jueves, 30 de junio de 2011
Saludos
Les invitamos a recorrer nuestro blog de Auditoria de Sistemas.espero les guste
Adelante,
viernes, 24 de junio de 2011
Conocimientos generales - Las Pruebas en una auditoria.
LAS PRUEBAS:
La evidencia que necesita el auditor para considerar válido y sustantivo su examen se obtiene por medio de una serie de pruebas que han denominado sustantivas. Las pruebas sustantivas intentan dar validez y fiabilidad a toda la información que generan los sistemas contables y en concreto la exactitud monetaria de las cantidades reflejadas en los estados financieros.
Estas pruebas sustantivas se orientan a obtener evidencia de la siguiente manera:
Evidencia física. Permite identificar la existencia física de activos (dinero, efectos por cobrar, existencias, inmovilizados, etc.), cuantificar las unidades en poder de la empresa y especificar la calidad de los activos.
Evidencia documental. La verificación de documentos (facturas, nóminas, contratos, talones, etc.) ha ido decreciendo en importancia.
Evidencia por medio de registros contables. Los registros contables constituyen una evidencia válida e importante, resumen todo el proceso de contabilización de las operaciones realizadas por la compañía. Son elementos imprescindibles para la preparación de los estados financieros.
Evidencia por medio de comparaciones y ratios. La comparación de las cantidades indicadas por las cuentas de Activo, Pasivo, Ingresos y Gastos a una fecha determinada con los saldos correspondientes al período o períodos precedentes, es un medio sencillo para localizar cambios significativos que deberán ser explicados al auditor. No son evidencias por sí mismas; mediante comparaciones y ratios puedo investigar cosas.
Evidencia por medio de cálculos. Consiste en realizar cálculos y pruebas para verificar la precisión aritmética de saldos, registros y documentos.
Evidencia verbal. Por medio de preguntas a empleados y ejecutivos el auditor obtendrá evidencia verbal de múltiples hechos y acontecimientos para descubrir situaciones concretas que requieren investigación posterior por otros medios y confiar resultados ya obtenidos por otros tipos de evidencia.
El control interno como evidencia. Pruebas de cumplimiento del sistema de control interno.
Si el auditor considera que el sistema de control interno no le ofrece garantías, porque no existen controles esenciales o porque, aunque existen en teoría, no funcionan en la realidad, se verá obligado a enfocar todo su trabajo mediante la aplicación de pruebas sustantivas que le permitan obtener evidencias de las características indicadas anteriormente. De ahí la gran importancia que tiene el estudio y evaluación preliminar del sistema de control interno y la corroboración posterior de su funcionamiento.
A las pruebas llevadas a cabo para comprobar que el sistema de control interno funciona correctamente se las denomina pruebas de cumplimiento del sistema.
Conocimientos generales - Auditoria de Informática.
Plan de Auditoria:
Preliminares: Específicas:
- Conocimientos del área - Objetivos (general y específico)
- Principios, actividades, operaciones. - Alcance del proyecto
- Políticas y prácticas - Calificación de riesgo (control, auditoria, inherente)
- Diagrama (estructura) - Programa de auditoria (procedimiento de auditoria)
- Comprensión de la complejidad - Requisitos de recursos (personal, equipo)
- Documentación - TAAC's (Técnicas de auditoria asistidas por
computadora.
Evaluación de control interno.
COBIT 4.0 - p06
p-06 comunican objetivos de dirección y dirección.
El propósito de está auditoria es evaluar el objetivo de control, comunicar las aspiraciones y la dirección de la gerencia dentro de la empresa DayTec; Se busca conocer las políticas de comunicación de TI las cuales deben ser conocidas por el personal de la empresa DayTec, para así detectar si se está cumpliendo con las políticas y si se están comunicando oportunamente a los usuarios, esto se debe hacer mediante frecuentes revisiones por la dirección de alto nivel.
La dirección debe elaborar un marco de trabajo de control empresarial para TI y definir y comunicar las políticas. Un programa de comunicación continua se debe implantar para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc.
Para enfocarse en proporcionar procedimientos, directrices, políticas y otra documentación apropiada, entendibles y aprobadas para los stakeholders, colocando en un marco de ambiente de control.
