UNIVERSIDAD SALVADOREA ALBERTO MASFERRER

Facultad de Ciencias Empresariales

Auditoria de Sistemas Contables Computarizados

TEMA:

Sistemas de Informacin, Controles Generales y Controles de Aplicacin

CATEDRATICO

Lic. Victor Hugo Monterosa

PRESENTADO POR: Carlos Mauricio Renderos Carlos Humberto Ayala Rivera Luis Alexander Avalos Aguilar

San Salvador, 10 de Agosto de 2011

INDICE

INTRODUCCION .................................................................................................... 1 SISTEMAS DE INFORMACION .............................................................................. 2 I. Introduccin a los Sistemas de Informacin basados en Computador ............. 3 1.1 Porque los sistemas de informacin son importantes: ................................... 3 1.2. Los beneficios que se pueden obtener usando Sistemas de Informacin .... 5 1.3 El Impacto pasado y futuro de la TI sobre la empresa .................................. 6 II. PLANIFICACIN ESTRATGICA DE SISTEMAS DE INFORMACIN ............. 7 2.1. Estrategia de Tecnologas de Informacin. ................................................... 9 CONTROLES GENERALES ................................................................................. 13 CONTROLES SOBRE LOS DIFERENTES ASPECTOS DEL AREA INFORMTICA...................................................................................................... 13 Conceptos Bsicos ............................................................................................ 13 Herramientas de control ..................................................................................... 15 Formularios de control ....................................................................................... 16 Controles de Aplicacin: ........................................................................................ 22 Ejemplo de un enfoque de evaluacin de riesgo ............................................... 25

INTRODUCCION

La tecnologa de informacin esta transformado las actividades econmicas y cotidianas como uno de los fenmenos sociolgicos ms importantes del siglo. Por esta razn, los niveles de oportunidades de trabajo se incrementan de una manera acelerada en diferentes reas del conocimiento. Indiscutiblemente, las

computadoras han invadido ya todos y cada uno de los campos de la actividad humana: ciencia, tecnologa, arte, educacin, recreacin, administracin,

economa y de acuerdo a la tendencia actual, nuestra civilizacin y las venideras dependern cada vez ms de estos "cerebros" electrnicos. Se ha venido acelerando la velocidad de cambio del medio de casi todas las organizaciones, de all que stas necesiten ahora ms informacin como soporte a la toma de decisiones. Es por eso que, el desarrollo de los sistemas de informacin viene jugando un papel importante y cada vez ms preponderante para poder competir y subsistir en el medio. Se debe precisar que, Para responder a los retos planteados por la nueva situacin econmica y tecnolgica mundial, se impulsa una dinmica tendiente a dar a conocer los elementos necesarios para estar a la vanguardia en este campo. Para ello se pretende desarrollar este escrito, que preste soporte a las diferentes reas que involucran las necesidades de capacitacin de sectores que desean utilizar la informacin como herramienta para encontrar nuevas y mejores oportunidades laborales.

SISTEMAS DE INFORMACION

Un sistema de informacin es un conjunto organizado de elementos, que pueden ser personas, datos, actividades o recursos materiales en general. Estos elementos interactan entre s para procesar informacin y distribuirla de manera adecuada en funcin de los objetivos de una organizacin. El estudio de los sistemas de informacin surgi como una su disciplina de las ciencias de la computacin, con el objetivo de racionalizar la administracin de la tecnologa dentro de las organizaciones. El campo de estudio fue avanzando hasta pasar a ser parte de los estudios superiores dentro de la administracin. Desde un punto de vista empresarial, los sistemas de informacin pueden clasificarse de diversas formas. Existen, por ejemplo: Sistemas de procesamiento de transacciones: Gestionan la informacin respecto a las transacciones producidas en una empresa, Sistemas de informacin gerencial: Para solucionar problemas empresariales en general, Sistemas de soporte a decisiones Analizan las distintas variables de negocio para la toma de decisiones Sistemas de informacin ejecutiva: Para los directivos Sistemas de automatizacin de oficinas Aplicaciones que ayudan en el trabajo administrativo y Sistemas expertos Que emulan el comportamiento de un especialista en un dominio concreto.

