Anda di halaman 1dari 31

1 Sistemas De Informacin (Si) Un sistema de informacin es un conjunto de elementos que interactan entre s con el fin de apoyar las actividades

de una empresa o negocio. El Sistema de Informacin es un conjunto de elementos orientados al tratamiento y administracin de datos e informacin, organizados y listos para su posterior uso, generados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de alguna de estas categoras:

Elementos de un sistema de informacin.


Personas. Datos. Actividades o tcnicas de trabajo. Recursos materiales en general.

Todos estos elementos interactan entre s para procesar los datos dando lugar a informacin ms elaborada y distribuyndola de la manera ms adecuada posible en una determinada organizacin en funcin de sus objetivos. Un sistema de informacin realiza cuatro actividades bsicas: entrada, almacenamiento, procesamiento y salida de informacin.

1.1 Entrada de Informacin Es el proceso mediante el cual el Sistema de Informacin toma los datos que requiere para procesar la informacin. Las entradas pueden ser manuales o automticas. Las manuales son aquellas que se proporcionan en forma directa por el usuario, mientras que las automticas son datos o informacin que provienen o son tomados de otros sistemas o mdulos, estas se denominan interfaces automticas.

1.1.2 Almacenamiento de informacin A travs de esta propiedad el sistema puede recordar la informacin guardada en la seccin o proceso anterior. Esta informacin suele ser almacenada en estructuras de informacin denominadas archivos. La unidad tpica de almacenamiento son los discos magnticos o discos duros, los discos flexibles o diskettes y los discos compactos (CD-ROM).

1.1.3 Procesamiento de Informacin Es la capacidad del Sistema de Informacin para efectuar clculos de acuerdo con una secuencia de operaciones preestablecida. Estos clculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos que estn almacenados.

1.1.4 Salida de Informacin La salida es la capacidad de un Sistema de Informacin para sacar la informacin procesada o bien datos de entrada al exterior. Es importante aclarar que la salida de un Sistema de Informacin puede constituir la entrada a otro Sistema de Informacin o mdulo. En este caso, tambin existe una interfase automtica de salida. 1.1.5 Ciclo de vida de los Sistemas de Informacin Existen pautas bsicas para el desarrollo de un Sistema de Informacin para una organizacin:
4

Conocimiento de la Organizacin: analizar y conocer todos los sistemas que forman parte de la organizacin, as como los futuros usuarios del SI. En las empresas lucrativas, se analiza el proceso de negocio y los procesos transaccionales a los que dar soporte el SI.

Identificacin de problemas y oportunidades: El segundo paso es relevar las situaciones que tiene la organizacin y de las cuales se puede sacar una ventaja competitiva, as como las situaciones desventajosas o limitaciones que hay que tomar en cuenta.

Determinar las necesidades: Este proceso tambin se denomina elicitacin de requerimientos. En el mismo, se procede identificar a travs de algn mtodo de recoleccin de informacin la informacin relevante para el SI que se propondr.

Diagnstico: En este paso se elabora un informe resaltando los aspectos positivos y negativos de la organizacin. Este informe formar parte de la propuesta del SI y, tambin, ser tomado en cuenta a la hora del diseo.

Propuesta: Contando ya con toda la informacin necesaria acerca de la organizacin es posible elaborar una propuesta formal dirigida hacia la organizacin donde se detalle el presupuesto, relacin costo-beneficio, presentacin del proyecto de desarrollo del SI.

Diseo del sistema: Una vez aprobado el proyecto, se comienza con la elaboracin del diseo lgico del SI, la misma incluye el diseo del flujo de la informacin dentro del sistema, los procesos que se realizarn dentro del sistema, entre otros. En este paso es importante seleccionar la plataforma donde se apoyar el SI y el lenguaje de programacin a utilizar.

Codificacin: Con el algoritmo ya diseado, se procede a su reescritura en un lenguaje de programacin establecido, es decir, en cdigos que la mquina pueda interpretar y ejecutar.

Implementacin: Este paso consta de todas las actividades requeridas para la instalacin de los equipos informticos, redes y la instalacin del programa generado en la codificacin.

Mantenimiento: Proceso de retroalimentacin, a travs del cual se puede solicitar la correccin, el mejoramiento o la adaptacin del SI ya creado a otro entorno.