Es alcanzado por:
- La definición de un marco de trabajo de control para TI
- La elaboración e implantación de políticas para TI
- El número de interrupciones de negocio debido a interrupciones en servicios de TI
- El porcentaje de interesados que entienden el marco empresarial de control IT
- Porcentaje de interesados que no están conformes con las políticas
Focos de gobierno IT:
Primaria: alineación estratégica y administración de riesgos.
Recursos de TI implicados:
Información.
Personas.
Objetivos de control detallado
P-O6.1 Ambiente de políticas y de control: Definir los elementos de un ambiente de control para TI, alineados con la filosofía administrativa y el estilo operativo de la empresa. Estos elementos incluyen las expectativas / requerimientos respecto a la entrega de valor proveniente de las inversiones en TI, el apetito de riesgo, la integridad, los valores éticos, la competencia del personal, la rendición de cuentas y la responsabilidad. El ambiente de control se basa en una cultura que apoya la entrega de valor, mientras que al mismo tiempo administra riesgos significativos, fomenta la colaboración inter-divisional y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada.
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI:
PO6.3 Administración de políticas para TI: Elaborar y dar mantenimiento a un
PO6.4 Implantación de políticas de TI: Asegurarse de que las políticas de TI se
Responsabilidad de la Dirección en cuanto a Políticas.
- Cumplimiento de políticas, procedimientos y Estándares
- Compromiso de calidad.
- política sobore el marco de referencia para la seguridad y el control interno
- Derechos de la propiedad intelectual.
- Políticas pa asituaciones específicas.
- Comunicación para la concientización sobre seguridad de las TI
- Recursos
- Director General
- Director de operaciones
- Director de Finanzas
- Director de las TI,
- Responsable de seguridad
- Miembros del comité de planificación de recursos de información
- Miembros de comité
Editado por María.
El propósito de está auditoria es evaluar el objetivo de control, comunicar las aspiraciones y la dirección de la gerencia dentro de la empresa DayTec; Se busca conocer las políticas de comunicación de TI las cuales deben ser conocidas por el personal de la empresa DayTec, para así detectar si se está cumpliendo con las políticas y si se están comunicando oportunamente a los usuarios, esto se debe hacer mediante frecuentes revisiones por la dirección de alto nivel.
La dirección debe elaborar un marco de trabajo de control empresarial para TI y definir y comunicar las políticas. Un programa de comunicación continua se debe implantar para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc.
Para enfocarse en proporcionar procedimientos, directrices, políticas y otra documentación apropiada, entendibles y aprobadas para los stakeholders, colocando en un marco de ambiente de control.
Es alcanzado por:
- La definición de un marco de trabajo de control para TI
- La elaboración e implantación de políticas para TI
- El número de interrupciones de negocio debido a interrupciones en servicios de TI
- El porcentaje de interesados que entienden el marco empresarial de control IT
- Porcentaje de interesados que no están conformes con las políticas
Focos de gobierno IT:
Primaria: alineación estratégica y administración de riesgos.
Recursos de TI implicados:
Información.
Personas.
Objetivos de control detallado
P-O6.1 Ambiente de políticas y de control: Definir los elementos de un ambiente de control para TI, alineados con la filosofía administrativa y el estilo operativo de la empresa. Estos elementos incluyen las expectativas / requerimientos respecto a la entrega de valor proveniente de las inversiones en TI, el apetito de riesgo, la integridad, los valores éticos, la competencia del personal, la rendición de cuentas y la responsabilidad. El ambiente de control se basa en una cultura que apoya la entrega de valor, mientras que al mismo tiempo administra riesgos significativos, fomenta la colaboración inter-divisional y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada.
Elaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque empresarial general hacia los riesgos y hacia el control interno para entregar valor mientras al mismo tiempo se protegen los recursos y sistemas de TI. El marco de trabajo debe estar integrado por el marco de procesos de TI y el sistema de administración de calidad, y debe cumplir los objetivos generales de la empresa. Debe tener como meta maximizar el éxito de la entrega de valor mientras minimiza los riesgos para los activos de información por medio de medidas preventivas, la identificación oportuna de irregularidades, la limitación de pérdidas y la oportuna recuperación de activos del negocio.