Cabe resaltar que el concepto de sistema de informacin suele ser utilizado como sinnimo de sistema informtico, aunque no son lo mismo. Este ltimo pertenece al campo de estudio de la tecnologa de la informacin y puede formar parte de un sistema de informacin como recurso material. De todas formas, se dice que los sistemas de informacin tratan el desarrollo y la administracin de la infraestructura tecnolgica de una organizacin.

I.

Introduccin a los Sistemas de Informacin basados en Computador

1.1 Porque los sistemas de informacin son importantes: Los gerentes o administradores dependen de medios formales e informales para obtener los datos que requieren para tomar decisiones. La informacin formal llega a manos de los gerentes mediante informes administrativos y estadsticas de rutina. Estos informes son estandarizados, se producen regularmente y constituyen la parte ms visible de lo que se denomina Sistema de Informacin Gerencial (SIG). La informacin informal incluye rumores y discusiones no oficiales con sus colegas. La experiencia personal, educacin, sentido comn, intuicin y conocimiento del medio social y poltico, son parte de los medios informales de recolectar datos. Considerando este supuesto, puntualizaremos el Por Qu son importantes los Sistemas de Informacin: Se ha convertido con el tiempo, en otra rea funcional de la empresa, tal como la contabilidad, finanzas, mercadeo, o produccin. Toda organizacin exitosa se ha concientizado de la importancia del manejo de las tecnologas de informacin (TI) como elemento que brinda ventajas comparativas con respecto a la competencia.

 Un sistema de informacin necesita justificar su implementacin desde el punto de vista - costo / beneficio -, partiendo de la concepcin del valor que se le otorgue a la informacin dentro de una organizacin. El xito de un SI no debe medirse solo por su eficiencia en trminos de minimizar costos. El xito tambin debe medirse por la efectividad de la TI en respaldo de las estrategias empresariales de una organizacin. Facilitando procesos empresariales, Intensificando estructuras y su cultura organizacional Incrementando el valor comercial de la empresa en un entorno empresarial dinmico. Personas Datos Software Hardware Redes Los sistemas de informacin utilizan personas, datos, hardware, software, recursos y tecnologas de redes de comunicaciones para reunir transformar y diseminar informacin en una organizacin. Desde el punto de vista de los costos, sin entrar a ser especfico se resumen en los siguientes rubros: Hardware (equipos necesarios para el procesamiento de la informacin) Software (adquisicin o desarrollo de aplicaciones a la medida y programas genricos a nivel comercial) Personal (personas que intervienen en el sistema para procesar, controlar y administrar la informacin) Otros costos (generacin de informes, formatos, estandarizacin de procesos) Dependiendo del tipo de sistema de informacin que se est tratando, las funciones esenciales que respaldan su existencia se vern modificadas. En general, los sistemas de informacin tienen como objetivo: Respaldar las operaciones empresariales.

Respaldar la toma de decisiones gerenciales. Respaldar la ventaja competitiva estratgica. Contribuir a la automatizacin de actividades y procesos en las empresas. Llevar la informacin de manera oportuna y adecuada a las instancias de la empresa que as lo requieran. Proporcionar un diagnstico de la empresa en un momento dado. Dar elementos de juicio para realizar pronsticos para la empresa.

1.2. Los beneficios que se pueden obtener usando Sistemas de Informacin Acceso rpido a la informacin. Mayor motivacin en los mandos medios para anticipar los

requerimientos de las directivas. Generacin de informes e indicadores, que permiten corregir fallas difciles de detectar y controlar con un sistema manual. Posibilidad de planear y generar proyectos institucionales soportados en sistemas de informacin que presentan elementos claros y sustentados. Evitar prdida de tiempo recopilando informacin que ya est almacenada en bases de datos que se pueden compartir. Impulso a la creacin de grupos de trabajo e investigacin debido a la facilidad para encontrar y manipular la informacin. Soluciona el problema de falta de comunicacin entre las diferentes instancias. A nivel directivo se hace ms efectiva la comunicacin.

