ft iiä iXWiii^Mf^ì i /Rît' hfii& Ww H M M
« i f l I i i l É
ÈêimÊmiÄ
s»; «Itaidl P i á f
f a c u l t a d d e c o n t a d u r í a f u b i j c a Y A O à A l N ì à i m C I O N
MCTOIXÍIÜOCIM. M M LA AWPRROMA DK
SLSTJMAS DE INFORMACION CON APLÍC&AON.
A ON SISTEMA C X ) M A I I E
T E S I S
PRESENTADA C O M O REQUÍOTO PABA I A
A P I 0 B A C 3 0 N D I LA
M A I M N M EN CX)HTADI)BJA P U B I C A
i - s p i x i á i m m o m M i o r r o a m
SAN NICHOLAS DE LOS GARZA,
N, Il
O O U P M E D E 1 W 2
T M Z71 6 4
. C 8 F C P Y A
FACULTAD DE CONTADURIA PUBLICA
Y ADMINISTRACION
METODOLOGIA PARA LA AUDITORIA DE
SISTEMAS DE INFORMACION CON APLICACION
A UN SISTEMA CONTABLE
rp- r- r- i r<
í E o l o
PRESENTADA COMO REQUISITO PARA LA
APROBACION DE LA
MAESTRIA EN CONTADURIA PUSUCA
ESPECIALIDAD EN AUDITORIA
C.P. TERESÍTA PEÑ/ S E R N A
T M
.CS
n p i f ì
I °\°(L
I N D I C E G E N E R A L
CAPITULO T E M A R I O PAG.
INTRODUCCION
I LA AUDITORIA DE S I S T E M A S 1
II E V A L U A C I O N DE LOS CONTROLES EN UN S I S T E M A D E
C O N T A B I L I D A D 49
III A N A L I S I S DE LA AUDITORIA A P L I C A D A 104
IV SISTEMA DE CONTABILIDAD 223
V I N F O R M E Y RECOMENDACIONES 375
PAG .
C A P I T U L O I. LA A U D I T O R I A DE S I S T E M A S 1
LA AUDITORIA D E LA M E T O D O L O G I A PARA EL D E S A R R O L L O DE
S I S T E M A S DE I N F O R M A C I O N 2
1.- A P L I C A B I L I D A D D E L A S N O R M A S DE AUDITORIA G E N E R A L M E N T E
A C E P T A D A S 2
2.- P A S O S A SEGUIR EN LA R E V I S I O N DEL P R O C E S O DEL D E S A R R O L L O
DE S I S T E M A S 3
• R E C O P I L A C I O N D E LA I N F O R M A C I O N BASICA 3 • R E C O P I L A C I O N D E LA I N F O R M A C I O N DETALLADA 4 • E V A L U A C I O N DE L O S PUNTOS F U E R T E S Y DEBILES DE LOS
C O N T R O L E S 9 • DISEÑO D E LOS P R O C E D I M I E N T O S DE AUDITORIA DE
C U M P L I M I E N T O 12
A) R E P O R T E S A D M I N I S T R A T I V O S 12 B) D O C U M E N T A C I O N DE APLICACION 13
• E J E C U C I O N DE LAS P R U E B A S D E C U M P L I M I E N T O 16
• E V A L U A C I O N DE LOS H E C H O S D E T E C T A D O S 17
3.- P A R T I C I P A C I O N DEL A U D I T O R EN LA AUDITORIA DE S I S T E M A S .. 18
4.- C A R A C T E R I S T I C A S DEL AUDITOR DE S I S T E M A S 40
> N E C E S I D A D E S D E I N F O R M A C I O N 30 • C O N O C I M I E N T O S R E Q U E R I D O S 31 • F U E N T E S DE P R E P A R A C I O N PARA EL C O N T A D O R PUBLICO ... 35
E V A L U A C I O N DEL C O N T R O L INTERNO EN UN A M B I E N T E DE
P R O C E S A M I E N T O E L E C T R O N I C O D E - DATOS (P.E.D) 36
1. - N O R M A S DE AUDITORIA 36
2.- O B J E T I V O S DE C O N T R O L INTERNO EN UN A M B I E N T E DE
P R O C E S A M I E N T O E L E C T R O N I C O DE DATOS (P.E.D) 37
• DE A U T O R I Z A C I O N 37 • DE P R O C E S A M I E N T O Y C L A S I F I C A C I O N DE T R A N S A C C I O N E S . 37
» DE SALVA GUARDA FISICA 38 • DE V E R I F I C A C I O N Y E V A L U A C I O N 38
3.- ELEMENTOS DE UN SISTEMA DE CONTROL INTERNO 38
4.- M E T O D O L O G I A PARA E V A L U A R EL CONTROL INTERNO EN UN
CAPITULO II. E V A L U A C I O N DE LOS CONTROLES EN UN S I S T E M A D E
C O N T A B I L I D A D 49
1.- E S T R U C T U R A FISICA DEL D E P A R T A M E N T O D E P.E.D 50
2.- A N T E C E D E N T E S 51
1.- L O C A L I Z A C I O N 51 2 . - B R E V E D E S C R I P C I O N D E L EQUIPO 51
3.- A P L I C A C I O N DE C U E S T I O N A R I O S PARA LA O B T E N C I O N DE
I N F O R M A C I O N Q U E N O S PERMITA E V A L U A R LOS C O N T R O L E S
E S T A B L E C I D O S 56
1.- G E N E R A L E S .
1.- P R E - I N S T A L A C I O N 56 2. - O R G A N I Z A C I O N 59 . 3 . - D E S A R R O L L O DE S I S T E M A S 60
4 . - O P E R A C I O N Y P R O C E D I M I E N T O 78
5 . - D O C U M E N T A C I O N 81 i 6.- A C C E S O Y S E G U R I D A D FISICA 85
7 . - H A R D W A R E - S O F T W A R E 93
8 . - P R O G R A M A C I O N 94
2 . - A P L I C A C I O N .
