Exp. Papeles de Trabajo Para La Auditoria de Sistemas Computaciones

PAPELES DE TRABAJO PARA LA AUDITORIA DE SISTEMAS COMPUTACIONES

INTRODUCCI ÓN Al realizar una auditoría el auditor tiene que recopilar los datos obtenidos y registrarlos formalmente en documentos; estos documentos pueden ser manuscritos, manuales instructivos, graficas, resultados de procesamientos, concentrados de bases de datos, respaldos (backups) o cualquier otro medio escrito o digital, en los cuales recopilará los hechos, pruebas, tabulaciones, interpretaciones, así como el análisis de los datos obtenidos.

Los papeles de trabajo proporcionan un orden adecuado al trabajo del auditor y le sirven como soporte documental para registrar y mostrar las evidencias (entrevistas, cuestionarios, pruebas, encuestas, investigaciones, observaciones y opiniones) de las situaciones relevantes encontradas durante la evaluación y reportadas en el informe.

CONTENIDO DEL LEGAJO DE PAPELES DE TRABAJO • • • • • • • • • • •

Hoja de identificación Índice de contenido de los papeles de trabajo Dictamen preliminar Resumen de desviaciones detectadas Situaciones encontradas Programa de trabajo de auditoría Guía de auditoría Inventario de software Inventario de hardware Manual de organización Descripción de puestos

CONTENIDO DEL LEGAJO DE PAPELES DE TRABAJO • • • • • • •

Reportes de pruebas y resultados Respaldos de datos y programas de aplicación de auditoría Respaldos de las bases de datos y de los sistemas Guías de claves para el señalamiento de los papeles de trabajo Cuadros y estadísticas concentradores de información Anexos de recopilación de información Diagramas de flujo, de programación y de desarrollo de sistemas • Testimoniales, actas y documentos legales de comprobación y confirmación • Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema

DEL LEGAJO DE PAPELES DE TRABAJO

HOJA DE IDENTIFICACIÓN

ÍNDICE DEL CONTENIDO Se pagina el contenido total de los papeles de trabajo con el propósito de identificar rápidamente la página donde se encuentran cada una de las partes que integran el legajo de papeles. PARA LA DOCUMENTACION RELACIONADA CON EL HW SW SG BD DS IS CC CA CM

EQUIPO FISICO, PERIFERICOS Y DEMAS EQUIPOS DE SISTEMASPARA LA DOCUMENTACION RELACIONADA CON EL SOFTWARE Y PAQUETERIAS PARA LA DOCUMENTACION RELACIONADA CON LA SEGURIDAD INFORMATICA PARA LOS DOCUMENTACION RELACIONADA CON LAS BASES DE DATOS, INFORMACION Y DEMAS ARCHIVOS DE DATOS PARA LA DOCUMENTACION RELACIONADA CON EL ANALISIS, DISEÑO Y DESARROLLO DE SISTEMA. PARA LA DOCUMENTACION RELACIONADA CON LAS INSTALACIONES DEL AREA DE SISTEMASPARA LA DOCUMENTACION RELACIONADA CON EL CENTRO DE COMPUTO. PARA LA DOCUMENTACION RELACIONADA CON LA GESTION ADMINISTRATIVA DEL CENTRO DE COMPUTO PARA LA DOCUMENTACION RELACIONADA CON LOS

DICTAMEN PRELIMINAR El dictamen preliminar es un borrador que contiene un resultado preparatorio de la evaluación del área de informática, del sistema auditado, de la función específica de dicha área o de cualquier otro aspecto relacionado con los temas de la institución. Este documento es un bosquejo en el cual se indican las desviaciones encontradas y el llamado dictamen que hace el auditor de lo que encontró durante su revisión.

RESUMEN DE DESVIACIONES DETECTADAS En este documento se reúnen las desviaciones que el auditor considera como las mas importantes encontradas durante la revisión, así como sus causas y posibles soluciones.

SITUACIONES ENCONTRADAS Se presentan todas las situaciones detectadas durante la auditoría, separando situaciones encontradas, las causas que las originan y las posibles soluciones; también se anota al responsable de solucionarlas y la fecha de solución para cada causa o situación reportada.

PROGRAMA DE TRABAJO DE AUDITORÍA Es el documento formal de los planes, programas y presupuestos hechos para el control y desarrollo de la auditoría, donde se registran las etapas y actividades a realizar, los tiempos para llevarla a cabo y los recursos disponibles. Las etapas que conforman el programa de trabajo de la auditoría de sistemas computacionales son: • Planeación. • Ejecución. • Dictamen.

