Auditoria De La Explotacion 2s2q6a
This document was ed by and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this report form. Report r6l17
Overview 4q3b3c
& View Auditoria De La Explotacion as PDF for free.
More details 26j3b
- Words: 6,864
- Pages: 31
1 Sistemas De Información (Si) Un sistema de información es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio. El Sistema de Información es un conjunto de elementos orientados al tratamiento y istración de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad u objetivo. Dichos elementos formarán parte de alguna de estas categorías:
Elementos de un sistema de información.
Personas.
Datos.
Actividades o técnicas de trabajo.
Recursos materiales en general.
Todos estos elementos interactúan entre sí para procesar los datos dando lugar a información más elaborada y distribuyéndola de la manera más adecuada posible en una determinada organización en función de sus objetivos. Un sistema de información realiza cuatro actividades básicas: entrada, almacenamiento, procesamiento y salida de información.
3
1.1 Entrada de Información Es el proceso mediante el cual el Sistema de Información toma los datos que requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las manuales son aquellas que se proporcionan en forma directa por el , mientras que las automáticas son datos o información que provienen o son tomados de otros sistemas o módulos, estas se denominan interfaces automáticas.
1.1.2 Almacenamiento de información A través de esta propiedad el sistema puede recordar la información guardada en la sección o proceso anterior. Esta información suele ser almacenada en estructuras de información denominadas archivos. La unidad típica de almacenamiento son los discos magnéticos o discos duros, los discos flexibles o diskettes y los discos compactos (CD-ROM).
1.1.3 Procesamiento de Información Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo con una secuencia de operaciones preestablecida. Estos cálculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos que están almacenados.
1.1.4 Salida de Información La salida es la capacidad de un Sistema de Información para sacar la información procesada o bien datos de entrada al exterior. Es importante aclarar que la salida de un Sistema de Información puede constituir la entrada a otro Sistema de Información o módulo. En este caso, también existe una interfase automática de salida. 1.1.5 Ciclo de vida de los Sistemas de Información Existen pautas básicas para el desarrollo de un Sistema de Información para una organización: 4
Conocimiento de la Organización: analizar y conocer todos los sistemas que forman parte de la organización, así como los futuros s del SI. En las empresas lucrativas, se analiza el proceso de negocio y los procesos transaccionales a los que dará soporte el SI.
Identificación de problemas y oportunidades: El segundo paso es relevar las situaciones que tiene la organización y de las cuales se puede sacar una ventaja competitiva, así como las situaciones desventajosas o limitaciones que hay que tomar en cuenta.
Determinar las necesidades: Este proceso también se denomina elicitación de requerimientos. En el mismo, se procede identificar a través de algún método de recolección de información la información relevante para el SI que se propondrá.
Diagnóstico: En este paso se elabora un informe resaltando los aspectos positivos y negativos de la organización. Este informe formará parte de la propuesta del SI y, también, será tomado en cuenta a la hora del diseño.
Propuesta: Contando ya con toda la información necesaria acerca de la organización es posible elaborar una propuesta formal dirigida hacia la organización donde se detalle el presupuesto, relación costo-beneficio, presentación del proyecto de desarrollo del SI.
Diseño del sistema: Una vez aprobado el proyecto, se comienza con la elaboración del diseño lógico del SI, la misma incluye el diseño del flujo de la información dentro del sistema, los procesos que se realizarán dentro del sistema, entre otros. En este paso es importante seleccionar la plataforma donde se apoyará el SI y el lenguaje de programación a utilizar.
Codificación: Con el algoritmo ya diseñado, se procede a su reescritura en un lenguaje de programación establecido, es decir, en códigos que la máquina pueda interpretar y ejecutar.
Implementación: Este paso consta de todas las actividades requeridas para la instalación de los equipos informáticos, redes y la instalación del programa generado en la codificación.
5
Mantenimiento: Proceso de retroalimentación, a través del cual se puede solicitar la corrección, el mejoramiento o la adaptación del SI ya creado a otro entorno.
1.1.6 Tipos de sistemas de información Debido a que el principal uso que se da a los Sistemas de Información es el de optimizar el desarrollo de las actividades de una organización con el fin de ser más productivos y obtener ventajas competitivas, se puede clasificar a los sistemas de información en:
Sistemas Competitivos
Sistemas Cooperativos
Sistemas que modifican el estilo de operación del negocio
Según la función a la que vayan destinados o el tipo de final del mismo, los SI pueden clasificarse en: 1.1.7 Sistema de procesamiento de transacciones (TPS) Gestiona la información referente a las transacciones producidas en una empresa u organización, también se le conoce como Sistema de Información operativa. 1.1.8 Sistemas de información gerencial (MIS) Orientados a solucionar problemas empresariales en general. 1.1.9 Sistemas de soporte a decisiones (DSS) Herramienta para realizar el análisis de las diferentes variables de negocio con la finalidad de apoyar el proceso de toma de decisiones. 1.1.10 Sistemas de información ejecutiva (EIS) Herramienta orientada a s de nivel gerencial, que permite monitorizar el estado de las variables de un área o unidad de la empresa a partir de
6
información interna y externa a la misma. Es en este nivel cuando los sistemas de información manejan información estratégica para las empresas. Con el tiempo, otros sistemas de información comenzaron a evolucionar. Los primeros proporcionan información a los siguientes a medida que aumenta la escala organizacional. 1.1.11 Sistemas de automatización de oficinas (OAS) Aplicaciones destinadas a ayudar al trabajo diario del istrativo de una empresa u organización. 1.1.12 Sistema Planificación de Recursos (ERP) Integran la información y los procesos de una organización en un solo sistema. 1.1.13 Sistema experto (SE) Emulan1 el comportamiento de un experto en un dominio concreto. 1.1.14 Sistemas de Información Estratégicos Puede ser considerado como el uso de la tecnología de la información para soportar o dar forma a la estrategia competitiva de la organización, a su plan para incrementar o mantener la ventaja competitiva o bien reducir la ventaja de sus competidores. Su función primordial es crear una diferencia con respecto a los competidores de la organización que hagan más atractiva a ésta para los potenciales clientes. 1.1.1.5 Aplicación de los sistemas de información Los sistemas de información tratan el desarrollo, uso y istración de la infraestructura de la tecnología de la información en una organización.
1
En informática, un emulador es un software que permite ejecutar programas o videojuegos en una plataforma (sea una arquitectura de hardware o un sistema operativo) diferente de aquella para la cual fueron escritos originalmente.
7
El mayor de los activos de una compañía hoy en día es su información, representada en su personal, experiencia, conocimiento, innovaciones. Para poder competir, las organizaciones deben poseer una fuerte infraestructura de información, en cuyo corazón se sitúa la infraestructura de la tecnología de información. De tal manera que el sistema de información se centre en estudiar las formas para mejorar el uso de la tecnología que soporta el flujo de información dentro de la organización. 2 Carta De Encargo Es el documento por medio del que una empresa, sociedad o grupo de sociedades contrata la prestación de un servicio de auditoría con el fin de determinar la situación existente en la citada empresa, sociedad o sociedades contratantes en un momento determinado. Es decir, es el compromiso de una empresa frente a un auditor, solicitando que éste le haga un diagnóstico del cumplimiento de las normas y lleve un adecuado control en la empresa en un momento determinado. El propósito de una carta de encargo o acuerdo escrito entre el auditor y su cliente, es proporcionar evidencia que defina el alcance y el objetivo del trabajo a realizar, y que por tanto, evite cualquier malentendido con respecto al mismo. El auditor deberá acordar por escrito con su cliente el objetivo y alcance del trabajo, así como sus honorarios o los criterios para su cálculo para todo el periodo de nombramiento. En el contrato o carta de encargo se deberá indicar el total número de horas estimado para la realización del trabajo. Cuando el nombramiento se efectúa por un Registrador Mercantil o un Juez se deberá detallar, asimismo, el número de horas presupuestado por áreas de trabajo. A estos efectos, antes de aceptar el nombramiento, el auditor podrá solicitar de la empresa o entidad auditada todos los datos que considere necesarios para preparar su propuesta.
