GUÍA PARA LA ELABORACIÓN DE UNA AUDITORÍA DE SISTEMAS EN LA EMPRESA SURTIHOGAR LTDA.
ANDREA CAMILA ORTIZ PÉREZ 221321 MAIRENA ORTIZ PÉREZ
221322
ANGELA MARIA GUERRERO BAYONA Docente
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECONÓMICAS CONTADURÍA PÚBLICA VIII SEMESTRE 2017
Surtihogar Ltda. GUÍA AUDITORIA DE SISTEMAS
INTRODUCCIÓN
Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. El progreso de la tecnología de la computación y la informática, está mejorando día a día, esto a la vez genera problemas en el desarrollo de oportunidades y lleva a cometer errores. Entonces para que no suceda eso es necesario revisar e inspeccionar los proyectos que es el trabajo de la auditoria para poder brindar un mejor trabajo de control a la sociedad. La oficina de la auditoria trabaja bajo inspección de las regulaciones y leyes propias de auditoria, en la construcción de sistemas de control para la ejecución de proceso, almacenamiento de datos, revisión, etc. Debido a la probabilidad de cometer errores es sugerido a las instituciones que estén bajo inspección por lo menos una vez al año y que tengan clases sobre el control y manejo de sistemas, de esta forma se puede evitar la pérdida de datos por un mal manejo. El auditor ha de velar por la correcta utilización de los recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de información. Claro está, que para la realización de una auditoria informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una universidad, un ministerio o un hospital son tan empresas como una sociedad anónima o empresa Pública, no importa al sector al cual pertenezca el ente que va a ser auditado sea público o privado, ambos utilizan la informática para gestionar sus negocios de forma rápida y eficiente, con el fin de obtener beneficios económicos y reducción de costos.
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
Surtihogar Ltda.
NIT: 800.659.502-3
Teléfono: 5626587 5697851
Línea Gratuita 01 8000 25 8974
Fax-Correo: (2) 6584247 www. surtihogar.com.co
CALLE 11 12-17 SAN AGUSTÍN OCAÑA
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
GLOSARIO [Status]
GLOSARIO AUDITORIA FINANCIERA DE SISTEMAS AUDITORÍA
´´´´
A ANÁLISIS: Es el estudio de los componentes que forman el todo separarlos y examinarlos para lograr acceder a sus principios más elementales, cuenta o partida determinada. Consiste en ir de lo general a lo específico.
ANÁLISIS DE TENDENCIA: Consiste en revisar el comportamiento de determinada cuenta de los estados financieros durante un periodo con el fin de identificar variaciones significativas. ARCHIVO DE AUDITORÍA: Una o más carpetas u otros medios de almacenamiento de datos, físicos o electrónicos, que contienen los registros que conforman la documentación de auditoría correspondiente a un encargo específico. ASERCIÓN: Declaración de que una cosa es cierta. ASEVERAR: Declarar que una cosa es cierta.
ACTUARIOS: individuo que se desempeña profesionalmente en las áreas de finanzas, de análisis de riesgo y de seguros aplicando a su trabajo cuestiones como el cálculo de probabilidades, la matemática y la estadística, para evaluar los riesgos que pueden ocurrir en las mismas y de este modo ayudar a reducir la incertidumbre que puede generar una inversión, por ejemplo. AUDITOR: persona o personas que realizan la auditoría (socio y equipo). AUDITOR PREDECESOR: se refiere a un auditor que ha renunciado a un trabajo de auditoría o al que se le ha notificado que sus servicios han terminado. ACTIVIDADES DE CONTROL: Después de identificados y evaluados los riesgos podrán establecerse las actividades de control con el objetivo de minimizar la probabilidad de ocurrencia y el efecto negativo que, para los objetivos de la organización, tendrían si ocurrieran.
ALCANCE DE LA AUDITORÍA: El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. AUDITORES EXTERNOS: Profesionales facultados que no son empleados de la organización cuyas afirmaciones o declaraciones auditan. AUDITORES INTERNOS: Profesionales empleados por una organización para examinar continuamente y evaluar el sistema de control interno y presentar los resultados de su investigación y recomendaciones a la alta dirección de la entidad. AUDITORÍA FISCAL: Consiste en el examen de las operaciones con los tributos al fisco, a los que está obligada cualquier persona natural o jurídica; con el objetivo de determinar si se efectúan en la cuantía que corresponda, dentro de los plazos y formas establecidas y, proceder conforme a derecho. AUDITORÍA DE CUMPLIMIENTO: Consiste en el examen y evaluación que se realiza con el objetivo de verificar el cumplimiento de las leyes, decretos-leyes, decretos y demás disposiciones jurídicas inherentes a la actividad sujeta a revisión.
ASEVERACIÓN: Cualquier declaración, o conjunto de declaraciones relacionadas tomadas en conjunto, expresadas por un ente responsable de ella (administración). ADECUACIÓN: Medida cualitativa de la evidencia de auditoría; es decir, su relevancia y fiabilidad para respaldar las conclusiones en las que se basa la opinión del auditor. ANOMALÍA: Una incorrección o una desviación que se puede demostrar que no es representativa de incorrecciones o de desviaciones en una población.
B BALANCES INICIALES: aquellos saldos de cuenta existen al principio del período.
son que
BASE DE DATOS: Una colección de datos que se comparte y usa por un número de diferentes usuarios para diferentes propósitos. BASE INTEGRAL DE CONTABILIDAD: Una base integral de contabilidad comprende un conjunto de criterios utilizados para la preparación de los estados financieros, la cual aplica a todas las partidas importantes y que tiene un apoyo sustancial. BENEFICIOS DEL CONTROL FISCAL: Son aquellas acciones de las Contralorías por medio de las cuales se previene el daño patrimonial o se logra la recuperación del mismo
C CALCULAR: Hacer las operaciones necesarias para determinar el valor de una cantidad. CÉDULA ANALÍTICA: Se detallan los rubros contenidos en las cédulas sumarias, y contienen el análisis y la comprobación de los datos de estas últimas, desglosando los renglones o datos específicos con las pruebas o procedimientos aplicados para la obtención de la evidencia suficiente y competente. CÉDULA SUMARIA: Se resumen las cifras, procedimientos y conclusiones del rubro (capítulo, concepto o partida) o subfunción sujeto a examen; por ejemplo, ingresos, deducciones o asignaciones presupuestarias. CERTIFICACIÓN: Consiste en la obtención de cartas o documentos, firmados por funcionarios de la empresa en su calidad de tales, en los cuales se certifica o se asegura la verdad sobre hechos de importancia para las investigaciones que realiza el auditor. COTEJAR: Confrontar una cuenta con otra u otras.
CIRCULARIZACIÓN: Prueba que valida las transacciones y los saldos que aparecen en las cuentas de la sociedad con terceros, mediante el envío de cartas solicitando la corroboración de la información según aparezcan o no estos saldos en la contabilidad de los terceros. COMPILAR: Reunir en una misma obra extractos de diferentes libros o documentos sobre un mismo tema. COMPROBACIÓN: Es la técnica mediante la cual el auditor, corrobora las transacciones registradas por el sistema de contabilidad, inspeccionando los documentos que sustentan cada una de las mismas. CONFIRMAR: Hacer firme y definitiva una decisión o un acuerdo que ya había sido convenido o pactado. CONTROL INTERNO: Es el conjunto de acciones, actividades, planes, políticas, normas, registros, procedimientos y métodos, incluido el entorno y actitudes que desarrollan autoridades y su personal a cargo, con el objetivo de prevenir posibles riesgos que afectan a una entidad pública. CORTE DE OPERACIONES: Hace referencia al periodo contable correcto en el que se registran todos los eventos y transacciones.