PROGRAMA DE TRABAJO DE AUDITORÍA ETAPA 1 : PLANEACIÓN DE LA AUDITORÍA • • • • •

Identificar el origen de la auditoría. Realizar una visita preliminar al área que será evaluada. Establecer los objetivos de la auditoría. Determinar los puntos que será evaluados en la auditoría. Elaborar planes, programas y presupuestos para realizar la auditoría. • Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría. • Asignar los recursos y sistemas computacionales par la auditoría

PROGRAMA DE TRABAJO DE AUDITORÍA ETAPA 2 : EJECUCIÓN DE LA AUDITORÍA • Realizar las acciones programadas para la auditoría. • Aplicar los instrumentos y herramientas para la auditoría. • Identificar y elaborar los documentos de desviaciones encontradas. • Elaborar el dictamen preliminar y presentarlo a discusión. • Integrar el legajo de papeles de trabajo de la auditoría. ETAPA 3 : DICTAMEN DE LA AUDITORÍA • Analizar la situación y elaborar un informe de situaciones detectadas. • Elaborar el dictamen final. • Presentar el informe de auditoría.

GUÍA DE AUDITORÍA Contiene una descripción detallada de todos y cada uno de los puntos importantes que se deben auditar, así como la forma de evaluarlos y la descripción de las técnicas, métodos y herramientas que deberá utilizar en dicha evaluación.

INVENTARI OS Sirven para contar los elementos que existen en el área que se va a evaluar; además, con la información que se obtiene se puede comparar lo que debería existir y lo que realmente existe de los elementos que se están inventariando.

INVENTARIOS Entre los principales inventarios en el área de sistemas se tiene: • Inventario de software • Inventario de hardware • Inventario de bases de datos e información de la empresa • Inventario de proyectos y desarrollos computacionales • Inventario de puestos de trabajo en el área de sistemas • Inventario de reportes y pruebas de resultados • Inventario de mobiliario y equipos • Inventario de instalaciones de voz, datos y energia • Inventario de instalaciones de redes • Inventario de manuales e instructivos • Inventario de respaldos y sistemas de resguardo de información • Inventario de consumibles

INVENTARIO DE SOFTWARE Es el inventario de los programas, lenguajes, paqueterías, sistemas operativos y cualquier otro software que se utilice en la institución para el procesamiento de la información y la operación de los sistemas.

RESPALDOS DE DATOS, INFORMACIÓN Y PROGRAMAS El auditor sólo utiliza la información que producen los sistemas, si ésta le es útil para evaluar algún aspecto relacionado con la revisión que está realizando, y casi nunca toma en cuenta las operaciones y actividades internas que realiza el sistema para arrojar esa información.

Entradas

Procesos

Salidas

RESPALDOS DE BASES DE DATOS E INFORMACIÓN DE LA EMPRESA El auditor debe evaluar los respaldos, la periodicidad con la que se llevan a cabo, el periodo de duración o actualización de la información respaldada, la confiabilidad del respaldo, la manera de evitar fugas de información, entre otros muchos aspectos.

RESPALDOS DE PROGRAMAS El auditor debe verificar que existan respaldos de los sistemas operativos, programas, paqueterías o sistemas realizados en la empresa, con el objeto de evaluar que dichos respaldos sean los adecuados en caso de ocurrir problemas en el sistema. Además, debe verificar que los respaldos esté perfectamente custodiados y que no existan mas copias de las permitidas, para evitar la fuga de información de la empresa y posterior piratería de programas

OTROS ANEXOS El auditor puede obtener otro tipo de información que puede llegar a ser útil para realizar la evaluación: • • • • • • • • • • • • •

Resultados del procesamiento de datos. Descripción de puestos, funciones y actividades. Resultados de pruebas y cálculos de procesamientos que se efectúan en el sistema. Copias de formatos y licencias de programas y paqueterías. Copias de resguardos de equipos y mobiliario Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas de información. Mapas de rutas de evacuación y seguridad del área de sistemas. Bitácoras de reportes y reportes de servicios de mantenimiento preventivo y correctivo. Resultados de inventarios y pruebas de la arquitectura de los sistemas. Resultados de diseños, análisis, codificación , pruebas y liberación de sistemas. Copias de programas fuente, objeto, y codificación de los sistemas desarrollados en la empresa. Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware, software, mobiliario y consumibles de sistemas. Diagramas de sistemas de programación y desarrollo de sistemas.

GUÍA DE MARCAS Y SEÑALES Son las marcas de carácter informal que utiliza el auditor o el grupo de auditores que realizan la auditoría, con el fin de facilitar la uniformidad de los papeles de trabajo e identificarlos mejor.

CUADROS ESTADÍSTICOS Y GRAFICAS PROGRAMA

2003

2004

2005

2006

2007

2008

INGENIERIA DE SISTEMAS

482

457

468

422

375

322

CONTADURIA PUBLICA

338

295

295

280

274

258

INGENIERIA FINANCIERA

242

231

211

210

203

234

INGENIERIA CIVIL

266

231

213

188

189

283

2

0

0

0

0

0

1330

1214

1187

1110

1041

1097

ADMINISTRACION DE EMPRESAS

TOTAL