PROGRAMA DE AUDITORIA OPERATIVA
I.-Objetivos
1.-Evaluar la eficiencia y eficacia de los servicios prestados por el departamento de Rentas, el control interno, políticas generales y los procedimientos implementados por la administración.
II.- Objetivos Específicos
1.-Revisar y evaluar los procedimientos implementados para con los patentados.
2.-Verificar el cumplimiento de las políticas establecidas para la corta de agua y su reconexión.
3.-Indagar sobre el porcentaje de morosos y las políticas que sigue el departamento al respecto.
4.-Verificar que tan rentable suele ser la ley de espectáculos públicos
III.-Aspectos Generales
1.-Qué objetivos se ha fijado al departamento?
2.-Han tenido algún obstáculo para llevar a cabo esos objetivos?
3.-De qué otros departamentos depende rentas para ejecutar su labor?
4.-Es el personal del departamento suficiente y competente?
IV.- Cuestionario de organización
1.-Tienen claro los funcionarios del departamento quién o quiénes son sus jefes inmediatos?
2.-Quién establece y revisa los objetivos y políticas del departamento?
3.-Quién vela por el cumplimiento de esos objetivos y políticas?
4.-Con qué frecuencia se revisan?
5.-Existe un manual de operaciones en el departamento donde se indique claramente la distribución de funciones, políticas, objetivos y procedimientos?
6.-De qué departamento depende Rentas para ejecutar sus funciones?
7.-Cómo fluye la información de esos departamentos para con Rentas (es buena y oportuna)?
8.-Qué tan eficiente ha resultado ser el sistema de cómputo implementado en meses anteriores?
V.- Procedimientos a desarrollar.
1.-Indagar sobre los procedimientos establecidos para:
A.-Adquirir una patente
B.-Control de morosos
C.-Corta y reconexión de agua
D.-Control espectáculos públicos.
Para cada uno de los puntos anteriores debe indicarse el número de actividad, la actividad en sí y los responsables de ejecutarlas. (Use hojas adicionales)
2.-Verificar cuando menos 25 solicitudes de patentes correspondientes al periodo 89-90 y comprobar que el procedimiento ejecutado sea de acuerdo a lo indagado en el punto anterior.
3.-Realizar pruebas selectivas en el campo, para así comprobar que el procedimiento de corta de agua y reconexión son los más adecuados y a derecho.
4.-Verificar en el campo el procedimiento seguido en la ley de Espectáculos Públicos.
5.-Hacer un análisis de costo beneficio con respecto a la ley de espectáculos públicos, para comprobarse si es rentable.
Cuestionario control interno en PED
1.-Existe un manual actualizado que describa las funciones de cada puesto en el área de proceso de datos.
2.-Hay un manual de políticas y procedimientos bien estructurado, actualizado y que sea utilizado.
3.-Está prohibido que el personal de PED modifique transacciones enviadas a proceso por los usuarios.
4.-Las actividades de los programadores-operadores son revisados periódicamente por personal calificado.
5.-La actualización de archivos maestros requiere de autorización por parte del jefe de cómputo.
6.-Existen reportes adecuados para el control de aplicaciones.
7.-Se deja evidencia de la aprobación de los usuarios sobre el diseño de reportes, documentos fuente, reportes de control y otros.
8.-Se utilizan estándares para el diseño, programación y documentación de los sistemas.
9.-Se requiere que para cada nuevo sistema se realicen pruebas extensivas antes de su instalación definitiva.
10.-Cuando se realizan las pruebas del nuevo sistema sólo se hacen sobre archivos temporales de prueba.
11.-Las pruebas incluyen los procedimientos manuales relacionados con el nuevo sistema.
12.-Los resultados de las pruebas son aprobados por el departamento usuario y por la jefatura de PED antes de dejar en operación real el nuevo sistema.
13.-Los usuarios intervienen en la preparación de los datos de prueba.
14.-En el caso de que existan interfaces con otros sistemas se asegura la integridad de las mismas.
15.-La documentación de los sistemas, los archivos de pruebas, y otros, están físicamente seguros y su acceso es restringido sólo al personal autorizado que interviene en el desarrollo del sistema.