PO6.3 Administración de políticas para TI: Elaborar y dar mantenimiento a un
conjunto de políticas que apoyen la estrategia de TI. Estas políticas deben incluir la intención de las políticas, roles y responsabilidades, procesos de excepción, enfoque de cumplimiento y referencias a procedimientos, estándares y directrices. Las políticas deben incluir tópicos clave como calidad, seguridad, confidencialidad, controles internos y propiedad intelectual. Su relevancia se debe confirmar y aprobar de forma regular.
implantan y se comunican a todo el personal relevante, y se refuerzan, de tal forma que estén incluidas y sean parte integral de las operaciones empresariales. Los métodos de implantación deben resolver necesidades e implicaciones de recursos y concientización.
PO6.5 Comunicación de los objetivos y la dirección de TI: Asegurarse de que
la conciencia y el entendimiento de los objetivos y la dirección del negocio y de TI se comunican a toda la organización. La información comunicada debe abarcar una misión claramente articulada, los objetivos de servicio, la seguridad, los controles internos, la calidad, el código de ética y conducta, políticas y procedimientos, etc., y se deben incluir dentro de un programa de comunicación continua, apoyado por la alta dirección con acciones y palabras. La dirección debe dar especial atención a comunicar la conciencia sobre la seguridad de TI y el mensaje de que la seguridad de TI es responsabilidad de todos. Entorno Positivo de Control de la Información.
Responsabilidad de la Dirección en cuanto a Políticas.
- Comunicación de las políticas de la organización
- Recursos para la implementación de las políticas.
- Mantenimiento de las políticas.- Recursos para la implementación de las políticas.
- Cumplimiento de políticas, procedimientos y Estándares
- Compromiso de calidad.
- política sobore el marco de referencia para la seguridad y el control interno
- Derechos de la propiedad intelectual.
- Políticas pa asituaciones específicas.
- Comunicación para la concientización sobre seguridad de las TI
- Recursos
- Director General
- Director de operaciones
- Director de Finanzas
- Director de las TI,
- Responsable de seguridad
- Miembros del comité de planificación de recursos de información
- Miembros de comité
Editado por María.
jueves, 23 de junio de 2011
COBIT 4.0
A17. INSTALAN Y ACREDITAN SOLUCIONES Y CAMBIOS.
Áreas de TI (tecnologías de Informática) relacionadas con el proceso.
- Sistemas de Información
- Hardward
- Software
- Redes Locales
- Telecomunicaciones
- Ciclo de desarrollo e implantación de sistemas de Información.
Puntos que se deben tomr en cuenta:
Áreas de TI (tecnologías de Informática) relacionadas con el proceso.
- Sistemas de Información
- Hardward
- Software
- Redes Locales
- Telecomunicaciones
- Ciclo de desarrollo e implantación de sistemas de Información.
Puntos que se deben tomr en cuenta:
Al poner en práctica este punto de "se instalan y acreditan soluciones y cambios", es recomendable tomar en cuenta algunos temas que son;
Realizar un plan de prueba, tomando en cuenta los estándares de la organización en donde se definen roles y responsabilidades enfocándose en conseguir la efectividad del sistema instalado y que los procesos no tengan ningún error; para lo cual se considera la preparación de pruebas, requerimiento de entrenamientos, instalación o actualización de un ambiente de pruebas, obten uno manejo de correlación de errores y por último la aprobación final.
Contar con una persona experta en la materia: La organizacón, una vez puesto en práctica el plan de prueba, debe contar con una persona con plenos conocimientos en la materia.
Para que se tenga un sistema funcionando al 100% se necesita contar con un experto referente al nuevo sistema, con esto se realizará una capacitación para entrenar a los usuarios y para que conozcan, se familiaricen y puedan aprovechar al máximo el rendimiento del nuevo sistema; todo de acuerdo con el plan de entrenamiento e implantación. Si esto no se realiza, por más bueno que sea el sistema, será poco o nada útil para la organización.
Llevar un control de los cambios realizados: Se recomienda que se prueben los cambios de acuerdo con el plan de aceptación definido y en un ambiente de prueba separado para cambios, los controles de seguridad se necesitan probar y evaluar antes de la liberación del mismo, de manera que se pueda certificar la efectividad de la seguridad. También es importante realizar un respaldo de la información antes de hacer tales cambios, por si ocurriese una falla imprevista.
preparado por Eloisa.
miércoles, 22 de junio de 2011
EJEMPLO DE UN CKECK LIST
1-Ejemplo de chesk list.