1.1.6 Tipos de sistemas de informacin Debido a que el principal uso que se da a los Sistemas de Informacin es el de optimizar el desarrollo de las actividades de una organizacin con el fin de ser ms productivos y obtener ventajas competitivas, se puede clasificar a los sistemas de informacin en:

Sistemas Competitivos Sistemas Cooperativos Sistemas que modifican el estilo de operacin del negocio

Segn la funcin a la que vayan destinados o el tipo de usuario final del mismo, los SI pueden clasificarse en: 1.1.7 Sistema de procesamiento de transacciones (TPS) Gestiona la informacin referente a las transacciones producidas en una empresa u organizacin, tambin se le conoce como Sistema de Informacin operativa. 1.1.8 Sistemas de informacin gerencial (MIS) Orientados a solucionar problemas empresariales en general. 1.1.9 Sistemas de soporte a decisiones (DSS) Herramienta para realizar el anlisis de las diferentes variables de negocio con la finalidad de apoyar el proceso de toma de decisiones. 1.1.10 Sistemas de informacin ejecutiva (EIS) Herramienta orientada a usuarios de nivel gerencial, que permite monitorizar el estado de las variables de un rea o unidad de la empresa a partir de

informacin interna y externa a la misma. Es en este nivel cuando los sistemas de informacin manejan informacin estratgica para las empresas. Con el tiempo, otros sistemas de informacin comenzaron a evolucionar. Los primeros proporcionan informacin a los siguientes a medida que aumenta la escala organizacional. 1.1.11 Sistemas de automatizacin de oficinas (OAS) Aplicaciones destinadas a ayudar al trabajo diario del administrativo de una empresa u organizacin. 1.1.12 Sistema Planificacin de Recursos (ERP) Integran la informacin y los procesos de una organizacin en un solo sistema. 1.1.13 Sistema experto (SE) Emulan1 el comportamiento de un experto en un dominio concreto. 1.1.14 Sistemas de Informacin Estratgicos Puede ser considerado como el uso de la tecnologa de la informacin para soportar o dar forma a la estrategia competitiva de la organizacin, a su plan para incrementar o mantener la ventaja competitiva o bien reducir la ventaja de sus competidores. Su funcin primordial es crear una diferencia con respecto a los competidores de la organizacin que hagan ms atractiva a sta para los potenciales clientes. 1.1.1.5 Aplicacin de los sistemas de informacin Los sistemas de informacin tratan el desarrollo, uso y administracin de la infraestructura de la tecnologa de la informacin en una organizacin.

En informtica, un emulador es un software que permite ejecutar programas o videojuegos en una plataforma (sea una arquitectura de hardware o un sistema operativo) diferente de aquella para la cual fueron escritos originalmente.

El mayor de los activos de una compaa hoy en da es su informacin, representada en su personal, experiencia, conocimiento, innovaciones. Para poder competir, las organizaciones deben poseer una fuerte infraestructura de informacin, en cuyo corazn se sita la infraestructura de la tecnologa de informacin. De tal manera que el sistema de informacin se centre en estudiar las formas para mejorar el uso de la tecnologa que soporta el flujo de informacin dentro de la organizacin. 2 Carta De Encargo Es el documento por medio del que una empresa, sociedad o grupo de sociedades contrata la prestacin de un servicio de auditora con el fin de determinar la situacin existente en la citada empresa, sociedad o sociedades contratantes en un momento determinado. Es decir, es el compromiso de una empresa frente a un auditor, solicitando que ste le haga un diagnstico del cumplimiento de las normas y lleve un adecuado control en la empresa en un momento determinado. El propsito de una carta de encargo o acuerdo escrito entre el auditor y su cliente, es proporcionar evidencia que defina el alcance y el objetivo del trabajo a realizar, y que por tanto, evite cualquier malentendido con respecto al mismo. El auditor deber acordar por escrito con su cliente el objetivo y alcance del trabajo, as como sus honorarios o los criterios para su clculo para todo el periodo de nombramiento. En el contrato o carta de encargo se deber indicar el total nmero de horas estimado para la realizacin del trabajo. Cuando el nombramiento se efecta por un Registrador Mercantil o un Juez se deber detallar, asimismo, el nmero de horas presupuestado por reas de trabajo. A estos efectos, antes de aceptar el nombramiento, el auditor podr solicitar de la empresa o entidad auditada todos los datos que considere necesarios para preparar su propuesta.