1.3 El Impacto pasado y futuro de la TI sobre la empresa

En las dos primeras ondas las T. Mainframes, minicom, micro y telec computarizaron y conectaron en red los trabajadores del conocimiento y sus empresas. Tercera onda la TI empresas e individuos interconectados en red en cualquier parte en donde se encuentren. As internet, intranets, extranets y otras redes de telec. Crean una sociedad global interconectada Cuarta onda explotara el contenido multimedia digital y disponible para todos generando una verdadera SIG. Generacin de nuevas dinmicas, utilizando medios informticos como el correo electrnico, multimedia, tele conferencia, acceso directo a bases de datos y redes nacionales e internacionales.

II. PLANIFICACIN ESTRATGICA DE SISTEMAS DE INFORMACIN Los sistemas de informacin brindan grandes oportunidades para crear ventajas competitivas, para cambiar la manera como una empresa compite, o para innovar los procesos de una organizacin. La realizacin de un Plan de Sistemas de Informacin dentro de cualquier organizacin, tiene como finalidad asegurar la adecuacin entre los objetivos estratgicos de la misma y la informacin necesaria para soportar dichos grandes objetivos. Esto hace que una metodologa de planificacin de sistemas abarque a toda la organizacin y exige tener en cuenta una serie de conceptos, en cuanto a planificacin de estrategias, que desbordan el marco especfico de una metodologa de desarrollo de sistemas. Una estrategia es un conjunto de decisiones que se toman con miras a lograr algo (un objetivo). En el caso de una organizacin, una estrategia a largo plazo es lo que permite lograr la visin de la organizacin en un futuro. Esta estrategia es el resultado de una serie de decisiones sobre su alcance, competencias y manejo: El Alcance del Negocio est asociado con decisiones que determinan

dnde va a competir la empresa, e implica contestar qu productos o servicios va a producir?, en qu nichos?, para qu clientes? y en qu zonas geogrficas?. Las Competencias Distintivas implican que la organizacin tome decisiones

acerca de cmo la empresa va a competir para entregar sus productos o servicios. Para ello, deben responderse preguntas como Qu va a hacer que le compren a ella? Qu la distingue de sus competidores? Qu puede hacerse que sea difcil de imitar por estos?. El decidir sobre el Manejo del Negocio implica tomar decisiones acerca de

la propiedad de la empresa considerando, entre otros factores, la necesidad de establecer alianzas o sociedades. La manera de competir de una empresa involucra habilidades, activos y rutinas que la distinguen de los competidores y que deben ser aprovechadas en la

definicin de la estrategia del negocio. Este concepto, al que tambin se ha denominado "Competencias Centrales", constituye el conocimiento colectivo en la organizacin necesario para coordinar habilidades, tecnologas y recursos en la produccin de bienes y servicios. Una buena identificacin de cules sern las competencias centrales que habrn de convertirse en las competencias distintivas de la estrategia, implica seleccionar aquellas habilidades o prcticas que dan acceso potencial a una amplia variedad de mercados, contribuyen en forma significativa al valor que perciben los clientes y son difciles de imitar por los competidores. Los elementos de la Infraestructura y Procesos Organizacionales de una empresa son tres: La Estructura Administrativa de la empresa, en donde se especifican los roles y responsabilidades de los integrantes de la organizacin, as como los mecanismos de autoridad y toma de decisiones. Los Procesos de la organizacin, que pueden concebirse como flujos de coordinacin para satisfacer condiciones de compromiso entre las personas que integran a la empresa. Las Habilidades que habrn de tener los recursos humanos encargados de realizar los procesos organizacionales.

Estos tres componentes se encuentran ntimamente relacionados. Un ejemplo lo constituyen aquellas organizaciones que han modificado su estructura

administrativa de una estructura meramente jerrquica dividida en unidades funcionales, a una de equipos de procesos multifuncionales. Las personas que integran estos equipos tienen una amplitud mayor en el alcance de sus tareas, por lo cual requieren la habilidad de trabajar de manera autnoma.

Uno de los objetivos de la adecuada aplicacin de tecnologa en la organizacin consiste en obtener ventajas estratgicas que sean difciles de imitar; es decir, en lograr que la infraestructura y los procesos organizacionales (cmo? y con qu?) apoyen la estrategia (qu? dnde? por qu?) de la empresa. Estas ventajas estratgicas se traducirn en ventajas competitivas hacia el exterior si ellas contribuyen a dar mayor valor a los productos o servicios en relacin a la competencia. Usar tecnologa para obtener ventajas estratgicas implica instrumentar estrategias que refuercen los factores crticos de xito (con qu?) y las "competencias centrales" del negocio (cmo?).