8
Antes de aceptar el encargo el auditor debe considerar si existe alguna razón que aconseje su rechazo por razones éticas o técnicas. 3 Planificación En grandes líneas de trata de prever la utilización de las tecnologías de la informática en la empresa. Existen varios tipos de planes informáticos. El principal y origen de todos los demás, lo constituye el Plan Estratégico de Sistemas de Información. 3.1 Plan Estratégico de Sistemas de Información Es el marco básico de actuación de los Sistemas de Información en la empresa, debe asegurar el lineamiento de los mismos con los objetivos de la misma empresa. Desgraciadamente, la transformación de los objetivos de la empresa en objetivos informáticos no es siempre una tarea fácil, mucho se ha escrito sobre el contenido y las ventajas e inconvenientes de las diversas metodologías de realización de este tipo de planes. No se trata en estos breves apuntes de tercias en dicha polémica. El lector encontrara abundante bibliografía sobre la materia, el auditor deberá evaluar si tales metodologías se están utilizando y/o pueden ser de utilidad para su empresa. Estrictamente hablando, estos planes no son responsabilidad exclusiva de la Dirección de Informática, su aprobación final probablemente incumbe a otros estamentos de la empresa: Comité de Informática e incluso en último término de la Dirección General. Sin embargo, la Dirección de Informática debe ser el permanente impulsor de una planificación de Sistemas de Información adecuada y a tiempo Aunque suele definir la vigencia de un plan estratégico como de 3 a 5 años, de hecho tal plazo es muy dependiente del entorno en que se mueve la empresa, hay muchos factores que influyen; la cultura de la propia empresa, el sector de actividad es decir si la empresa se encuentra en un sector en el que el uso adecuado de la tecnología informática es un factor estratégico por ejemplo, las acciones de la competencia, etc. Cada empresa tiene su equilibrio natural y el 9
auditor deberá evaluar si los plazos en uso en su empresa son los adecuados, con la identificación y comprensión de los mecanismos existentes de seguimiento y actualización del plan y de su relación con la evolución de la empresa. 3.2 Otros Planes Relacionados Como se ha comentado más arriba normalmente, deben existir otros planes informáticos todos ellos nacidos al amparo del Plan Estratégico, entre otros los más habituales pueden ser:
Plan Operativo Anual
Plan de Dirección Tecnológica
Plan de Arquitectura de la Información
Plan de Recuperación ante Desastres
Algunos de ellos (Plan Tecnológico, Plan de Arquitectura) aparecen a veces integrados en el propio Plan Estratégico. En ese capítulo se trataran solo dos de estos planes, los más comunes y que, además siempre tienen vida propia. Plan Operativo y Plan de Recuperación. 3.2.1 Plan Operativo Anual El Plan Operativo se establece al comienzo en cada ejercicio y es el que marca las pautas a seguir durante el mismo, debe estar obviamente alineado con el Plan Estratégico, asimismo deberá estar precedido de una recogida de necesidades de los s. El Plan Operativo de Sistemas de Informática describe las actividades a realizar durante el siguiente ejercicio natural, entre otros aspectos debe señalar los sistemas de información a desarrollar, los cambios tecnológicos previstos, los recursos y los plazos necesarios, etc. El auditor deberá evaluar la existencia del Plan y su nivel de calidad, deberá estudiar su lineamiento con el Plan Estratégico, su grado de atención a las necesidades de los s, sus previsiones de los recursos necesarios para llevar a cabo el plan, etc. Deberá analizar si los plazos descritos son realistas
10
teniendo en cuenta entre otras cosas, las experiencias anteriores en la empresa, etc. 3.2.2 Plan de Recuperación ante Desastres Una instalación informática puede verse afectada por desastres de variada naturaleza, incendio, inundación, fallo de algún componente critico de hardware, robo, sabotaje, acto de terrorismo, etc., que tengan como consecuencia inmediata la indisponibilidad de un servicio informático adecuado. La Dirección debe prever esta posibilidad y por tanto planificar para hacerle frente. 3.3 Clasificación De Los Controles Se han clasificado tradicionalmente, entre Controles generales y Controles de las aplicaciones. 3.3.1 Controles Generales La Norma No. 48 SAS los define como “Aquellos que están relacionados con todas o con la mayoría de las actividades contables informatizadas, que generalmente incluyen controles del desarrollo de las modificaciones y del mantenimiento de programas informáticos y controles de la utilización y modificación de los datos que se mantienen en archivos informáticos”. La RAE manifiesta que son aquellos que afectan un centro del proceso electrónico de datos. Se consideran también controles generales la protección de activos (hardware y software). 3.3.1.2 Clasificación de los Controles Generales 3.3.1.2.1 Controles operativos y de organización
Segregación de funciones entre el servicio de información y los s.
Contar con una autorización general para ejecutar transacciones del departamento
Segregar funciones en el departamento de informática. 11
3.3.1.2.2 Control sobre el desarrollo de programas y sus documentos
Realizar revisiones, pruebas y aprobar nuevos sistemas
Tener control de las modificaciones a los programas.
Procedimientos de documentación
3.3.1.2.3 Controles sobre los programas y los equipos
Características para detectar errores de forma automática
Realizar mantenimientos preventivos.
Guías para salir de los errores del equipo (hardware).
Tener control y autorización en la implementación adecuada de sistemas.
3.3.1.2.4 Controles de
Sirven para detectar o prevenir errores accidentales causados por el uso o manipulación inadecuada de los archivos de datos y uso no autorizado de los programas.
3.3.1.2.5 Controles sobre los procedimientos y los datos
Elaborar manuales escritos para soportar los procedimientos y los sistemas de aplicación.
Realizar conciliaciones entre los datos fuente y los datos informáticos.
Capacidad de recuperar archivos perdidos, incorrectos o deteriorados.
3.3.2 Controles De Las Aplicaciones Los controles de las aplicaciones están relacionados con las propias aplicaciones informatizadas. Los controles básicos de las aplicaciones son tres: captura, proceso y salida. 3.3.2.1 Controles sobre la captura de datos
Altas de movimiento
Modificaciones de movimiento
Consultas de movimientos 12
Mantenimiento de los archivos
3.3.2.2 Controles de proceso Estos controles regularmente se incluyen en los programas y están diseñados para prevenir o detectar los siguientes errores:
Entrada de datos repetidos.
Procesamiento y actualización de archivo o archivos equivocados.
Entrada de datos ilógicos.
Pérdida o distorsión de datos durante el proceso.
3.3.2.3 Controles de salida y distribución: Estos controles se diseñan para asegurar que el resultado del proceso es exacto y que los informes y demás salidas los reciben solo las personas que estén autorizadas. En el proyecto Cobit se establece una nueva clasificación, donde se afirma que existen tres niveles en las Tecnologías de la información a la hora de considerar la gestión de sus recursos: actividades y/o tareas, procesos y dominios. 3.3.2.3.1 Actividades y tareas Estas son necesarias para alcanzar un resultado cuantificable. Las actividades suponen un concepto cíclico, mientras que las tareas implican un concepto algo más discreto. 3.3.2.3.2 Procesos Estos se definen como una serie de actividades o tareas unidas por interrupciones naturales. 3.3.2.3.3 Dominios Los procesos se agrupan de forma natural dando lugar a los dominios, que se confirman, generalmente, como dominios de responsabilidad en las estructuras organizativas de las empresas y están en línea con el ciclo de gestión aplicable a los procesos de las Tecnologías de la Información. 13
La Guía de Auditoría del Proyecto Cobit recoge 32 procesos de los Sistemas de Información donde se sugieren los objetivos de control. Esos procesos están agrupados en cuatro dominios. Dominios y procesos de las tecnologías de información: 1. Planificación y organización 1.1 Definir el plan estratégico de las Tecnologías de información (TTI). 1.2 Definir la arquitectura de la información. 1.3 Determinar la dirección tecnológica. 1.4 Definir la organización y las relaciones. 1.5 Gestión de las inversiones. 1.6 Comunicar las tendencias a la dirección. 1.7 Gestión de recursos humanos. 1.8 Asegurarse del cumplimiento de los requisitos externos. 1.9 Evaluación del riesgo. 1.10 Gestión de proyectos. 1.11 Gestión de la calidad.
2. Adquisición e implementación 2.1 Identificar las soluciones automatizadas. 2.2 Adquirir y mantener el software. 2.3 Adquirir y mantener la arquitectura tecnológica. 2.4 Desarrollar y mantener procedimientos. 2.5 Instalar y acreditar los sistemas. 2.6 Gestión de los cambios.
3. Adquisición y mantenimiento 3.1 Definir el nivel de servicios. 3.2 Gestionar los servicios de las terceras partes. 3.3 Gestionar la capacidad y el funcionamiento. 3.4 Asegurarse del servicio continuo. 3.5 Asegurarse de la seguridad de los sistemas. 3.6 Identificar y localizar los costes. 3.7 Formación teórica y práctica de los s. 14
3.8 Asistir y asesoras a los clientes. 3.9 Manejo de la configuración. 3.10 Gestión de los problemas y de los incidentes. 3.11 Gestión de los datos. 3.12 Gestión de las actividades. 3.13 Gestión de la explotación.
4. Monitorización: 4.1 Monitorizar el proceso. 4.2 Independencia.
3.4 Evaluación de los Controles Internos El libro “Auditoría Informática, un enfoque práctico”, segunda edición del autor Mario Piattini, menciona que “es función del auditor evaluar el nivel de control interno; también es de su responsabilidad juzgar si los procedimientos establecidos son los adecuados para salvaguardar el sistema de información”. La Norma Internacional de Auditoría No. 15, sección 401, contiene los principios básicos para una Auditoría en un Ambiente de Sistemas de Información
Computarizada,
proporcionando
lineamientos
sobre
los
procedimientos que deben seguirse cuando se realiza una auditoría en un ambiente de sistema de información computarizada (SIC). El objetivo y alcance globales de una auditoría no cambia en un ambiente SIC. Sin embargo el uso de una computadora cambia el procesamiento, almacenamiento y comunicación de la información financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad. El auditor debería tener suficiente conocimiento del SIC para planear, dirigir, supervisar y revisar el trabajo desarrollado. El auditor debería considerar si se necesitan habilidades especializadas en SIC para una auditoría.
Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de un profesional con dichas habilidades, quien puede pertenecer al personal del auditor o ser un profesional externo. 15
Cuando el SIC es significativo, el auditor deberá también obtener una comprensión del ambiente SIC y de si puede influir en la evaluación de los riesgos inherentes y de control.
Los riesgos inherente y de control en un ambiente SIC pueden tener tanto un efecto
general
como
especifico
por
cuenta
de
la
probabilidad
de
representaciones erróneas importantes tales como por ejemplo:
Deficiencias en actividades generales del SIC como desarrollo y mantenimiento de programas, soporte al software de sistemas, operaciones, seguridad física del SIC y control sobre el a programas.
Errores o actividades fraudulentas en aplicaciones específicas, en bases de datos específicas o en archivos maestros.
Los procedimientos de auditoría de acuerdo a la NIA “Evaluaciones del riesgo y control interno”, el auditor debería considerar el ambiente SIC al diseñar los procedimientos de auditoría para reducir el riesgo de auditoría a un nivel aceptablemente bajo, para lo cual se desarrollan diferentes etapas en el proceso de evaluación las mismas consisten en recabar la mayor información disponible sobre:
Manuales de funciones y procedimientos para SIC.
Contratos de servicios de mantenimiento y soporte de SIC.
Políticas para los s y manipulación de los SIC.
Estado físico del equipo de cómputo.
Rotación de personal que manipula información relevante del SIC.
Entre otros.
Para el logro de una evaluación del control interno eficaz y significativa la cual brinde al auditor entera satisfacción de que los SIC han sido conocidos, interpretados y puestos a prueba, el autor hace mención a la realización de 16
diversos procedimientos los cuales se deberían de realizar en la Planeación Estratégica, los mismos constan de cuestionarios de control interno, los cuales se deberían plantear en forma de pregunta cerrada y tomando como base la documentación que el auditor debió recopilar durante el proceso de obtención de normas, reglamentos, leyes, etc., los cuales normen el funcionamiento de los SIC.