1 . - DE D A T O S DE ENTRADA 94 2.- DE P R O C E S A M I E N T O 98
C A P I T U L O III. A N A L I S I S D E LA AUDITORIA APLICADA 104
S I T U A C I O N A C T U A L DE LA C O M P A Ñ I A / 106
1.- EN LA O R G A N I Z A C I O N 107 2.- EN EL D E S A R R O L L O D E S I S T E M A S 108
3 . - EN LA O P E R A C I O N Y EL P R O C E D I M I E N T O 110
4 . - EN LA D O C U M E N T A C I O N 112 5 . - EN EL A C C E S O Y S E G U R I D A D FISICA 114
6.- DEL H A R D W A R E Y DEL S O F T W A R E 115
7 . - EN LA P R O G R A M A C I O N 117 8. - EN LOS D A T O S DE E N T R A D A 118 9 . - EN E L P R O C E S A M I E N T O 120 10.- EN LOS DATOS DE SALIDA 122
11.- SISTEMA M A N U A L 123
A N O M A L I A S D E T E C T A D A S 124
1.- EN LA O R G A N I Z A C I O N 125 2.- EN EL D E S A R R O L L O DE S I S T E M A S 128
3 . - EN LA O P E R A C I O N Y EL P R O C E D I M I E N T O 134
4 . - EN LA D O C U M E N T A C I O N 137 5.- EN EL A C C E S O Y S E G U R I D A D FISICA 140
6.- DEL H A R D W A R E Y D E L S O F T W A R E 147
7 . - EN LA P R O G R A M A C I O N 148 8.- EN L O S D A T O S DE ENTRADA 149
9.- EN EL P R O C E S A M I E N T O 152 10.- EN LOS D A T O S DE SALIDA 155
CAPITULO IV. S I S T E M A DE CONTABILIDAD 223
1.- F A S E D E INICIO D E L SISTEMA 2 2 4
1.- M E D I O A M B I E N T E DE LA COMPAÑIA 225 2.- LA C O M P A Ñ I A COMO UN SISTEMA 227 3.- O R G A N I G R A M A DE LA EMPRESA 230
4 . - P R O B L E M A S Y CAUSAS 231 5.- I N F O R M E DE O P O R T U N I D A D E S DE MEJORA 231
6 . - G R A F I C A DE G A N T T 232
2. — F A S E D E F A C T I B I L I D A D ' D E L SISTEMA 233
1.- D E S C R I P C I O N DEL PROYECTO 2 3 4
1.- S I T U A C I O N ACTUAL 234 2 . - P R O B L E M A S D Ç T E C T A D O S 234 3 . - O P O R T U N I D A D E S DE DESARROLLO 235
4 . - O B J E T I V O S 235 5.- F U N C I O N E S 2 3 5 6 . - R E Q U E R I M I E N T O S 236
2.- A L C A N C E DEL SISTEMA . ./ 236
3.- P R O C E S O COMPUTARIZADO 2 3 7
4.- E S P E C I F I C A C I O N E S T E C N I C A S DEL EQUIPO 239
RECURSOS 239
2.- IMPLICACIONES Y/O BENEFICIOS 240
3.- A N A L I S I S DEL SISTEMA DE CONTABILIDAD 241
1.- F O R M A S DE LOS D O C U M E N T O S FUENTES DEL SISTEMA 242
1. - F O R M A DE ORDEN DE TRABAJO 243 2.- FORMA DE LA POLIZA DE CHEQUE 244 3 . - F O R M A DE LA POLIZA DE INGRESO 245
4 . - FORMA DE NOTA-REMISION 246
5.- F O R M A DE FACTURA 247 6.- FORMA DE POLIZÍ D E DIARIO 248
2.- D I A G R A M A G E N E R A L DEL FLUJO DE LA INFORMACION 249
3.- INSTRUCTIVO DE LA OPERACION 250
4.- D I R E C T O R I O DE U S U A R I O S 252
6.— D I A G R A M A DEL SISTEMA A C T U A L 254 7 . - FUNCIONES D E LOS U S U A R I O S 263
4 . - DISEÑO G E N E R A L 276
1.- D I A G R A M A DEL S I S T E M A 277
1.- D I A G R A M A DE M O D U L O S 277
2.- D I A G R A M A DE B L O Q U E S 277
2.- LISTADO D E R E P O R T E S D E L SISTEMA 279
5.- DISEÑO D E T A L L A D O 281
1.- F O R M A S DE E N T R A D A 282
1.- D E S C R I P C I O N DE LA F O R M A DE E N T R A D A 283
2.- INDICE DE A R C H I V O S 284
3.- DESCRIPCION D E ARCHIVOS' 288
4 . - INDICE DE P R O G R A M A S 293
5 D I A G R A M A S D E S C R I P T I V O S DE PROCESOS 297
6.- REFERENCIA CRUZADA P R O G R A M A S VS A R C H I V O S 342
7 . - REFERENCIA CRUZADA P R O G R A M A S VS P R O G R A M A S 343
6:- FASE DE C O N S T R U C C I O N 344
1.- P R O G R A M A C I O N Y D O C U M E N T A C I O N 345
1.- LISTADO DE R E P O R T E S DEL SISTEMA : . . . 345
2.- P A N T A L L A S DEL S I S T E M A 347 3.- R E P O R T E S F I N A L E S DEL SISTEMA 361
4 . - P R O G R A M A S DEL SISTEMA 370
CAPITULO V, I N F O R M E Y R E C O M E N D A C I O N E S 375
I N F O R M E D E A U D I T O R I A 3 7 $
INTRODUCCION
En la m e d i d a en que las t r a n s a c c i o n e s de una e m p r e s a y las
a c t i v i d a d e s c o m e r c i a l e s se rea 1 icen a través ,de1 computador, se
presenta la necesidad imperante de la seguridad y confianza sobre
los r e s a l t a d o s de las m i s m a s para poder o b t e n e r a partir de ellas
los e s t a d o s f i n a n c i e r o s de la compañía.
E s t a n e c e s i d a d imperiosa redunda sobre la concientización
del e m p r e s a r i o cada v e z mayor, de la auditoría en informática o
auditoría de sistemas.
Los s e r v i c i o s ofrec idps por un centro de cómputo son de
vital importancia en la empresa; por lo tanto es necesario
g a r a n t i z a r la integridad de la información y la seguridad de las
i n s t a l a c i o n e s físicas y el acceso a la información; todo esto se
obtiene d a n d o un m a n t e n i m i e n t o óptimo a todos los equipos y el
establecimiento de procedimientos de seguridad del hardware y del
software.
La d o c u m e n t a c i ó n de 1 desarrollo de si stemas; e1
m a n t e n i m i e n t o del equipo, tanto preventivo como correctivo; el
e n t r e n a m i e n t o de 1 persona 1 en los conocimientos necesarios para
el uso e f i c i e n t e de los equipos; el soporte técnico adecuado para
el usuario, y el centro electrónico, la seguridad. son aspectos
de gran importancia, y de no tener la atención adecuada pueden
causar g r a v e s prob1emas
Es n e c e s a r i o que exista en cada empresa un responsable de
1 os s i s t e m a s . de su seguridad y su control para obtener el máximo
R a z o n e s como: Los costos organizacionales por la pérdida de
1 a información, 1 a toma de decisiones erróneas, e1 fraude
computacional, la privacidad de la información y la e v o l u c i ó n de
los r e c u r s o s computaciona1 es, son sufi ci entes para justi f i car el
e s t a b l e c i m i e n t o de una función que examine tos c o n t r o l e s del
procesamiento de los datos.
El objetivo principal de la auditoria de s i s t e m a s es
m a n t e n e r la integridad de la información. a s e g u r a r el logro de
1 as m e t a s de la organización y íograr la s a 1 v a g u a r d a de 1 os
equipos de cómputo; por lo tanto para que e1 a u d i t o r de sistemas
pueda opinar sobre el cumplimiento, de ios o b j e t i v o s de un sistema
adecuadamente, requiere verificar el sistema de controles
establecidos en la organización; tales controles son los de
organización y aplicación.
Y es por todo esto que he querido d e s a r r o 1 lar el tema de mi
tesis de la m a n e r a m á s ciara y sencilla, para que pueda servir de
apoyo y de guia a la comunidad universitaria y e m p r e s a r i a l . de
como el C o n t a d o r Público con la información necesaria, los
conocimientos r e q u e r i d o s y la adecuada preparaci ón, puede
desarrollar una auditoría a un sistema de información y emitir su
opinión sobre el m i s m o y la serie de r e c o m e n d a c i o n e s pertinentes.
La aplicación de la auditoría está limitada por las
condi ciones de la compañía principalmente en las recornendaciones,
como resultado de la misma en lo referente al o r g a n i g r a m a y sus
Qui ero de jar m u y claro al lector, que este trabajo ha sido
desarro 1 lado por un C o n t a d o r Público. con estudios real izados
sobre e1 tema de A u d i t o r í a de Sistemas. con la eficiente labor de
asesoría de un Ingeniero y Master en Sistemas de Información,
pretendiendo dar solución a un vasto número de p r o b l e m a s
relacionados con el procesamiento electróni co de datos, de
C A P I T U L O I
A U D I T O R I A D E LA M E T O D O L O G I A PARA EL D E S A R R O L L O D E S I S T E M A S D E
INFORMACION,
1. A P L I C A B I L I D A D DE LAS N O R M A S DE A U D I T O R I A G E N E R A L M E N T E
A C E P T A D A S .
En cualquier m é t o d o de p r o c e s a m i e n t o u t i l i z a d o por una
e m p r e s a para d e t e r m i n a r sus e s t a d o s financieros, es
n e c e s a r i o la a p l i c a c i ó n de las N O R M A S DE AUDITORIA
G E N E R A L M E N T E A C E P T A D A S .
E s t a s normas se ref ieren espec í f icamente a las
c u a l i d a d e s p r o f e s i o n a l e s del auditor y al trabajo de c a m p o
del m i s m o , gobre el C O N T R O L INTERNO D E LA C O N T A B I L I D A D .
La tarea de 1 auditor en e1 proceso de desarro 1 lo de
sistemas, es la p r e v e n c i ó n para a s e g u r a r el m e j o r d e s e m p e ñ o
2. P A S O S A SEGUIR EN LA REVISION DEL P R O C E S O DEL D E S A R R O L L O DE
S I S T E M A S .
• R e c o p i l a c i ó n de la Información Básica.