CARTA DE ENCARGO: es un documento en el cual la empresa de auditoría se responsabiliza en cumplir con lo presentado en la propuesta técnica, y una vez aceptada, no se puede cambiar el compromiso ya establecido. CE: Código de Ética (CE) para Profesionales de la Contaduría. COMPETENCIA. Es amparar la calidad del conocimiento y la diligencia con sensatez en el desarrollo de virtudes y habilidades, acorde a las circunstancias y actividades de los servicios contratados o determinados por cada cliente o entidad. CONFIDENCIALIDAD. Es respetar la confianza depositada en reserva de la información obtenida como resultado de relaciones de trabajo o de negocios, sin afectar la transparencia y rendición de cuentas a que haya lugar por el desempeño de los servicios prestados. CONDUCTA. Es el proceder con prudencia y conocimiento en el cumplimiento legal, normativo y reglamentario para evitar cualquier acción que desacredite a la profesión. CAPITAL FINANCIERO: Dinero invertido como activo neto o patrimonio neto.
CAPITAL OPERATIVO: Capacidad productiva de la entidad. COMPONENTE: Una entidad o unidad de negocio cuya información financiera se prepara por la dirección del componente o del grupo para ser incluida en los estados financieros del grupo.
D DEFICIENCIA SIGNIFICATIVA EN EL CONTROL INTERNO: Deficiencia o conjunto de deficiencias en el control interno que, según el juicio profesional del auditor, tiene la importancia suficiente para merecer la atención de los responsables del gobierno de la entidad. DESENLACE DE UNA ESTIMACIÓN CONTABLE: Importe resultante de la resolución final de las transacciones, hechos o condiciones sobre las que se basa la estimación contable.
DOCUMENTACIÓN DE AUDITORÍA: Registro de los procedimientos de auditoría aplicados, de la evidencia pertinente de auditoría obtenida y de las conclusiones alcanzadas por el auditor (a veces se utiliza como sinónimo el término "papeles de trabajo"). DICTAMEN: Referido a una auditoría, emisión de la opinión de un Auditor independiente, conforme a unas normas determinadas, sobre el resultado de la revisión documental de unos documentos con la opinión fiel sobre la veracidad que le merecen los mismos.
E EQUIPO DE ENCARGO: Todos los socios y personal asistente que desempeñan el trabajo, y cualesquiera personas contratadas por la firma o una firma de la red que desempeñen procedimientos de auditoría en el trabajo. ENCARGO DE AUDITORÍA: Es el documento mediante el cual se hace la designación de un responsable para la ejecución de la auditoria.
ENTORNO DE CONTROL: Comprende las funciones de la dirección de la empresa, así como las actitudes, compromisos y acciones, sobre el control interno de la entidad y su importancia. EPÍGRAFE: Título o enunciado del contenido de un escrito o de parte de él. ESTUDIO GENERAL: Consiste en la apreciación profesional sobre las características en forma general a la empresa, para conocer el giro de los negocios y obtener una visión panorámica de todo el sistema a examinar. EVIDENCIA COMPETENTE: Se obtiene mediante la aplicación de pruebas de control y procedimientos sustantivos que le permitan fundamentar razonablemente los juicios y conclusiones que formule respecto al organismo, programa, actividad o función que sea objeto de auditoría. EVIDENCIA CORROBORATIVA: Evidencia que complementa la que ya ha sido presentada y tiende a fortalecerla o confirmarla; evidencia adicional de un carácter diferente para el mismo punto. EVIDENCIA DE AUDITORÍA: Información utilizada por el auditor para llegar a las conclusiones en que basar su opinión.
EVIDENCIA PRIMARIA: Constituyen los libros oficiales, los auxiliares, los manuales de procedimientos y contabilidad, los papeles de trabajo, los justificantes de los comprobantes de diario, las conciliaciones, etc. que apoya la preparación de los estados financieros. EXACTITUD: Se refiere a que los importes y otros datos relativos a las operaciones registradas y eventos se han registrado de manera apropiada. EXPECTATIVA DE LA INDUSTRIA: Se refiere a los procedimientos que realiza el auditor con el fin de comparar información financiera con información de la industria en donde el cliente desarrolla su objeto y/o con compañías similares. ESTADOS FINANCIEROS: Se entenderá por tales, con carácter general, “las cuentas anuales”, “las cuentas anuales consolidadas” o unos “estados financieros intermedios”, y la referencia a las notas explicativas se entenderá realizada a la información contenida en la memoria de las cuentas
anuales.
ERROR O INCORRECCIÓN: Es la diferencia entre la cantidad, clasificación, presentación o información revelada respecto de una partida incluida en los EEFF y la que correspondería según el MIFA. Las Incorrecciones pueden deberse a errores o fraudes.
ERROR TOLERABLE: Error tolerable es el error máximo que el auditor estaría dispuesto a aceptar en la población y aun así concluir que el resultado de la muestra ha logrado el objetivo de la auditoría. ESTIMACIÓN CONTABLE: Una estimación contable es una aproximación del monto de una partida en ausencia de un medio preciso de cuantificación. ESTIMACIÓN PUNTUAL DE LA DIRECCIÓN: Cantidad determinada por la dirección como estimación contable para su reconocimiento o revelación en los estados financieros. ENCARGO DE REVISIÓN: El objetivo de un encargo de revisión es permitir al auditor determinar, sobre la base del resultado obtenido de la aplicación de procedimientos que no proporcionan toda la evidencia que sería necesaria en una auditoría.
ESCEPTICISMO PROFESIONAL: actitud que implica una mentalidad inquisitiva, una especial atención a las circunstancias que puedan ser indicativas de posibles incorrecciones debidas a errores o fraudes, y una valoración crítica de la evidencia de auditoría.
EQUIPO DEL ENCARGO: Todos los socios y empleados que realizan el encargo, así como cualquier persona contratada por la firma de auditoría o por una firma de la red, que realizan procedimientos en relación con el encargo.
EXHAUSTIVA:Que es muy completo y profundo
ESTADOS FINANCIEROS DEL GRUPO: Los estados financieros que incluyen la información financiera de más de un componente.
ERROR ESPERADO: El error que el auditor espera se presente en la población.
ESTRATEGIA GLOBAL DE AUDITORÍA: Establece el alcance, el enfoque de la auditoría y su momento de realización, sirviendo de guía para el desarrollo de un plan de auditoría más detallado.
FALTA DE CERTEZA: Una falta de certeza se refiere a un asunto cuyo resultado depende de acciones o eventos futuros no bajo el control directo de la entidad pero que puede afectar a los estados financieros. FRAUDE: El término fraude se refiere a un acto intencional por uno o más individuos dentro de la administración, empleados, o terceras partes, el cual da como resultado una representación errónea de los estados financieros.
F FIRMA: Un profesionista independiente, sociedad o corporación u otra entidad de contadores profesionales. FIRMA DE LA RED: Firma de auditoría o entidad que pertenece a una red. FISCALIZAR: Hacer el oficio de fiscal. Criticar y traer a juicio las acciones u obras de alguien.
FACTORES DE RIESGO DE FRAUDE: Hechos o circunstancias que indican la existencia de un incentivo o elemento de presión para cometer fraude o que proporcionen una oportunidad para cometerlo. FASE DE PLANEACIÓN: Etapa que comprende el conjunto de actividades destinadas a decidir previamente, los procedimientos de auditoría que se van a emplear, la extensión que se va a dar a las pruebas. FASE DE EJECUCIÓN: Etapa del conjunto de operaciones para realizar lo previsto en el memorando de planeación y lograr los objetivos de la Auditoría Gubernamental con Enfoque Integral. FASE DE INFORME: Etapa que comprende el conjunto de operaciones destinado a presentar el resultado del examen practicado.
G
H
GERENCIA: persona o personas con responsabilidad ejecutiva para dirigir las operaciones de la entidad.
HECHOS POSTERIORES: Son aquellos que se presentan con posterioridad a la fecha del balance, pero antes de la emisión de los estados financieros y del informe del auditor o Revisor Fiscal.