A continuación se presenta un ejemplo de un cuestionario de control interno el cual tiene como objetivo el recabar información y formarse una idea e interpretaciones generales de los SIC. Entre ellos:
17
ECI SIC-01
Hecho: ARHMFecha: 15/02/2012 Revisado:JV
Fecha: 18/02/2012
Nombre: Auditoría V. Período: del 01 de Enero al 29 de Febrero 2012. Tipo de Auditoria: De Sistemas Área Auditada: Coordinación Plan Fin de Semana Facultad de CC.EE. USAC Nombre de Entrevistado: Lic. Luis Suarez
Puesto: Director de
Coordinación
Pregunta 1. ¿Se realizan los procedimientos descritos en los manuales para el control y presentación de las notas a Registro y Estadística?
SI X
2. ¿Se realiza supervisión y control de las notas manejadas en medios electrónicos por los catedráticos docentes según las normas internas de la facultad? 3. ¿Se solicita la ejecución de back up de la información registrada del personal docente y alumnos de la facultad según el manual para el resguardo de datos electrónicos? 4. ¿Se realizan cambios y actualizaciones oportunas de s y contraseñas según lo establece el procedimiento interno para s a los programas computarizados de la facultad? 5. ¿Se actualizan los antivirus y contrafuegos para evitar s indebidos a los programas computarizados según el procedimiento interno para resguardo de la información electrónica de la facultad?
18
NO
Ref.
X
DCI-1
X
X DCI-2 X
3.5 Establecimiento de Objetivos En relación a la importancia de los riesgos encontrados por el auditor establecerá los objetivos de la auditoria, cuya determinación definirá el alcance de la misma. El riesgo se convierte en una oración negativa de un objetivo de auditoría, si esta oración se transformará en una afirmativa se tiene como resultado un objetivo de control Ejemplo: Pregunta de cuestionario para la entrevista: ¿Tiene su empresa normas escritas de cómo deben hacerse los traspases de programas en desarrollo a programas en explotación? Si la respuesta fuera “NO”, se concluye que existe un riesgo consistente en que cada empleado por no dejar evidencia escrita se están realizando de manera incorrecta por la fuga de información en el trasvase no dejando pistas para verificar los pasos que se han dado. La debilidad seria: La empresa no tiene normas escritas de cómo deben hacerse los traspasos de programas en desarrollo a programas en explotación. El Objetivo de control seria: Comprobar que la empresa cuenta con manuales escritos de cómo deben hacer los traspases de programas en desarrollo a programas en explotación. Y para alcanzar este objetivo habrá que diseñar una serie de pruebas de cumplimiento y sustantivas convirtiéndose cada una de estas pruebas en un procedimiento. Los procedimientos podrían ser:
19
a) Pruebas de Cumplimiento Si se confirma que no existen manuales no se podría realizar estas pruebas, el procedimiento podría ser: Comprobar que las normas para pasar un programa de desarrollo a explotación son adecuadas y que se están cumpliendo.
Por otro lado la inexistencia de manuales no implica que el procedimiento que se hace este incorrecto pero para confirmarlo se deberían hacer pruebas sustantivas.
b) Pruebas Sustantivas Revisar las aplicaciones, si son pocas se revisan todas; si son muchas se realiza una muestra de los programas que se han pasado de desarrollo a explotación. Que han sido sometidas a un lote de pruebas y las han superado satisfactoriamente, que cumplen con los requisitos y que el traspaso ha sido autorizado por una persona con suficiente autoridad.
Para comprender y evaluar los riesgos no siempre son suficientes las entrevistas, inspecciones y confirmaciones, puede ser necesario realizar cálculos y técnicas de examen analítico.
La confirmación consiste en corroborar con terceros por escrito la información que existe en los registros.
Los cálculos consisten en comprobar la exactitud aritmética de los registros de datos.
Las técnicas de examen analítico consisten en comparar los importes encontrados con las expectativas del auditor al evaluar las distintas partidas de la información auditada.
20
Siempre que la naturaleza de los datos lo permita es conveniente utilizar técnicas de examen analítico (Norma técnica numero 5 de ISACA sobre la realización del trabajo).
3.6 Planeación istrativa No debe realizarsehasta haber terminado la Planificación Estratégica. Pueden surgir en esta fase ciertos problemas de coincidencia en las fechas de trabajo del personal de la empresa auditora con otros clientes. Deben quedar claros los siguientes aspectos:
Evidencia: Se podrá realizar una relación de la documentación disponible de la etapa anterior, indicando el lugar donde se encuentra para que estén a disposición del equipo de auditoria.
Personal: De que personal se va a disponer, que conocimientos tienen y si es necesarios utilizar a un experto pudiendo ser de la compañía auditoria o externo.
Calendario: Establecer la fecha de inicio y finalización de la auditoria y estipular en que lugar se va a realizar cada tarea.
Coordinación y cooperación: Debe existir una buena relación entre el auditado y el auditor, sin que se viole el principio de independencia.
3.7 Planificacion Tecnica En esta ultima fase se elabora el programa de trabajo. Anteriormente, en la fase de Planificacion Estrategica se establecieron los objetivos de la auditoria. En la fase de Planificacion istrativa se asignaron los recursos de personal, tiempo, etc. En esta fase de Planificacion Tecnica, se indican los metodos a seguir, es decir si se va a seguir un metodo de auditoria basado en los controles o todo lo contrario, un metodo de auditoria basado en pruebas sustantivas, asi tambien 21
si indican los procedimientos, las tecnicas y las herramientas que se utilizaran para poder alcanzar los objetivos deseados de la auditoria. El programa de auditoria debera ser abierto y flexible, de una forma que se puedan ir agregando o introduciendo cambios a medida que se necesiten, según se vaya conociendo de una mejor forma el sistema. Tanto el programa de auditoria, como los papeles de trabajo son propiedad del auditor, este no tiene obligacion de enseñarlos al auditado (empresa que se audita), y debe guardar dichos documentos durante el plazo que indique la ley, hasta que estos prescriban. Dedicarle el tiempo necesario a la planificacion, nos permite evitar perdidas de tiempo y de recursos innecesarios. Según explica el escritor E. Perry (Planing EDP Audits): Que la distribucion del tiempo empleado en llevar a cabo una auditoria, es de un tercio para planificar, un tercio para llevar a cabo el trabajo de campo y un tercio en la elaboracion del informe de auditoria. Para llevar a cabo este programa, se sigue la guia del proceso Gestion de la Explotacion. Ciertos aspectos de la explotacion de un sistema de informacion pueden quedar al margen del proceso. Esto es debido a la clasificacion que hace CobiT. Esta es una de las grandes ventajas que presenta esta Guia CobiT, la cual facilita la comunicación en el sentido de que podemos determinar con claridad el alcance de la auditoria. 3.7.1 Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en ingles: Control Objectives for Information and related Technology)
Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de istración de las Tecnologías de la Información (ITGI, en inglés: IT GovernanceInstitute) en 1992
22
4 Realizacion del Trabajo (Procedimientos) Este consiste en llevar a cabo las pruebas sustantivas y de cumplimiento que se han planificado, para alcanzar los objetivos de la auditoria. 4.1 Objetivo general. El objetivo general de la auditoria consistiria en: Asegurarse de que las funciones que sirven de apoyo a las Tecnololigas e Informacion y satisfacen los requisitos empresariales. 4.2 Objetivos Especificos. Para alcanzar el objetivo general, este se puede dividir en varios objetivos especificos sobre los cuales se realizaran las pruebas oportunas, para asi asegurarse que el objetivo general se ha llevado a cabo. El esquema de trabajo para cada uno de los objetivos es el siguiente:
Comprender las tareas, las actividades del proceso que se esta auditando. Si fuera necesario, se ampliarian las entrevistas que hemos realizado en la fase de planificacion estrategica.
Determinar si son o no apropiados los controles que se estan instalando. Si fuese necesario, se ampliarian las pruebas que se han llevado a cabo en las fase de planificacion estrategica.
Realizar pruebas de cumplimiento, para determinar si los controles que estan instalaldos funcionan según lo establecido, de manera consistente y continua. El objetivo de estas pruebas consiste en analizar el nivel de cumplimiento de las normas de controlo que tiene
establecidas el
auditario. Se supone que estas normas de control son eficientes y efectivas.
23
Realizar pruebas sustantivas para aquellos objetivosde control cuyo buen funcionamiento con las pruebas de cumplimiento no nos han satisfecho. El objetivo de estas pruebas, consiste en realizar las pruebas necesarias sobre los datos, para que proporcionen la suficiente seguridad a la direccion sobre si se ha alcanzado su objetivo empresarial.
Debera hacerse el maximo numero de pruebas sustantivas si:
No existen instrumentos de medida de los controles.
Los instrumentos de medida que existen, se consideran inadecuados.
Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han aplicado correctamente de una manera consistente y continua.
El auditor deberia haber realizado las suficientes pruebas sobre los resultados de las distintas tareas y actividades de la explotacion del sistema de informacion como para poder determinar si los objetivos de control se han alcanzado o no. Con esa informacion debe elaborar un informe y si procede, hacer las recomendaciones oportunas. 5 Informes
56
Es el resultado de la información, estudios, investigación y
análisis efectuados por los auditores durante la realización de una auditoría, que de forma normalizada expresa por escrito su opinión sobre el área o actividad auditada en relación con los objetivos fijados, señalan las debilidades de control interno, si las ha habido, y formula recomendaciones pertinentes para eliminar las causas de tales deficiencias y establecer las medidas correctoras adecuadas.
5.1 Importancia Y Relevancia Del Informe
El producto que vende Auditoría son sus informes.
Se remiten a las más altas autoridades de la organización.
24
Es el medio de que se vale Auditoría para dar a conocer su opinión. Es su vehículo de comunicación.
Ponen de manifiesto si los auditores tienen una visión gerencial de las áreas auditadas o carecen de ella. Si están realmente capacitados.