16.-Se requiere la autorización y aprobación escrita de los departamentos usuarios y del jefe de cómputo para realizar modificaciones a los sistemas, excepto aquellos que corrigen errores de programación.
17.-Se lleva un registro control de los cambios que se han implementado y de los que están en proceso.
18.-Existen procedimientos que definan claramente quien origina un cambio y quien lo autoriza.
19.-Cuando se trata de cambios a los programas del sistema son revisados a detalle por los supervisores de programación.
20.-Se utilizan procedimientos estándares para la autorización, realización, prueba y documentación de los cambios.
21.-Se requiere una petición escrita para los cambios solicitados que explique claramente las modificaciones necesarias.
22.-Los cambios son realizados por personal que sólo opera el computador.
23.-Los cambios son documentos y se incluyen en la documentación del sistema.
24.-Los cambios a los programas o a los procedimientos de los usuarios, son sujetos a pruebas exhaustivas y aprobaciones antes de su instalación.
25.-Las pruebas se efectúan sólo sobre archivos de prueba.
26.-Los resultados de las pruebas son revisados y aprobados por los departamentos usuarios y de cómputo.
27.-La documentación de los sistemas está físicamente segura y se restringe su acceso sólo a personal autorizado del área de PED.
28.-No se permite que los programadores tengan acceso directo a los archivos del computador que contienen los programas de los sistemas.
29.-Existen instructivos escritos y detallados de operación para cada sistema, incluyendo preparación para cada proceso, disposición de archivos, acciones correctivas y se verifica que sean seguidos.
30.-La intervención del operador para cada proceso se reduce a lo estrictamente indispensable.
31.-Los diferentes archivos se encuentran adecuadamente identificados tanto con etiquetas externas como internas.
32.-Están bien diferenciados los archivos de prueba de los que se utilizan normalmente para procesar los sistemas.
33.-Existe un registro manual o por medio de la computadora de las actividades y procesos que efectúan cada uno de los operadores.
34.-Se lleva un calendario para efectuar el proceso de los sistemas verificando que se cumplan las fechas establecidas y reportando adecuadamente las excepciones. Esto es, reciben calendario de entrega de reportes.
35.-Se obtienen reportes sobre la utilización de la computadora identificando los departamentos usuarios a los que les corresponden el tiempo utilizado.
36.-Existen políticas definidas y aprobadas para restringir el acceso a la operación del computador sólo a los operadores. Todas las demás personas que necesiten entrar a la sala del computador (representantes del proveedor de la máquina, programadores, y otros), son acompañadas y observadas por los supervisores y no les está permitido operar el computador.
37.-Existen barreras físicas que restringen el acceso a la sala del computador (puerta cerrada y otros).
38.-El acceso se restringe por medio de tarjetas o credenciales, guardias u otros dispositivos que identifiquen al personal autorizado.
39.-Se tiene establecida una función especial (mesa de control) a través de la cual los usuarios canalizan todas las transacciones que envían a proceso.
40.-Se tiene establecida una política formal para la obtención de los respaldos de los archivos de información y programas de los sistemas.
41.-Con qué frecuencia se respaldan los archivos maestros. Los respaldos se almacenan fuera de las instalaciones de la municipalidad.
42.-Los respaldos almacenados en lugares fuera de las instalaciones con qué frecuencia se utilizan.
43.-El acceso a los respaldos está restringido sólo a personas autorizadas.
44.-Qué áreas están computadorizadas.
45.-Con cuántos sistemas cuenta actualmente la municipalidad?
46.-Con cuántas bases de datos cuenta cada sistema computarizado?
47.-En cuanto a la normalización de las bases de datos .Cuántas formas han utilizado? 1. 2. 3. 4. ó la 5?
48.-Cuántos reportes se imprimen en el centro de cómputo?
49.-Qué oficinas o departamentos requieren esta información?
50.-Existen listados o reportes exclusivos y resumidos?
51.-A quién (es) se les envía los mismos?
52.-Con qué frecuencia se emiten los mismos?
CONTROLES GENERALES
A.-Información General sobre Hardware (parte física del computador)
1.-Dónde está situado el computador?