GENERALIZADO: Término utilizado al referirse a las incorrecciones, para describir los efectos de éstas en los estados financieros o los posibles efectos de las incorrecciones que, en su caso, no se hayan detectado debido a la imposibilidad de obtener evidencia de auditoría suficiente y adecuada. GOBIERNO DE LA ENTIDAD: Describe la función de la persona o personas u organizaciones responsables de la supervisión de la dirección estratégica de la entidad y de las obligaciones relacionadas con la rendición de cuentas de la entidad.
HOJA DE TRABAJO. Una hoja grande de columnas diseñada para colocar en forma conveniente todos los datos contables que se necesitan en un momento determinado. Facilita la preparación de los estados financieros y el trabajo de ajuste y cierre de las cuentas. HALLAZGO DE AUDITORIA: Se denomina al resultado de la comparación que se realiza entre un criterio y la situación actual durante el examen a un área, actividad u operación.
I IMPORTE: Valor, cantidad de dinero que figura en una cuenta. INCORRECCIÓN MATERIAL: Diferencia entre la cantidad, clasificación, presentación o información revelada respecto de una partida incluida en los estados financieros y la información requerida en el marco de información financiera aplicable.
INSPECCIÓN: En relación con trabajos de auditoría terminados, son los procedimientos diseñados para brindar evidencia del cumplimiento de los equipos del trabajo con las políticas y procedimientos de control de calidad de la firma.
INCORRECCIÓN EN LA DESCRIPCIÓN DE UN HECHO: Otra información no relacionada con cuestiones que aparecen en los estados financieros auditados, que esté incorrectamente expresada o presentada. INCORRECCIÓN TOLERABLE: Importe establecido por el auditor con el objetivo de obtener un grado adecuado de seguridad de que las incorrecciones existentes en la población no superan dicho importe. INCORRECCIONES NO CORREGIDAS: Incorrecciones que el auditor ha acumulado durante la realización de la auditoría y que no han sido corregidas.
INTEGRIDAD: Se refiere a que todas las transacciones y eventos que deberían haberse registrado se han registrado. INVESTIGACIÓN: Llevar a cabo estrategias para descubrir algo. IMPORTANCIA RELATIVA O MATERIALIDAD: se refiere a la cifra o cifras determinadas por el auditor, por debajo del nivel de la importancia relativa establecida para los estados financieros en su conjunto.
INDEPENDENCIA EN APARIENCIA: El estudio de los factores que la amenazan su independencia. INDEPENDENCIA DE HECHO: Se conoce en el Código de Ética como objetividad (Porter, 2014, p. 314). INTEGRIDAD: Es la rectitud honorable de la veracidad, lealtad y respeto en las relaciones de negocios y la prestación de los servicios profesionales y personales. INFORME DE LOS AUDITORES. El informe emitido después de auditar un tema o los estados financieros de una empresa. INCONGRUENCIA: Contradicción entre la información contenida en los estados financieros auditados y otra información. INCUMPLIMIENTO Acciones u omisiones de la entidad, intencionadas o no, que son contrarias a las disposiciones legales y reglamentarias vigentes. INFORMACIÓN FINANCIERA FRAUDULENTA: Comprende incorrecciones intencionadas, incluida la omisión de cantidades o de información a revelar en los estados
financieros, para engañar a los usuarios de los estados financieros. INFORMACIÓN FINANCIERA HISTÓRICA: Información relativa a una entidad determinada, expresada en términos financieros y obtenida principalmente del sistema contable de la entidad, acerca de hechos económicos ocurridos en periodos de tiempo anteriores o de condiciones o circunstancias económicas de fechas anteriores. INFORMACIÓN FINANCIERA PROSPECTIVA: Información financiera basada en hipótesis sobre hechos que pueden suceder en el futuro y sobre posibles actuaciones de la entidad. IMPARCIALIDAD: Es dar un trato justo y equitativo a los sujetos de control.
J
L
JUICIO PROFESIONAL: Se refiere al empleo de los conocimientos técnicos y experiencia necesarios para seleccionar posibles cursos de acción en la aplicación de las NIF, dentro del contexto de la sustancia económica de la operación a ser reconocida.
LÁPIZ DE AUDITORÍA: Clave que se acostumbra a colocar a todos y cada uno de los papeles de trabajo para facilitar el ordenamiento y archivo de los papeles y su rápida localización.
M MARCAS DE AUDITORÍA: Símbolos especiales creados por el Auditor con una significación especial, para dejar comprobación de los hechos, técnicas y procedimientos utilizados en las cédulas o planillas, con ahorro de espacio y tiempo. MATERIALIDAD: Es la relativa significación o mérito que pueda tener una cosa o evento. Es material cuando altera significativamente las decisiones económicas de los usuarios de la información. MARCO DE INFORMACIÓN FINANCIERA APLICABLE (MIFA): el adoptado por la dirección o que se requiere por las disposiciones legales o reglamentarias. Hay marcos de imagen fiel y marcos de cumplimiento. MEMORANDUM: Son documentos que describen los procedimientos para cada área principal del programa de auditoria, deben anotarse las excepciones encontradas en los procedimientos y normas de contabilidad, así como las
deficiencias que presente el control interno y las medidas correctivas adoptadas. MUESTREO DE AUDITORÍA: Es la aplicación de un procedimiento sustantivo o de cumplimiento a menos del 100% de las partidas incluidas en el saldo de una cuenta o clase de transacciones con el fin de obtener y evaluar evidencias y extraer conclusiones sobre el conjunto de partidas o clase de transacciones.
N NORMA INTERNACIONAL DE AUDITORÍA (NIA): Se refiere a la responsabilidad que tiene el auditor de aplicar el concepto de importancia relativa en la planificación y ejecución de una auditoría de estados financieros. NICC: Normas Internacionales de Control de Calidad. NITR: Normas Internacionales de Trabajos de Revisión. NITA: Normas Internacionales de Trabajos para Atestiguar. NISR: Normas Internacionales de Servicios Relacionados. NIVEL DE CONFIANZA: Una medida del grado de seguridad que el auditor desea u obtiene de la evidencia de una auditoría. Para el muestreo de atributos, el nivel de confianza es el 100% menos el riesgo de aceptación incorrecta
O OBSERVACIÓN: Es la técnica por medio de la cual, el auditor se cerciora personalmente de hechos y circunstancias relacionados con la forma como se realizan las operaciones en la empresa por parte del personal de la misma. OCURRENCIA: Hace referencia a que las transacciones y los eventos que se han registrado han ocurrido y corresponden a la entidad. OUTSOURCING DE IMPUESTOS: Consiste en la adecuada gestión de impuestos, es una de las herramientas para la protección del valor, pues garantiza el cumplimiento de las obligaciones fiscales que recaen sobre toda empresa. OBJETIVIDAD: Es la imparcialidad consciente para evitar prejuicios, conflictos de interés o influencia indebida de terceros que puedan afectar la independencia y el juicio profesional. OPINIÓN SIN SALVEDAD: Opinión que emite el auditor cuando ha tenido suficiente evidencia de que los estados financieros están
razonablemente presentados de conformidad con los principios de contabilidad generalmente aceptados. OPINIÓN CON SALVEDAD: Una opinión emitida, cuando el auditor llega a la conclusión que los estados financieros no están presentados con los principios de contabilidad generalmente aceptados.