Son representativos de la calidad de la Auditoría Interna en cuanto a: formación profesional, cultura, estilo, corrección en el lenguaje escrito, etc.
Cada informe es una carta de presentación de la Auditoría, los errores de concepto, la falta de oportunidad de las recomendaciones y la deficiente redacción pueden producirse en cualquier auditoría y es algo que debe evitarse.
Los tipos de opiniones generalmente aceptas en auditoria, son cuatro:
Si se concluye que el sistema es satisfactorio el auditor daría una opinión favorable.
Si el auditor considera que el sistema es un desastre, su opinión sería desfavorable.
Si el sistema es valido pero tiene algunos fallos que no lo invalidan, la opinión será con salvedades.
También podrá ocurrir que el auditor no tenga suficientes elementos de juicio para poder opinar: en este caso no opinaría por lo que su resultado seria: denegación de opinión.
5.2 Tipos de Informes
5.2.1 Favorable En nuestra opinión el servicio de explotación u las funciones que sirven de apoyo a las tecnologías de la información se realizan con regularidad, de forma ordenada u satisfacen los requisitos empresariales.
5.2.2 Desfavorable En nuestra opinión, dada la importancia de los efectos de las salvedades comentadas en los puntos X, X1, de este informe, el servicio de explotación u 25
las funciones que sirven de apoyo a las tecnologías de la información no realizan con regularidad, ni de forma ordenada y no satisfacen los requisitos que la empresa requiere.
5.2.3 Con salvedades En nuestra opinión, excepto por los efectos de las salvedades que se comentan en el punto X de este informe… el servicio de explotación y las funciones que sirven de apoyo a las tecnologías de la información se realizan con regularidad, de forma ordenada y satisfacen los requisitos empresariales.
Nota: En una parte del informe se indicaran cuales son las salvedades y en este mismo documento o en documento aparte se harán las recomendaciones oportunas para mejorar el sistema, para que en una siguiente auditoria no existan las salvedades comentadas.
5.3 Denegación de Opinión En el caso de que las salvedades impidan hacernos una opinión del servicio de explotación, ya sea por falta de información o por no haber tenido a ella por los motivos que fueren, pero siempre ajenos a nuestra voluntad, y no obstante, haber intentado hacer pruebas alternativas, el auditor denegará su opinión.
5.4 Recomendaciones
En el caso de que el auditor durante la realización de la auditoria detecte debilidades, este debe comunicarlas al auditado con la mayor prontitud posible. Un esquema, generalmente aceptado, de cómo presentar las debilidades es el siguiente:
Describir la debilidad
Indicar el criterio o instrumento de medida que se ha utilizado
Indicar los efectos que puede tener el sistema de información
Describir la recomendación con la que esa debilidad se podría eliminar.
26
5.5 Normas Para Elaborar Los Informes La elaboración y el contenido de los informes de auditoria deben ajustarse a las normas de auditoria de sistemas de información generalmente aceptadas y aplicables (NASIGAA). Entre otros motivos porque facilita la comparación de los informes realizados por distintos auditores. Por tanto, siguiendo las normas números 9 y 10 de “General Estándar For Informacion Systems Auditing” Emitidas por ISACA, además del párrafo de opinión antes indicado el informe de auditoría deberá contener otra información adicional. El informe es el instrumento que se utiliza para comunicar los objetivos de la auditoria, el alcance que vaya a tener, las debilidades que se detecten y las conclusiones a las que se lleguen, a la hora de preparar el informe, el auditor debe tener en cuenta las necesidades y características de los que se suponen serán sus destinatarios. El informe debe contener un párrafo en el que se indiquen los objetivos que se pretenden cumplir. Si según la opinión del auditor, alguno de estos objetivos no se pudiera alcanzar se debe indicar en el informe. En el informe de auditoría se deben mencionar cuales son las NASIGAA que se han seguido para realizar el trabajo de auditoría. También se deben indicar las excepciones en el seguimiento de estas normas técnicas, el motivo de no seguirlas, y cuando proceda, también se deben indicar los efectos potenciales que pudieran tener en los resultados de la auditoria. El informe de auditoría se ha de mencionar el alcance de la auditoria, así como describir la naturaleza y la extensión del trabajo de auditoría. En el párrafo de alcance se deben indicar el área/proceso, el periodo de auditoría, el sistema, las aplicaciones y los procesos auditados. Asimismo se indicaran las circunstancias que hayan limitado el alcance cuando, en opinión del auditor, no se hayan podido completar todas las pruebas y procedimientos diseñados, o cuando el “auditado” haya impuesto restricciones o limitaciones al trabajo de auditoría. Si durante el trabajo se detectaran debilidades en el sistema de información de la entidad auditada estas deberán indicarse en el informe, así como sus
27
causas, sus efectos y las recomendaciones necesarias para mejorar o eliminar las debilidades. El auditor debe expresar en el informe su opinión sobre el área o proceso auditado. No obstante, en función de los objetivos de la auditoria, esta opinión puede ser general y referirse a todas las áreas o procesos en su conjunto. El informe de auditoría debe presentarse de una forma lógica y organizada. Debe contener la información suficiente para que sea comprendido por el destinatario y este pueda llevar a cabo las acciones pertinentes para introducir las correcciones oportunas que mejoren el sistema. El informe se debe emitir en el momento más adecuado para que permita que las acciones que tenga que poner en práctica el “auditario”, tengan los mayores efectos positivos posibles. Con anterioridad al informe, el auditor puede emitir, si lo considera oportuno, recomendaciones destinadas a personas concretas. Estas recomendaciones no deberían alterar el contenido del informe. En el informe se debe indicar la entidad que se audita y la fecha de emisión del informe para que este no llegue a manos indebidas. 6 La Documentación de la Auditoria y su Organización 6.1 Papeles de trabajo Es el registro del trabajo de auditoria realizado y la evidencia que sirve de soporte a las debilidades encontradas y las conclusiones a las que ha llegado el auditor. Los papeles de trabajo se deben diseñar y organizar según las circunstancias y las necesidades del auditor.
Todo trabajo debe quedar
reflejado en los papeles por los siguientes motivos:
Recogen la evidencia obtenida a lo largo del trabajo.
Ayudan al auditor en el desarrollo de su trabajo
Ofrecen un soporte del trabajo realizado para así, poder utilizarlo en auditorias sucesivas
Permiten que el trabajo pueda ser revisado por terceros.
28
6.2 Archivos Los papeles de trabajo que el auditor va elaborando se puede organizar en dos archivos principales: El archivo Permanente o continua de auditoria y el archivo corriente o de la auditoria en curso.
6.2.1 Archivo Permanente El archivo permanente contiene todos aquellos papeles que tienen un interés continuo y una validez plurianual tales como:
Características de los equipos y de las aplicaciones,
Manuales de los equipos y de las aplicaciones,
Descripción del control interno.
Organigramas de la empresa en general,
Organigramas del servicio de información y división de funciones,
Cuadro de planificación plurianual de auditoria,
Escrituras y contratos,
Consideraciones sobre el negocio,
Consideraciones sobre el sector,
Y en general toda aquella información que puede tener una importancia para auditorias posteriores.
6.2.2 Archivo Corriente Este archivo, a su vez, se suele dividir en archivo general y en archivo de áreas o de procesos.
6.2.3 Archivo General Los documentos que se suelen archivar aquí son aquellos que no tienen cabida específica en alguna de las áreas/procesos en que hemos dividido el trabajo de auditoria tales como:
El informe del auditor
La carta de recomendaciones,
Los acontecimientos posteriores, 29
El cuadro de planificación de la auditoria corriente,
La correspondencia que se ha mantenido con la dirección de la empresa,
El tiempo que cada persona del equipo ha empleado en cada una de las áreas/procesos.
6.2.4 Archivo Por Aéreas/Procesos Se debe preparar un archivo para cada una de las áreas o procesos en que hayamos dividido el trabajo e incluir en cada archivo todos los documentos que hayamos necesitado para realizar el trabajo de esa área proceso concreto. Al menos deberán incluirse los siguientes documentos.
Programa de auditoria de cada una de las ares/procesos.
Conclusiones del área/proceso en cuestión,
Conclusiones del procedimiento en cuestión.
30
7 CONCLUSIONES La labor del auditor informático es esencial para garantizar la adecuación de los sistemas informáticos; para ello debe realizar su trabajo apegándose a las Normas de Auditoria de Sistemas de Información Generalmente Aceptadas y Aplicables como requisito necesario que garantice la calidad del trabajo realizado y que la evidencia de este quede documentada. A medida que la sociedad se va sistematizando cadavez más, es necesario diseñar normas para que las empresas tengan la seguridad de que los sistemas funcionan y que sus datos se mantienen con la debida confidencialidad. Los informes de los distintos auditores se pueden comparar, siempre y cuando se tengo un archivo adecuado de los papeles de trabajo.
31
8 RECOMENDACIONES Es de suma importancia que el auditor de sistemas informáticos tenga una panorámica general y muy bien soportada en sus papeles de trabajo, para que la evaluación que realice al hardware sea lo suficientemente objetiva y brinde una opinión certera sobre la razonabilidad de la información generada.
El auditor de sistemas informáticos debe de cumplir con las normas de observancia general emitidas por entidades internacionales, nacionales, internas, etc., las cuales le brinden un marco regulatorio adecuado y satisfaga con criterios soportados la opinión que va a emitir sobre la razonabilidad de los sistemas informáticos.
32
9 BIBLIOGRAFIA 1. Auditoria Informática, Un enfoque practico, 2ª. Edición ampliada y modificada, Mario Gerardo Piattini y Emilio del Peso Navarro, Editorial Madrid, España.
2. Norma Internacional de Auditoría No. 15, Sec. 401, Auditoría en un Ambiente de Sistemas de Información por Computadora, International Standard on Auditing ISA, traducción al español por Instituto Mexicano de Contadores Públicos y Auditores (IM), año 2002.
3. www, wikipedia.org
33
Elementos de un sistema de información.
Personas.
Datos.
Actividades o técnicas de trabajo.
Recursos materiales en general.