Check list de Apertura y Cierre de un restaurante:
*ACTIVIDAD / RESPONSABLE
08:00 a.m. La persona encargada abre el local y el personal de limpieza inicia su labor.
* APERTURA-Controlar que toda el área exterior e interior del restaurante esté en perfecto estado y limpia.
-Verificar buen funcionamiento de todas las instalaciones en general (gas, luz, agua, refrigeradores, congeladores etc.)
-Prender los equipos necesarios para la operación.
-Formatear terminales P.O.S.
-Revisar la bitácora del día anterior.
-Revisar libro de reservaciones y hoja de eventos.
-Franelógrafos y/o letreros informativos.
-Verificar con las anfitrionas o mesoneros la condición adecuada de los menús (60 piezas)
-Cartas de vino y bebidas en buen estado (15 cartas)
*PRESENTACION DEL PERSONAL
-Uniforme en perfecto estado.
-Distintivo al lado izquierdo, a la altura del corazón.
-Escrupulosa higiene y limpieza personal.
-Equipo necesario de trabajo: bolígrafo, sacacorchos, encendedor, recogedor de migajas, paño de limpieza.
MICE EN PLACE
-Juegos de mantelería
-Servilletas
-Centros de mesa
-Flores
-Ceniceros
-Vajilla
-Cristalería y loza
-Cubertería (Plaqué: Cucharas, cuchillería, tenedores etc.)
-Servicio de café (Tazas y platos cafeteros, azúcar dieta y normal, crema, leche)
CIERRE
Llenado de bitácora apuntando pormenores del Restaurante y/o pendientes.
-Se debe dejar el Restaurante perfectamente alineado y limpio para el día siguiente.
-Controlar el perfecto estado de todas las instalaciones. En caso de haber algún desperfecto, registrarlo en la bitácora.
-Verificar que el Restaurante este totalmente vacío.
-Apagar todos los equipos y luces (Excepto las de seguridad)
-Cerrar. Verificar los cierres.
-3:00 a.m. La persona encargada de la vigilancia, asume su labor y permanece en el local hasta la llegada de la persona encargada de la limpieza, a las 08:00 a.m.
-Conectar alarmas y dispositivos de seguridad.
*ACTIVIDAD / RESPONSABLE
08:00 a.m. La persona encargada abre el local y el personal de limpieza inicia su labor.
* APERTURA-Controlar que toda el área exterior e interior del restaurante esté en perfecto estado y limpia.
-Verificar buen funcionamiento de todas las instalaciones en general (gas, luz, agua, refrigeradores, congeladores etc.)
-Prender los equipos necesarios para la operación.
-Formatear terminales P.O.S.
-Revisar la bitácora del día anterior.
-Revisar libro de reservaciones y hoja de eventos.
-Franelógrafos y/o letreros informativos.
-Verificar con las anfitrionas o mesoneros la condición adecuada de los menús (60 piezas)
-Cartas de vino y bebidas en buen estado (15 cartas)
*PRESENTACION DEL PERSONAL
-Uniforme en perfecto estado.
-Distintivo al lado izquierdo, a la altura del corazón.
-Escrupulosa higiene y limpieza personal.
-Equipo necesario de trabajo: bolígrafo, sacacorchos, encendedor, recogedor de migajas, paño de limpieza.
MICE EN PLACE
-Juegos de mantelería
-Servilletas
-Centros de mesa
-Flores
-Ceniceros
-Vajilla
-Cristalería y loza
-Cubertería (Plaqué: Cucharas, cuchillería, tenedores etc.)
-Servicio de café (Tazas y platos cafeteros, azúcar dieta y normal, crema, leche)
CIERRE
Llenado de bitácora apuntando pormenores del Restaurante y/o pendientes.
-Se debe dejar el Restaurante perfectamente alineado y limpio para el día siguiente.
-Controlar el perfecto estado de todas las instalaciones. En caso de haber algún desperfecto, registrarlo en la bitácora.
-Verificar que el Restaurante este totalmente vacío.
-Apagar todos los equipos y luces (Excepto las de seguridad)
-Cerrar. Verificar los cierres.
-3:00 a.m. La persona encargada de la vigilancia, asume su labor y permanece en el local hasta la llegada de la persona encargada de la limpieza, a las 08:00 a.m.
