AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO

Cristo Ramn Pantoja Algarn

DIURNO: crpantoja@yahoo.es

NOCTURNO: cp.udc8@yahoo.es

AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO

OBJETIVOS

Realizar la auditora a la medida de la empresa

Metodologa: Anlisis de riesgos

ROA: Riesg Oriented Auditing Enfoque de auditora integral

Auditor como asesor Grupo de trabajo interdisciplinario

CONCEPTO
Una aplicacin o software aplicativo es un programa de computador que realiza tareas especficas.

Son aplicaciones en funcionamiento aquellas que se encuentran en produccin/utilizados en el procesamiento de las operaciones en un ente econmico.

PASOS
1. Seleccin de la aplicacin

2. Planeacin del auditaje

3. Reunin con el auditado 4. Evaluacin del control interno 5. Definicin del plan de pruebas 6. Ejecucin de las pruebas

7. Evaluacin final
8. Elaboracin de recomendaciones 9. Reunin con el auditado

10. Informe

METODOLOGIA:
ANALISIS DE RIESGOS

1. Seleccin de reas de mayor riesgo

2. Elaborando el plan para auditar por prioridad 3. Examinando riesgos ms crticos 4. Limitando intervencin

PRINCIPALES PAPELES DE TRABAJO

1. Inventario de aplicaciones
2. Conceptos/comparacin 3. Matriz de aplicaciones/riesgos

4. Inventario de operaciones en la aplicacin

5. Segmentacin 6. Aplicacin/rea 7. Matriz de anlisis 8. Descomposicin del riesgo

9. Cdulas o tablas de calificaciones

IDENTIFICACION DE LA ENTIDAD
INVENTARIO DE APLIACIONES 1 Cuentas corrientes 2 Nmina 3 Cartera 4 Proyectos . . 15 Presupuesto

IDENTIFICACION DE LA ENTIDAD
CONCEPTOS/COMPARACION MATERIALIDAD Objeto social Volumen de operaciones mensuales Nmero de oficinas que atiende 100 50 60

Materialidad: Consiste en definir los temas importantes para los objetivos del ente auditado en relacin con las aplicaciones.

CALIFICACION
Para calificar la relacin que tienen las aplicaciones con el objeto social se asignan valores del 1 al 10, segn sea dicha relacin, como sigue:
Alta relacin = 10 Media relacin = 5 Baja relacin = 1

CALIFICACION
De igual manera, se elabora una tabla para calificar la relacin de las aplicaciones con el volumen de operaciones que manejan, as:
De 1 a 20 = 1 De 21 a 50 = 4 De 51 a 100 = 7 Ms de 100 = 10

Esta tabla se puede utilizar para el concepto nmero de oficinas que atiende.
A continuacin, hacemos un PT: Matriz de aplicaciones/riesgos.

IDENTIFICACION DE LA ENTIDAD
A p 1 A p 2 A p 3

MATRIZ DE APLICACIONES/RIESGOS Objeto social 100

Volumen de operaciones
Nmero oficinas que atiende Totales

50
60

Ap1 = Cuentas corrientes Ap2 = Nmina Ap3 = Cartera

INVENTARIO DE OPERACIONES
Hacemos un P/T con el inventario de operaciones que tiene la aplicacin. La relacin de operaciones se toma del manual de usuarios/procedimientos. Si no existe un manual, comenzamos a negociar: Quin responde por el manual? Cmo se va a hacer? Cundo se tendr? Identificamos la operacin con los usuarios y la sometemos a anlisis.

IDENTIFICACION DE LA ENTIDAD
INVENTARIO DE OPERACIONES DE LA APLICACION

CUENTAS CORRIENTES

PASOS
Apertura Consignacin Retiros Liq. intereses Primer paso: Inventario de operaciones. Segundo: Segmentacin de dichas operaciones.
Solicitud apertura, diligencia datos, aprobacin.

IDENTIFICACION DE LA ENTIDAD
APERTURA CUENTA CORRIENTE SEGMENTACION Entrega de solicitud FRONTERAS El cliente entrega la forma X25

Soporta con fotocopia de la cdula

Promotor revisa Firma todos los documentos

SEGMENTACION
Se segmentan las operaciones de la aplicacin por reas, de acuerdo con los procesos normales que se dan, con la finalidad de identificar los riesgos en cada paso. Ej.: Origen y preparacin de datos Entrada de datos Procesamiento y actualizacin Salida de informacin

Por cada proceso se hace un P/T.