2.1. Estrategia de Tecnologas de Informacin.

En forma similar a la Estrategia del Negocio, la Estrategia de Tecnologas de Informacin es el resultado de una serie de decisiones sobre su alcance, competencias y manejo: El Alcance de la Tecnologa est asociado con decisiones que determinan

el tipo de tecnologas que se utilizarn (e.g., tecnologas orientadas a objetos, arquitecturas cliente/servidor, manejo de imgenes, robtica, multimedia, etc.). Las Competencias Sistmicas identifican las caractersticas y fortalezas de

las tecnologas que sern crticas para la creacin/extensin de estrategias de negocios (conectividad, accesibilidad, confiabilidad, desempeo). Las decisiones de manejo de la Tecnologa permiten determinar el alcance

de propiedad sobre la tecnologa, as como posibilidades de alianzas o sociedades. Un cuarto componente de la estrategia de TI, la Infraestructura y Procesos de Tecnologa, tiene tres elementos interrelacionados:

 La Arquitectura Tecnolgica de la empresa, en donde se especifican las prioridades y polticas que permiten la integracin de aplicaciones tecnolgicas, as como los mecanismos de autoridad y toma de decisiones con relacin a tecnologa. Los Procesos relacionados con el desarrollo de aplicaciones tecnolgicas,

con su administracin y con la operacin de ellas. Las Habilidades, es decir, las experiencias, competencias, compromisos,

valores y normas de la gente encargada de entregar productos y servicios de tecnologa. En forma similar a la Infraestructura y Procesos de la Organizacin, este cuarto componente se refiere a la manera como se instrumenta la Estrategia de TI en actividades, equipos de trabajos, compromisos y dems elementos asociados con el trabajo en la empresa. En este caso, los procesos son procesos asociados con las TI, como podra ser el desarrollo de un nuevo sistema, la impresin de recibos telefnicos, la evaluacin de nuevas soluciones informticas para la organizacin, o la operacin del centro de cmputo, entre otros. Es importante caracterizar a la alineacin de estrategias como el resultado de un ajuste estratgico y de una integracin funcional simultneamente. El ajuste estratgico se obtiene cuando se toman decisiones que posicionan

adecuadamente a la empresa en el mercado (o a las tecnologas en la Empresa). Un buen ajuste estratgico permite capitalizar la estructura, procesos y habilidades de la gente en la implementacin de la estrategia organizacional (o de tecnologa). Por su parte, la integracin funcional representa la alineacin entre los elementos asociados directamente con el negocio, y aqullos que tienen que ver con la tecnologa en s. La integracin Funcional es importante porque para cambiar las estrategias de negocios pueden aprovecharse las oportunidades de las tecnologas, y porque si las estrategias de negocios cambian, esto tendr impacto en la estrategia tecnolgica.

10

El descubrir oportunidades para innovar los procesos de una empresa aprovechando las ventajas que brindan las tecnologas de informacin, pone nfasis en la vinculacin entre estrategias de tecnologa y de negocios (integracin funcional), utilizando a las TI como un facilitador para transformar la infraestructura y procesos del negocio. Una metodologa que puede seguirse para instrumentar esta perspectiva consiste de cinco pasos: Seleccin del proceso a innovar, en funcin de los fines del negocio

(definidos en la estrategia de la organizacin). Identificacin de los facilitadores para el cambio, donde se considera a las

TI y tambin a otros elementos culturales o estructurales que podran ayudar a innovar el proceso. Creacin de una visin del nuevo proceso, donde se definen objetivos y

atributos para el desempeo del proceso, y se hace un diseo del mismo. Diseo de alternativas de implementacin, donde se define la manera como

habr de instrumentarse la visin generada en el paso anterior. Implementacin del nuevo proceso, donde se instrumenta el nuevo proceso.