Todos estos elementos interactúan entre sí para procesar los datos dando lugar a información más elaborada y distribuyéndola de la manera más adecuada posible en una determinada organización en función de sus objetivos. Un sistema de información realiza cuatro actividades básicas: entrada, almacenamiento, procesamiento y salida de información.
3
1.1 Entrada de Información Es el proceso mediante el cual el Sistema de Información toma los datos que requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las manuales son aquellas que se proporcionan en forma directa por el , mientras que las automáticas son datos o información que provienen o son tomados de otros sistemas o módulos, estas se denominan interfaces automáticas.
1.1.2 Almacenamiento de información A través de esta propiedad el sistema puede recordar la información guardada en la sección o proceso anterior. Esta información suele ser almacenada en estructuras de información denominadas archivos. La unidad típica de almacenamiento son los discos magnéticos o discos duros, los discos flexibles o diskettes y los discos compactos (CD-ROM).
1.1.3 Procesamiento de Información Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo con una secuencia de operaciones preestablecida. Estos cálculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos que están almacenados.
1.1.4 Salida de Información La salida es la capacidad de un Sistema de Información para sacar la información procesada o bien datos de entrada al exterior. Es importante aclarar que la salida de un Sistema de Información puede constituir la entrada a otro Sistema de Información o módulo. En este caso, también existe una interfase automática de salida. 1.1.5 Ciclo de vida de los Sistemas de Información Existen pautas básicas para el desarrollo de un Sistema de Información para una organización: 4
Conocimiento de la Organización: analizar y conocer todos los sistemas que forman parte de la organización, así como los futuros s del SI. En las empresas lucrativas, se analiza el proceso de negocio y los procesos transaccionales a los que dará soporte el SI.
Identificación de problemas y oportunidades: El segundo paso es relevar las situaciones que tiene la organización y de las cuales se puede sacar una ventaja competitiva, así como las situaciones desventajosas o limitaciones que hay que tomar en cuenta.
Determinar las necesidades: Este proceso también se denomina elicitación de requerimientos. En el mismo, se procede identificar a través de algún método de recolección de información la información relevante para el SI que se propondrá.
Diagnóstico: En este paso se elabora un informe resaltando los aspectos positivos y negativos de la organización. Este informe formará parte de la propuesta del SI y, también, será tomado en cuenta a la hora del diseño.
Propuesta: Contando ya con toda la información necesaria acerca de la organización es posible elaborar una propuesta formal dirigida hacia la organización donde se detalle el presupuesto, relación costo-beneficio, presentación del proyecto de desarrollo del SI.
Diseño del sistema: Una vez aprobado el proyecto, se comienza con la elaboración del diseño lógico del SI, la misma incluye el diseño del flujo de la información dentro del sistema, los procesos que se realizarán dentro del sistema, entre otros. En este paso es importante seleccionar la plataforma donde se apoyará el SI y el lenguaje de programación a utilizar.
Codificación: Con el algoritmo ya diseñado, se procede a su reescritura en un lenguaje de programación establecido, es decir, en códigos que la máquina pueda interpretar y ejecutar.
Implementación: Este paso consta de todas las actividades requeridas para la instalación de los equipos informáticos, redes y la instalación del programa generado en la codificación.
5
Mantenimiento: Proceso de retroalimentación, a través del cual se puede solicitar la corrección, el mejoramiento o la adaptación del SI ya creado a otro entorno.
1.1.6 Tipos de sistemas de información Debido a que el principal uso que se da a los Sistemas de Información es el de optimizar el desarrollo de las actividades de una organización con el fin de ser más productivos y obtener ventajas competitivas, se puede clasificar a los sistemas de información en:
Sistemas Competitivos
Sistemas Cooperativos
Sistemas que modifican el estilo de operación del negocio
Según la función a la que vayan destinados o el tipo de final del mismo, los SI pueden clasificarse en: 1.1.7 Sistema de procesamiento de transacciones (TPS) Gestiona la información referente a las transacciones producidas en una empresa u organización, también se le conoce como Sistema de Información operativa. 1.1.8 Sistemas de información gerencial (MIS) Orientados a solucionar problemas empresariales en general. 1.1.9 Sistemas de soporte a decisiones (DSS) Herramienta para realizar el análisis de las diferentes variables de negocio con la finalidad de apoyar el proceso de toma de decisiones. 1.1.10 Sistemas de información ejecutiva (EIS) Herramienta orientada a s de nivel gerencial, que permite monitorizar el estado de las variables de un área o unidad de la empresa a partir de
6
información interna y externa a la misma. Es en este nivel cuando los sistemas de información manejan información estratégica para las empresas. Con el tiempo, otros sistemas de información comenzaron a evolucionar. Los primeros proporcionan información a los siguientes a medida que aumenta la escala organizacional. 1.1.11 Sistemas de automatización de oficinas (OAS) Aplicaciones destinadas a ayudar al trabajo diario del istrativo de una empresa u organización. 1.1.12 Sistema Planificación de Recursos (ERP) Integran la información y los procesos de una organización en un solo sistema. 1.1.13 Sistema experto (SE) Emulan1 el comportamiento de un experto en un dominio concreto. 1.1.14 Sistemas de Información Estratégicos Puede ser considerado como el uso de la tecnología de la información para soportar o dar forma a la estrategia competitiva de la organización, a su plan para incrementar o mantener la ventaja competitiva o bien reducir la ventaja de sus competidores. Su función primordial es crear una diferencia con respecto a los competidores de la organización que hagan más atractiva a ésta para los potenciales clientes. 1.1.1.5 Aplicación de los sistemas de información Los sistemas de información tratan el desarrollo, uso y istración de la infraestructura de la tecnología de la información en una organización.
1
En informática, un emulador es un software que permite ejecutar programas o videojuegos en una plataforma (sea una arquitectura de hardware o un sistema operativo) diferente de aquella para la cual fueron escritos originalmente.
7
El mayor de los activos de una compañía hoy en día es su información, representada en su personal, experiencia, conocimiento, innovaciones. Para poder competir, las organizaciones deben poseer una fuerte infraestructura de información, en cuyo corazón se sitúa la infraestructura de la tecnología de información. De tal manera que el sistema de información se centre en estudiar las formas para mejorar el uso de la tecnología que soporta el flujo de información dentro de la organización. 2 Carta De Encargo Es el documento por medio del que una empresa, sociedad o grupo de sociedades contrata la prestación de un servicio de auditoría con el fin de determinar la situación existente en la citada empresa, sociedad o sociedades contratantes en un momento determinado. Es decir, es el compromiso de una empresa frente a un auditor, solicitando que éste le haga un diagnóstico del cumplimiento de las normas y lleve un adecuado control en la empresa en un momento determinado. El propósito de una carta de encargo o acuerdo escrito entre el auditor y su cliente, es proporcionar evidencia que defina el alcance y el objetivo del trabajo a realizar, y que por tanto, evite cualquier malentendido con respecto al mismo. El auditor deberá acordar por escrito con su cliente el objetivo y alcance del trabajo, así como sus honorarios o los criterios para su cálculo para todo el periodo de nombramiento. En el contrato o carta de encargo se deberá indicar el total número de horas estimado para la realización del trabajo. Cuando el nombramiento se efectúa por un Registrador Mercantil o un Juez se deberá detallar, asimismo, el número de horas presupuestado por áreas de trabajo. A estos efectos, antes de aceptar el nombramiento, el auditor podrá solicitar de la empresa o entidad auditada todos los datos que considere necesarios para preparar su propuesta.
8
Antes de aceptar el encargo el auditor debe considerar si existe alguna razón que aconseje su rechazo por razones éticas o técnicas. 3 Planificación En grandes líneas de trata de prever la utilización de las tecnologías de la informática en la empresa. Existen varios tipos de planes informáticos. El principal y origen de todos los demás, lo constituye el Plan Estratégico de Sistemas de Información. 3.1 Plan Estratégico de Sistemas de Información Es el marco básico de actuación de los Sistemas de Información en la empresa, debe asegurar el lineamiento de los mismos con los objetivos de la misma empresa. Desgraciadamente, la transformación de los objetivos de la empresa en objetivos informáticos no es siempre una tarea fácil, mucho se ha escrito sobre el contenido y las ventajas e inconvenientes de las diversas metodologías de realización de este tipo de planes. No se trata en estos breves apuntes de tercias en dicha polémica. El lector encontrara abundante bibliografía sobre la materia, el auditor deberá evaluar si tales metodologías se están utilizando y/o pueden ser de utilidad para su empresa. Estrictamente hablando, estos planes no son responsabilidad exclusiva de la Dirección de Informática, su aprobación final probablemente incumbe a otros estamentos de la empresa: Comité de Informática e incluso en último término de la Dirección General. Sin embargo, la Dirección de Informática debe ser el permanente impulsor de una planificación de Sistemas de Información adecuada y a tiempo Aunque suele definir la vigencia de un plan estratégico como de 3 a 5 años, de hecho tal plazo es muy dependiente del entorno en que se mueve la empresa, hay muchos factores que influyen; la cultura de la propia empresa, el sector de actividad es decir si la empresa se encuentra en un sector en el que el uso adecuado de la tecnología informática es un factor estratégico por ejemplo, las acciones de la competencia, etc. Cada empresa tiene su equilibrio natural y el 9
auditor deberá evaluar si los plazos en uso en su empresa son los adecuados, con la identificación y comprensión de los mecanismos existentes de seguimiento y actualización del plan y de su relación con la evolución de la empresa. 3.2 Otros Planes Relacionados Como se ha comentado más arriba normalmente, deben existir otros planes informáticos todos ellos nacidos al amparo del Plan Estratégico, entre otros los más habituales pueden ser:
Plan Operativo Anual
Plan de Dirección Tecnológica
Plan de Arquitectura de la Información
Plan de Recuperación ante Desastres
Algunos de ellos (Plan Tecnológico, Plan de Arquitectura) aparecen a veces integrados en el propio Plan Estratégico. En ese capítulo se trataran solo dos de estos planes, los más comunes y que, además siempre tienen vida propia. Plan Operativo y Plan de Recuperación. 3.2.1 Plan Operativo Anual El Plan Operativo se establece al comienzo en cada ejercicio y es el que marca las pautas a seguir durante el mismo, debe estar obviamente alineado con el Plan Estratégico, asimismo deberá estar precedido de una recogida de necesidades de los s. El Plan Operativo de Sistemas de Informática describe las actividades a realizar durante el siguiente ejercicio natural, entre otros aspectos debe señalar los sistemas de información a desarrollar, los cambios tecnológicos previstos, los recursos y los plazos necesarios, etc. El auditor deberá evaluar la existencia del Plan y su nivel de calidad, deberá estudiar su lineamiento con el Plan Estratégico, su grado de atención a las necesidades de los s, sus previsiones de los recursos necesarios para llevar a cabo el plan, etc. Deberá analizar si los plazos descritos son realistas
10
teniendo en cuenta entre otras cosas, las experiencias anteriores en la empresa, etc. 3.2.2 Plan de Recuperación ante Desastres Una instalación informática puede verse afectada por desastres de variada naturaleza, incendio, inundación, fallo de algún componente critico de hardware, robo, sabotaje, acto de terrorismo, etc., que tengan como consecuencia inmediata la indisponibilidad de un servicio informático adecuado. La Dirección debe prever esta posibilidad y por tanto planificar para hacerle frente. 3.3 Clasificación De Los Controles Se han clasificado tradicionalmente, entre Controles generales y Controles de las aplicaciones. 3.3.1 Controles Generales La Norma No. 48 SAS los define como “Aquellos que están relacionados con todas o con la mayoría de las actividades contables informatizadas, que generalmente incluyen controles del desarrollo de las modificaciones y del mantenimiento de programas informáticos y controles de la utilización y modificación de los datos que se mantienen en archivos informáticos”. La RAE manifiesta que son aquellos que afectan un centro del proceso electrónico de datos. Se consideran también controles generales la protección de activos (hardware y software). 3.3.1.2 Clasificación de los Controles Generales 3.3.1.2.1 Controles operativos y de organización
Segregación de funciones entre el servicio de información y los s.
