RESUMEN CAPITULO VII

PAPELES DE TRABAJO PARA LA AUDITORIA DE SISTEMAS COMPUTACIONALES.

1. Legajo de Papeles de Trabajo:

Por su naturaleza y contenido es el aspecto fundamental para elaborar el dictamen de la auditoria y su uso es confidencial y exclusivo del auditor de sistemas.

2. Propuesta para integrar los papeles de trabajo:

Hoja de identificación Índice de los contenidos de los papeles de trabajo Dictamen preliminar (Borrador) Resumen de desviaciones detectadas Situaciones encontradas Programa de trabajo de auditoria Guía de auditoria Inventarios de software Inventario de hardware Inventario de consumibles Manual de organización Descripción de puestos Reportes de pruebas y resultados

3. Hoja de Identificación:

Es la parte frontal de los papeles de trabajo de la auditoria de sistemas computacionales, y es el primer documento formal que se identifica en dicho legajo.

4. La hoja de identificación debe de tener como mínimo los siguientes datos:

Empresa responsable de la auditoria Identificación del legajo de la empresa Periodo de evaluación Responsable de la integración externa la responsable de documentación Fecha de presentación del dictamen

5. Nombre de la empresa responsable de llevar a cabo la auditoria de sistemas:

En esta parte se anotara el logotipo y nombre de la institución, cuando es una empresa de auditoría realizar la auditoria de sistemas.

6. Identificación de los legajos de papeles de trabajo:

Aquí va el nombre genérico que se le da al documento y sirve para identificar que se trata de la concentración de los documentos que avalan la realización de la auditoria de sistemas.

7. Nombre de la empresa o área de sistemas auditadas:

En este lugar se anota el nombre completo de la empresa a la cual se practica la auditoria de sistemas, junto con el nombre del área de sistemas en donde ésta se lleva a cabo.

8. Periodo en que se realizo la auditoria:

En este lugar se anota la fecha de inicio de la auditoria desde que empezó la revisión y su terminación.

9. Puesto y cargo del responsable de realizar la auditoria:

Aquí se anoto del nombre completo del responsable de llevar a cabo la auditoria.

10. Fecha de emisión del dictamen final:

Es la fecha en la que se presenta por escrito el dictamen final de la auditoria.

11. Índice del contenido de los papeles de trabajo:

En esta parte se hace la descripción detallada y se pagina el contenido total de los papeles de trabajo con el propósito de identificar rápidamente la página en donde se encuentra cada una de las partes que integran este legajo de papeles.

12. Apartados para los documentos de trabajo:

HW: Para la documentación relacionada con el equipo físico, periféricos y demás equipos de sistemas.

SW: Para la documentación relacionada con el software y paqueterías.

SG: Para la documentación relacionada con la seguridad informática.

BD: Para la documentación relacionada con el análisis, diseño y desarrollo del sistema.

IS: Para la documentación relacionada con las instalaciones del área de sistemas.

CC: Para la documentación relacionada con el centro de computo.

CA: Para la documentación relacionada con la gestión administrativa del centro de computo.

CM: Para la documentación relacionada con los combustibles del área de sistemas.

13. Dictamen Preliminar:El auditor en esta parte de los papeles de trabajo presenta los manuscritos, y en ocasiones los borradores mecanografiados

14. Resumen de desviaciones detectadas: (Las más importantes).

El auditor deberá conservar en el legajo de papeles una copia de los documentos originales, y en algunos casos el borrador del manuscrito, de las desviaciones que considera como las más importantes encontradas durante la revisión, asi como sus causas y sus posibles soluciones.

15. Situaciones encontradas: (Situaciones, causas y soluciones).

Se presentan los manuscritos, y en ocasiones los borradores mecanografiados, de todas las situaciones detectadas durante la auditoria, separando en situaciones encontradas, las causas que las originan y las posibles soluciones.

16. Programa de trabajo de auditoría:

Es el documento formal (por escrito) de los planes, programas y presupuestos hechos para el control y desarrollo de la auditoria. Estos aspectos se deben señalar en forma cronológica, secuencial y correctamente coordinada.

17. Conceptos que el auditor debe contemplar como parte del programa de trabajo:

1ª. Etapa. Planeación de la auditoria de sistemas computacionales. 2ª. Etapa. Ejecución de la auditoria de sistemas computacionales. 3ª. Etapa. Dictamen de la auditoria de sistemas computacionales.