-Conectar alarmas y dispositivos de seguridad.
lunes, 20 de junio de 2011
Fundamentos de Auditoria
Definición de Auditoria.
La auditoria es un proceso sistemático realizado por una persona calificada, en este caso un auditor, a fin de obtener todo tipo de información la cual será revisada, evaluada y verificada para luego rendir un informe detallado de todos los movimientos realizados dentro de la empresa y de esta manera determinar que todos sus movimientos financieros esten en regla y de acuerdo a las normas establecidas.
Una vez preparado este informe, el mismo se presenta a la (s) persona (s) interesadas, realizando las debidas recomendaciones a cualquier anomalia encontrada dentro de la organización.
La auditoria informática.
La Auditoría Informática la podemos definir como el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático a fin de constatar si las actividades que se realizan dentro del mismo, son correctas y de acuerdo a las normativas informáticas y generales prefijadas en la organización; en otras palabras, podemos decir que la Auditoría en Informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos, su utilización, eficiencia y seguridad, referente a la organización que participan en el proceso de la auditoria, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones en un momento determinado y en el lugar indicado.
Por otro lado, la auditoría es el examen crítico y sistemático que hace un Contador Público para evaluar el sistema de procesamiento electrónico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo más selectivo y de mayor penetración sobre las actividades y procedimientos que involucran un gran número de transacciones realizadas dentro del lugar o el área a auditar.
La auditoria es un proceso sistemático realizado por una persona calificada, en este caso un auditor, a fin de obtener todo tipo de información la cual será revisada, evaluada y verificada para luego rendir un informe detallado de todos los movimientos realizados dentro de la empresa y de esta manera determinar que todos sus movimientos financieros esten en regla y de acuerdo a las normas establecidas.
Una vez preparado este informe, el mismo se presenta a la (s) persona (s) interesadas, realizando las debidas recomendaciones a cualquier anomalia encontrada dentro de la organización.
La auditoria informática.
La Auditoría Informática la podemos definir como el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático a fin de constatar si las actividades que se realizan dentro del mismo, son correctas y de acuerdo a las normativas informáticas y generales prefijadas en la organización; en otras palabras, podemos decir que la Auditoría en Informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos, su utilización, eficiencia y seguridad, referente a la organización que participan en el proceso de la auditoria, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones en un momento determinado y en el lugar indicado.
Por otro lado, la auditoría es el examen crítico y sistemático que hace un Contador Público para evaluar el sistema de procesamiento electrónico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo más selectivo y de mayor penetración sobre las actividades y procedimientos que involucran un gran número de transacciones realizadas dentro del lugar o el área a auditar.
La Auditoría Informática debe comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además ha de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
Todo esto es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los mismos sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.
viernes, 10 de junio de 2011
Qué es un Check list?
Un Check list es un listado de los procedimientos que vamos a utilizar para realizar una tarea y de esta manera lograr un objetivo. En el caso de realizar una auditoria, vendría siento un listado de las labores o áreas que vamos a auditar y una vez hecho nuestro check list, empezaremos paso a pasos a realizar nuestro trabajo y de esta manera guiarnos para lograr nuestra tarea en forma exitosa y de esta manera nos aseguramos de que no quede ningun punto por fuera.
Cabe destacar, que los pasos no es necesario seguirlos estrictamente como se han listado ya que se puede agregar o eliminar según sea el caso o simplemente, si pusimos en nuestro listado, empezar por la derecha y al momento de estar trabajando vemos que es más confiable empezar por la izquierda, podemos hacerlo; ya que el check list. solo nos va a servir de guia al momento de realizar nuestra labor.
Es muy utilizado en el aseguramiento de la calidad en ingeniería de software, para comprobar la conformidad de procesos, estandarización de código, prevención de errores y otros.
Cabe destacar, que los pasos no es necesario seguirlos estrictamente como se han listado ya que se puede agregar o eliminar según sea el caso o simplemente, si pusimos en nuestro listado, empezar por la derecha y al momento de estar trabajando vemos que es más confiable empezar por la izquierda, podemos hacerlo; ya que el check list. solo nos va a servir de guia al momento de realizar nuestra labor.
Es muy utilizado en el aseguramiento de la calidad en ingeniería de software, para comprobar la conformidad de procesos, estandarización de código, prevención de errores y otros.
Suscribirse a:
Entradas (Atom)