidad y Finanzas
Auditoria de Sistemas

3) Cheque

II. PRUEBA DEL SISTEMA


A. Seleccionar una muestra – Se debe establecer la revisión
selectiva, luego de determinar el riesgo al ___%.
1. Recopilar una lista de los números de documentos
seleccionados y localizar:
a) Orden de Compra
b) Guía de Remisión del proveedor. Si hubiera.
c) Notas de entrada al almacén
d) Facturas.
e) Contrato de servicios.

2. Examinar lo siguiente:
a) Razonabilidad de la distribución contable
b) Aprobaciones para compras y pagos
c) Evidencia de recepción de bienes o servicios.
d) Evidencia de revisión de exactitud matemática
e) Que los pagos a proveedores están de acuerdo con
los términos de la orden de compra y/o del
contrato de servicios (descuentos por pronto pago,
fecha de pago, etc.)
f) Pases al mayor auxiliar de cuentas por pagar (a
base de muestreo)
g) Que las facturas son canceladas para prevenir
reutilización
h) Registro en el libro de caja egreso.

Ref. Fecha
P/T
B. Conclusiones

1. Aclarar todas las excepciones notadas en el


muestreo antes referido.
a. Discutir con el personal apropiado, indicando
nombre, cargo, fecha de discusión y solución
de la excepción.
b. Sustentar con otras pruebas o con explicaciones
basadas en el conocimiento del auditor de las
circunstancias inherentes.

2. Evaluar los resultados del muestreo: su trabajo


debe sustentar las respuestas dadas en el
cuestionario de control interno.

91 Contabilidad y Finanzas
Auditoria de Sistemas

COSTOS DE MANO DE OBRA Y SUELDOS


I. OBJETIVOS DE AUDITORIA

A. Que los costos representen transacciones válidas, estén adecuadamente


presentados y sean aplicables al período y los sistemas de control utilizados sean
adecuados.
Ref. Fecha
P/T
I. PRUEBA DEL SISTEMA

A. Selección de la muestra- Determinar una muestra al azar a


partir de los códigos de personal o de las boletas de pago
(ver la sección de muestreo estadístico del programa de
auditoria).

1. Preparar una lista de la muestra seleccionada y ubicar a:


a. Boleta de pago.
b. La tarjeta de tiempo; la tarjeta de trabajo.
c. El archivo personal (autorización de empleo).
d. Pactos sindicales.

2. Realizar las siguientes pruebas:


a. Cotejar el total de horas trabajadas según el registro
de planillas, con el total según tarjetas de tiempo.

b. Sumar las tarjetas de tiempo y examinar que estén


debidamente autorizadas.

c. Cotejar el sueldo (o salario) vigente con el control de


remuneraciones vigentes según los registros de
personal y los pactos sindicales.

d. Recalcular la remuneración bruta, probar los cálculos


de retenciones y cruzar contra la remuneración neta.

e. Examinar las autorizaciones para las deducciones y


retenciones.

f. Verificar la autorización para el sueldo o jornal.


g. Verificar la distribución contable.
h. Examinar los archivos de personal, en cuanto a la
evidencia de que el empleo está debidamente
autorizado.

92 Contabilidad y Finanzas
Auditoria de Sistemas

B. Prueba del pago de planillas.

1. Examinar las boletas individuales, seleccionadas en la


sección “A” de este programa en cuanto a:
a. Firma del beneficiario.
b. Firma de aprobación de la boleta.
c. Cotejo de datos de la boleta individual con los de la
planilla.

2. Seleccionar un período, sumar la planilla y conciliar con


el monto neto desembolsado.

C. Examinar, en cuanto a razonabilidad, las planillas


registradas, con la información remitida a las autoridades
laborales.

II. CONCLUSIONES

A. Aclarar todas las excepciones halladas en el muestreo de


remuneraciones.

1. Discutir las excepciones con personal apropiado,


indicando nombre, cargo, fecha de la discusión y
solución a la excepción.

2. Examinar las excepciones con otros procedimientos


relacionados, o aclararlas a la luz del conocimiento que
tenga el auditor de las circunstancias del caso que
examina.

B. Evaluar los resultados de las pruebas, su trabajo debe


sustentar las respuestas del cuestionario de control interno.

C. Preparar un memorándum con conclusiones basadas en las


anteriores pruebas del sistema.

TALLER 13
ACTIVIDAD APLICATIVA
TRABAJOS DE CAMPO.

Objetivo
Elaborar Papeles de trabajo, informes para discusión e informe final..