Contar con una autorización general para ejecutar transacciones del departamento
Segregar funciones en el departamento de informática. 11
3.3.1.2.2 Control sobre el desarrollo de programas y sus documentos
Realizar revisiones, pruebas y aprobar nuevos sistemas
Tener control de las modificaciones a los programas.
Procedimientos de documentación
3.3.1.2.3 Controles sobre los programas y los equipos
Características para detectar errores de forma automática
Realizar mantenimientos preventivos.
Guías para salir de los errores del equipo (hardware).
Tener control y autorización en la implementación adecuada de sistemas.
3.3.1.2.4 Controles de
Sirven para detectar o prevenir errores accidentales causados por el uso o manipulación inadecuada de los archivos de datos y uso no autorizado de los programas.
3.3.1.2.5 Controles sobre los procedimientos y los datos
Elaborar manuales escritos para soportar los procedimientos y los sistemas de aplicación.
Realizar conciliaciones entre los datos fuente y los datos informáticos.
Capacidad de recuperar archivos perdidos, incorrectos o deteriorados.
3.3.2 Controles De Las Aplicaciones Los controles de las aplicaciones están relacionados con las propias aplicaciones informatizadas. Los controles básicos de las aplicaciones son tres: captura, proceso y salida. 3.3.2.1 Controles sobre la captura de datos
Altas de movimiento
Modificaciones de movimiento
Consultas de movimientos 12
Mantenimiento de los archivos
3.3.2.2 Controles de proceso Estos controles regularmente se incluyen en los programas y están diseñados para prevenir o detectar los siguientes errores:
Entrada de datos repetidos.
Procesamiento y actualización de archivo o archivos equivocados.
Entrada de datos ilógicos.
Pérdida o distorsión de datos durante el proceso.
3.3.2.3 Controles de salida y distribución: Estos controles se diseñan para asegurar que el resultado del proceso es exacto y que los informes y demás salidas los reciben solo las personas que estén autorizadas. En el proyecto Cobit se establece una nueva clasificación, donde se afirma que existen tres niveles en las Tecnologías de la información a la hora de considerar la gestión de sus recursos: actividades y/o tareas, procesos y dominios. 3.3.2.3.1 Actividades y tareas Estas son necesarias para alcanzar un resultado cuantificable. Las actividades suponen un concepto cíclico, mientras que las tareas implican un concepto algo más discreto. 3.3.2.3.2 Procesos Estos se definen como una serie de actividades o tareas unidas por interrupciones naturales. 3.3.2.3.3 Dominios Los procesos se agrupan de forma natural dando lugar a los dominios, que se confirman, generalmente, como dominios de responsabilidad en las estructuras organizativas de las empresas y están en línea con el ciclo de gestión aplicable a los procesos de las Tecnologías de la Información. 13
La Guía de Auditoría del Proyecto Cobit recoge 32 procesos de los Sistemas de Información donde se sugieren los objetivos de control. Esos procesos están agrupados en cuatro dominios. Dominios y procesos de las tecnologías de información: 1. Planificación y organización 1.1 Definir el plan estratégico de las Tecnologías de información (TTI). 1.2 Definir la arquitectura de la información. 1.3 Determinar la dirección tecnológica. 1.4 Definir la organización y las relaciones. 1.5 Gestión de las inversiones. 1.6 Comunicar las tendencias a la dirección. 1.7 Gestión de recursos humanos. 1.8 Asegurarse del cumplimiento de los requisitos externos. 1.9 Evaluación del riesgo. 1.10 Gestión de proyectos. 1.11 Gestión de la calidad.
2. Adquisición e implementación 2.1 Identificar las soluciones automatizadas. 2.2 Adquirir y mantener el software. 2.3 Adquirir y mantener la arquitectura tecnológica. 2.4 Desarrollar y mantener procedimientos. 2.5 Instalar y acreditar los sistemas. 2.6 Gestión de los cambios.
3. Adquisición y mantenimiento 3.1 Definir el nivel de servicios. 3.2 Gestionar los servicios de las terceras partes. 3.3 Gestionar la capacidad y el funcionamiento. 3.4 Asegurarse del servicio continuo. 3.5 Asegurarse de la seguridad de los sistemas. 3.6 Identificar y localizar los costes. 3.7 Formación teórica y práctica de los s. 14
3.8 Asistir y asesoras a los clientes. 3.9 Manejo de la configuración. 3.10 Gestión de los problemas y de los incidentes. 3.11 Gestión de los datos. 3.12 Gestión de las actividades. 3.13 Gestión de la explotación.
4. Monitorización: 4.1 Monitorizar el proceso. 4.2 Independencia.
3.4 Evaluación de los Controles Internos El libro “Auditoría Informática, un enfoque práctico”, segunda edición del autor Mario Piattini, menciona que “es función del auditor evaluar el nivel de control interno; también es de su responsabilidad juzgar si los procedimientos establecidos son los adecuados para salvaguardar el sistema de información”. La Norma Internacional de Auditoría No. 15, sección 401, contiene los principios básicos para una Auditoría en un Ambiente de Sistemas de Información
Computarizada,
proporcionando
lineamientos
sobre
los
procedimientos que deben seguirse cuando se realiza una auditoría en un ambiente de sistema de información computarizada (SIC). El objetivo y alcance globales de una auditoría no cambia en un ambiente SIC. Sin embargo el uso de una computadora cambia el procesamiento, almacenamiento y comunicación de la información financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad. El auditor debería tener suficiente conocimiento del SIC para planear, dirigir, supervisar y revisar el trabajo desarrollado. El auditor debería considerar si se necesitan habilidades especializadas en SIC para una auditoría.
Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de un profesional con dichas habilidades, quien puede pertenecer al personal del auditor o ser un profesional externo. 15
Cuando el SIC es significativo, el auditor deberá también obtener una comprensión del ambiente SIC y de si puede influir en la evaluación de los riesgos inherentes y de control.
Los riesgos inherente y de control en un ambiente SIC pueden tener tanto un efecto
general
como
especifico
por
cuenta
de
la
probabilidad
de
representaciones erróneas importantes tales como por ejemplo:
Deficiencias en actividades generales del SIC como desarrollo y mantenimiento de programas, soporte al software de sistemas, operaciones, seguridad física del SIC y control sobre el a programas.
Errores o actividades fraudulentas en aplicaciones específicas, en bases de datos específicas o en archivos maestros.
Los procedimientos de auditoría de acuerdo a la NIA “Evaluaciones del riesgo y control interno”, el auditor debería considerar el ambiente SIC al diseñar los procedimientos de auditoría para reducir el riesgo de auditoría a un nivel aceptablemente bajo, para lo cual se desarrollan diferentes etapas en el proceso de evaluación las mismas consisten en recabar la mayor información disponible sobre:
Manuales de funciones y procedimientos para SIC.
Contratos de servicios de mantenimiento y soporte de SIC.
Políticas para los s y manipulación de los SIC.
Estado físico del equipo de cómputo.
Rotación de personal que manipula información relevante del SIC.
Entre otros.
Para el logro de una evaluación del control interno eficaz y significativa la cual brinde al auditor entera satisfacción de que los SIC han sido conocidos, interpretados y puestos a prueba, el autor hace mención a la realización de 16
diversos procedimientos los cuales se deberían de realizar en la Planeación Estratégica, los mismos constan de cuestionarios de control interno, los cuales se deberían plantear en forma de pregunta cerrada y tomando como base la documentación que el auditor debió recopilar durante el proceso de obtención de normas, reglamentos, leyes, etc., los cuales normen el funcionamiento de los SIC.
A continuación se presenta un ejemplo de un cuestionario de control interno el cual tiene como objetivo el recabar información y formarse una idea e interpretaciones generales de los SIC. Entre ellos:
17
ECI SIC-01
Hecho: ARHMFecha: 15/02/2012 Revisado:JV
Fecha: 18/02/2012
Nombre: Auditoría V. Período: del 01 de Enero al 29 de Febrero 2012. Tipo de Auditoria: De Sistemas Área Auditada: Coordinación Plan Fin de Semana Facultad de CC.EE. USAC Nombre de Entrevistado: Lic. Luis Suarez
Puesto: Director de
Coordinación
Pregunta 1. ¿Se realizan los procedimientos descritos en los manuales para el control y presentación de las notas a Registro y Estadística?
