Papeles de Trabajo Jorge Fernando Cruz
Papeles de trabajo
Son un conjunto de documentos preparados por le auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.
Papeles de trabajo Al realizar una auditoría el AUDITOR tiene que recopilar los datos obtenidos y registrarlos formalmente en docu do cume ment ntos os;; es esto toss do docu cume ment ntos os pu pued eden en se ser: r: •
•
•
•
•
•
•
Manuales Instructivos Gráficas, Resultados de procedimientos Concentradores de BD Respaldos (backups) Medios Escritos
Papeles de trabajo Recopilación •
•
•
•
•
Hechos Pruebas Tabulaciones Interpretaciones Análisis de los datos obtenidos
Papeles de trabajo Los PT proporcionan un orden adecuado al trabajo del auditor y le sirven como soporte documental para registrar y mostrar las evidencias: •
•
•
•
•
•
•
Entrevistas Cuestionarios Pruebas Encuestas Investigaciones Observaciones Opiniones
Objetivos de los papeles de trabajo Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo. Presentar informes a las partes interesadas. Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente .
Contenidos del legado de papeles de trabajo
•
•
•
•
•
•
•
Hoja de identificación Índice de contenidos de los PT Dictamen preliminar Resumen de desviaciones detectadas Situaciones encontradas Programa de trabajo de auditoría Guía de auditoría
Contenidos del legado de papeles de trabajo
•
•
•
•
•
•
Inventario de Software Inventario de hardware Manual de organización Descripción de puestos Reportes de pruebas y resultados Respaldo de datos y programas de aplicación de auditoría
Contenidos del legado de papeles de trabajo
•
•
•
•
•
Respaldo de las bases de datos y de los sistemas Guías de claves para el señalamiento de los papeles de trabajo Cuadros y estadísticas concentradores de información. Anexos de recopilación de información Diagramas de flujo, de programación y de desarrollo de sistemas
Contenidos del legado de papeles de trabajo
•
•
Testimonios, actas y documentos legales de comprobación y confirmación Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema
Claves de auditor para marcar papeles de trabajo Son las marcas de carácter informal que utiliza exclusivamente el auditor o el grupo de auditores. No existe algún convenio formal respecto al tipo de marcas utilizadas entre un auditor y otro, sino que su diseño y uso es producto de las experiencias de auditorías anteriores compartidas entre los auditores
Hoja de identificación
Empresa responsable de la auditoría Identificación del legado y la empresa Período de evaluación Responsable de la integración documentación
Índice de contenidos HW
PARA LA DOCUMENTACION RELACIONADA CON EL EQUIPO FISICO, PERIFERICOS Y DEMAS EQUIPOS DE SISTEMAS
SW
PARA LA DOCUMENTACION RELACIONADA CON EL SOFTWARE Y PAQUETERIAS
SG BD
PARA LA DOCUMENTACION RELACIONADA CON LA SEGURIDAD INFORMATICA PARA LOS DOCUMENTACION RELACIONADA CON LAS BASES DE DATOS, INFORMACION Y DEMAS ARCHIVOS DE DATOS PARA LA DOCUMENTACION RELACIONADA CON EL ANALISIS, DISEÑO Y DESARROLLO DE SISTEMA. PARA LA DOCUMENTACION RELACIONADA CON LAS INSTALACIONES DEL AREA DE SISTEMAS PARA LA DOCUMENTACION RELACIONADA CON EL CENTRO DE COMPUTO. PARA LA DOCUMENTACION RELACIONADA CON LA GESTION ADMINISTRATIVA DEL
DS IS CC CA
Dictamen Preliminar
El dictamen pr eliminar es un borrador que contiene un r esultado
preparatori o de la evaluaci ón del área de informáti ca, del sis tema auditado, de la funci ón específica de dicha área o de cualqui er
otro aspecto relacionado con los temas de la insti tuci ón. Este docum ento es un bosqu ejo en el cual se indi can las desviacion es encontr adas y el llamado dictamen qu e hace el
auditor de lo que encont ró durante su revisión.