Lo interesante de esta metodologa es que los medios (TI entre otros) se consideran antes de definir la visin del proceso (el cmo). De esta manera, se busca que la visin sea lo ms innovadora posible. El empleo de las tecnologas para la instrumentacin de nuevas estrategias de negocios requiere conocer las fuerzas/debilidades de la infraestructura interna de tecnologa y administrar el riesgo tecnolgico adecuadamente. A diferencia de la perspectiva anterior, la innovacin se da fundamentalmente en los procesos tecnolgicos y no en los procesos organizacionales. Esta perspectiva podra aplicarse, por ejemplo, cuando el rea de TI cambia sus mecanismos de entrega de productos informticos hacia las reas funcionales,

11

descentralizando actividades que anteriormente eran competencia nicamente del rea central de TI. En este caso, los procesos de informtica se ven modificados para permitir la instrumentacin de nuevas estrategias de negocio La entrega de productos y servicios de tecnologa en la organizacin, y su mtodo de ajuste asociado, es el que tiene que ver con la elaboracin y ejecucin de planes tecnolgicos. La administracin estratgica se enfoca a decidir cmo responder a las necesidades de los clientes, y el rol de la gerencia consiste en fijar prioridades y en balancear los resultados a corto plazo con los de largo plazo. Un error comn de los responsables de la funcin informtica es tener planes de sistemas demasiado amplios que pretenden cubrir todas las necesidades del negocio, desde aqullas verdaderamente importantes, hasta aqullas que son deseables pero no fundamentales; y como resultado, los esfuerzos se diseminan y no se obtienen los objetivos planteados en un principio. Para ponderar entre s los distintos proyectos informticos, deben tomarse en cuenta los beneficios econmicos, los beneficios intangibles, los beneficios tecnolgicos, y la manera como un determinado proyecto apoya los objetivos de la organizacin. En resumen, los pasos para la planificacin estratgica de los sistemas de informacin son: Pronstico de demanda, Disponibilidad de Servicios, Regulaciones, Costo operacional, etc. Crear una "Arquitectura de Datos", o sea identificar las "entidades de datos"

del negocio, sus atributos, sus relaciones y su dominio. A esto se llama tambin "Modelo de Datos" y a las relaciones entre las entidades "Modelo EntidadRelacin". Estos modelos se logran en sesiones de "modelaje de datos" en que un facilitador busca la colaboracin de los expertos de cada aspecto del negocio para construir el modelo.

12

Establecer la Arquitectura de Aplicaciones que agrupa requerimientos

similares de procesamiento de datos de los procesos en unidades de sistemas (tericos) y las Bases de Datos (tambin tericas) para satisfacer los requerimientos de informacin de la empresa. En la siguiente figura se presenta, un bosquejo posible para un plan de sistemas de informacin.

CONTROLES GENERALES CONTROLES SOBRE LOS DIFERENTES ASPECTOS DEL AREA INFORMTICA

En todas las actividades relacionadas con las ciencias de la computacin, existe un riesgo aceptable, y es necesario analizar y entender estos factores para establecer los procedimientos que permitirn analizarlos al mximo y en caso que ocurran, poder reparar el dao y reanudar la operacin lo mas rpidamente posible. En una situacin ideal, se deberan elaborar planes para manejar cualquier contingencia que se presente. Evidentemente, ante todo debe existir en la empresa una poltica abierta y decidida en materia de seguridad, impulsada por la propia direccin. En este afn es que se trata de evaluar estas situaciones mediante la aplicacin de los formularios de controles generales.

Conceptos Bsicos Auditoria informtica Conceptualmente la auditoria, toda y cualquier auditoria, es la actividad consistente en la emisin de una opinin profesional sobre si el objeto sometido a

13

anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. En un ambiente donde la informtica est encabezando el trabajo en las diferentes oficinas e instituciones, el almacenamiento, ejecucin y procesamiento de los datos se est haciendo va computadoras, por lo tanto en el trabajo de la auditoria tambin es algo indispensable. Aunque en el ambiente de la informtica la computadora es el medio principal para auditar pero no hay que olvidar que es a la persona junto a la informacin la cual estamos auditando y no la computadora en s, no se cambi el espirito de la auditoria tradicional, solamente se cambi el mtodo.

El seleccionar la metodologa de trabajo implica estudiar varias para as determinar cul es la ms adecuada.

Clases de auditoria y procedimientos El Objeto y la Finalidad distinguen el tipo o clase de auditoria de que se trata. El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el estudio, definen el tipo de auditoria de que se trata.