2.-Describa en el formato que se presenta el tipo o tipos de equipo utilizados generalmente en el sistema de procesamiento de datos.
|
TIPO
|
MARCA |
MODELO NO. |
CANTI DAD |
DESCRIP CION |
|
Controlador
|
|
|
|
|
|
Unidades de Disco
|
|
|
|
|
|
Unidades de Cinta
|
|
|
|
|
|
Impresoras
|
|
|
|
|
|
Lector de Tarjetas
|
|
|
|
|
|
Otros
|
|
|
|
|
3.-Describa las adiciones al sistema, pedidas o bajo consideración. Redacte brevemente las razones para las adiciones, retiros o cambios.
B.-Plano
de la Organización
1.-Organigrama. Un factor importante en el control interno es la organización del departamento de PED. Debe ser diseñado para dar un máximo servicio a otros departamentos, siendo sin embargo independiente de ellos. Prepare un organigrama del departamento de PED (Sino se cuenta con el). Incluyendo la información de la fecha de contratación de los empleados claves.
2.-Está limitado el acceso al computador a personas que tienen razones legítimas para estar allí?
3.-Existe una persona o grupo encargado de las responsabilidades de la función del control en PED, quién:
a.-Revisa todos los datos de entrada y verifica la información de control?
b.-Reconcilia y/o revisa la información de control o procesamiento (control de totales, de corrida, y otros)?
c.-Revisa y controla la distribución de todas las salidas del computador?
d.-Mantiene control sobre el manejo de los errores para asegurar que son reportados, corregidos y procesados?
4.-Si existe un grupo de auditoría interna. Realiza éste grupo actividades de control del PED relativas a:
(a) Revisión de las aplicaciones en proceso para la inclusión de los controles y rastreos de auditoría necesarios?
(b) Revisión de las actividades diarias de control, tales como chequeo de excepciones, reporte de errores, control de totales, y otros.
© Participación en las fases de prueba y conversación?
(d) Revisión periódica de los controles críticos en departamento de PED?
(e) Utilización del computador para ayudar en chequeo de los controles internos?
(f) Describa la naturaleza y extensión de otras actividades?
5.-Existen adecuadas previsiones para el uso de métodos y facilidades alternas de procesamiento en caso de una interrupción prolongada del computador?
Si es así. Con qué frecuencia se han utilizado o probado estas facilidades?
C.-Documentación
1.-Existe un manual de instrucciones de operación preparado para cada corrida del computador?
2.-Se hace periódicamente una revisión de la documentación para asegurar que se cumplen los estándares prescritos?
3.-Refleja la documentación todos los cambios o sencillamente está mantenida al día?
4.-Se utilizan formularios de solicitud de cambios para efectuar cambios en los programas?
5.-Están autorizados los cambios en los programas por los usuarios y/o el personal de supervisión?
6.-Están debidamente autorizados los cambios en los programas por los usuarios o personal de supervisión antes de colocarlos en producción?
7.-Se encuentran documentadas todas las revisiones de programas junto con sus fechas de efectividad, de manera que tengan un verdadero orden cronológico de cambios a cada programa?
8.-Se mantiene un diario con las operaciones de la máquina que incluye identificación de corrida, identificación del operador, comienzo y fin de tiempo, paradas por errores y detalles de nuevas corridas?
9.-Se hace una supervisión independiente de la revisión del diario de máquina?
Si se hace, indique:
(A) Con qué frecuencia?
(b) Quién la hace?
© Cómo se hace?
10.-Si el computador tiene una consola, hay una supervisión independiente de la revisión del diario de la consola para determinar los problemas del operador y las intervenciones no autorizadas?
Si se hace, indique:
(A) Con qué frecuencia?
(b) Quién la hace?
© Cómo se hace?
11.-Está controlado el diario de consola por páginas prenumeradas u otro tipo de control para asegurar que se encuentra completo y confiable?
Describa los procedimientos de control.
12.-Si es utilizada una pantalla CTR en lugar de la consola existe algún tipo de análisis estadístico, informe de excepciones, o se mantiene un diario (log) histórico?
Si es así. Indique con qué frecuencia el contenido histórico es listado y revisado, y por quién?