Orientaciones
Elaborar papeles de trabajo, cartas de hallazgo, decisiones de responsabilidades,
administrativa, civil o penal..

93 Contabilidad y Finanzas
Auditoria de Sistemas

AUTOEVALUACIÓN

1. Decidir sobre las cartas de hallazgo.


2. Decisiones de observación o deficiencia.(Laboratorio).
3. Decisiones de responsabilidades.

TEMA 14
INFORMES A EMITIR EN DISCUSION

EL PROCESO DE TECNOLOGIA DE INFORMACION

Desarrollo y Aportación de Operación del Entorno de IT


Planeacion del soluciones de IT. Objetivo: Aportar y mantener la
Entorno de IT. Objetivo: Adquirir, desarrollar, operación de un entorno de IT,
Objetivo: Asegurar que aportar y mantener soluciones asegurando la disponibilidad,
los planes de IT estén de negocio nuevas o mejoradas confiabilidad e integridad de los
alineados dentro de la arquitectura de IT, sistemas de información, para
apropiadamente con para permitir a la empresa satisfacer los requerimientos de
sus metas, objetivos y satisfacer sus cambiantes la empresa.
estrategias requerimientos de negocios.

ORGANIZACIÓN Y MONITOREO DE PROCESOS DE IT


Objetivo: Administrar los tres procesos de IT

94 Contabilidad y Finanzas
Auditoria de Sistemas

STANDARES DE CONTROL VISTA


PREVIA

RENDIMIENTO
TRABAJO
DE
CAMPO
COMPARAR
RENDIMIENTO / STANDARESl
Sistema de
Control

INFORMAR DESVIACIONES INFORME

CONTROL DE CORRECCIONES POST


INFORME
RE- EVALUAR STANDARES

RIESGO Y SEGURIDAD

RIESGO:
¢¾ Proximidad o posibilidad de un daño, peligro, etc.
¢¾Cada uno de los imprevistos, hechos desafortunados,
etc. Que puede cubrir un seguro.
¢¾ sinonimos: Amenaza, contingencia, emergencia,
otros.

SEGURIDAD:
¢¾ Cualidad o estado de seguro.
¢¾Garantías que se da a alguien de cumplimiento de
algo.
¢¾ Medidas o dispositivos que contribuyen a hacer mas
seguro el funcionamiento del sistema

95 Contabilidad y Finanzas
Auditoria de Sistemas

TALLER 14
ACTIVIDAD APLICATIVA
INFORMES A EMITIR.

Objetivo
Elaborar, informes para discusión e informe final..

Orientaciones
Cada alumno deberá elaborar un informe final de acuerdo con las cartas de hallazgo que tiene
como evidencias.
AUTOEVALUACIÓN

1. Conclusiones del informe.


2. Recomendaciones del informe.(Laboratorio).

TEMA 15
INFORMES FINAL

Lo Importante es Proteger la Información


Otros Problemas Comunes

¾ La Autentificación: Prevención de suplantación.


¾ Garantía de la firma: Niveles de Autorización
¾ Controles de Acceso. Password, llaves. Otros.
¾ Verificación de la propiedad de la Información.
¾ Detección de fraudes.
¾ Procedencia de la información.
¾ Disponibilidad de la Información. Personal de confianza.
¾ Protección contra terceros. No Ingresar, etc.
¾ Protección contra negligencias, descuidos, ignorancia, etc.
¾ Riesgos de perdida, Virus, Incendios, otros.

96 Contabilidad y Finanzas
Auditoria de Sistemas

DELITO INFORMATICO

Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y


variedad.
• En al actualidad los delitos cometidos vía informática son detectados en 60%.
•Fraudes - Falsificaciones - Ventas de Información, etc.

Caso de Montesinos – Prima de Del Castillo.


Venta de Información confidencial CIA - KGB.
Hacker que desvían fondos de los Bancos.
Venta de formulas secretas de productos.
Fraude Bancarios.

¾ Beneficio Personal. ¾ Fácil modo de desfalco.


¾ Odio a la organización. ¾ Por deudas.
¾ Problemas Financieros. ¾ Vicios de juego.
¾ Síndrome de Robin Hood. ¾ Equivocación de ego.

TALLER 15
ACTIVIDAD APLICATIVA
INFORMES FINAL

Objetivo
Elaborar, informes para discusión e informe final..

Orientaciones
Cada alumno deberá elaborar un informe final de acuerdo con las cartas de hallazgo que tiene
como evidencias.
AUTOEVALUACIÓN

1. Revisión de los informes finales..


2. Clases de informes de auditoria (Laboratorio).

97 Contabilidad y Finanzas

You might also like