Antes de aceptar el encargo el auditor debe considerar si existe alguna razn que aconseje su rechazo por razones ticas o tcnicas. 3 Planificacin En grandes lneas de trata de prever la utilizacin de las tecnologas de la informtica en la empresa. Existen varios tipos de planes informticos. El principal y origen de todos los dems, lo constituye el Plan Estratgico de Sistemas de Informacin. 3.1 Plan Estratgico de Sistemas de Informacin Es el marco bsico de actuacin de los Sistemas de Informacin en la empresa, debe asegurar el lineamiento de los mismos con los objetivos de la misma empresa. Desgraciadamente, la transformacin de los objetivos de la empresa en objetivos informticos no es siempre una tarea fcil, mucho se ha escrito sobre el contenido y las ventajas e inconvenientes de las diversas metodologas de realizacin de este tipo de planes. No se trata en estos breves apuntes de tercias en dicha polmica. El lector encontrara abundante bibliografa sobre la materia, el auditor deber evaluar si tales metodologas se estn utilizando y/o pueden ser de utilidad para su empresa. Estrictamente hablando, estos planes no son responsabilidad exclusiva de la Direccin de Informtica, su aprobacin final probablemente incumbe a otros estamentos de la empresa: Comit de Informtica e incluso en ltimo trmino de la Direccin General. Sin embargo, la Direccin de Informtica debe ser el permanente impulsor de una planificacin de Sistemas de Informacin adecuada y a tiempo Aunque suele definir la vigencia de un plan estratgico como de 3 a 5 aos, de hecho tal plazo es muy dependiente del entorno en que se mueve la empresa, hay muchos factores que influyen; la cultura de la propia empresa, el sector de actividad es decir si la empresa se encuentra en un sector en el que el uso adecuado de la tecnologa informtica es un factor estratgico por ejemplo, las acciones de la competencia, etc. Cada empresa tiene su equilibrio natural y el
9

auditor deber evaluar si los plazos en uso en su empresa son los adecuados, con la identificacin y comprensin de los mecanismos existentes de seguimiento y actualizacin del plan y de su relacin con la evolucin de la empresa. 3.2 Otros Planes Relacionados Como se ha comentado ms arriba normalmente, deben existir otros planes informticos todos ellos nacidos al amparo del Plan Estratgico, entre otros los ms habituales pueden ser: Plan Operativo Anual Plan de Direccin Tecnolgica Plan de Arquitectura de la Informacin Plan de Recuperacin ante Desastres

Algunos de ellos (Plan Tecnolgico, Plan de Arquitectura) aparecen a veces integrados en el propio Plan Estratgico. En ese captulo se trataran solo dos de estos planes, los ms comunes y que, adems siempre tienen vida propia. Plan Operativo y Plan de Recuperacin. 3.2.1 Plan Operativo Anual El Plan Operativo se establece al comienzo en cada ejercicio y es el que marca las pautas a seguir durante el mismo, debe estar obviamente alineado con el Plan Estratgico, asimismo deber estar precedido de una recogida de necesidades de los usuarios. El Plan Operativo de Sistemas de Informtica describe las actividades a realizar durante el siguiente ejercicio natural, entre otros aspectos debe sealar los sistemas de informacin a desarrollar, los cambios tecnolgicos previstos, los recursos y los plazos necesarios, etc. El auditor deber evaluar la existencia del Plan y su nivel de calidad, deber estudiar su lineamiento con el Plan Estratgico, su grado de atencin a las necesidades de los usuarios, sus previsiones de los recursos necesarios para llevar a cabo el plan, etc. Deber analizar si los plazos descritos son realistas

10

teniendo en cuenta entre otras cosas, las experiencias anteriores en la empresa, etc. 3.2.2 Plan de Recuperacin ante Desastres Una instalacin informtica puede verse afectada por desastres de variada naturaleza, incendio, inundacin, fallo de algn componente critico de hardware, robo, sabotaje, acto de terrorismo, etc., que tengan como consecuencia inmediata la indisponibilidad de un servicio informtico adecuado. La Direccin debe prever esta posibilidad y por tanto planificar para hacerle frente. 3.3 Clasificacin De Los Controles Se han clasificado tradicionalmente, entre Controles generales y Controles de las aplicaciones. 3.3.1 Controles Generales La Norma No. 48 SAS los define como Aquellos que estn relacionados con todas o con la mayora de las actividades contables informatizadas, que generalmente incluyen controles del desarrollo de las modificaciones y del mantenimiento de programas informticos y controles de la utilizacin y modificacin de los datos que se mantienen en archivos informticos. La RAE manifiesta que son aquellos que afectan un centro del proceso electrnico de datos. Se consideran tambin controles generales la proteccin de activos (hardware y software). 3.3.1.2 Clasificacin de los Controles Generales 3.3.1.2.1 Controles operativos y de organizacin Segregacin de funciones entre el servicio de informacin y los usuarios. Contar con una autorizacin general para ejecutar transacciones del departamento Segregar funciones en el departamento de informtica.
11