FUNCIONES DE PROCESAMIENTO
Controles de aplicacin
E N T R A D A DATA PREPARATION DATA CAPTURE DATA ENTRY

DATA VALIDATION DATA COLLECTION DATA RECORDING

S A L I D A

P R O C E S O

DATA SORTING
DATA PROCESSING DATA POSTING

DATA STORING

DATA DISTRIBUTION DATA USING DATA DESTRUCTION DATA RETENTION

DATA CONSULTING

IDENTIFICACION DE LA ENTIDAD
APLICACION: CUENTAS CORRIENTES AREA: ORIGEN Y PREPARACION DE DATOS
El cliente llena la forma de solicitud Revisan documentos Enva relacin DEFINIR Formas que intervienen: X25 Condiciones: Deben entregar a X funcionario. Controles: Prenumerado.

APLICACION/AREA
En cada rea se definen los riesgos que se estn presentado: se hace una relacin de riesgos. Los riesgos se identifican en presencia del usuario, quien conoce los problemas que tiene la aplicacin. Para simplificar, se seleccionan los riesgos ms importantes, comparndolos por parejas, eliminando los menos importantes de cada pareja. Relacionamos los que queden, comenzando por los ms importantes. Con los riesgos ms importantes se elabora un P/T matriz de anlisis.

RELACION DE RIESGOS
E n t r a d a de
d a t o s

1. Ingreso de datos no autorizados 2. Omisin de datos

3. Registro de datos no oportuno

4. Errores en la grabacin 5. Errores en la actualizacin

6. Correccin no oportuna de errores

7. Validacin deficiente 8. Responsabilidad en el manejo de datos

9. Violacin de la privacidad de los datos

10. Acceso de personas no autorizadas

SELECCION DE RIESGOS
1. Omisin de datos 2. Errores en la grabacin 3. Errores en la actualizacin 4. Validacin deficiente 5. Acceso de personas no autorizadas

EVALUACION DEL CONTROL

Consiste en determinar si una operacin est bien o mal protegida.
A todo control se le da una calificacin.

CALIFICACION
1 BAJO IMPACTO Control existe y no surte efecto 2 BUENO + OTRO Control existe y necesita refuerzo

3 SUFICIENTE

No necesita ayuda

IDENTIFICACION DE LA ENTIDAD
MATRIZ DE ANALISIS ENTRADA DE DATOS

Riesgos Controles C1 C2 C3 C4 C5

R5
2

R4
1

R3
1

R2
1

R1
3

1 1 1 1
2

2 1 1 1
2

2 2 2 1
3

2 1 2 1
3

2 1 2 1
3

Enfrentamos cada control con todos los riesgos.

CONTROLES EXITENTES
C1: Existe un procedimiento para que los usuarios de la aplicacin se identifiquen. C2: Auditora examina peridicamente las pistas. C3: Prohibicin de ingreso de personas ajenas a las reas donde utilizan la aplicacin. No se cumple. C4: Se tiene una pliza de seguro contra robos.

C5: Para eliminar la prdida de imagen, tienen avisos en las terminales con la finalidad de que los usuarios confen en el sistema.

MATRIZ DE ANALISIS
Sumamos: si un riesgo est totalmente cubierto con al menos un control, se puede decir que hay control suficiente sobre dicho riesgo =3 Para los riesgos que no estn totalmente cubiertos, el auditor debe recomendar los controles que considere pertinentes.

IDENTIFICACION DE LA ENTIDAD
DESCOMPOSICION DEL RIESGO
Que no exista password Que alguien preste el pasword

CAUSAS

Que deje la terminal abierta

RIESGO

Acceso de personas no autorizadas

R5

Alteracin de datos y/o informacin EFECTOS Prdida econmica por desvo de fondos Prdida de imagen

CONTROLES SUGERIDOS: RECOMENDACIONES

Cn1: Incorporar un temporizador que apague o bloquee la mquina despus de dos (2) minutos de estar inactiva. Cn2: Establecer responsabilidades por el uso de password/terminal.

Los controles deben ser documentados y auditora se encarga de supervisar su cumplimiento.

INFORME DE AUDITORIA
FRONT PAGE

Tambin llamado COVER PAGE, consta de una o dos pginas de 5 a 10 lneas por seccin.
Se extracta de los comentarios en orden de riesgo. ANTECEDENTES La Ca. A es una entidad dedicada a tiene un centro de cmputo que consta de ALCANCES Areas auditadas (cubrimiento).

INFORME DE AUDITORIA
COMENTARIOS Cada comentario contiene la opinin del auditor: se ha observado y se recomienda Los comentarios se dividen en Parte I y Parte II.

Los comentarios Parte I son los ms significativos. Estructura de los comentarios: OBSERVACION
CONSECUENCIAS RECOMENDACION

FECHA:
NUMERO AUDITORES:

GERENTE:
DIAS TRABAJADOS:

ANTECEDENTES:

ALCANCES:

COMENTARIOS:

INFORME DE AUDITORIA
ALCANCES

DIAGNOSTICO 1. 2. 3. CONCLUSIONES

RECOMENDACIONES 1. 2. 3. Nombre y firma del auditor

MUCHAS GRACIAS