SI X
2. ¿Se realiza supervisión y control de las notas manejadas en medios electrónicos por los catedráticos docentes según las normas internas de la facultad? 3. ¿Se solicita la ejecución de back up de la información registrada del personal docente y alumnos de la facultad según el manual para el resguardo de datos electrónicos? 4. ¿Se realizan cambios y actualizaciones oportunas de s y contraseñas según lo establece el procedimiento interno para s a los programas computarizados de la facultad? 5. ¿Se actualizan los antivirus y contrafuegos para evitar s indebidos a los programas computarizados según el procedimiento interno para resguardo de la información electrónica de la facultad?
18
NO
Ref.
X
DCI-1
X
X DCI-2 X
3.5 Establecimiento de Objetivos En relación a la importancia de los riesgos encontrados por el auditor establecerá los objetivos de la auditoria, cuya determinación definirá el alcance de la misma. El riesgo se convierte en una oración negativa de un objetivo de auditoría, si esta oración se transformará en una afirmativa se tiene como resultado un objetivo de control Ejemplo: Pregunta de cuestionario para la entrevista: ¿Tiene su empresa normas escritas de cómo deben hacerse los traspases de programas en desarrollo a programas en explotación? Si la respuesta fuera “NO”, se concluye que existe un riesgo consistente en que cada empleado por no dejar evidencia escrita se están realizando de manera incorrecta por la fuga de información en el trasvase no dejando pistas para verificar los pasos que se han dado. La debilidad seria: La empresa no tiene normas escritas de cómo deben hacerse los traspasos de programas en desarrollo a programas en explotación. El Objetivo de control seria: Comprobar que la empresa cuenta con manuales escritos de cómo deben hacer los traspases de programas en desarrollo a programas en explotación. Y para alcanzar este objetivo habrá que diseñar una serie de pruebas de cumplimiento y sustantivas convirtiéndose cada una de estas pruebas en un procedimiento. Los procedimientos podrían ser:
19
a) Pruebas de Cumplimiento Si se confirma que no existen manuales no se podría realizar estas pruebas, el procedimiento podría ser: Comprobar que las normas para pasar un programa de desarrollo a explotación son adecuadas y que se están cumpliendo.
Por otro lado la inexistencia de manuales no implica que el procedimiento que se hace este incorrecto pero para confirmarlo se deberían hacer pruebas sustantivas.
b) Pruebas Sustantivas Revisar las aplicaciones, si son pocas se revisan todas; si son muchas se realiza una muestra de los programas que se han pasado de desarrollo a explotación. Que han sido sometidas a un lote de pruebas y las han superado satisfactoriamente, que cumplen con los requisitos y que el traspaso ha sido autorizado por una persona con suficiente autoridad.
Para comprender y evaluar los riesgos no siempre son suficientes las entrevistas, inspecciones y confirmaciones, puede ser necesario realizar cálculos y técnicas de examen analítico.
La confirmación consiste en corroborar con terceros por escrito la información que existe en los registros.
Los cálculos consisten en comprobar la exactitud aritmética de los registros de datos.
Las técnicas de examen analítico consisten en comparar los importes encontrados con las expectativas del auditor al evaluar las distintas partidas de la información auditada.
20
Siempre que la naturaleza de los datos lo permita es conveniente utilizar técnicas de examen analítico (Norma técnica numero 5 de ISACA sobre la realización del trabajo).
3.6 Planeación istrativa No debe realizarsehasta haber terminado la Planificación Estratégica. Pueden surgir en esta fase ciertos problemas de coincidencia en las fechas de trabajo del personal de la empresa auditora con otros clientes. Deben quedar claros los siguientes aspectos:
Evidencia: Se podrá realizar una relación de la documentación disponible de la etapa anterior, indicando el lugar donde se encuentra para que estén a disposición del equipo de auditoria.
Personal: De que personal se va a disponer, que conocimientos tienen y si es necesarios utilizar a un experto pudiendo ser de la compañía auditoria o externo.
Calendario: Establecer la fecha de inicio y finalización de la auditoria y estipular en que lugar se va a realizar cada tarea.
Coordinación y cooperación: Debe existir una buena relación entre el auditado y el auditor, sin que se viole el principio de independencia.
3.7 Planificacion Tecnica En esta ultima fase se elabora el programa de trabajo. Anteriormente, en la fase de Planificacion Estrategica se establecieron los objetivos de la auditoria. En la fase de Planificacion istrativa se asignaron los recursos de personal, tiempo, etc. En esta fase de Planificacion Tecnica, se indican los metodos a seguir, es decir si se va a seguir un metodo de auditoria basado en los controles o todo lo contrario, un metodo de auditoria basado en pruebas sustantivas, asi tambien 21
si indican los procedimientos, las tecnicas y las herramientas que se utilizaran para poder alcanzar los objetivos deseados de la auditoria. El programa de auditoria debera ser abierto y flexible, de una forma que se puedan ir agregando o introduciendo cambios a medida que se necesiten, según se vaya conociendo de una mejor forma el sistema. Tanto el programa de auditoria, como los papeles de trabajo son propiedad del auditor, este no tiene obligacion de enseñarlos al auditado (empresa que se audita), y debe guardar dichos documentos durante el plazo que indique la ley, hasta que estos prescriban. Dedicarle el tiempo necesario a la planificacion, nos permite evitar perdidas de tiempo y de recursos innecesarios. Según explica el escritor E. Perry (Planing EDP Audits): Que la distribucion del tiempo empleado en llevar a cabo una auditoria, es de un tercio para planificar, un tercio para llevar a cabo el trabajo de campo y un tercio en la elaboracion del informe de auditoria. Para llevar a cabo este programa, se sigue la guia del proceso Gestion de la Explotacion. Ciertos aspectos de la explotacion de un sistema de informacion pueden quedar al margen del proceso. Esto es debido a la clasificacion que hace CobiT. Esta es una de las grandes ventajas que presenta esta Guia CobiT, la cual facilita la comunicación en el sentido de que podemos determinar con claridad el alcance de la auditoria. 3.7.1 Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en ingles: Control Objectives for Information and related Technology)
Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de istración de las Tecnologías de la Información (ITGI, en inglés: IT GovernanceInstitute) en 1992
22
4 Realizacion del Trabajo (Procedimientos) Este consiste en llevar a cabo las pruebas sustantivas y de cumplimiento que se han planificado, para alcanzar los objetivos de la auditoria. 4.1 Objetivo general. El objetivo general de la auditoria consistiria en: Asegurarse de que las funciones que sirven de apoyo a las Tecnololigas e Informacion y satisfacen los requisitos empresariales. 4.2 Objetivos Especificos. Para alcanzar el objetivo general, este se puede dividir en varios objetivos especificos sobre los cuales se realizaran las pruebas oportunas, para asi asegurarse que el objetivo general se ha llevado a cabo. El esquema de trabajo para cada uno de los objetivos es el siguiente:
Comprender las tareas, las actividades del proceso que se esta auditando. Si fuera necesario, se ampliarian las entrevistas que hemos realizado en la fase de planificacion estrategica.
Determinar si son o no apropiados los controles que se estan instalando. Si fuese necesario, se ampliarian las pruebas que se han llevado a cabo en las fase de planificacion estrategica.
Realizar pruebas de cumplimiento, para determinar si los controles que estan instalaldos funcionan según lo establecido, de manera consistente y continua. El objetivo de estas pruebas consiste en analizar el nivel de cumplimiento de las normas de controlo que tiene
establecidas el
auditario. Se supone que estas normas de control son eficientes y efectivas.
23
Realizar pruebas sustantivas para aquellos objetivosde control cuyo buen funcionamiento con las pruebas de cumplimiento no nos han satisfecho. El objetivo de estas pruebas, consiste en realizar las pruebas necesarias sobre los datos, para que proporcionen la suficiente seguridad a la direccion sobre si se ha alcanzado su objetivo empresarial.
Debera hacerse el maximo numero de pruebas sustantivas si:
No existen instrumentos de medida de los controles.
Los instrumentos de medida que existen, se consideran inadecuados.
Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han aplicado correctamente de una manera consistente y continua.
El auditor deberia haber realizado las suficientes pruebas sobre los resultados de las distintas tareas y actividades de la explotacion del sistema de informacion como para poder determinar si los objetivos de control se han alcanzado o no. Con esa informacion debe elaborar un informe y si procede, hacer las recomendaciones oportunas. 5 Informes
56
Es el resultado de la información, estudios, investigación y
análisis efectuados por los auditores durante la realización de una auditoría, que de forma normalizada expresa por escrito su opinión sobre el área o actividad auditada en relación con los objetivos fijados, señalan las debilidades de control interno, si las ha habido, y formula recomendaciones pertinentes para eliminar las causas de tales deficiencias y establecer las medidas correctoras adecuadas.
5.1 Importancia Y Relevancia Del Informe
El producto que vende Auditoría son sus informes.
Se remiten a las más altas autoridades de la organización.
24
Es el medio de que se vale Auditoría para dar a conocer su opinión. Es su vehículo de comunicación.
Ponen de manifiesto si los auditores tienen una visión gerencial de las áreas auditadas o carecen de ella. Si están realmente capacitados.
Son representativos de la calidad de la Auditoría Interna en cuanto a: formación profesional, cultura, estilo, corrección en el lenguaje escrito, etc.
Cada informe es una carta de presentación de la Auditoría, los errores de concepto, la falta de oportunidad de las recomendaciones y la deficiente redacción pueden producirse en cualquier auditoría y es algo que debe evitarse.
Los tipos de opiniones generalmente aceptas en auditoria, son cuatro:
Si se concluye que el sistema es satisfactorio el auditor daría una opinión favorable.
Si el auditor considera que el sistema es un desastre, su opinión sería desfavorable.
Si el sistema es valido pero tiene algunos fallos que no lo invalidan, la opinión será con salvedades.