3.3.1.2.2 Control sobre el desarrollo de programas y sus documentos Realizar revisiones, pruebas y aprobar nuevos sistemas Tener control de las modificaciones a los programas. Procedimientos de documentacin

3.3.1.2.3 Controles sobre los programas y los equipos Caractersticas para detectar errores de forma automtica Realizar mantenimientos preventivos. Guas para salir de los errores del equipo (hardware). Tener control y autorizacin en la implementacin adecuada de sistemas. 3.3.1.2.4 Controles de acceso Sirven para detectar o prevenir errores accidentales causados por el uso o manipulacin inadecuada de los archivos de datos y uso no autorizado de los programas. 3.3.1.2.5 Controles sobre los procedimientos y los datos Elaborar manuales escritos para soportar los procedimientos y los sistemas de aplicacin. Realizar conciliaciones entre los datos fuente y los datos informticos. Capacidad de recuperar archivos perdidos, incorrectos o deteriorados.

3.3.2 Controles De Las Aplicaciones Los controles de las aplicaciones estn relacionados con las propias aplicaciones informatizadas. Los controles bsicos de las aplicaciones son tres: captura, proceso y salida. 3.3.2.1 Controles sobre la captura de datos Altas de movimiento Modificaciones de movimiento Consultas de movimientos
12

Mantenimiento de los archivos

3.3.2.2 Controles de proceso Estos controles regularmente se incluyen en los programas y estn diseados para prevenir o detectar los siguientes errores: Entrada de datos repetidos. Procesamiento y actualizacin de archivo o archivos equivocados. Entrada de datos ilgicos. Prdida o distorsin de datos durante el proceso.

3.3.2.3 Controles de salida y distribucin: Estos controles se disean para asegurar que el resultado del proceso es exacto y que los informes y dems salidas los reciben solo las personas que estn autorizadas. En el proyecto Cobit se establece una nueva clasificacin, donde se afirma que existen tres niveles en las Tecnologas de la informacin a la hora de considerar la gestin de sus recursos: actividades y/o tareas, procesos y dominios. 3.3.2.3.1 Actividades y tareas Estas son necesarias para alcanzar un resultado cuantificable. Las actividades suponen un concepto cclico, mientras que las tareas implican un concepto algo ms discreto. 3.3.2.3.2 Procesos Estos se definen como una serie de actividades o tareas unidas por interrupciones naturales. 3.3.2.3.3 Dominios Los procesos se agrupan de forma natural dando lugar a los dominios, que se confirman, generalmente, como dominios de responsabilidad en las estructuras organizativas de las empresas y estn en lnea con el ciclo de gestin aplicable a los procesos de las Tecnologas de la Informacin.
13

La Gua de Auditora del Proyecto Cobit recoge 32 procesos de los Sistemas de Informacin donde se sugieren los objetivos de control. Esos procesos estn agrupados en cuatro dominios. Dominios y procesos de las tecnologas de informacin: 1. Planificacin y organizacin 1.1 Definir el plan estratgico de las Tecnologas de informacin (TTI). 1.2 Definir la arquitectura de la informacin. 1.3 Determinar la direccin tecnolgica. 1.4 Definir la organizacin y las relaciones. 1.5 Gestin de las inversiones. 1.6 Comunicar las tendencias a la direccin. 1.7 Gestin de recursos humanos. 1.8 Asegurarse del cumplimiento de los requisitos externos. 1.9 Evaluacin del riesgo. 1.10 Gestin de proyectos. 1.11 Gestin de la calidad.

2. Adquisicin e implementacin 2.1 Identificar las soluciones automatizadas. 2.2 Adquirir y mantener el software. 2.3 Adquirir y mantener la arquitectura tecnolgica. 2.4 Desarrollar y mantener procedimientos. 2.5 Instalar y acreditar los sistemas. 2.6 Gestin de los cambios.