P PAPEL DE TRABAJO: Son el conjunto de documentos que contienen la información obtenida por el auditor en su revisión, así como los resultados de los procedimientos y pruebas de auditoría aplicados. PLANIFICACIÓN: Fase de la auditoría durante la cual el auditor se aboca a la identificación de que examinar, como, cuando y con qué recursos, así como la determinación del enfoque de la auditoría, objetivos, criterios, estrategia general y un enfoque detallado para la naturaleza, oportunidad y alcance esperados de la auditoría. PROCEDIMIENTO ANALÍTICO: Consiste en la comparación de cantidades registradas contra expectativas desarrolladas con el fin de concluir si la información registrada en la contabilidad no contiene errores materiales. PROCEDIMIENTOS DE REVISIÓN: Procedimientos que se consideran necesarios para alcanzar el objetivo de un encargo de revisión, principalmente mediante la realización
de indagaciones entre el personal de la entidad sobre los datos financieros y mediante la aplicación de procedimientos analíticos a dichos datos PROCESO DE AUDITORÍA: Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en qué grado se cumplen los criterios de la auditoria. PRUEBAS DE DETALLE: Son aquellas utilizadas para obtener aseguramiento de auditoría para una aseveración de los estados financieros más fuerte que la proporcionada por procedimientos analíticos sustantivos. PRUEBAS DE RAZONABILIDAD: Se refiere a cálculos que se realizan con el fin de estimar el monto de una cuenta e implica la utilización de información operativa y/o financiera. PROGRAMAS DE AUDITORIA: Son guías detalladas sobre los procedimientos y pruebas a realizar y la extensión de las mismas para cumplir con los objetivos y propósitos de la auditoria.
PREMISAS: Los responsables de la dirección y, cuando proceda, del gobierno de la entidad entienden y reconocen que tienen las siguientes responsabilidades:la preparación de los EEFF con el MIFA, el control interno necesario para permitir la preparación de EEFF libres de incorrección material, debida a fraude o error; y proporcionar al auditor información PRESENTACIÓN: Consiste en dar en conocimiento los estados financieros del ente económico a todos los terceros interesadosPRUEBAS DE CONTROL: Pruebas dirigidas al diseño u operación de un procedimiento o política de control interno, para evaluar su efectividad, para evitar o detectar declaraciones incorrectas importantes en una afirmación de los estados financieros. PRUEBAS SUSTANTIVAS: Las pruebas de detalle y procedimientos analíticos, efectuados para detectar las declaraciones incorrectas importantes incluidas en los componentes de saldo de cuenta, clase de transacción, y revelación de los estados financieros. PARTES RELACIONADAS: Las partes se consideran relacionadas si una de las partes tiene la capacidad de
control de la otra parte o ejerce una influencia importante sobre la otra parte en la toma de decisiones financieras y de operación. PARTE VINCULADA: Se entenderá que están vinculados con el auditor de cuentas firmante los socios pertenecientes a la misma sociedad de auditoría, y los auditores de cuentas o sociedades de auditoría que, sin pertenecer a la misma sociedad, estén vinculados mediante cualquier tipo de pacto, acuerdo o relación de prestación de servicios entre sí o para terceros.
R REFERENCIA CRUZADA: Se utiliza en un texto para hacer alusión a un elemento, dato o cita que se encuentra en otra parte del documento, o incluso en otro texto. RIESGO DE AUDITORÍA: riesgo de que el auditor exprese una opinión de auditoría inadecuada cuando los EEFF contienen incorrecciones materiales. El riesgo de auditoría es una función del riesgo de incorrección material y del riesgo de detección. RIESGO INHERENTE: Probabilidad de que los hechos económicos se hayan registrado, clasificado o presentado de forma errónea, e incluso omitido, en los estados financieros, por parte de la gerencia. Esto incluye eventos y condiciones (internas o externas) que podrían derivar en un error (o fraude) en los estados financieros. RIESGO DE DETECCIÓN: riesgo de que los procedimientos aplicados por el auditor para reducir el riesgo de auditoría a un nivel aceptablemente bajo no detecten la existencia de una incorrección que podría ser material,
considerada individualmente o de forma agregada con otras incorrecciones. RIESGO DE CONTROL: Es el riesgo de que una incorrección que pudiera existir en una afirmación no sea prevenida, o detectada y corregida oportunamente, por el sistema de control interno de la entidad. RIESGO DE ERROR IMPORTANTE: Es el riesgo de que los EEFF contengan incorrecciones materiales antes de la realización de la auditoría. El riesgo comprende dos componentes. RESPONSABLE DEL GOBIERNO DE LA ENTIDAD: persona o personas u organizaciones con responsabilidad en la supervisión de la dirección estratégica de la entidad y con obligaciones relacionadas con la rendición de cuentas de la entidad. En la aplicación de esta definición habrá de estarse a las normas que resulten de aplicación a la entidad según su naturaleza jurídica.
RECONOCIMIENTO: Cuando un hecho económico sea cuantificable fiablemente, y genere beneficios económicos futuros REVELACIÓN: Consiste en la presentación de toda la información financiera relacionada con los hechos económicos importantes afrontados por el ente económico que afectan el juicio de un lector informado RASTREO: Dar seguimiento y controlar una operación de manera progresiva desde el inicio hasta el final dentro del proceso normal de ejecución. REEJECUCIÓN: Ejecución independiente por parte del auditor de procedimientos o de controles que en origen fueron realizados como parte del control interno de la entidad.
S SEGUIMIENTO: Un proceso que comprende una continúa consideración y evaluación del sistema de control de calidad de la firma, incluyendo una inspección periódica de una selección de trabajos terminados diseñados para brindar a la firma seguridad razonable de que su sistema de control de calidad está operando de manera efectiva. SEGURIDAD RAZONABLE: Es un grado de seguridad alto, aunque no absoluto. Es un concepto relativo a la acumulación de la evidencia de auditoría necesaria para que el auditor concluya que no hay representaciones erróneas de importancia relativa en los estados financieros tomados como un todo. SISTEMAS DE INFORMACIÓN: pueden definirse como un conjunto de componentes interrelacionados que permiten capturar, procesar, almacenar y distribuir la información para apoyar la toma de decisiones y el control en una institución.
SEGUIMIENTO DE LOS CONTROLES: El seguimiento consiste básicamente en el análisis de la información generada, para la identificación temprana de riesgos y desviaciones respecto al plan. SALVAGUARDAS: Medidas para anticipar, minimizar, mitigar o tratar de otro modo los impactos adversos asociados a una actividad dada. SUPERVISIÓN. Requisito esencial en la auditoría que conduce a un adecuado control y dirección en todas las etapas, para que asegure que los procedimientos, técnicas y pruebas que se realizan, se vinculen en forma competente y eficaz con los objetivos que se persiguen. SESGO DE LA DIRECCIÓN: Falta de neutralidad de la dirección en la preparación de la información.
T TÉCNICA DE AUDITORÍA: Son los métodos prácticos o herramientas de trabajo que el Auditor utiliza para lograr la información y comprobación necesaria para poder emitir su opinión profesional.
V VALOR RESIDUAL: Es el valor final de un activo después de su depreciación y amortización, es decir, al final de su vida útil. VALOR SIGNIFICATIVO: Es el importe mínimo o máximo de errores o irregularidades que aun estando presentes no alterarían la decisión del usuario de los estados financieros. VALORACIÓN DEL RIESGO: Proceso realizado para identificar fuentes de riesgo y posteriormente evaluar si podrían resultar en una incorrección material en los estados financieros; el auditor dirigirá el esfuerzo de auditoría a aquellas áreas en las que el riesgo de incorrección material es mayor.
¿POR QUÉ LOS AUDITORES DEBEN ACTUAR BAJO PRINCIPIOS DE AUDITORÍA?
La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos principios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes y suficientes y para permitir a los auditores, trabajando independientemente entre sí, alcanzar conclusiones similares en circunstancias similares. Los principios hacen de la Auditoria una herramienta confiable, cuya buena intención es proporcionar información relevante para actuar y mejorar el desempeño de la organización. Seguir los principios de auditoria nos permite tener resultados más fiables, pertinentes y suficientes para valorar la eficacia del sistema, además de que permiten a los Auditores aplicar con independencia un método de auditoria que contribuya a la eficacia del sistema. Cuando se efectúen auditorias siguiendo los principios recomendados para la realización de estos trabajos, se tendrá la garantía de que los auditores aplican procedimientos que les permitirán, en circunstancias dadas, alcanzar los objetivos de auditoria. El cumplimiento de los principios señalados proporcionará pruebas suficientes y válidas para apoyar razonablemente las opiniones, juicios y conclusiones, respecto a los objetivos de auditoria.