También podrá ocurrir que el auditor no tenga suficientes elementos de juicio para poder opinar: en este caso no opinaría por lo que su resultado seria: denegación de opinión.
5.2 Tipos de Informes
5.2.1 Favorable En nuestra opinión el servicio de explotación u las funciones que sirven de apoyo a las tecnologías de la información se realizan con regularidad, de forma ordenada u satisfacen los requisitos empresariales.
5.2.2 Desfavorable En nuestra opinión, dada la importancia de los efectos de las salvedades comentadas en los puntos X, X1, de este informe, el servicio de explotación u 25
las funciones que sirven de apoyo a las tecnologías de la información no realizan con regularidad, ni de forma ordenada y no satisfacen los requisitos que la empresa requiere.
5.2.3 Con salvedades En nuestra opinión, excepto por los efectos de las salvedades que se comentan en el punto X de este informe… el servicio de explotación y las funciones que sirven de apoyo a las tecnologías de la información se realizan con regularidad, de forma ordenada y satisfacen los requisitos empresariales.
Nota: En una parte del informe se indicaran cuales son las salvedades y en este mismo documento o en documento aparte se harán las recomendaciones oportunas para mejorar el sistema, para que en una siguiente auditoria no existan las salvedades comentadas.
5.3 Denegación de Opinión En el caso de que las salvedades impidan hacernos una opinión del servicio de explotación, ya sea por falta de información o por no haber tenido a ella por los motivos que fueren, pero siempre ajenos a nuestra voluntad, y no obstante, haber intentado hacer pruebas alternativas, el auditor denegará su opinión.
5.4 Recomendaciones
En el caso de que el auditor durante la realización de la auditoria detecte debilidades, este debe comunicarlas al auditado con la mayor prontitud posible. Un esquema, generalmente aceptado, de cómo presentar las debilidades es el siguiente:
Describir la debilidad
Indicar el criterio o instrumento de medida que se ha utilizado
Indicar los efectos que puede tener el sistema de información
Describir la recomendación con la que esa debilidad se podría eliminar.
26
5.5 Normas Para Elaborar Los Informes La elaboración y el contenido de los informes de auditoria deben ajustarse a las normas de auditoria de sistemas de información generalmente aceptadas y aplicables (NASIGAA). Entre otros motivos porque facilita la comparación de los informes realizados por distintos auditores. Por tanto, siguiendo las normas números 9 y 10 de “General Estándar For Informacion Systems Auditing” Emitidas por ISACA, además del párrafo de opinión antes indicado el informe de auditoría deberá contener otra información adicional. El informe es el instrumento que se utiliza para comunicar los objetivos de la auditoria, el alcance que vaya a tener, las debilidades que se detecten y las conclusiones a las que se lleguen, a la hora de preparar el informe, el auditor debe tener en cuenta las necesidades y características de los que se suponen serán sus destinatarios. El informe debe contener un párrafo en el que se indiquen los objetivos que se pretenden cumplir. Si según la opinión del auditor, alguno de estos objetivos no se pudiera alcanzar se debe indicar en el informe. En el informe de auditoría se deben mencionar cuales son las NASIGAA que se han seguido para realizar el trabajo de auditoría. También se deben indicar las excepciones en el seguimiento de estas normas técnicas, el motivo de no seguirlas, y cuando proceda, también se deben indicar los efectos potenciales que pudieran tener en los resultados de la auditoria. El informe de auditoría se ha de mencionar el alcance de la auditoria, así como describir la naturaleza y la extensión del trabajo de auditoría. En el párrafo de alcance se deben indicar el área/proceso, el periodo de auditoría, el sistema, las aplicaciones y los procesos auditados. Asimismo se indicaran las circunstancias que hayan limitado el alcance cuando, en opinión del auditor, no se hayan podido completar todas las pruebas y procedimientos diseñados, o cuando el “auditado” haya impuesto restricciones o limitaciones al trabajo de auditoría. Si durante el trabajo se detectaran debilidades en el sistema de información de la entidad auditada estas deberán indicarse en el informe, así como sus
27
causas, sus efectos y las recomendaciones necesarias para mejorar o eliminar las debilidades. El auditor debe expresar en el informe su opinión sobre el área o proceso auditado. No obstante, en función de los objetivos de la auditoria, esta opinión puede ser general y referirse a todas las áreas o procesos en su conjunto. El informe de auditoría debe presentarse de una forma lógica y organizada. Debe contener la información suficiente para que sea comprendido por el destinatario y este pueda llevar a cabo las acciones pertinentes para introducir las correcciones oportunas que mejoren el sistema. El informe se debe emitir en el momento más adecuado para que permita que las acciones que tenga que poner en práctica el “auditario”, tengan los mayores efectos positivos posibles. Con anterioridad al informe, el auditor puede emitir, si lo considera oportuno, recomendaciones destinadas a personas concretas. Estas recomendaciones no deberían alterar el contenido del informe. En el informe se debe indicar la entidad que se audita y la fecha de emisión del informe para que este no llegue a manos indebidas. 6 La Documentación de la Auditoria y su Organización 6.1 Papeles de trabajo Es el registro del trabajo de auditoria realizado y la evidencia que sirve de soporte a las debilidades encontradas y las conclusiones a las que ha llegado el auditor. Los papeles de trabajo se deben diseñar y organizar según las circunstancias y las necesidades del auditor.
Todo trabajo debe quedar
reflejado en los papeles por los siguientes motivos:
Recogen la evidencia obtenida a lo largo del trabajo.
Ayudan al auditor en el desarrollo de su trabajo
Ofrecen un soporte del trabajo realizado para así, poder utilizarlo en auditorias sucesivas
Permiten que el trabajo pueda ser revisado por terceros.
28
6.2 Archivos Los papeles de trabajo que el auditor va elaborando se puede organizar en dos archivos principales: El archivo Permanente o continua de auditoria y el archivo corriente o de la auditoria en curso.
6.2.1 Archivo Permanente El archivo permanente contiene todos aquellos papeles que tienen un interés continuo y una validez plurianual tales como:
Características de los equipos y de las aplicaciones,
Manuales de los equipos y de las aplicaciones,
Descripción del control interno.
Organigramas de la empresa en general,
Organigramas del servicio de información y división de funciones,
Cuadro de planificación plurianual de auditoria,
Escrituras y contratos,
Consideraciones sobre el negocio,
Consideraciones sobre el sector,
Y en general toda aquella información que puede tener una importancia para auditorias posteriores.
6.2.2 Archivo Corriente Este archivo, a su vez, se suele dividir en archivo general y en archivo de áreas o de procesos.
6.2.3 Archivo General Los documentos que se suelen archivar aquí son aquellos que no tienen cabida específica en alguna de las áreas/procesos en que hemos dividido el trabajo de auditoria tales como:
El informe del auditor
La carta de recomendaciones,
Los acontecimientos posteriores, 29
El cuadro de planificación de la auditoria corriente,
La correspondencia que se ha mantenido con la dirección de la empresa,
El tiempo que cada persona del equipo ha empleado en cada una de las áreas/procesos.
6.2.4 Archivo Por Aéreas/Procesos Se debe preparar un archivo para cada una de las áreas o procesos en que hayamos dividido el trabajo e incluir en cada archivo todos los documentos que hayamos necesitado para realizar el trabajo de esa área proceso concreto. Al menos deberán incluirse los siguientes documentos.
Programa de auditoria de cada una de las ares/procesos.
Conclusiones del área/proceso en cuestión,
Conclusiones del procedimiento en cuestión.
30
7 CONCLUSIONES La labor del auditor informático es esencial para garantizar la adecuación de los sistemas informáticos; para ello debe realizar su trabajo apegándose a las Normas de Auditoria de Sistemas de Información Generalmente Aceptadas y Aplicables como requisito necesario que garantice la calidad del trabajo realizado y que la evidencia de este quede documentada. A medida que la sociedad se va sistematizando cadavez más, es necesario diseñar normas para que las empresas tengan la seguridad de que los sistemas funcionan y que sus datos se mantienen con la debida confidencialidad. Los informes de los distintos auditores se pueden comparar, siempre y cuando se tengo un archivo adecuado de los papeles de trabajo.
31
8 RECOMENDACIONES Es de suma importancia que el auditor de sistemas informáticos tenga una panorámica general y muy bien soportada en sus papeles de trabajo, para que la evaluación que realice al hardware sea lo suficientemente objetiva y brinde una opinión certera sobre la razonabilidad de la información generada.
El auditor de sistemas informáticos debe de cumplir con las normas de observancia general emitidas por entidades internacionales, nacionales, internas, etc., las cuales le brinden un marco regulatorio adecuado y satisfaga con criterios soportados la opinión que va a emitir sobre la razonabilidad de los sistemas informáticos.
32
9 BIBLIOGRAFIA 1. Auditoria Informática, Un enfoque practico, 2ª. Edición ampliada y modificada, Mario Gerardo Piattini y Emilio del Peso Navarro, Editorial Madrid, España.
2. Norma Internacional de Auditoría No. 15, Sec. 401, Auditoría en un Ambiente de Sistemas de Información por Computadora, International Standard on Auditing ISA, traducción al español por Instituto Mexicano de Contadores Públicos y Auditores (IM), año 2002.
3. www, wikipedia.org
33
Related Documents 171j1w
Auditoria De La Explotacion 2s2q6a
April 2020 22
Impacto De La Explotacion Petrolera 4t2l5v
May 2021 0
Etapas De La Auditoria 2h3o4e
September 2021 0
Pasos De La Auditoria 3n594l
June 2022 0
Metodos De Explotacion Subterranea 303y26
October 2020 0
Explotacion De Yeso 4o2o49
November 2019 38More Documents from "Julia Velasquez" j46a
Auditoria De La Explotacion 2s2q6a
April 2020 22
Auditoria Operacional 26664q
April 2020 25
O Sublime E A Vanguarda - Lyotard 4r1a1t
November 2020 0
Freedom 2c5i26
August 2021 0
Actividad Practica Integradora Del Modulo 4 2wp4b
February 2021 0