3. Adquisicin y mantenimiento 3.1 Definir el nivel de servicios. 3.2 Gestionar los servicios de las terceras partes. 3.3 Gestionar la capacidad y el funcionamiento. 3.4 Asegurarse del servicio continuo. 3.5 Asegurarse de la seguridad de los sistemas. 3.6 Identificar y localizar los costes. 3.7 Formacin terica y prctica de los usuarios.
14

3.8 Asistir y asesoras a los clientes. 3.9 Manejo de la configuracin. 3.10 Gestin de los problemas y de los incidentes. 3.11 Gestin de los datos. 3.12 Gestin de las actividades. 3.13 Gestin de la explotacin.

4. Monitorizacin: 4.1 Monitorizar el proceso. 4.2 Independencia.

3.4 Evaluacin de los Controles Internos El libro Auditora Informtica, un enfoque prctico, segunda edicin del autor Mario Piattini, menciona que es funcin del auditor evaluar el nivel de control interno; tambin es de su responsabilidad juzgar si los procedimientos establecidos son los adecuados para salvaguardar el sistema de informacin. La Norma Internacional de Auditora No. 15, seccin 401, contiene los principios bsicos para una Auditora en un Ambiente de Sistemas de Informacin Computarizada, proporcionando lineamientos sobre los

procedimientos que deben seguirse cuando se realiza una auditora en un ambiente de sistema de informacin computarizada (SIC). El objetivo y alcance globales de una auditora no cambia en un ambiente SIC. Sin embargo el uso de una computadora cambia el procesamiento, almacenamiento y comunicacin de la informacin financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad. El auditor debera tener suficiente conocimiento del SIC para planear, dirigir, supervisar y revisar el trabajo desarrollado. El auditor debera considerar si se necesitan habilidades especializadas en SIC para una auditora.

Si se necesitan habilidades especializadas, el auditor buscara la ayuda de un profesional con dichas habilidades, quien puede pertenecer al personal del auditor o ser un profesional externo.
15

Cuando el SIC es significativo, el auditor deber tambin obtener una comprensin del ambiente SIC y de si puede influir en la evaluacin de los riesgos inherentes y de control.

Los riesgos inherente y de control en un ambiente SIC pueden tener tanto un efecto general como especifico por cuenta de la probabilidad de

representaciones errneas importantes tales como por ejemplo:

Deficiencias en actividades generales del SIC como desarrollo y mantenimiento de programas, soporte al software de sistemas, operaciones, seguridad fsica del SIC y control sobre el acceso a programas.

Errores o actividades fraudulentas en aplicaciones especficas, en bases de datos especficas o en archivos maestros.

Los procedimientos de auditora de acuerdo a la NIA Evaluaciones del riesgo y control interno, el auditor debera considerar el ambiente SIC al disear los procedimientos de auditora para reducir el riesgo de auditora a un nivel aceptablemente bajo, para lo cual se desarrollan diferentes etapas en el proceso de evaluacin las mismas consisten en recabar la mayor informacin disponible sobre:

Manuales de funciones y procedimientos para SIC. Contratos de servicios de mantenimiento y soporte de SIC. Polticas para los accesos y manipulacin de los SIC. Estado fsico del equipo de cmputo. Rotacin de personal que manipula informacin relevante del SIC. Entre otros.

Para el logro de una evaluacin del control interno eficaz y significativa la cual brinde al auditor entera satisfaccin de que los SIC han sido conocidos, interpretados y puestos a prueba, el autor hace mencin a la realizacin de
16

diversos procedimientos los cuales se deberan de realizar en la Planeacin Estratgica, los mismos constan de cuestionarios de control interno, los cuales se deberan plantear en forma de pregunta cerrada y tomando como base la documentacin que el auditor debi recopilar durante el proceso de obtencin de normas, reglamentos, leyes, etc., los cuales normen el funcionamiento de los SIC.

A continuacin se presenta un ejemplo de un cuestionario de control interno el cual tiene como objetivo el recabar informacin y formarse una idea e interpretaciones generales de los SIC. Entre ellos:

17

ECI SIC-01

Hecho: ARHMFecha: 15/02/2012 Revisado:JV Fecha: 18/02/2012

Nombre: Auditora V. Perodo: del 01 de Enero al 29 de Febrero 2012. Tipo de Auditoria: De Sistemas rea Auditada: Coordinacin Plan Fin de Semana Facultad de CC.EE. USAC Nombre de Entrevistado: Lic. Luis Suarez Coordinacin Puesto: Director de

Pregunta 1. Se realizan los procedimientos descritos en los manuales para el control y presentacin de las notas a Registro y Estadstica? 2. Se realiza supervisin y control de las notas manejadas en medios electrnicos por los catedrticos docentes segn las normas internas de la facultad? 3. Se solicita la ejecucin de back up de la informacin registrada del personal docente y alumnos de la facultad segn el manual para el resguardo de datos electrnicos? 4. Se realizan cambios y actualizaciones oportunas de usuarios y contraseas segn lo establece el procedimiento interno para accesos a los programas computarizados de la facultad? 5. Se actualizan los antivirus y contrafuegos para evitar accesos indebidos a los programas computarizados segn el procedimiento interno para resguardo de la informacin electrnica de la facultad?