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
PRINCIPIOS
Somos una empresa con una trayectoria de cuatro (4) años, con un recurso humano que basa sus funciones en unos principios que sirven de apoyo u/o herramienta para obtener conclusiones pertinentes y suficientes; con el fin de reducir los riesgos que se presentan en las operaciones ejecutadas en la organización. Para alcanzar este fin, contamos con un personal altamente calificado, donde resalta el liderazgo, la experiencia, la conducta ética y el profesionalismo.
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
Nuestro recurso humano mantiene la confidencialidad de toda la información a la que acceden en las tareas, así mismo son íntegros y tienen un trato cordial y respetuoso con sus clientes y socios, procurando perfeccionar los procesos de comunicación y relaciones interpersonales, brindando también confianza en todos sus casos de estudio.
Nuestro recurso humano informa de manera veraz y exacta, los hallazgos, conclusiones e informes referentes a la auditoria, así mismo informa los obstáculos relevantes que se presentaron durante la auditoria y las opiniones desiguales sin resolver entre el equipo auditor y el auditado.
Nuestro recurso humano ejerce sus funciones con prudencia y con competencias razonables; estando alertas a la posibilidad de fraude, errores, omisiones, ineficiencias y conflicto de intereses; teniendo la habilidad de hacer juicios razonables de toda situación de auditoria.
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
Nuestros Auditores tienen la cualidad de realizar su ejercicio profesional sin dejarse influenciar por hechos externos, ya que gozan de absoluta independencia para poder opinar y conceptuar sin el riesgo de que su concepto u opinión resulte viciada de algún modo, por consiguiente deben ser honestos no sólo para con la gerencia y los propietarios del negocio, sino también para con los acreedores y aquellos que de algún modo confíen, al menos en parte en el informe realizado por el auditor.
Nuestros Auditores tienen claro que las evidencias son un elemento clave en una auditoría, razón por la cual el auditor le debe prestar especial atención en su consecución y tratamiento. Para que ésta información sea valiosa, se requiere que la evidencia sea competente, es decir con calidad en relación a su relevancia y confiabilidad; suficiente en términos de cantidad, al tener en cuenta los factores como: posibilidad de información errónea, importancia y costo de la evidencia, todo esto con el fin de respaldar y ampliar la información que será expresada en el informe final elaborado por el auditor.
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
¿POR QUÉ ES NECESARIO IMPLEMENTAR PROGRAMAS DE AUDITORIA?
El Programa de Auditoría se caracteriza por la previsión de los trabajos que deben ser efectuados en cada servicio profesional que realiza, a fin de que éste cumpla íntegramente con sus fines de acuerdo a las Normas de la Contabilidad y Técnicas de la Auditoría. El Programa de Auditoría es el procedimiento a seguir en el examen a realizarse, el mismo que es planeado y elaborado con anticipación, y debe ser de contenido flexible, sencillo y conciso; de tal manera que los procedimientos empleados en cada proceso de auditoría estén de acuerdo con las circunstancias del examen. El Programa de Auditoría o Procedimiento de Auditoría es el resultado que se desea obtener, la línea de conducta a seguir dentro de los principios y preceptos de la auditoría. Los Programas de Auditoría son preparados por el auditor jefe de comisión y el supervisor en forma conjunta, en el que señalarán también las tareas específicas que deben ser cumplidas por el personal profesional asignado. Los Programas de Auditoría forman parte de los papeles de trabajo, y en su contenido se describen las tareas que deben efectuar los auditores, así como los objetivos y alcance de las pruebas a realizar; estos al igual que el Plan de Auditoría, son reservados, siendo necesario mantener la debida confidencialidad durante y después del examen. Estos programas permiten reducir el tiempo de la auditoria, distinguir lo importante de lo superfluo y garantizar que la auditoria cumpla con sus objetivos. Anexo1. Formato de programa de auditoría.
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
Los Programas de Auditoría son importantes porque sirven de Guía en la aplicación de los procedimientos de auditoría, contienen instrucciones para el equipo de auditoría, lo suficientemente detallado, indicando las tareas asignadas a realizar, sirven como ayuda para controlar el trabajo de auditoría y delimita responsabilidades, sirven como registro de las fases de trabajo que se van terminando y ayudan en la revisión de auditoría a quienes preparan los programas de auditoría. Nombre del área a la cual se aplicara la Auditoría.
Nombre de la entidad a la que se le va realizar la auditoría.
Nombre del proceso especifico del dominio que se Auditara.
Se estipulan las herramientas necesarias para obtener la información puede ser a través de entrevistas, manuales, políticas, archivos físicos, etc
Firma del Auditor responsable.
Se describen las acciones a realizar para la ejecución de la auditoría, como las revisiones, verificaciones, pruebas y obtención de inconsistencias.
Número de Auditores.
Fecha en la que se realizará la Auditoría.
Fecha de inicio y terminación estimada de la auditoria.
Firma de Aprobación del grupo de Auditores o Auditor responsable
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
Días hábiles utilizados en el proceso de Auditoría.
PLAN DE AUDITORÍA
De la adecuada planeación y Supervisión el auditor podrá obtener los resultados satisfactorios que les sirva de base para sustentar su opinión manifestada en su dictamen. Por esto una de las Normas de Auditoria le obliga a que su trabajo deba ser técnicamente planeado y ejercerse una supervisión apropiada sobre los asistentes si estos participan en el examen, como una garantía de calidad hacia los usuarios. La Planeación de la Auditoria permite establecer la extensión y el alcance de las pruebas a utilizar y la supervisión sobre el recurso humano que le colaborará durante el desarrollo del trabajo. El Planeamiento de la Auditoria garantiza el diseño de una estrategia adaptada las condiciones de cada entidad tomando como base la información recopilada en la etapa de Exploración Previa. En este proceso se organiza todo el trabajo de Auditoria, las personas implicadas, las tareas a realizar por cada uno de los ejecutantes, los recursos necesarios, los objetivos, programas a aplicar entre otros, es el momento de planear para garantizar éxito en la ejecución de la misma. Toda planeación debe estar bien documentada e incluir el Programa de Auditoría. Este consiste en la descripción de los procedimientos de auditoría a seguir en el desarrollo de la misma para lograr los objetivos del examen.
Anexo.2 Formato plan de auditoría
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
OBJETIVO DEL PLAN DE AUDITORÍA
El objetivo general del Plan de Auditoría es tener organizado y programado el proceso de evaluación independiente, que corresponde en la práctica al desarrollo de dos procesos importantes, como son: a.- La Evaluación del Sistema de Control Interno y al proceso de ejecución, evaluación y seguimiento de La Auditoria Interna. Así mismo es el determinar la oportunidad de la realización del trabajo y la cantidad de Profesionales para llevar a cabo los aludidos procedimientos de Auditoría. Nombre del proceso especifico del dominio que se Auditara.
Empresa que será Auditada
Propósitos que se quieren lograr con la Auditoría.
Lineamientos a seguir en el proceso
Se estipulan los efectos, causas, criterios y recomendaciones
Nombre dela Auditor responsable
Actividades concretas de la empresa que serán Auditadas
Encargado principal
Grupo de Auditores
Correo de la empresa a Auditar
Fecha en la que se realizará la Auditoría
Hora de inicio y hora final de las actividades a realizar.
Se describen las acciones a realizar para la ejecución de la auditoría, como las revisiones, verificaciones, pruebas y obtención de inconsistencias.
Fecha en la que se estipula la terminación de la Auditoría
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
Nombre de la empresa Auditada.