• R e c o p i l a c i ó n de la información D e t a l l a d a .
a E v a l u a c i ó n de los puntos fuertes y d é b i l e s de los
controles.
• D i s e ñ o de los P r o c e d i m i e n t o s de A u d i t o r í a .
• E j e c u c i ó n de las P r u e b a s de C u m p l ¿ m i e n t o .
• E v a l u a c i ó n de los H e c h o s detectados,
• R e c o p i l a c i ó n de la Información Básica.
R e c a b a r todo t ipo de información r e s p e c t o a las
a c t i v i d a d e s de s i s t e m a s y programación, a fin de o b t e n e r e1
manual que d o c u m e n t a estas actividades, para d e t e r m i n a r sí
se está siguiendo, o si es necesario hacer1e algunas
modi f icaciones.
El auditor deberá d e t e r m i n a r si existen normas
o p e r a t i v a s reales.
En esta etapa el a u d i t o r debe informarse a través de la
o b s e r v a c i ó n y de la investigación, de :(1)
a) El flujo de las transacciones a través de 1
s istema.
b) El grado en que e1 p r o c e s a m i e n t o electrónico es
uti 1 izado en cada a p l i c a c i ó n significativa de la
c o n t a b i 1 i d a d .
c) La e s t r u c t u r a básica del control contable dentro
de la o r g a n i z a c i ó n de 1 c1 iente.
Y de todas aquellas t r a n s a c c i o n e s que afectan
d i r e c t a m e n t e los E s t a d o s F i n a n c i e r o s del cliente, y de los
*
control es general es y de apiicación que intervienen en cada
una de las transacciones, o b s e r v a n d o el funcionamiento de
los p r o c e d i m i e n t o s de control y las g r á f i c a s de
o r g a n i z a c i ó n .
Este estudio permite al auditor d e t e r m i n a r la confianza
en el corttrol interno y la amplitud y profundidad del
estudio de 1 m i s m o .
• R e c o p i l a c i ó n de Información D e t a l l a d a .
Toda actividad de sistemas y programación tiene que
g u i a r s e por políticas, normas, p r o c e d i m i e n t o s y práct i cas
d e b i d a m e n t e d o c u m e n t a d a s y actúa 1 izadas y la tarea del
auditor es v e r i f i c a r que éstas se estén cumpliendo en cada
una de las fases del d e s a r r o l l o de sistemas, obteniendo todo
t i po de d o c u m e n t a c i ó n .
Esta d o c u m e n t a c i ón primordí a 1mente contiene el manua1
políticas r e f e r e n t e s a : ( 2 )
a) La o r g a n i z a c i ó n .
b) P l a n e a c i ó n y administración de proyectos.
c) F a s e s del disefío y d e s a r r o l l o de sistemas.
d ) Las normas g e n e r a l e s d e programación,
p r o c e d i m i e n t o s y d o c u m e n t a c i ó n .
e) N o r m a s G e n e r a l e s para d i a g r a m a s de flujo.
f) C o n t r o l e s del sistema.
g ) D o c u m e n t a c i ó n de a p l i c a c i o n e s y la conversión e
implantación de las m i s m a s .
h) L a s interre 1aciones con los usuarios.
i) El m a n t e n i m i e n t o de las a p l i c a c i o n e s .
T a m b i é n son n e c e s a r i a s las e n t r e v i s t a s con la g e r e n c i a
y los u s u a r i o s para d e t e r m i n a r un m a y o r conocimiento del
sistema en sí y de la satisfacción y funcionalidad que
p r o p o r c i o n a .
Toda esta información se obt i ene a través de
c u e s t i o n a r i o s . g r á f i c a s de flujo y a n o t a c i o n e s narradas.
En ésta fase el auditor se enfoca al estudio de los
contro 1 es genera les del P.E.D. de todas las a p l i c a c i o n e s
c o n t a b l e s signi ficativas. para determi nar si existen fallas
s igni f icat ivas en 1 os mismos; ya que 1 os control es genera 1 es
a f e c t a n d i r e c t a m e n t e los c o n t r o l e s de a p l i c a c i ó n
d e P.E.D. en los d a t o s de entrada, p r o c e s a m i e n t o y d a t o s d e
sal ida.
A través de ésta investigación, el auditor puede
d e t e r m i n a r :(3)
L o s tipos de e r r o r e s e irregularidades que puedan
suceder, los p r o c e d i m i e n t o s de control que deban p r e v e n i r o
»
d e t e c t a r tales s u c e s o s y si los p r o c e d i m i e n t o s necesarios de
P A S O S A SEGUIR EN LA AUDITORIA DEL P R O C E S O DE
D E S A R R O L L O DE S I S T E M A S
L i s t a de i as a p l i c a c i o n e s e n desarrol lo y en operación
N o r m a s de d e s a r r o l l o
RECOPILACION
D E INFORMACION
BASICA
RECOPILACION
D E INFORMACION
DETALLADA
Disecar los procedínlentos de auditoria
DISEÑAR
LOS PROCEDIMIENTOS
DE AUDITORIA
EFECTUAR LAS
PRUEBAS
Papeles de trabajo
Revisión de audi-toría. técnica y del auditado
EVALUAR LOS
HECHOS
DETECTADOS Y
REPORTARLOS
• Evaluación de los puntos fuertes y débiles de los
control es.
Primordialraente esta e v a l u a c i ó n ,se enfoca sobre
a q u e l l o s controles que permitan la confiabilidad de las
a p l i c a c i o n e s que se están d e s a r r o l l a n d o en cada fase. La
r e v i s i ó n y aprobación cuidadosa, s o n el control más
e f i c i e n t e sobre un p r o y e c t o de d e s a r r o l l o de s i s t e m a s en
cada una de sus fases.
La aprobación de una fase d e t e r m i n a d a es el comienzo de
la siguiente; esta aprobación se hace por escrito y es la
CAUSAS DE NESGO
TIPO DE CONTROL \ EVALUACIO
N ECONOMIC A INCOMPLET A RENUNCI A D E L A GERENCI A ESPECIFICACIONE S INADECUADA S ERRORE S E N E L DISEÑ O DE L SISTEM A PERSONA L D E DISEÑ O INCOMPETENT E VANIDA D TECNIC A z O-Q UJ < V-0 z z UJ Sil
1 11
O UJ
O û AUSENCI
A D E PUNTO S A L LIQUIDA R E L PROYECT O TENTACIONE S A ABUSA R DE L COMPUT O APLICACIO N QU E N O PUED E MANTENERS E DIRECCIO N INCOHERENT E PREVENTIVOS:
METODOLOGA APROPIADA 0
•
0 0 0 0ADMINISTRACION DEL PROYECTO 0
i
0
• •
tCONTRATACION Y ENTRENAMIENTO
DEL PERSONAL À 0 0
•
à 0USIAS DE PJNTOS A VERIFICAR 0 Á • •
DOCUMENTACION 0 0
•
0•
•DETECTAOS:
REVISIONES Y AFROB. TECNICAS 0 0 i 0 0 0 0
•
fREVISIONES Y APROBACIONES
DE IA S R E N O A Y EL USUARIO
•
•
0 0 0 0 0 0PARTICIPACION DEL AJJDTTOR
•
00 0 0 0 0 0
•
PRUEBA DEL SISTEMA i
•
i 0 0•
•
REVISION POSTEROR A LA
IMPLANTACION 0 0 0 0 0 0
•
DOCUMENTACION
t 0 f
CORRECTIVOS;
DOCUMENTACION 0 i
•
CONFIANZA DE LOS CONTROLES
0 CONTROLA CONFIABLEMENTE LA CAUSA APUCABLE.
O CONTROLA LA CAUSA. PERO DEBE ACOMPAÑARSE DE CONTROLES A8UQNAJ.ES.
A UTIL PERO NO ESPECIALMENTE EFECTfVO.