La opinin profesional, elemento esencial de la auditoria, se fundamenta y justifica por medio de unos procedimientos especficos tendentes a proporcionar una seguridad razonable de lo que se afirma.

Como es natural, cada una de las clases o tipos de auditoria posee sus propios procedimientos para alcanzar el fin previsto aun cuando en muchos casos puedan coincidir. El alcance de la auditoria, concepto de vital importancia, nos viene dado por los procedimientos. La amplitud y profundidad de los procedimientos que se apliquen nos definen su alcance. Se pretende garantizar que se toman en consideracin todos los aspectos, reas, elementos, operaciones, circunstancias etc. que sean significativas.

14

Para ello se establecen unas Normas y Procedimientos que en cuanto a la ejecucin de la auditoria se resumen en que:

El

trabajo

se

planificar

apropiadamente

se

supervisar

adecuadamente. Se estudiar y evaluar el sistema de control interno. Se obtendr evidencia suficiente y adecuada

Para concluir se establece que la evidencia obtenida deber recogerse en los papeles de trabajo del auditor como justificacin y soporte del trabajo efectuado y la opinin expresada.

Herramientas de control Definicin. Caractersticas En la tecnologa de la seguridad informtica que se ve envuelta en los controles, existe tecnologa de hardware (como los cifradores) y de software. Las herramientas de control son elementos software que por sus caractersticas funcionales permiten vertebrar un control de una manera ms actual y ms automatizada. Pero a no olvidar que la herramienta de control en s misma no es nada.

Las reas de control ms comunes son:

De organizacin De operacin De Seguridad lgica del sistema De Seguridad fsica del sistema De planes de contingencia De cambios a programas y/o sistemas

15

Formularios de control

Formularios ms utilizados Una de las herramientas ms utilizadas por los auditores son los formularios, que sirven como gua para indagar acerca del desempeo de las reas a ser

analizadas. Estos formularios se hacen de tal manera a cubrir la mayor parte de las situaciones que deban ser verificadas a fin de tener un completo panorama del status actual del departamento auditado.

Estos formularios abarcan las reas como ser:

Gerencia Informtica Operacin

Para la Gerencia informtica se establecen a su vez otras reas como ser:

Organizacin Planes de contingencia Cambios a programas y/o sistemas

Para el rea Operativa se establecen a su vez otras reas como ser:

Operacin Seguridad fsica Seguridad lgica

Referencia: Cliente: Fecha:

16

Formulario de Controles Generales:

I- Controles de Organizacin 1- Existen normas y procedimientos escritos sobre el funcionamiento del CPD? 2- El CPD esta separado del resto de los departamentos? 3- Es adecuada la segregacin de funciones entre el CPD y los departamentos usuarios? 4- Existe organigrama del funcionamiento del CPD? 5- Se describen con detalles las funciones y responsabilidades del personal? 6- Es posible que los operadores accedan a programas y datos no necesarios para su trabajo? 7- Se rotan la asignaciones de trabajo de los operadores? 8- Existe personal con conocimiento y experiencia suficiente para organizar el trabajo? 9- Se aprueba por personal autorizado las solicitudes de nuevas aplicaciones? 10- Existen procedimientos adecuados para mantener la documentacin al da? 11- Tienen manuales todas las aplicaciones? 12- Se aprueban los programas nuevos? 13- Se revisan antes de ponerlos en funcionamiento? SI NO N. A. Referencia

PREPARADO POR: ________________________

REVISADO POR:

________________________

Referencia: Cliente: Fecha:

17

Formulario de Controles De Operacin:

I- Controles de Operacin 1- Existen procedimientos normales para la operacin del Centro de Cmputos? 2- Estn actualizados los procedimientos? 3- Existen ordenes de proceso para cada corrida de la computadora? 4- Existe un control que asegure la justificacin de los procesos en el computador? 5- Como programan los operadores los trabajos dentro del departamento de cmputos? 6- Los retrasos o incumplimiento con el programa de operacin diaria, se revisa y analiza? 7- Existen procedimientos escritos para la recuperacin del sistema en caso de falla? 8- Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes? 9- Puede el operador modificar los datos de entrada? 10- Se prohibe a analistas o programadores la operacin del sistema que analizo o programo? 11- Se prohibe al operador modificar informacin de archivos o bibliotecas de programas? 12- El operador realiza mantenimiento diario en dispositivos que as lo requieran?