13.-Se mantienen registros de los errores ocurridos en la máquina (hardware)?
Si es así. Son estos registros distribuidos sólo a los empleados o a los departamentos responsables que están autorizados para tener acceso a ellos?
C.- Almacenamiento y protección del archivo
1.-Están mantenidos en un lugar a prueba de fuego los programas importantes del computador y otra documentación esencial como los registros y archivos?
2.-Están guardados en un lugar fuera de los predios los duplicados de los programas importantes y otra documentación esencial como instrucciones de operación, registro y archivos?
3.-Se usan en todos los archivos las etiquetas internas tanto en las cintas como en discos?
4.-MISMA ANTERIOR SEGUN DOCUMENTO ORIGINAL.
5.-Son probadas por los programas las etiquetas internas?
6.-Si los archivos no tienen etiquetas internas. Son adecuados los procedimientos de control? Describa los procedimientos.
7.-Descansa la responsabilidad de guardar y entregar las cintas magnéticas o los paquetes de disco en un bibliotecario, o sea a tiempo completo o no, quien es independiente de la operación del computador?
8.-Proveen los procedimientos de la biblioteca un control adecuado sobre el acceso y uso de los archivos y programas?
9.-Existe una política escrita para la retención de reportes importantes, archivos y otros medios en lenguaje de máquina?
D.-Informaciones generales sobre las principales aplicaciones contables
|
No.
|
APLICACION |
DESCRIPCION |
|
1. |
|
|
|
2. |
|
|
|
3. |
|
|
|
4. |
|
|
|
5. |
|
|
|
6. |
|
|
|
7. |
|
|
|
8. |
|
|
|
9. |
|
|
A.-Descripción
1.-Nombre de la aplicación.
2.-Si esta aplicación es un subsistema (Ej. cuentas por pagar y/o nómina que son parte de un sistema de contabilidad integrado o de un paquete mayor. Cuál es el sistema del cual forma parte?
3.-Describa brevemente la aplicación?
4.-Haga una lista de todos los reportes producidos en esta aplicación.
|
NOMBRE DEL REPORTE
|
FRECUENCIA |
NUMERO DE COPIAS |
DIST. A DETALLO EN HOJAS SI ES NECESARIO. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5.-Liste los nombre de los archivos maestros del cliente usados en esta aplicación y describa el archivo?
|
Nombre |
Descripción |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
6.-Liste todos los archivos de entrada y/o transacciones utilizados en esta aplicación.
FUENTE
|
TIPO DOCUMENTO DATOS Y OTROS |
ORIGEN PERSONA DEPTO. LUGAR |
METODO DE CONVERSA CION DE LOS DATOS A LENGUAJE DE MAQUINA |
VERIFICACION DE CION A LENGUAJE DE MAQUINA |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7.-Si en la pregunta 6. Usted indicó ¨SI¨ a la verificación la fuente de los datos, describa el proceso.
CONTROLES DE LOS DATOS DE ENTRADA
1.-Son los documentos- fuente sometidos a proceso, fechados, o inutilizados por el departamento de PED para evitar su duplicación (como perforar un mismo documento dos veces)?
Si es así, describa la política.
2.-Se están utilizando técnicas de control en la preparación de la información-fuente por parte del departamento que la origina, y que elimina todo o parte de la función de preparación de información de entrada (tal como tarjetas con datos pre impresos o pre perforados)?
3.-Preparan los departamentos una relación de trámite para los documentos que entregan a PED que incluya totales de control de los importes, fechas, totales de control , de campos importantes, número de transacción y otros.
Describa los procedimientos de entrega y control?
4.-Son revisados los documentos-fuente en cuanto a su autorización y preparación, antes de su conversación al lenguaje de máquina?
Si es así. Describa los procedimientos.
5.-Son revisados los totales de control de entrada después del proceso por alguien independiente al PED?
Por quién?
Describa el procedimiento.
6.-Son sometidas al mismo chequeo y rutinas de control que las transacciones originales, las transacciones que corrigen errores y ajustes que se vuelven a introducir en el sistema de PED?
7.-Son adecuados los procedimientos de corrección de errores para asegurar que los errores son finalmente corregidos o resueltos?