CAUSAS DE RIESGO RESGOS < o s o Ut oÜJ < a
II
Ui iI RENUNCI A D E L A GERENCI A 49 UI z 8 « o <
SÎ
<ß 3
tu 5 0 tZ UI </> 5 _i IU 2 S
lu S g *
5 » Œ _) /r tu
ui o PERSONA
L D E DISEÑ O INCOMPETENT E VANIDA D TECNIC A z 0 O . U J
z W
3 5
lì AUSENCI
A O E PUNTO S A L UOUIDA R E L PROYECT O TENTACIONE S A ABUSA R DE L COMPUT O
1 i APLICACIO
N
QU
E
N
O
1 PUED
E MANTENERS E DIRECCIO N INCOHÉRENT E
RIESGOS OE APUCAOON
CONTABILIDAD ERRONEA 0
•
•
t 0 0•
CONTABILIDAD WACEPTA81E 0 0 0 0 0 0 0
INTERRUPCION 0 0 . NEGOCIO
A
A
A
A
A
A
A
DECISIONES ERRONEAS DE
LAURENCIA
• •
0 t 0 0 0 0FRAUDE
A
•
A
A
0
A
SANCIONES LEGAJES Á
A
A
A
À•
0
A
COSTOS EXCESWOS/WGRESOS
DEFICIENTES
0
•
t•
•
0
0
A
0
PERDIDA 0 DESTRUCCION
DE ACTNOS
A
•
A
A
0
ÁDESVENTAJA ANTE I A
COMPETENCIA
0
0
0
0
A
0
•
0
0
RIESGOS DEL PROYECTO:
DECISIONES ERRONEAS DE LA GER.
•
• •
0
t•
COSTOS EXCESWOS
0
0
• •
•
•
t0
• •
DESVENTAJA ANTE LA
COMPETENCIA 0 0 0 0
0
A
0•
0 0INTERRUPCION DEL NEGOCIO
0
0
i0
0
0
•
IMPACTO DE LAS CAUSAS £ ES MUY PR08A8LE OLE OORRA.
O ES PROBABLE OÜE ÖCJjRRA
A PODRIA OCURRJR
D i s e ñ o de los P r o c e d i m i e n t o s de A u d i t o r í a de
C u m p l i m i e n t o .
La d o c u m e n t a c i ó n que se examina para probar e1
c u m p l i m i e n t o de los controles en el p r o c e s o de désarroi lo de
s i s t e m a s es la s i g u i e n t e :
a) Los r e p o r t e s a d m i n i s t r a t i v o s , y
*
b) La d o c u m e n t a c i ó n de la a p l i c a c i ó n .
a) R e p o r t e s A d m i n i s t r a t i v o s .
T a l e s como :
- P l a n e s a largo plazo.
- Gráfica de Gantt de los proyectos.
- P r e s u p u e s t o s detal1 ados para los proyectos.
- R e p o r t e s de los costos reales contra los
p r e s u p u e s t o s para e1 proyecto.
- E x p l i c a c i o n e s por escrito sobre las
d e s v i a c i o n e s con r e s p e c t o al proyecto.
- Régi stro de 1 entrenamiento de 1 persona 1.
La d i s p o n i b i 1 i d a d de esta información p e r m i t e a la
gerencia la s u p e r v i s i ó n efectiva de la función de désarroi lo
de s i s t e m a s en lo re ferente a :
A d m i n i s t r a c i ó n del proyecto.
C o n t r a t a c i ó n del personal.
E n t r e n a m i e n t o del personal.
b) D o c u m e n t a c i ó n de la Aplicación.
La revisión de la d o c u m e n t a c i ó n d e t e r m i n a la
e x i s t e n c i a de los siguientes controles :
- M e t o d o l o g í a de los sistemas.
- L i s t a s de puntos a v e r i f i c a r de la a c t i v i d a d .
- R e v i s i o n e s y aprobaciones técnicas.
- R e v i s i o n e s y aprobaciones por parte de la
g e r e n c ia.
- Revi s i ones y aprobac i ones por parte de 1
u s u a r i o .
- R e v i s i o n e s y aprobaciones por parte de
auditoria interna.(Auditor de Sistemas).
- R e s u l t a d o s de la prueba de los sistemas.
- H e c h o s detectados en la revisión p o s t e r i o r a
la implantación.
- D o c u m e n t a c i ó n de 1 as funciones y 1 os
M e t o d o l o g í a .
La m e t o d o l o g i a uti 1 izada para e1 desarro1 lo de s i s t e m a s
debe ser d o c u m e n t a d a .
A través de la r e v i s i ó n d e los productos f i nales
especi f i eos de cada fase del desarrol1 o de sistemas, e1
a u d i t o r t a m b i é n puede v e r i f i c a r m u c h o s otros controles.
Lista de puntos a v e r i f i c a r .
C i e r t a s fases del d e s a r r o l l o de sistemas pueden
c o n t r o l a r s e preparando una lista de puntos a v e r i f i c a r .
¡
R e v i s i o n e s v A p r o b a c i o n e s .
La a p r o b a c i ó n y r e v i s i ó n d e la d o c u m e n t a c i ó n de la
a p l i c a c i ó n por los s u p e r v i s o r e s técnicos debe ser evidente
en cada u n o de 1 os productos f ina les ( firma y fecha ) .
Prueba de los sistemas.
Cada parte de 1 proceso que se ha a p r o b a d o debe ser
Revisión posterior a la implantación
Debe prepararse un reporte de los h e c h o s d e t e c t a d o s en
las r e v i s i o n e s y su c o r r e s p o n d i e n t e solución para r e a l i z a r
las c o r r e c i o n e s a d e c u a d a s y v e r i f i c a r si las m i s m a s se están
api icando.
D o c u m e n t a c i ó n .
L a s funciones y los controles de cada apiicación deben
e s t a r d o c u m e n t a d o s .
La d o c u m e n t a c i ó n incluye
Una descripción narrativa de la aplicación.
Un diagrama de flujo del sistema actual.
Instrucciones para los o p e r a d o r e s del c o m p u t a d o r .
• E s p e c i f i c a c i o n e s sobre los a r c h i v o s y d i s e ñ o s de
los registros.
Listado de todas las transacci ones y de los
códigos u t i l i z a d o s junto con e x p l i c a c i o n e s de sus
signi f i cados.
Descri pei ones d e todos 1 os d o c u m e n t o s de e n t r a d a y
de salida.
D o c u m e n t a c i ó n deta 11ada de la lógica del programa
con d i a g r a m a de flujo o tablas de d e c i s i o n e s .
Espee i ficaciones de 1 programa para todos 1 os
la a p l i c a c i ó n .
Listado de ediciones, m e n s a j e s de error y otros
c o n t a b l e s .
Un juego actual de listados en lenguaje fuente
para t o d o s los programas de a p l i c a c i ó n .
a E j e c u c i ó n de las p r u e b a s de c u m p l i m i e n t o .
T o d o s los p r o c e d i m i e n t o s señalados d e b e n probarse sobre
una m u e s t r a r e p r e s e n t a t i v a de las aplicaciones, ya sea
i m p l a n t a d a r e c i e n t e m e n t e ; que se haya implantado en el
t r a n s c u r s o d e 3 a 6 m e s e s a n t e r i o r e s o a una a p l i c a c i ó n cuyo
fin este próximo; aplicando dos p r i n c i p a l e s técnicas de i
veri f icación.
a) El examen de la d o c u m e n t a c i ó n selectiva para
s o p o r t a r e1 c u m p 1 i m i e n t o .
b ) E n t r e v i s t a s a d i c i o n a l e s a los usuarios. la
g e r e n c i a , 1 os a u d i t o r e s y al persona 1 de la
instalación de p r o c e s a m i e n t o de información para
v e r i f i c a r el cumplimiento, cuando éste no se
encuentre d o c u m e n t a d o .
El a u d i t o r t a m b i é n cuenta con d o s h e r r a m i e n t a s como son
los c u e s t i o n a r i o s de auditoria e s t a n d a r i z a d o s y las técnicas
• Evaluación de los Hechos d e t e c t a d o s .
La calidad real de la implantación d e t e r m i n a la escala
de cal i f icaciones.
La calidad de la implantación de los controles, es el
factor principal e n la e v a l u a c i ó n final de los hechos
d e t e c t a d o s . ( 4 )
La calidad, m é s que la frecuencia de la implantación,
d e t e r m i n a r á la efectividad de todos los d i f e r e n t e s controles
de d e s a r r o l l o de sistemas.(5)
La importancia de esta actividad r e c a e primordialmente
en la calidad y confiabilidad de las a p l i c a c i o n e s
computarizadas.