Resumen de desviaciones detectadas
Situaciones detectadas
Programa del trabajo de auditoría
Etapas Planeación Ejecución Dictamen
Programa del trabajo de auditoría Etapa 1: Planeación de la Auditoría • • • • •
•
•
Identificar el origen de la auditoría Realizar una visita preliminar al área que será evaluada Establecer los objetivos de la auditoría Determinar los puntos que será evaluados en la auditoría Elaborar planes, programas y presupuestos para realizar la auditoría. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría. Asignar los recursos y sistemas computacionales por la auditoría
Programa del trabajo de auditoría Etapa 2: Ejecución de la Auditoría • •
•
•
•
Realizar las acciones programadas para la auditoría. Aplicar los instrumentos y herramientas para la auditoría. Identificar y elaborar los documentos de desviaciones encontradas. Elaborar el dictamen preliminar y presentarlo a discusión. Integrar el legajo de papeles de trabajo de la auditoría.
Programa del trabajo de auditoría Etapa 3: Dictamen de la Auditoría •
• •
Analizar la situación y elaborar un informe de situaciones detectadas. Elaborar el dictamen final. Presentar el informe de auditoría
Guía de Auditoría
Inventarios
• • • • • • • • • • •
software hardware bases de datos e información de la empresa proyectos y desarrollos computacionales puestos de trabajo en el área de sistemas reportes y pruebas de resultados mobiliario y equipos instalaciones de voz, datos y energia instalaciones de redes manuales e instructivos respaldos y sistemas de resguardo de información consumibles
Inventarios
Inventarios
Esquema de inventario de Software
Inventario de Software
Software para inventarios
AIDA64 Programa que nos permite obtener las características técnicas del hardware de una computadora
Software para inventarios
Total Network Inventory Total Network Inventory interroga a todos los ordenadores y portátiles en red y genera una completa información sobre el sistema operativo. Service Pack, compilación, dispositivos, software, procesos ejecutados y más, en los equipos remotos
Respaldo de datos, información y programas
Ingresos
Procesos
Salidas
Respaldo de base de datos e información de la empresa
Respaldo de base de datos e información de la empresa
Respaldo de programas
Debe verificar que los respaldos esté perfectamente custodiados y que no existan mas copias de las permitidas, para evitar la fuga de información de la empresa y posterior piratería de programas
Otros Anexos Anexos • • •
•
• •
Resultados del procesamiento de datos. Descripción de puestos, funciones y actividades. Resultados de pruebas y cálculos de procesamientos que se efectúan en el sistema. Copias de formatos y licencias de programas y paqueterías. Copias de resguardos de equipos y mobiliario Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas de información.
Otros Anexos Anexos • •
•
•
•
•
Mapas de rutas de evacuación y seguridad del área de sistemas. Bitácoras de reportes y reportes de servicios de mantenimiento preventivo y correctivo. Resultados de inventarios y pruebas de la arquitectura de los sistemas. Resultados de diseños, análisis, codificación , pruebas y liberación de sistemas. Copias de programas fuente, objeto, y codificación de los sistemas desarrollados en la empresa. Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware, software, mobiliario y consumibles de sistemas. Diagramas de sistemas de programación y desarrollo de sistemas
Guía de marcas y señales
Cuadros estadísticos y gráficos
Estos documentos son complemento de alguna revisión y sirven para identificar y comprobar desviaciones y situaciones.
Diagramas de Sistemas Es la representación gráfica del procedimiento que se sigue para realizar una serie de operaciones
•
•
•
Diagrama de flujo: Ejemplifica el flujo que siguen los datos mediante símbolos Diccionario de datos: Identifica el contenido y composición de las bases de datos. Modelos: Ayudan al auditor a representar la realidad de lo que va a evaluar.
El plan del auditor informático
El plan del auditor informáticos
Consiste en definir un conjunto de proyectos de evaluación y verificación de políticas, controles y procedimientos de la empresa que se encuentran relacionados con los recursos informáticos. Es el esquema metodológico más importante del auditor informático
Objetivos del plan auditor informático
Es brindar a los responsables de dichas áreas un camino estructurado por el que obtengan los resultados esperados por la empresa, siguiendo un plan. El plan auditor describe todo el trabajo que realiza desde el inicio de la auditoría informática, ya sea por auditor interno o externo, hasta la entrega del informe final y la manera de alcanzarlos
Consideraciones para el plan de la auditoría informática Elaboración de una matriz de riesgos. Elaboración de un plan consolidado de proyectos. Presentación del plan de proyectos Clasificación de riesgos. Revisión de la matriz de riesgos y del pronóstico de proyectos. Debilidades que pueden motivar la auditoría de un sistema de información