SI

NO

N. A.

Referencia

PREPARADO POR: ________________________

REVISADO POR:

________________________

Referencia: Cliente: Fecha:

18

Formulario de Controles Generales:

I- Controles de Seguridad Fsica 1- Existe vigilancia a la entrada del CPD? 2- Se ha instruido a estas personas en caso de que alguien pretenda ingresar sin autorizacin? 3- El edificio donde se encuentra el CPD esta a salvo de terremotos, incendios, inundacin, sabotaje? 4- El CPD tiene salida directa al exterior? 5- Son controladas las visitas en el CPD? 6- Existen alarmas detectoras de incendios? 7- Estas alarmas son perfectamente audibles? 8- Existen extintores de fuego? 9- El personal ha sido adiestrado en su uso? 10- Se verifica peridicamente el funcionamiento de los extintores? 11- Los interruptores de energa estn debidamente protegidos, etiquetados y al alcance? 12- Sabe que hacer el personal en caso de incendio? 13- Existe salida de emergencia? 14- Se prohibe fumar, comer y beber en el CPD? 15- Existen carteles indicativos? 16- El personal esta adiestrado para casos de emergencia? SI NO N. A. Referencia

PREPARADO POR: ________________________

REVISADO POR: Referencia: Cliente: Fecha:

________________________

19

Formulario de Controles Generales:

I- Controles de Seguridad Lgica 1- Se cuenta con copias de los archivos en lugar distinto al de la computadora? 2- Se tienen procedimientos de actualizacin para estas copias? 3- Existe Departamento de Auditoria Interna? 4- Se auditan los sistemas en operacin? 5- Si se tienen terminales conectadas, se han establecidos procedimientos de operacin? 6- Se ha establecido que informacin puede ser accesada y por que persona? 7- Se ha establecido un numero mximo de violaciones en sucesin para que sea inhabilitada la terminal? 8- Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar tendencias mayores? 9- Se exige a los usuarios que cambien sus contraseas peridicamente? 10- Estas contraseas son de longitud mnima? 11- El sistema restringe a los usuarios cuyas cuentas estn inactivas por determinado tiempo? 12- Se tienen identificados los archivos con informacin confidencial y se cuentan con claves de acceso?

SI

NO

N. A.

Referencia

PREPARADO POR: ________________________

REVISADO POR:

________________________

Referencia: Cliente: Fecha:

20

Formulario de Controles Generales:

I- Controles de Cambios de Programas/Sistemas 1- La solicitud de modificaciones a los programas se hace en forma escrita? 2- Una vez efectuadas las modificaciones se presentan las pruebas a los interesados? 3- Existe control estricto en las modificaciones? 4- Las correcciones estn debidamente autorizadas? 5- Las correcciones estn debidamente documentadas? 6- Las correcciones estn debidamente probadas? 7- Cuando se efectan modificaciones a los programas a iniciativa de quien se hacen? Usuario Director de Informtica Jefe de anlisis y programacin Programador Otro

SI

NO

N. A.

Referencia

8- Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?

PREPARADO POR: ________________________

REVISADO POR:

________________________

21

Evidentemente el control de las actividades relacionadas al rea de Informtica afecta sobremanera la forma de en cmo estas sern realizadas. Permitir una mejor utilizacin y desempeo de programas, sistemas y dems recursos, con mejores prestaciones en cuanto a fiabilidad, seguridad, conceptos tan importantes hoy en da. Sin duda los formularios que utilice el auditor sern de suma utilidad y ayuda en la tarea. Le permitir un mejor control de las reas a ser verificadas y podr enfocar mejor los objetivos de la auditoria y su alcance.