(4) Contro1 y Auditoría de 1 Computador. pag. 369
3. P A R T I C I P A C I O N DEL AUDITOR EN LA AUDITORIA D E SISTEMAS.
La a p o r t a c i ó n principal del a u d i t o r es g a r a n t i z a r la
seguridad que las a p l i c a c i o n e s c o m p u t a r i z a d a s c u m p l e n con
los r e q u i s i t o s idóneos de controles sólidos y confiables y
previene que se implanten s i s t e m a s de a p l i c a c i ó n r i e s g o s o s y
d e c i d e si los p r o d u c t o s finales de la d o c u m e n t a c i ó n son o no
son a d e c u a d o s .
Debe estar al lado, de diseñadores. usuarios, gerentes,
en el m o m e n t o m i s m o en el que se prepara una apiicación
c o m p u t a r i z a d a , pero debe ser independiente cuando se
d e t e c t e n r i e s g o s importantes en la m i s m a . y confirmar
informando sobre los m i s m o s .
La p a r t i c i p a c i ó n del auditor es 1 imitada en la
p l a n e a c i ó n de los proyectos de d e s a r r o l l o de sistemas.
Debe conservar e1 reporte de p l a n e a c i ó n de sistemas.
cuyos objetivos y beneficios contienen r e f e r e n c i a s
i m p o r t a n t e s revisando que no existan o m i s i o n e s de control.
El a u d i t o r deberá s e r incluido en el g r u p o de analistas
de s i s t e m a s que recibe e n t r e n a m i e n t o técnico.
El a u d i t o r debe evaluar c o n c i e n z u d a m e n t e la
í n t e g r a m e n t e la a p i i c a c i ó n en
para veri ficar que se
n e c e s a r i o s .
forna manual y
definan todos
c o m p u t a r i z a d a ,
los controles
Los u s u a r i o s deben incluir a u s u a r i o s p r i n c i p a l e s y a
u s u a r i o s s e c u n d a r i o s .
Los r e q u e r i m i e n t o s del auditor interno para un sistema
d e b e n incluirse durante la fase de e s p e c i f i c a c i o n e s del
u s u a r i o , de tal m a n e r a que le permita auditar la a p l i c a c i ó n
p o s t e r i o r m e n t e .
El auditor no debe permitir que el personal de
d e s a r r o l l o de sistemas ejecute cualquier función de
a u d i t o r í a , para impedir un conflicto de intereses p o s t e r i o r .
Cuando se aplican las específicaciones t é c n i c a s deben
d e f i n i r s e t o d o s los controles restantes.
Si se han a p l i c a d o e instalado correctamente todos los
c o n t r o l e s según las especificaciones del u s u a r i o y las
e s p e c i f i c a c i o n e s técnicas, la tarea del auditor se limitará
a verif i car que estos controles hayan s ido incorporados.
El audi tor deberá ser m u y cuidadoso al hacer
modi ficaciones a las especificaciones del usuario d u r a n t e e1
t i ene alguna instrucción que permi ta o b t e n e r información
adicional si se r e q u i r i e r a en un futuro.
En cuanto a lo r e f e r e n t e a la planeación de la
implantación, el interés m á s importante del a u d i t o r radica
en los c o n t r o l e s que se planean, sobre la conversión y la
i m p l a n t a c i ó n .
Los controles de la implantación incluyen controles en
la c r e a c i ó n de nuevos a r c h i v o s m a e s t r o s a n t e r i o r e s a los
nuevos, controles de comparación y controles de c o r r e c c i ó n
de e r r o r e s .
D u r a n t e la etapa de p r o g r a m a c i ó n que consiste en la
c o n v e r s i ó n de las e s p e c i f i c a c i o n e s t é c n i c a s en lenguaje de
c o m p u t a c i ó n operacional (1enguaje fuente), 1 os errores que
se p u e d e n p r e s e n t a r o c u r r e n en la preparación de la
c o d i f i c a c i ó n para h a c e r la conversion, m i s m o s que deben ser
c o r r e g i d o s por los controles de s u p e r v i s ión que se
e s t a b l e z c a n d u r a n t e la etapa de p r o g r a m a c i ó n .
La función de 1 auditor depende, también de 1 nive 1 de
e x p e r i e n c i a técnica. la cual le permi te poder v e r i f i c a r la
i m p 1 a n t a c i ó n de normas de programac ión só1 idas y la
i m p l a n t a c i ó n de controles de a p l i c a c i ó n eficientes en la
M A T R I Z DE CONTROLES DE APLICACION Q U E INDICA LAS P R I N C I P A L E S C L A S I F I C A C I O N E S DE LOS CONTROLES QUE DEBEN D E F I N I R S E D E N T R O
DE L A S E S P E C I F I C A C I O N E S DEL U S U A R I O Y T E C N I C O S .
T R A N S A C C I O N CONTRA PROCESO
C A R A C T E R I S T I C A D E CONTROL U T
CONTROLES P R E V E N T I V O S
D e f i n i c i ó n de r e s p o n s a b i l i d a d e s X
Confiabi1idad del personal X
E n t r e n a m i e n t o X
Competencia de 1 personal X
M e c a n i z a c i ó n X
Segregac ión de fune iones X
Rotación de fune iones X
E s t a n d a r i z a c i ó n X
A u t o r i z a c i ó n X
Custodia segura X
Acceso dua1 controles dual es X
Diseño de formas X
Formas prenumeradas X
Formas p r e i m p r e s a s X
Preparación simultánea X
Documento de retorno X
Endoso X
C A R A C T E R I S T I C A D E C O N T R O L U T
D o c u m e n t a c i ó n X
E n t r a d a por e x c e p c i ó n X
Opción por i n c u m p l i m i e n t o X
C o n t r a s e ñ a s X
C O N T R O L E S D E T E C T I V O S
P r e v i s i ó n X
D o c u m e n t o s de envío X
N ú m e r o s c o n s e c u t i v o s de lote X
R e g i s t r o control X
Cifra control de cantidades X
Ci fra control de número de d o c u m e n t o s X
Cifra control de número de r e n g l o n e s X
Cifra control sin s i g n i f i c a d o m o n e t a r i o X
Tota 1 es de 1 ote X
Igualación de lotes X
Verificación visual X
V e r i f i c a c i ó n de secuencia X
V e r i f i c a c i ó n de r e b a s a m i e n t o X
V e r i f i c a c i ó n de formato X
V e r i f i c a c i ó n de integridad X
Dígitos de v e r i f i c a c i ó n X X
Ra.zonabi 1 idad X
V e r i f i c a c i ó n de límite X
CARACTERISTICA DE CONTROL U T
C o n f i r m a c i ó n de información de entrada X
Fechas X
E x p i r a c i ó n X
V e r i f i c a c i ó n de la digitación X
A p r o b a c i ó n X
Tota les de corrida a corrida X
Igualación X
Conci 1iación X
C l a s i f i c a c i ó n por antigüedades X
Archivo de partidas pendientes de proc. X
Cuentas de partidas pendi entes de proc. X
Cotejo X
Cuenta 1iquidadora X
Archivo de seguimiento X
Audi toria periódica X
P r o c e s a m i e n t o redundante X
P r o c e s a m i e n t o resumido X
Et iquetas X
Registro f i na 1 X
C O N T R O L E S C O R R E C T I V O S
Reportes de d i s c r e p a n e i a s X
Pista de las transacciones X X
Estadística de errores y su fuente X
C A R A C T E R I S T I C A DE CONTROL U T
R e i n c l u s i ó n en el proceso X
R e s p a I d o y r e c u p e r a c i ó n X
Uni comente
d e c i s i o n e s con
p r o c e s a m i e n t o y
la g e r e n c i a y los
lo r e l a c i o n a d o a la
no los p r o g r a m a d o r e s .
u s u a r i o s d e b e n tomar
lógica fundamental del
L o s c a m b i o s a las e s p e c i f i c a c i o n e s técnicas y la
c o r r e c c i ó n de errores d e b e n s e r a u t o r i z a d o s por las m i s m a s
p e r s o n a s que aprobaran las e s p e c i f i c a c i o n e s o r i g i n a l e s .