8.-Proveen los registros de
(a) Seguir la pista a una transacción hasta un total final?
(b) Rastrear una transacción hasta el documento fuente o entrada?
© Analizar cualquier total con las transacciones que lo competen?
9.-Cuando los diarios (general o auxiliar) están llevados por el computador, proveen los sistemas de proceso?
(a) Un registro histórico de actividades en cada cuenta?
(b) Un balance de comprobación periódico?
10.-Son retenidos los documentos - fuente original por un periodo adecuado de tiempo de manera de poder identificarlos con los registros de salida correspondiente.
11.-Describa las pruebas de control a los cuales son sometidos los datos de entrada (Ej. códigos, caracteres, campos, transacciones, secuencia, límite y otros) para verificar que estén completos, adecuados y razonables.
12.-Si las pruebas de control rechazan alguna entrada qué medios son utilizados para notificar al usuario?
C.-Controles de proceso
1.-Si los reportes de excepciones son generados por el procesamiento en condiciones anormales, tales como transacciones sin maestra, describa estos reportes indicando a quién son distribuidos para su corrección, y los controles existentes que aseguren la reincorporación de correcciones como dato de entrada.
2.-Cuando los procesos incluyen varios programas o fases. Se reconcilian los totales de control (totales de corridas) de cada fase del proceso con los totales de control de entrada?
Describa el procedimiento usado.
3.-Si el proceso es detenido antes de completar la corrida. Cuáles son los procedimientos de recomienzo?
4.-Existen duplicados o copias de lo siguiente:
|
NOMBRE |
|
Origen programa |
|
Objeto programa |
|
Documentación |
|
Especificaciones del programa |
|
Instrucciones de operación |
|
Instrucciones del usuario |
|
Flujo gramas |
|
Listado de programa |
5.-Incluyen la documentación para esta aplicación lo siguiente?
|
NOMBRE |
|
Informe sobre el problema |
|
Flujo grama del sistema |
|
Detalle de los registros |
|
Flujo grama del programa |
|
Listado del programa |
|
Prueba de información |
|
Instrucciones de operación |
|
Resumen de controles |
D.-Controles de Salida
1.-Se hacen relaciones de la distribución de reportes?
Si es así. Con qué frecuencia son revisados?
2.-Quién tiene la responsabilidad de distribuir los reportes de computación a sus debidos usuarios?
3.-Quién está autorizado a solicitar una copia de los reportes?
E.-Control ejercicio sobre los archivos maestros
1.-Son los cambios en los archivos maestros originados en, y autorizados por escrito por los departamentos de operación?
2.-Se facilita a los departamentos que originan o autorizan cambios en los archivos maestros, información o registros que muestran los cambios efectivamente hechos?
3.-Existe un almacenamiento de los archivos maestros fuera de los predios de la municipalidad?
4.-Existen adecuados provisiones para el chequeo periódico del contenido del archivo maestro?. Descríbalas.
5.-Con qué frecuencia son copiados los archivos?
6.-Describa los controles sobre la actualización del archivo maestro?
7.-Describa los procedimientos de reconstrucción de los archivos?
F.-Controles de Teleproceso
1.-Indique la localización y número de los terminales:
|
LOCALIZACION |
NUMERO |
|
|
|
|
|
|
|
|
|
|
|
|
2.-Describa el tipo de transacciones que son transmitidas desde / a los terminales.
3.-Se utilizan claves para identificar los usuarios? Si es así. Son cambios frecuentemente?
4.-Describa los procesos e indique nombre y cargo de la persona responsable para la asignación de las claves.
5.-Están las claves diseñadas de tal manera que permitan al usuario el acceso a solamente aquellos archivos, registros o campos pertinentes a sus necesidades en particular?
6.-Se mantiene un diario del personal con acceso al sistema, métodos utilizados y de las transacciones procesadas?
Si es así. Indique con qué frecuencia se relaciona la información y quién la revisa. Describa los controles en uso.
7.-Son adecuados los controles para asegurar que todos los datos transmitidos son correctamente recibidos e incorporados al sistema?.
Describa los controles en uso.