18. Etapa Planeación de la auditoria de sistemas computacionales:

1. Identificar el origen de la auditoria.

2. Realizar una visita preliminar al área que será evaluada.

3. Establecer los objetivos de la auditoria.

4. Determinar los puntos que serán evaluados en la auditoria.

5. Elaborar planes, programas y presupuestos para realizar la auditoria.

6. Identificar y seleccionar los métodos, instrumentos y procedimientos necesarios

para la auditoria.

7. Asignar los recursos y sistemas computacionales para la auditoria.

19. Etapa Ejecución de la auditoria de sistemas computacionales:

1. Realizar las acciones programadas para la auditoria.

2. Aplicar los instrumentos y herramientas para la auditoria

3. Identificar y elaborar los documentos de desviaciones encontradas

4. Elaborar el dictamen preliminar y presentarlo a discusión.

5. Integrar el legajo de papeles de trabajo de la auditoria.

20. Etapa. Dictamen de la auditoria de sistemas computacionales:

1. Analizar la información y elaborar un informe de situaciones detectadas

2. Elaborar el dictamen final.

3. Presentar el informe de la auditoria.

21. Guía de auditoría:

Es una herramienta auxiliar para el trabajo del auditor, debe tener una descripción detallada de todos y cada uno de los puntos importantes que se deben auditar.

22. Inventarios:

Le sirven al auditor para contar los elementos que existen en el área que va a evaluar. Con estos puede comparar lo que debería existir y lo que realmente existe de los elementos que se están inventariando.

23. Principales inventarios para el área de sistemas:

Inventario de software. Inventario de hardware. Inventario de base de datos e información de la empresa. Inventario de proyectos y desarrollos computacionales. Inventario de puestos de trabajo en el área de sistemas. Inventario de reportes de pruebas y resultados. Inventario de mobiliario y equipos. Inventario de instalaciones de voz, datos y energía. Inventario de instalaciones de redes. Inventario de manuales e instructivos. Inventario de respaldos, disquetes, cintas, y sistemas de resguardo de

información. Inventario de consumibles.

24. Inventario de software:

Es el inventario de los programas, lenguajes, paqueterías, sistemas operativos y cualquier otro software que se utilice en la institución para el procesamiento de la información y la operación de los sistemas.

25. Respaldo de datos (BACKUPS) información y programas de aplicación de auditoría:

Estos se pueden archivar en disquetes, cintas CD-ROMs, DVDs, o en algún otro medio electrónico de captura y lectura de datos.

26. Sistema computacional:

Es un sistema de entrada de datos, procesamiento de información y emisión de resultados, compuesto por un equipo físico (hardware) y los procesan en la (CPU) a través de sus software para emitir información útil para la empresa.

27. Los papeles de trabajo que contienen la información que se maneja en los sistemas se almacenan en dos dispositivos:

1. Respaldo de bases de datos e información de la empresa2. Respaldo de programas (copias de respaldos de programas)

28. Respaldo de bases de datos e información de la empresa:

Es el respaldo periódico de información que se hace a través de disquetes u otro medio, en los cuales se almacenan los datos de ejercicio, operación, o cualquier otra serie de datos que es importante conservar.

29. Respaldo de programas (copias de respaldo de programación).

De los sistemas operativos, programas, paqueterías o sistemas realizados en la empresa, con el objeto de evaluar que dichos respaldos sean los adecuados en casos de ocurrir problemas en el sistema.

29. Otros documentos que debe contener el legajo de papeles de trabajo de la auditoría:

Estadísticas y cuadros concentradores de información. Anexos de recopilación de información. Testimoniales, actas y documentos legales de comprobación y confirmación. Análisis estadístico de resultados, datos y pruebas de comportamiento del

sistema.

30. Estadísticas y cuadros concentradores de información:

Se refiere a todo lo relacionado con los cuadros estadísticos que utiliza el auditor para recabar y evaluar la información obtenida en la evaluación.

31. Anexos de recopilación de información:

Estos pueden ser los diagramas de los sistemas, la metodologías utilizadas para el análisis y diseño de los mismos, sus codificaciones, programas, objeto, fuente y todos los aspectos necesarios que estén relacionados con el desarrollo de los sistemas de la empresa.