D u r a n t e la etapa de p r o c e d i m i e n t o s y e n t r e n a m i e n t o de 1
usuario, que se refiere a la preparación de p r o c e d i m i e n t o s
para la conversión y la o p e r a c i ó n del n u e v o sistema, y e s
d e s a r r o l l a d o por los mismos u s u a r i o s a b a r c a n d o las fases de:
o b t e n c i ó n de la información. la c o n s o l i d a c i ó n de la
información, la r e s o l u c i ó n de las e x c e p c i o n e s y la
d i s p o s i c i ó n de los datos de sal ida, el interés principal
radica en el control sobre la aclaración d e las e x c e p c i o n e s
y la revi sión de los procedimi entos detal 1ados para
v e r i f i c a r que los controles e s p e c i f i c a d o s en los
r e q u e r i m i e n t o s de 1 usuario hayan sido definidos en los
m a n u a l e s de procedimientos y d e s c r i p c i ó n de 1 os t r a b a j o s
para las actividades manuales.
Durante la etapa de prueba de los s i s t e m a s . se a p i i c a n
t r a n s a c c i o n e s válidas y no válidas para poder e v a l u a r
a d e c u a d a m e n t e los resultados de la implantación, y en base a
esto todos los usuarios, incluyendo el auditor, d e f i n e n su
s u s p e n s i ó n de la m i s m a , ante la g e r e n c i a ; si opinase
e x i s t i e r a n r i e s g o s de a p i i c a c i ó n por omisiones en
e s p e c i f i c a c i o n e s origina 1 es o errores de las m i s m a s .
que
las
La d e c i s i ó n final d e la i m p l a n t a c i ó n de una a p l i c a c i ó n
c o m p u t a r i z a d a es tarea de la gerencia, la tarea del auditor
interno es p r o p o r c i o n a r l e a la m i s m a los fundamentos
n e c e s a r i o s para esta d e c i s i ó n , por lo que deberá v e r i f i c a r
que los u s u a r i o s e s t e n r e a l i z a n d o la prueba de la
información y p r o c e d i m i e n t o s c o m p l e t o s y amplios; que los
c o n t r o l e s que se p r o p u s i e r o n sí funcionan adecuadamente,
a s e g u r a r s e que los e r r o r e s fueron c o r r e g i d o s y se hizo una
nueva p r u e b a .
La p a r t i c i p a c i ó n del auditor en esta actividad es
e s e n c i a l . ( 6 )
Es r e c o m e n d a b l e que el a u d i t o r participe durante la
p l a n e a c i ó n y d e s a r r o l l o de s i s t e m a s y hará más eficiente su
trabajo y la a p l i c a c i ó n m i s m a .
En el caso que no pudiese p a r t i c i p a r en estas etapas;
es n e c e s a r i o que participe en la prueba de s i s t e m a s para
e v i t a r r i e s g o s de a p l i c a c i ó n .
L o s productos f i n a l e s de la actividad de prueba de
sistemas, de interés p r i m o r d i a 1 para e1 a u d i t o r son :(7)
• La d o c u m e n t a c i ó n de l a s pruebas efectuadas.
• La d o c u m e n t a c i ó n d e los errores r e p o r t a d o s y las
a c c i o n e s c o r r e c t i v a s c o r r e s p o n d i e n t e s .
• Las a p r o b a c i o n e s del u s u a r i o .
En la c o n v e r s i ó n d e 1 a información, e1 equipo. los
p r o c e d i m i e n t o s y el p e r s o n a 1 de 1 nuevo sistema, la
p l a n e a c i ó n y contro 1 s o n necesarios para asegurar que 1 os
r e s u l t a d o s o p e r a t i v o s s o n los correctos.
En esta etapa, el i n t e r é s del a u d i t o r . radica en el
m a n t e n i m i e n t o de 1 o s archivos y la consistencia de
información que a f e c t a 1 o s reportes contables.
Si la c o n v e r s i ó n e s simple, e 1 auditor verificard
s o l a m e n t e que las t a r e a s necesarias se concluyan en forma
o r d e n a d a .
Con m u c h a f r e c u e n c i a se realiza el procesamiento en
para lelo d u r a n t e 1 a etapa de convers i ón y const i tuye una
prueba de los s i s t e m a s .
El a u d i t o r debe asegurarse que se han implantado
a d e c u a d a m e n t e los c o n t r o l e s de conversión; que las omisiones
y errores fueron r e s u e l t o s s a t i s f a c t o r i a m e n t e y que la
c o n v e r s i ó n permite c o m p a r a r los r e s u l t a d o s de la aplicación,
antes y d e s p u é s de la m i s m a .
Los p r o d u c t o s finales que d o c u m e n t a n la etapa de
c o n v e r s i ó n y son del m á x i m o interés del a u d i t o r son :(8)
a La d o c u m e n t a c i ó n de 1 proceso de edición que d e m u e s t r a
que la c o n v e r s i ó n de los archivos es satisfactoria y
además que se a p l i c a r o n las cifras control para
e s t a b l e c e r que todos 1 os a r c h i v o s fueron convertidos.
a La d o c u m e n t a c i ó n de 1 os r e s u 1 t a d o s de operación, donde
se m u e s t r a n 1 os v o l ú m e n e s de 1 p r o c e s a m i e n t o y de los
e r r o r e s , y se indi ca 1 a capac idad d e la aplicación,
para el m a n e jo de los nive les existentes de
p r o c e s a m i e n t o y de corrección de errores.
« Toda la d o c u m e n t a c i ó n de la aplicación. donde se
m u e s t r a el s i s t e m a implantado con todas las
aprobaciones n e c e s a r i a s d e 1 a s g e r e n c i a s de 1 u s u a r i o , y
del d e p a r t a m e n t o P.E.D.
La participación del a u d i t o r en la r e v i s i ó n p o s t e r i o r a
la implantación es n e c e s a r i a , d e tal m a n e r a que le p e r m i t a
c e r t i f i c a r que los b e n e f i c i o s p l a n e a d o s para el n u e v o
s i s t e m a se h a n logrado, v e r i f i c a n d o la c a n c e l a c i ó n de t o d o s
los s i s t e m a s m a n u a l e s , y a d e m á s que t o d o s los p r o b l e m a s
o p e r a t i v o s fueron r e s u e l t o s .
Posteriormente, d u r a n t e el m a n t e n i m i e n t o c o n t i n u o que
se h a g a a la aplicación» el a u d i t o r debe e s t a r informado de
t o d a s las m o d i f i c a c i o n e s q u e se pretenden r e a l i z a r a los
p r o g r a m a s del sistema de a p i i c a c i ó n , para d e t e r m i n a r los
r i e s g o s s i g n i f i c a t i v o s y las m e d i d a s que se deban t o m a r y
d e t e r m i n a r que el m a n t e n i m i e n t o c o n t i n u o es c o n t r o l a d o
m e d i a n t e la preparación de e s p e c i f i c a c i o n e s a d e c u a d a s y la
4. C A R A C T E R I S T I C A S D E L A U D I T O R DE SISTEMAS.
• N e c e s i d a d e s de Información.
En v i r t u d que e1 c o m p u t a d o r está presente en t o d a s 1 as
á r e a s del p r o c e s a m i e n t o de la información. e x i s t e la
necesidad imperiosa que los a u d i t o r e s en informática. tengan
un b u e n c o n o c i m i e n t o de 1 p r o c e s a m i e n t o electrónico de la
información por las s i g u i e n t e s r a z o n e s :
a) Para poder p r e p a r a r una e v a l u a c i ó n adecuada del
contro1 interno en un p r o c e s a m i e n t o de información
b a s a d o en un c o m p u t a d o r .
b) A efecto de uti1 izar el c o m p u t a d o r en la
auditoria, si las c a r a c t e r í s t i c a s del sistema y el
costo r e l a t i v o de la a p l i c a c i ó n hacen a c o n s e j a b l e
este p r o c e s a m i e n t o .
El a u d i t o r no necesita ser un experto en la a u d i t o r i a
en el p r o c e s a m i e n t o e l e c t r ó n i c o de la información, pero si
• Conocimientos R e q u e r i d o s .
a) Del equipo del p r o c e s a m i e n t o electrónico de la
información.