PAPELES DE TRABAJO [Status]
Surtihogar Ltda. ENTIDAD AUDITADA
REF ENTREVISTA
ENT PO9_CC
SURTIHOGAR LTDA. 1
ÁREA AUDITADA OBJETIVO ENTREVISTA ENTREVISTADO CARGO
PAGINA DE 2
Sistemas SISTEMA Servidores Evaluar el hardware de los servidores, especificaciones técnicas y su mantenimiento
Secretaría
1. ¿En qué consiste su cargo?
2. Describa brevemente el uso que le da al equipo
3. Describa brevemente como es el desempeño del equipo que está operando
4. ¿Considera que las características del hardware del equipo son suficientes para el
desempeño de su trabajo?
5. ¿Qué hace en caso de que el equipo falle? ¿a quien acude?
6. ¿Conoce el proceso de dotación de nuevos equipos de cómputo o adquisición de
hardware? ¿ha hecho uso de él?
7. ¿Conoce y hace usos del manual de soporte técnico?
8. ¿Conoce el proceso de rotación de equipos? ¿en qué consiste?
Surtihogar Ltda. ENTIDAD AUDITADA
REF ENTREVISTA
ENT PO9_CC
SURTIHOGAR LTDA. 2
ÁREA AUDITADA OBJETIVO ENTREVISTA ENTREVISTADO CARGO
PAGINA DE 2
Sistemas SISTEMA Servidores Evaluar el hardware de los servidores, especificaciones técnicas y su mantenimiento
Secretaría
9. ¿Conoce el cronograma de mantenimiento de los equipos?
10. ¿Quiénes son los encargados de llevar a cabo el mantenimiento?
11. ¿Considera usted que el mantenimiento que se le hace a los equipos es oportuno?
REF
Surtihogar Ltda.
ENTREVISTA
ENTIDAD AUDITADA
SURTIHOGAR LTDA.
ÁREA AUDITADA
Sistemas
OBJETO DE ESTUDIO
ENT_AI5_SP_1 PAGINA 1 DE 2
Hardware de Comunicaciones y servidores (Proveedores)
ENTREVISTADO Jefe de Sistemas CARGO
PREGUNTA 1. ¿Surtihogar Ltda. cuenta con un listado de proveedores acreditados para la adquisición de hardware y software necesario? 2. ¿El área de sistemas cuenta con un proveedor de servicios para la instalación eléctrica? 3. ¿Se contrata el mantenimiento del mismo con terceros? 4. ¿El mantenimiento de la instalación eléctrica la realizan personal de la misma área de sistemas? 5. ¿Existen políticas o procedimientos para la adquisición de hardware de comunicaciones y/o de servidores? 6.¿Estas políticas o procedimientos, tienen en cuenta: La realización de una solicitud de compra formal y por escrito del hardware. 7. La solicitud describe las características que Debi cumplir el hardware. 8. La solicitud describe la necesidad de adquisición del hardware. 9. La realización de varias cotizaciones y a diferentes proveedores del hardware a comprar. 10. Análisis (ej. Cuadros comparativos) de las propuestas de los proveedores. 11. Se elige la propuesta de adquisición de hardware más favorable (en cuanto a calidad, garantía y precios) para la entidad. 12. ¿Estas políticas están documentadas? 13. ¿En cuanto a contratos con proveedores: Se establecen contratos de compraventa de hardware y software. 14. Se establecen contratos de licencia y mantenimiento relativos al hardware y software provenientes de terceros.
SI NO CUANTOS OBSERVACION
REF
Surtihogar Ltda.
ENTREVISTA
ENTIDAD AUDITADA
SURTIHOGAR LTDA.
ÁREA AUDITADA
Sistemas
OBJETO DE ESTUDIO
ENT_AI5_SP_1 PAGINA 2 DE 2
Hardware de Comunicaciones y servidores (Proveedores)
ENTREVISTADO Jefe de Sistemas CARGO PREGUNTA SI NO CUANTOS OBSERVACION 15. Se establecen contratos de mantenimiento de soporte de Red. 16. ¿Se realiza revisión detallada y continua de contratos con los proveedores? 17. ¿Existe documentación de los contratos con proveedores? 18. ¿Existen en el departamento de Sistemas, un inventario detallado de los elementos de hardware y software que soportan el normal funcionamiento de las comunicaciones? 19. ¿Para los equipos de computo (servidor, terminales) este inventario tiene en cuenta: Características de la memoria RAM (capacidad instalada, capacidad máxima, Tipo de memoria, etc.) 20. Características del procesador (nombre de referencia, modelo, familia, velocidad, etc.) 21. Características de la placa madre (modelo, nombre del fabricante, etc.) 22. Características del disco duro (modelo, capacidad almacenamiento, etc.) 23. Características generales (modelo, referencia, marca, etc.) de los periféricos (teclado, monitor, Mouse, etc.) 24. Licencia (en caso de necesitarse) del Sistema Operativo instalado. 25. Licencia (en caso de necesitarse) del software instalado. 26. Características del disco duro (modelo, capacidad almacenamiento, etc.) 27. ¿Existe documentación del inventario de Hardware?
Surtihogar Ltda. ENTIDAD AUDITADA ÁREA AUDITADA ENTREVISTADO CARGO
REF ENTREVISTA
ENT_DS12_SP_1
SURTIHOGAR LTDA. Sistemas OBJETO DE ESTUDIO
1
PAGINA DE 3
Hardware de comunicaciones y servidores
Gerente PREGUNTA
Acceso a las instalaciones 1.¿Existen políticas y procedimientos de seguridad para el acceso y salida de las instalaciones de Surtihogar Ltda. en el área de sistemas? 2. Dentro de las políticas de seguridad para controlar la entrada y salida a las instalaciones de Surtihogar Ltda.se tiene en cuenta: Que todos los individuos que entran a las instalaciones, se identifique, sean autenticados y autorizados. 3. Realización de requisas a las personas que ingresan y que salen de las instalaciones. 4. Registro de los equipos de computo (portátiles, PC, etc.) que ingresan a las instalaciones. 5. Registro de los equipos de computo (portátiles, PC, etc.) que salen de las instalaciones. 6. Para los visitantes que ingresan por el parqueadero de vehículos y motocicletas, se realiza la identificación, autenticación y autorización para el ingreso. 7. Se realizan requisas de los usuarios de los vehículos que ingresan y salen de las instalaciones. 8. ¿Existen controles para restringir el acceso físico de las personas al área de sistemas? 9. ¿Existen controles para restringir el acceso físico de otros (público en general) a el área de sistemas? 10. ¿Las condiciones físicas donde se encuentran los equipos de cómputo cumplen con los requerimientos de seguridad establecidos? 11. Las instalaciones del centro de computo, cumplen con los requerimientos en cuanto a: Espacio y movilidad. Posibilidades de movilidad de los equipos, suelo fijo, posibilidad de las personas, etc. 12. Características de las salas altura, anchura, posición de las columnas.
SI NO OBSERVACION
Surtihogar Ltda. ENTIDAD AUDITADA ÁREA AUDITADA ENTREVISTADO CARGO
REF ENTREVISTA
ENT_DS12_SP_1
SURTIHOGAR LTDA. Sistemas OBJETO DE ESTUDIO
2
PAGINA DE 3
Hardware de comunicaciones y servidores
Gerente
PREGUNTA SI NO OBSERVACION 13. Iluminación. El sistema de iluminación debe ser apropiado para evitar reflejos en las pantallas, falta de luz en determinados puntos, y se evitará la incidencia directa del sol sobre los equipos. 14. Tratamiento acústico. Los equipos ruidosos como las impresoras con impacto, deben estar en zonas donde tanto el ruido como la vibración se encuentren. 15. Equipos de aire acondicionado deben estar en zona segura. 16. Sistemas de ventilación. Las instalaciones del centro de cómputo deben contar con adecuados sistemas de ventilación y disipadores de calor, para evitar daños en los equipos por recalentamiento. 17. Seguridad física. Las instalaciones del centro de computo cuentan con sistema contra incendios 18. Los materiales del centro de computo son incombustibles (pintura de las paredes, suelo, techo, mesas 19. Existen protecciones contra inundaciones y otros peligros físicos que puedan afectar a la instalación. 20. ¿El lugar donde actualmente se encuentran instalados los equipos de computo claves (servidores, routers, switches, etc.) que soportan el funcionamiento de la red de comunicaciones, cumple con los requerimientos de: Espacio y movilidad Iluminación Tratamiento acústico Sistemas de ventilación 21. ¿Existen cámaras de seguridad y vigilancia en la empresa 22. ¿Existen sistemas de alarma y detección de movimiento en las instalaciones del departamento de sistemas? 23. ¿Existen plantas eléctricas, que garanticen la continuidad de los servicios?