32. A continuación se presentan algunos ejemplos de anexos:

Resultados del procesamiento de datos. Descripción de puestos, funciones y actividades. Resultados y pruebas de cálculos de procesamientos que se efectúan en el

sistema. Copias de formatos y licencias de programas y paqueterías. Copia de resguardo de equipo y mobiliario. Mapas de distribución de redes, instalaciones, equipos muebles y sistemas de

información. Mapas de rutas de evacuación y seguridad del área de sistemas. Bitácoras de reporte y servicios de mantenimiento preventivo y correctivo. Resultados de inventarios y pruebas de la arquitectura de los sistemas. Resultado de diseño, análisis, codificación pruebas y liberación de sistemas Copias de programas fuente, objetivos y codificación de los sistemas

desarrollados en la empresa. Resultados de cotizaciones y de estudios de mercado para adquisiciones de

hardware, software, mobiliario y consumibles de sistemas. Otros documentos útiles para el auditor.

32. Testimoniales, actas y documentos legales de comprobación y confirmación.

Estos documentos pueden ser de los más importantes de una auditoria de sistemas, debido a que son testimonio de empleados, usuarios, responsables o de personas que por algún motivo declararon algo relacionado con sistemas auditados o con alguna situación específica. Deben ser recabados con total formalidad.

33. Análisis estadístico de resultados, datos y pruebas de comportamiento del sistema.

Sirven como evidencia de las desviaciones encontradas, también pueden servir de referencia para futuras evaluaciones.

34. Otros documentos especializados de una auditoria de sistemas:

Se debe anexar la información (en papel o electrónicamente) relacionada con los reportes, análisis y resultados de pruebas, configuraciones y exámenes especializados del sistema computacional, instalaciones, el procesamiento de información o cualquier otra actividad informática.

35. Claves de auditor para marcar papeles de trabajo:

Son las marcas de carácter informal que utiliza exclusivamente el auditor o grupo de auditores que realizan la auditoría, con el fin de facilitar la uniformidad de los papeles de trabajo y para identificarlos mejor.

36. Cuadros, estadísticas y documentos concentradores de información:

Estos documentos son complemento de alguna revisión y sirven para identificar y comprobar desviaciones y situaciones, dichos documentos pueden ser: estadísticas, gráficas o cuadros con los cuales se comparan datos de actividades operacionales y tareas que se realizan con un sistema computacional.

37. Documentos que se deben considerar dentro de los cuadros, estadísticas y documentos concentradores de información:

Cuadro de concentración estadística. Cuadro de comparación de información. Graficas de cualquier tipo.

38. Cuadro de concentración estadística:

Es un cuadro (columnas y filas) en donde se anotan datos útiles tales como operaciones aritméticas, matemáticas y/o estadísticas que le darán algún significado a la evaluación.

39. Cuadro de comparación de información:

Es un cuadro de concentración estadística de datos, en el que se comparan los resultados contra parámetros normales previamente definidos; esta comparación nos dará un criterio de evaluación para esos rangos.

40. Gráficas de cualquier tipo:

Es la representación gráfica de la información que proporciona un valor significativo a los datos. El propósito de estas gráficas es representar los datos en forma visual.

41. Diagramas de sistemas:

Es la representación gráfica del procedimiento que se sigue para realizar una serie de operaciones y actividades debidamente coordinadas entre sí.

En el ambiente de sistemas, este diagrama es la representación gráfica de un procedimiento de sistematización, el cual ésta representado por líneas de flujo y símbolos que representan algún tipo de actividad, de documento o de un decisión.

42. Diagrama de flujo:

En este tipo de diagramas se señalan los procedimientos por medio de símbolos adoptados para ejemplificar el flujo que siguen los datos.

El uso de estos diagramas es una de las principales herramientas que utiliza un auditor para la evaluación de programas, base de datos, programación de sistemas y cualquier otro desarrollo de sistemas de la empresa, debido a que permite seguir perfectamente los datos.

Inicio

PasswordPass

Modulo Fin Pass=lock de nivel

Modulo Ingresa De acceso CLVUSR

Modulo Opciones

CLVUSR= AUTORI

Opción válida

Consulta datos

43. Diccionario de datos:

Es un documento importante para el auditor, ya que le ayuda a identificar el contenido y composición de las bases de datos, su forma, el tamaño de los archivos, el número de dígitos por cada registro que ingresa a la computadora y demás características que componen una base de datos.

44. Modelos:

Ayudan al auditor a representar la realidad de lo que va a evaluar, es la representación gráfica o a escala de una cosa, idea, o de la realidad. Para el caso concreto de los sistemas representa la abstracción gráfica de la realidad que el analista o programador conceptualiza para plasmarla en un documento.