- El a u d i t o r d e b e t e n e r un conocimiento general
del e q u i p o del c o m p u t a d o r , de los u s o s y
p o s i b i l i d a d e s del p r o c e s a d o r central y del
e q u i p o p e r i f é r i c o .
b) De los s i s t e m a s q u e s e p r o c e s a n en el c o m p u t a d o r .
- El a u d i t o r d e b e t e n e r conocimiento ampl io de
la o r g a n i z a c i ó n d e los archivos. de 1 flujo
del proceso y del d i s e ñ o del sistema.
- E n t e n d e r 1 o s d i v e r s o s métodos para p r o t e g e r
los a r c h i v o s del c o m p u t a d o r y la i n c l u s i ó n de
r a s t r o s para i n v e s t i g a c i ó n por parte d e la
auditoría o d e la gerencia.
~ Tener h a b i 1 i d a d p a r a anal izar y d i s e ñ a r un
s i s t e m a d e i n f o r m a c ión de c o m p 1 e j idad
c) De fundamentos de la programación del c o m p u t a d o r .
~ El audi tor no neces i ta ser un p r o g r a m a d o r
pero debe entender lo que impli ca la
p r o g r a m a c i ó n , pudiendo preparar las
e s p e c i f i c a c i o n e s de un programa, y de v i g i l a r
su p r e p a r a c i ó n .
d) De o p e r a c i o n e s del centro de c ó m p u t o .
- El a u d i t o r debe e n t e n d e r la forma en que se
opera un computador, aún cuando genera 1mente
e1 a u d i t o r no opera e1 c o m p u t a d o r , e n t e n d e r
el papel del operador y e s t a r en posibilidad
de v i g i l a r la corrida de los programas de
audi toría en el c o m p u t a d o r .
e1 De la o r g a n i z a c i ó n y a d m i n i s t r a c i ó n de la función
de 1 procesamiento de la información.
- Las labores típicas y los d i f e r e n t e s a s p e c t o s
de la organización, de la supervisión y de la
d i v i s i ó n de labores.
- Debe comprender la aplicación de los
principios de la a d m i n i s t r a c i ó n de un centro
f) De la d o c u m e n t a c i ó n d e l proceso de la información.
- El a u d i t o r d e b e e s t a r en p o s i b i l i d a d de
s e g u i r los d i a g r a m a s de flujo del s i s t e m a , la
c o n f i g u r a c i ó n d e los r e g i s t r o s y los listados
de e r r o r e s .
- Debe estar en p o s i b i 1 i d a d de e n t e n d e r el uso
de la c o d i f i c a c i ó n en la d o c u m e n t a c i ó n .
9 ) De controles en los s i s t e m a s .
- El a u d i t o r d e b e estar f a m i l i a r i z a d o con los
controles c o n t a b l e s uti1 izados en los
s i s t e m a s de p r o c e s a m i e n t o e l e c t r ó n i c o de la
información.
* C o n t r o l e s de c o n v e r s i ó n de datos.
* Controles d e los datos de e n t r a d a .
* Control es d e 1 Hardware.
* C o n t r o l e s del p r o c e s a m i e n t o .
* Controles de sal ida.
* Controles de operación.
* Controles de archivos y p r o g r a m a s .
- Debe conocer los tipos de e r r o r e s que se
m é t o d o s para d e t e c t a r l o s . m a n e j a r l o s y
c o r r e g i r l o s .
h) De t é c n i c a s d e auditoria sin usar el c o m p u t a d o r .
- El a u d i t o r debe entender completamente los
p r o c e d i m i e n t o s de auditoría que no r e q u i e r a n
el u s o del computador, y s a b e r como o b t e n e r
1 os r e g i s t r o s n e c e s a r i o s para p o n e r en
p r á c t i c a estos p r o c e d i m i e n t o s .
i) De las t é c n i c a s de auditoria u t i l i z a n d o el
c o m p u t a d o r .
- Debe e s t a r en posibi1idad de conocer las
s i t u a c i o n e s en las cuales el c o m p u t a d o r puede
ser u t i l i z a d o efectivamente para apoyo de la
audi toría.
- Debe e s t a r en posibi1idad de planear y
v i g i 1 a r e1 desarro lio y el uso de técnicas,
ta 1 es como datos de pruebas, procesamiento
c o n t r o l a d o y programas de auditoría con
Fuentes de P r e p a r a c i ó n para el Contador Público.
Estas fuentes proporcionan al auditor el conocimiento
necesario para p o d e r escribir, ensamblar, depurar, y correr
un programa s e n c i l l o en el computador.
a) C u r s o s p r o p o r c i o n a d o s por los fabricantes de
c o m p u t a d o r a s .
b) C u r s o s en los colegios y universidades.
c) C u r s o s en las escuelas técnicas locales.
d) A u t o e d u c a c i ó n y educación programada.
e) E n t r e n a m i e n t o en el trabajo.
í) C u r s o s de desarrollo profesional del Instituto de
C o n t a d o r e s Públi eos.
EVALUACION DEL CONTROL INTERNO EN UN A M B I E N T E DE PROCESAMIENTO
ELECTRONICO DE DATOS
1. N O R M A S DE AUDITORIA
De acuerdo con las normas de auditoría respecto a la
ejecución del trabajo, la confianza que el auditor deposita en el
control interno depende de la evaluación y estudio adecuados,
realizados por el auditor, lo que le permite determinar la
naturaleza, extensión y oportunidad que 1e otorgue a los
procedimientos de auditoría.
El estudio del control interno incluye el análisis y la
comprensión de los métodos que se utilizan para procesar la
información financiera, con objeto de determinar si las técnicas
establecidas cumplen con los objetivos del control interno: por
lo tanto, cuando el P.E.D. forma parte del control interno
contable y de este se deriva información sujeta a exámen, el
auditor debe realizar su estudio y evaluación, y como resultado
de dicho trabajo. deberá documentar adecuadamente sus
conclusiones sobre el efecto del P.E.D. en sus oruebas de
auditoría. (9)
Leí importancia de las api icaciones en e 1 proceso de la
información financiera determina e1 a)cance de 1 examen de 1
control interno.
El personal que realice el estudio y evaluación del control
interno del P.E.D. debe tener entrenamiento técnico y capacidad
profesional adecuados.
2. O B J E T I V O S DEL C O N T R O L INTERNO EN UN A M B I E N T E DE P.E.D. (10)
i De a u t o r i z a c i ó n .
T o d a s las o p e r a c i o n e s deben realizarse de acuerdo con
a u t o r i z a c i o n e s g e n e r a l e s o e s p e c í f i c a s de la administración.
» De procesamiento y clasificaciones de transacciones.
T o d a s las o p e r a c i o n e s deben registrarse para permitir
la preparación de Estados Financieros de conformidad con
p r i n c i p i o s de contabilidad generalmente aceptados. o de
c u a l q u i e r otro criterio aplicable a dichos estados y para
m a n t e n e r en archivos apropiados datos relativos a los
a c t i v o s suietos a custodia.
De saIva guarda f ís i ca.
El acceso a los a c t i v o s sólo debe permitirse de a c u e r d o
con a u t o r i z a c i o n e s de la a d m i n i s t r a c i ó n .
• De v e r i f i c a c i ó n y evaluación.
Los d a t o s r e g i s t r a d o s re 1ativos a los activos sujetos a
custodia d e b e n compararse con los a c t i v o s e x i s t e n t e s con
cierta periodicidad y h a c e r los ajustes necesarios, y
t a m b i é n d e b e n existir controles r e l a t i v o s a la v e r i f i c a c i ó n
y e v a l u a c i ó n periódica de los saldos que se informan en los
e s t a d o s financieros.
3. E L E M E N T O S DE UN SISTEMA DE CONTROL INTERNO (11)
• Un plan de o r g a n i z a c i ó n que proporcione adecuada
s e p a r a c i ó n de las r e s p o n s a b i 1 i d a d e s funcionales.
• Un sistema de autorización y p r o c e d i m i e n t o s de
contabilidad adecuados para p r o p o r c i o n a r un control
r a z o n a b l e de contabilidad sobre el activo. el pasivo,
los ingresos y los gastos.
• P r á c t i c a s bien fundadas .que deban seguirse en la
ej ecuc i ón de 1 as 1abores y fune iones de cada uno de 1 os
d e p a r t a m e n t o s de la o r g a n i z a c i ó n .