Surtihogar Ltda. ENTIDAD AUDITADA ÁREA AUDITADA ENTREVISTADO CARGO
REF ENTREVISTA
ENT_DS12_SP_1
SURTIHOGAR LTDA. Sistemas OBJETO DE ESTUDIO
3
PAGINA DE 3
Hardware de comunicaciones y servidores
Gerente
SI NO OBSERVACION PREGUNTA 24. ¿Existen controles y/o procedimientos para restringir el acceso físico a las instalaciones donde se encuentran ubicados los servidores y demás equipos claves que soportan el funcionamiento de estos? 25.¿Los controles y/o procedimientos para restringir el acceso, tienen en cuenta: Permitir solamente el acceso al personal de Tecnologías de la Información autorizado. 26. Existen elementos físicos (puertas, cerraduras, etc.) para evitar y controlar el acceso no autorizado. 27. Estos elementos físicos se encuentran en buen estado y funcionando 28. ¿Existen pólizas de seguros para los elementos de Tecnologías de la Información? 29.¿Existen extintores de incendios ubicados en sitios estratégicos y de fácil acceso dentro de las instalaciones del departamento de sistemas? 30. ¿Existen dispositivos detectores de humo, detectores de calor y supresores de incendios dentro de las instalaciones del departamento de sistemas? 31. ¿Existen planes de contingencia? 32. ¿Estos planes están documentados? 33. ¿Estos planes son de conocimiento del personal que labora en las instalaciones del departamento de sistemas y de Surtihogar Ltda.? 34. ¿Existen señales que indiquen la ruta de evacuación de las instalaciones del departamento de sistemas?
LISTAS DE VERIFICACIÓN La lista de verificación es una de las formas más objetivas de valorar el estado de aquello que se somete a control. El carácter cerrado de las respuestas proporciona esta objetividad, pero también elimina información que puede ser útil porque no recoge todos los matices, detalles, y singularidades. Un checklist se puede utilizar con finalidades de evaluación, de control, de análisis, y cómo no, de verificación. Del resultado de un checklist se puede deducir el valor de un indicador, o lo podemos utilizar para comparar entre varias opciones, o establecer una foto fija de la situación actual. Las listas de verificación son importantes en un proceso de auditoria porque:
Favorecen la planificación de la auditoría Garantizan un enfoque consistente de auditoria Son desarrolladas para proporcionar asistencia al proceso de auditoría. Ayudan al auditor a obtener mejores resultados durante el proceso. Proporciona evidencia objetiva de que se realizó la auditoría. Se pueden utilizar como base de información para la planificación de futuras auditorías.
Cada área a auditar cuenta con su propio check-list, y cada uno de estos cuenta con una serie de preguntas, las cuales ayudaran al auditor a obtener más fácilmente los resultados de la auditoria, ya que estas darán resultados precisos y oportunos respecto al cumplimiento y no cumplimiento.
A) CHECK-LIST AUDITORIA BASES DE DATOS: Este check-list tiene como clave principal, comprobar la calidad de una base de datos, de esto depende tanto el éxito de una empresa, como la reputación del dominio de la misma, el presente check-list, ayudara a detectar duplicación de datos, errores, entre otros.
CUESTIONARIO DE CONTROL AUDITORÍA DE SISTEMAS LISTADO DE VERIFICACIÓN CONTROL INVENTARIO Empresa:
R/PT
Cuestionario de Control, Inventario, Instalaciones y Protección contra factores Ambientales Dominio Proceso Objetivo de Control Cuestionario Pregunta SI NO N/A ¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo? ¿Con cuanta frecuencia se revisa el inventario? ¿Se posee de bitácoras de fallas detectadas en los equipos? ¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento? ¿Se cuenta con servicio de mantenimiento para todos los equipos? ¿Con cuanta frecuencia se realiza mantenimiento a los equipos? ¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos? ¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas o adaptadas específicamente para funcionar como un centro de cómputo? ¿Se tienen medios adecuados para extinción de fuego en el centro de cómputo? ¿El centro de cómputo tiene alguna sección con sistema de refrigeración? ¿Se tiene plan de contingencia en caso de que fallen los controles ambientales? ¿Se cuenta con políticas claras y definidas al finalizar la vida útil de los elementos informáticos que se dan de baja ? ¿Se cuenta con interruptores generales? ¿Se cuenta con Planta de emergencia? TOTAL
B) CHECK-LIST AUDITORIA REDES Estos check-list son utilizados para realizar las comprobaciones rutinarias y asegurar el buen funcionamiento de las redes de comunicaciones internas de la empresa, al desarrollar completamente el check-list, se podrá localizar puntualmente la falencia del área de redes, para esto se relaciona a continuación el check-list utilizado. CUESTIONARIO DE CONTROL AUDITORÍA DE SISTEMAS LISTADO DE VERIFICACIÓN REDES Y COMUNICACIONES Empresa: R/PT Cuestionario de Control Bases de Datos Dominio Proceso Objetivo de Control Cuestionario Pregunta SI NO N/A ¿Todos los nodos se encuentran bajo un mismo estándar de modo que no se reduzca la velocidad de transmisión? ¿Los enlaces de la red se testean frecuentemente? ¿La longitud de los tramos de cableado horizontal no excede de los 90 metros? ¿El etiquetado implementado en la organización cuenta con un código de colores para facilitar su identificación? ¿Cuenta con dispositivo firewall físico para protección y aseguramiento de la red? ¿Las direcciones IP´S de los equipos de cómputo son implementadas de forma fija? ¿Se tiene conexión a tierra física para protección de equipos ante posibles descargas eléctricas que puedan afectar? Cuenta con dispositivos para la regulación del voltaje? Se tiene implementado un sistema de control de acceso a los centros de cableado y dispositivos? ¿Los equipos se encuentran instalados en áreas con temperaturas adecuadas para su funcionamiento? ¿La red cuenta con los equipos y aplicaciones (protección) necesarias para tener una mayor resguardo de intrusos activos (hackers)? ¿Existen planes de contingencia y continuidad que garanticen el buen funcionamiento de la red? Se tienen suficientes nodos en la red para conectar todos los equipos que lo requieren? ¿Los datos que viajan por internet se encuentran cifrados? Total