CONTROLES DE APLICACIN:

En un contexto en el cual las empresas cada vez ms dependen de los sistemas como medio para alcanzar los objetivos definidos, el auditor interno cada vez ms debe interiorizarse del funcionamiento de dichas aplicaciones... En un contexto en el cual las empresas cada vez ms dependen de los sistemas como medio para alcanzar los objetivos definidos, el auditor interno cada vez ms debe interiorizarse del funcionamiento de dichas aplicaciones, de los riegos que las mismas acarrean as como la forma de monitorear y mitigar dichos riesgos. Bajo este razonamiento, un aspecto principal a la hora de analizar el control interno dentro de una organizacin es poder diferenciar que es Un control de aplicacin vs. Controles generales del ambiente de computo. En primer trmino, los Controles de aplicacin son aquellos controles que son aplicables para un determinado proceso de negocio o aplicacin, entre ellos podemos encontrar la edicin de registros, segregacin de funciones, totales de control, logs de transacciones y reportes de errores.

22

El objetivo principal de los controles de aplicacin es asegurar: Que el ingreso de los datos es exacto, completo, autorizado y correcto Que los datos son procesos en tiempo oportuno Los datos son almacenados de forma adecuada y completa Que las salidas del sistema son adecuadas y completas Que registros son mantenidos para realizar un seguimiento de las entradas y eventuales salidas del sistema. En este sentido pueden existir distintos tipos de controles de aplicacin como ser: Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los datos que son ingresados al sistema. Controles de Procesamiento: Estos controles, principalmente automticos proveen una manera automtica de asegurar que el procesamiento de las transacciones es completa, adecuado y autorizado. Controles de salida: Bsicamente estos controles direccionan a que operaciones fueron realizadas con los datos. Y comparando tambin bsicamente las salidas generadas con los ingresos realizados. Controles de integridad: Estos controles permitan verificar la integridad y consistencia de los datos procesados. Logs: Principalmente utilizados como Audit Trail, permiten a la gerencia identificar hechos inusuales para posterior investigar los mismos. Adicionalmente como otra clasificacin podemos estar encontrando los controles preventivos, bsicamente asociados a los controles automticos de una aplicacin. Y los controles detectivos, principalmente asociados a controles de aplicacin y manuales posteriores.

23

Por otro lado tenemos los controles generales del ambiente de cmputo (ITGC). Estos controles aplican a todos los sistemas, controles y datos. Los ms comunes controles ITGC son: Acceso lgico sobre infraestructura, aplicaciones y datos, Controles sobre el desarrollo y ciclo de vida de los aplicativos, Controles sobre cambios a programas, Controles sobre seguridad fsica en los centros de cmputos, Backus de sistemas y controles de recuperacin de datos, Controles relacionados con operaciones computarizadas.

Un aspecto importante a considerar para el Auditor Interno, es que la confianza que tengamos sobre los Controles de aplicacin estar directamente asociada con la confianza que depositemos en los ITGC. El segundo aspecto a considerar es la complejidad del ambiente de sistemas que tengamos. Un ambiente menos complejos, tendr un menor volumen de transacciones, y no tendremos un gran nmero de controles inherentes o configurables en que la gerencia pueda confiar. Un ambiente ms complejo requerir por parte del Departamento de Auditora Interna, una mayor evaluacin de riesgos, un mayor conocimiento de los procesos y de las aplicaciones que lo soportan.

24

Ejemplo de un enfoque de evaluacin de riesgo

En un ejemplo de un mtodo de evaluacin de riesgos de control deberemos considerar los siguientes aspectos: Definir el universo de aplicaciones, bases de datos y tecnologa de soporte que utilizan los controles de aplicacin, Definir los factores de riesgo asociados con cada aplicacin. Por ejemplo: Es control clave? El diseo es efectivo? Es un software pre configurado o bien desarrollo propio? La aplicacin soporta ms de un proceso crtica? Cul es la frecuencia de los cambios de la aplicacin? Cul es la complejidad de los cambios? Cul es el impacto financiero? Cul es la efectividad de los ITGC?

Todos estos elementos ponderados terminarn dando para cada aplicacin un total que determinar el ranking del nivel de riesgo para cada aplicacin, considerando tanto factores cuantitativos como cualitativos, como por ejemplo:

-Controles con Bajo, medio o alto impacto -Por ejemplo 1= Control fuerte a 5= inadecuado control

25

Una vez raneada todas las aplicaciones, y evaluado los resultados, debemos generar un plan de accin basado en la evaluacin de riesgos enunciada anteriormente, que tienda a mitigar los riesgos asociados con las aplicaciones que tuvieron un mayor score en el ranking.

26