• Personal de calidad e q u i p a r a b l e a las r e s p o n s a b i l i d a d e s
que tengan.
Los controles del sistema de p r o c e s a m i e n t o de
información, se r e f i e r e n d i r e c t a m e n t e a la p r o t e c c i ó n de los
b i e n e s y a la confianza que requiere la información
financiera. (12)
Los controles en un sistema de procesami ento
e l e c t r ó n i c o de datos deben:
• P r o p o r c i o n a r una seguridad r a z o n a b l e que el
p r o c e s a m i e n t o está siendo efectuado c o r r e c t a m e n t e .
• D e t e c t a r errores e irregularidades rápidamente.
• Asegurar una acción correctiva apropiada.
4. M E T O D O L O G I A PARA E V A L U A R EL C O N T R O L INTERNO EN U N A M B I E N T E
DE P.E.D.
Un e s t u d i o del sistema del control contable de un el iente
debe a g r u p a r t o d a s las a c t i v i d a d e s m a n u a l e s , m e c á n i c a s y de
P.E.D. s i g n i f i c a t i v a s y r e l e v a n t e s y la interrelación que exista
entre un d e p a r t a m e n t o de P . E . D . y los d e p a r t a m e n t o s usuarios.
*
Este e s t u d i o consta de tres etapas:
- E s t u d i o P r e l i m i n a r .
- A m p l i a c i ó n del Estudio.'
- P r u e b a s a los control es.
i Etapa de estudio p r e l i m i n a r .
Se enfoca a d e t e r m i n a r ta importanc ia que el
p r o c e d i m i e n t o e l e c t r ó n i c o de d a t o s tiene en la información
financiera y al c o n o c i m i e n t o de 1 equipo.
Durante e1 d e s a r r o lio de esta etapa se debe o b t e n e r
información sobre:
a} EL flujo d e 1 as t r a n s a c c i o n e s a través de 1 sistema.
b) El grado en que el P.E.D. es útil izado en cada
c) La estructura básica del control contable d e n t r o de la
o r g a n i z a c i ó n del cliente.
d ) Conocer 1 a capac idad de 1 computador» en cuanto a
m e m o r i a , c o m p a t i b i l i d a d con el s o f t w a r e d i s p o n i b l e en
el m e r c a d o . c o n f i g u r a c i ó n del equipo p e r i f é r i c o
(Monitor, impresora y d i s p o s i t i v o s auxi1iares de
e n t r a d a y s a l i d a ) , esto r e p r e s e n t a la forma en que se
pueden a c o p l a r al c o m p u t a d o r o la a d a p t a b i 1 i d a d para
m a n d a r y r e c i b i r información entre el c o m p u t a d o r y los
peri féricos.
El estudio p r e l i m i n a r incluye la e v a l u a c i ó n de los
c o n t r o l e s g e n e r a l e s y los controles de a p l i c a c i ó n a través
de:
• Invest igación.
• O b s e r v a c i ó n de como funcionan los p r o c e d i m i e n t o s de
contro1.
• Revis i ón de g r á f i c a s de o r g a n i z a c i ó n . manua1 es de
p r o c e d i m i e n t o s y d o c u m e n t a c i ó n adicional.
D e p e n d i e n d o de 1 os r e s u 1 1 a d o s o b t e n i d o s en esta etapa,
• Etapa de a m p l i a c i ó n del e s t u d i o .
Al d e s a r r o l l a r s e esta etapa el a u d i t o r debe real izar
i n v e s t i g a c i o n e s adiciona 1 es, observar, r e v i s a r 1 a
d o c u m e n t a c i ó n y a n a l i z a r d e t a l l a d a m e n t e cada transacción,
todo esto a través de c u e s t i o n a r i o s , gráfi cas de f1ujo y
a n o t a c i o n e s d e s c r i p t i v a s sobre cada uno de los controles
g e n e r a l e s y de api idación, abarcando los s i g u i e n t e s
a s p e c t o s :
a) R e v i s i ó n de los e s t u d i o s de factibilidad.
b) A n á l i s i s de la o r g a n i z a c i ó n del centro de cómputo.
c) A n á l i s i s de los sistemas.
d ) E x i s t e n c i a de
i m a n u a l e s o p e r a t i v o s .
e) E x i s t e n c i a d e copias de los m a n u a l e s o p e r a t i v o s .
f ) Controles sobre las bitácoras.
g) E x i s t e n c i a de planes de contingencia.
h ) C o n t r o l e s sobre el proceso.
i) D o c u m e n t a c i ó n de los programas.
j) E x i s t e n c i a de m a n u a l e s con los usuarios.
k) P r o t e c c i ó n de sistemas.
1 ) P r o t e c c i ó n de los archivos.
11) E x i s t e n c i a de elementos de seguridad física.
m ) Auditoría interna.
a) R e v i s i ó n de los estudios de factibi1idad.
Consiste en d e t e r m i n a r si es conveniente el equipo y
los s i s t e m a s para satisfacer las n e c e s i d a d e s de la
e m p r e s a .
b ) A n á l i s i s de la organización del centro de c ó m p u t o .
E v a l u a r las funciones del personal, que exista una
p l a n e a c i ó n a corto y largo plazo. que existan
p r o c e d i m i e n t o s para d e t e r m i n a r prioridades, a s i g n a c i ó n
de proyectos, e v a l u a c i ó n de r e s u l t a d o s . etc.
c) A n á l i s i s d e los s i s t e m a s .
V e r i f i c a r que el análisis, diseño, p r o g r a m a c i ó n . prueba
de d a t o s y m a n t e n i m i e n t o de los sistemas, estén
d o c u m e n t a d o s de acuerdo a 1 os e s t á n d a r e s establee idos.
d ) E x i s t e n c i a de m a n u a l e s operativos.
Que existan m a n u a l e s actúa 1 izados y que m e n c i o n e n 1 as
c a u s a s de m o d i f i c a c i o n e s en el caso que existan.
e) E x i s t e n c i a de c o p i a s de los m a n u a l e s o p e r a t i v o s .
d e b i d a m e n t e p r o t e g i d a s fuera de la sala de c ó m p u t o .
f) Control es sobre 1 as bitácoras.
Que se r e g i s t r e n los tlempos de proceso, c a m b i o s de
programas, d e s c o m p o s t u r a s . m a n t e n i m i e n t o , etc.
g ) E x i s t e n c i a de planes de contingencia.
I n v e s t i g a r si en caso de fallas se cuenta con un equipo
de soporte y p r o c e d i m i e n t o s de reinicio.
h ) Contro 1 es sobre e1 proceso. i
Veri f i car que 1 a información procesada esté sujeta a
c o n t r o l e s que aseguren que dicfiS información es válida
y c o m p l e t a . A s e g u r a r que existan h u e l l a s o pistas que
p e r m i t a n 1 a reconstrucción o s e g u i m i e n t o de la
información p r o c e s a d a y de su transformación.
i) D o c u m e n t a c i ó n de los programas.
Que 1 a d o c u m e n t a c ion esté de acuerdo. con 1 os
e s t á n d a r e s e s t a b l e c i d o s , que se encuentre completa y
esté d e b i d a m e n t e autorizada.
V e r i f i c a r la existencia d e m a n u a l e s a c t u a l i z a d o s para
los usuarios.
JO P r o t e c c i ó n de sistemas.
V e r i f i c a r que las copias actual izadas de la
d o c u m e n t a c i ó n esten d e b i d a m e n t e p r o t e g i d a s .
1) P r o t e c c i ó n de los archivos.
V e r i f i c a r que existan copias a c t u a l i z a d a s de los
a r c h i v o s m a e s t r o s y de las transacciones, conservándose
por un t i empo r a z o n a b l e en un 1ugar seguro. dentro de 1
centro de c ó m p u t o y en un edificio d i s t i n t o a éste.
11) E x i s t e n c i a de elementos de seguridad física.
C o m p r o b a r la seguridad física del centro de cómputo, de
tal m a n e r a que asegure la separación de funciones entre
e1 personal y el acceso r e s t r i n g i d o a 1 área.
» E x i s t e n c i a de e x t i n t o r e s .
• D e t e c t o r e s de h u m o .