C) CHECK-LIST AUDITORIA DE INVENTARIOS En el momento de realizar la auditoria de inventarios, se debe tener en cuenta en primer lugar el funcionamiento y el estado de los equipos a cargo, también se debe tener conocimiento sobre el mantenimiento que se le realiza a los diferentes equipos que se relacionen en el inventario, para esto se utilizara el siguiente check-list, que nos ayudara a recolectar esta y más información de manera rápida y efectiva. CUESTIONARIO DE CONTROL AUDITORÍA DE SISTEMAS LISTADO DE VERIFICACIÓN CONTROL INVENTARIO Empresa: R/PT Cuestionario de Control, Inventario, Instalaciones y Protección contra factores Ambientales Dominio Proceso Objetivo de Control Cuestionario Pregunta SI NO N/A ¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo? ¿Con cuanta frecuencia se revisa el inventario? ¿Se posee de bitácoras de fallas detectadas en los equipos? ¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento? ¿Se cuenta con servicio de mantenimiento para todos los equipos? ¿Con cuanta frecuencia se realiza mantenimiento a los equipos? ¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos? ¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas o adaptadas específicamente para funcionar como un centro de cómputo? ¿Se tienen medios adecuados para extinción de fuego en el centro de cómputo? ¿El centro de cómputo tiene alguna sección con sistema de refrigeración? ¿Se tiene plan de contingencia en caso de que fallen los controles ambientales? ¿Se cuenta con políticas claras y definidas al finalizar la vida útil de los elementos informáticos que se dan de baja ? ¿Se cuenta con interruptores generales? ¿Se cuenta con Planta de emergencia? TOTAL
D) CHECK-LIST AUDITORIA EN SEGURIDAD Para toda empresa es importante y necesario, manejar un nivel de seguridad, tanto en los datos que maneja como en los equipos con los que cuenta esta, para verificar el nivel de seguridad de una empresa, se realizara el siguiente check-list, el cual nos permitirá conocer la metodología que utiliza la empresa para resguardar o asegurar sus datos y su información. CUESTIONARIO DE CONTROL AUDITORÍA DE SISTEMAS LISTADO DE VERIFICACIÓN CONTROL SEGURIDAD LÓGICA E INFORMÁTICA Empresa:
R/PT
Cuestionario de Control Seguridad Lógica e Informática Dominio Proceso Objetivo de Control Cuestionario Pregunta ¿Existen metodologías de respaldo de información? ¿La organización cuenta con un proceso para dar mantenimiento preventivo al software? ¿La organización cuenta con un proceso para dar mantenimiento correctivo al software? ¿Se tienen software antivirus instalados en los equipos de cómputo? ¿Cuentan con antivirus actualizado? ¿Cuenta con licencias de software? ¿Existe un proceso para mantener las licencias actualizadas? ¿Existe un proceso para adquirir nuevas licencias? ¿Se sanciona al integrante del departamento si instala software no permitido? ¿Realizan mantenimiento preventivo al equipo de cómputo? ¿Realizan mantenimiento correctivo al equipo de cómputo? ¿El equipo de cómputo cuenta con suficiente memoria RAM en función de los servicios que otorga? ¿La velocidad del procesador es el adecuado para los programas que son utilizados en los equipos? ¿Los usuarios de bajo nivel tienen restringido el acceso a las partes más delicadas de las aplicaciones? TOTAL
SI NO N/A
FORMATO HOJA DE VIDA- EQUIPO DE CÓMPUTO 1. DATOS DEL CLIENTE Nombre
Documento
Teléfono
Equipo N°
2. CONFIGURACIÓN ACTUAL HARDWARE Marca PC
Marca monitor
Velocidad GHz
serial PC serial Placa Serial proc.
Velocidad Mb
Serial RAM
Modelo PC Placa procesador Memoria RAM
Disco Duro marca
Capacidad Gb
Tarjeta de video Tarjeta de sonido
Capacidad Mb
Serial H.D IDE Serial video Serial sonido
SATA
.
Modelo monitor
Serial Monitor
teclado
Serial teclado
Mouse
Serial mouse
CDROM
Serial CDROM
Unidad de DVD
Serial DVD
Disco drive 3.5
Serial floppy
Otros dispositivos
Serial
Otros dispositivos
Serial
3. SOFTWARE Sistema operativo Paquete office Internet Multimedia
Service pack
Otros
Plugins
Service pack
Otros
Acrobat Reader
Otros Otros
Otros Otros
java Flash player
4. OBSERVACIONES N°
Descripción Tipo mantenimiento preventivo :
Correctivo
Mantenimiento predictivo
Fecha de ingreso Hora de ingreso
1.
Hora de salida Tipo mantenimiento preventivo :
2.
Correctivo
predictivo
Fecha de ingreso Hora de ingreso
Hora de salida
HALLAZGOS [Status]
HALLAZGOS
Los hallazgos de auditoría, se refieren a debilidades o fortalezas observadas por el auditor dentro de la empresa en componentes y elementos tales como procedimientos de control, ambiente de control, sistemas de información, entre otros .Un hallazgo debe tener ciertos requisitos:
Importancia relativa que merezca su comunicación. Debe basarse en hechos y evidencias precisas que figuran en los papeles de trabajo. Convincente a una persona que no ha participado en la auditoría
Después de obtener los resultados de las diferentes técnicas aplicadas, se definen los riesgos encontrados, después de un análisis de acuerdo a cada caso de estudio.
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
REF
Surtihogar Ltda. ENTIDAD AUDITADA AREA AUDITADA RESPONSABLES MATERIAL DE SOPORTE DOMINIO
HALLAZGOS
PAGINA 1 DE 2
SURTIHOGAR LTDA. OBJETO DE ESTUDIO
PROCESO
HALLAZGO
IMPACTO
AUDITORES RESPONSABLES
INFORME FINAL [Status]
INFORME GENERAL Objetivos Realizar la auditoria en la empresa Surtihogar Ltda. En el área de sistemas, con el fin de identificar vulnerabilidades en cuanto al hardware de comunicaciones, servidores y equipos de cómputo e Indicadores de funcionamiento, con respecto a mantenimiento, soporte, adquisición de hardware, inventarios, administración de cambios, funcionamiento del hardware. Objetivos específicos
Identificar cada uno de los procesos y procedimientos correspondientes al hardware de las comunicaciones, servidores, equipos de cómputo e indicadores del área de sistemas de la Empresa Surtihogar Ltda. Identificar debilidades y fortalezas en la parte física de las comunicaciones, servidores, equipos de cómputo e indicadores de funcionamiento. Identificar cada uno de los campos tomados como caso de estudio y proceder a realizar la auditoria en cada uno de ellos. Analizar el funcionamiento de las comunicaciones en cuanto a proveedores, contratos y soporte. Analizar el funcionamiento de los servidores en cuanto a garantías, instalaciones, respaldos, políticas de contingencia, políticas de seguridad y políticas de mantenimiento.
Verificar el cumplimiento de los indicadores de funcionamiento en los niveles de cobertura, de obsolescencia, de soporte tecnológico y tiempo fuera de servicio.
PORTAFOLIO DE SERVICIOS AUDITORES Y CONSULTORES S.A 2017
INFORME FINAL
Nombre del proceso especifico del dominio que se auditara
INFORME DE AUDITORÍA PROCESO AUDITADO OBJETIVO DE LA AUDITORÍA
ALCANCE
Lineamientos a seguir en el proceso
CRITERIOS DE AUDITORÍA: AUDITOR LÍDER: EQUIPO AUDITOR: FECHA DE AUDITORÍA:
Fecha en la cual se realizará a auditoria
LÍDER DEL PROCESO
Actividades concretas que serán auditadas
Auditor principal
Fecha límite para entregar un informe sobre auditpria El cargo que desempeña dentro de la empresa
FECHA DE ENTREGA DEL INFORME: CARGO
NOMBRE DEL AUDITADO
Nombre del representante legal o personal de la empresa auditada RESULTADOS DE LA AUDITORÍA
REQUISITO INCUMPLIDO
1. DESCRIPCIÓN DE LAS NC
Especificación de la normatividad 2. FORTALEZAS DEL ÁREA O PROCESO
Requisito que no cumple la empresa
Ventajas encontradas en el proceso de la auditoria 3. OPORTUNIDADES DE MEJORA
Aspectos a mejorar en el proceso de la Auditoria 4. CONCLUSIONES DE LA AUDITORÍA
Resultados en el proceso de la auditoria. 5. DOCUMENTOS REVISADOS Previo a la auditoría:
Revisión de documentos que pueden servir como papeles de trabajo en el proceso de la auditoria
Durante la auditoría:
Firma del auditor responsable FIRMA DEL AUDITOR LÍDER
Firma de la empresa auditada FIRMA AUDITADO