SI X

NO

Ref.

DCI-1

X DCI-2 X

18

3.5 Establecimiento de Objetivos En relacin a la importancia de los riesgos encontrados por el auditor establecer los objetivos de la auditoria, cuya determinacin definir el alcance de la misma. El riesgo se convierte en una oracin negativa de un objetivo de auditora, si esta oracin se transformar en una afirmativa se tiene como resultado un objetivo de control Ejemplo: Pregunta de cuestionario para la entrevista: Tiene su empresa normas escritas de cmo deben hacerse los traspases de programas en desarrollo a programas en explotacin? Si la respuesta fuera NO, se concluye que existe un riesgo consistente en que cada empleado por no dejar evidencia escrita se estn realizando de manera incorrecta por la fuga de informacin en el trasvase no dejando pistas para verificar los pasos que se han dado. La debilidad seria: La empresa no tiene normas escritas de cmo deben hacerse los traspasos de programas en desarrollo a programas en explotacin. El Objetivo de control seria: Comprobar que la empresa cuenta con manuales escritos de cmo deben hacer los traspases de programas en desarrollo a programas en explotacin. Y para alcanzar este objetivo habr que disear una serie de pruebas de cumplimiento y sustantivas convirtindose cada una de estas pruebas en un procedimiento. Los procedimientos podran ser:

19

a) Pruebas de Cumplimiento Si se confirma que no existen manuales no se podra realizar estas pruebas, el procedimiento podra ser: Comprobar que las normas para pasar un programa de desarrollo a explotacin son adecuadas y que se estn cumpliendo.

Por otro lado la inexistencia de manuales no implica que el procedimiento que se hace este incorrecto pero para confirmarlo se deberan hacer pruebas sustantivas.

b) Pruebas Sustantivas Revisar las aplicaciones, si son pocas se revisan todas; si son muchas se realiza una muestra de los programas que se han pasado de desarrollo a explotacin. Que han sido sometidas a un lote de pruebas y las han superado satisfactoriamente, que cumplen con los requisitos y que el traspaso ha sido autorizado por una persona con suficiente autoridad.

Para comprender y evaluar los riesgos no siempre son suficientes las entrevistas, inspecciones y confirmaciones, puede ser necesario realizar clculos y tcnicas de examen analtico.

La confirmacin consiste en corroborar con terceros por escrito la informacin que existe en los registros.

Los clculos consisten en comprobar la exactitud aritmtica de los registros de datos.

Las tcnicas de examen analtico consisten en comparar los importes encontrados con las expectativas del auditor al evaluar las distintas partidas de la informacin auditada.

20

Siempre que la naturaleza de los datos lo permita es conveniente utilizar tcnicas de examen analtico (Norma tcnica numero 5 de ISACA sobre la realizacin del trabajo).

3.6 Planeacin Administrativa No debe realizarsehasta haber terminado la Planificacin Estratgica. Pueden surgir en esta fase ciertos problemas de coincidencia en las fechas de trabajo del personal de la empresa auditora con otros clientes. Deben quedar claros los siguientes aspectos:

Evidencia: Se podr realizar una relacin de la documentacin disponible de la etapa anterior, indicando el lugar donde se encuentra para que estn a disposicin del equipo de auditoria.

Personal: De que personal se va a disponer, que conocimientos tienen y si es necesarios utilizar a un experto pudiendo ser de la compaa auditoria o externo.

Calendario: Establecer la fecha de inicio y finalizacin de la auditoria y estipular en que lugar se va a realizar cada tarea.

Coordinacin y cooperacin: Debe existir una buena relacin entre el auditado y el auditor, sin que se viole el principio de independencia.

3.7 Planificacion Tecnica En esta ultima fase se elabora el programa de trabajo. Anteriormente, en la fase de Planificacion Estrategica se establecieron los objetivos de la auditoria. En la fase de Planificacion Administrativa se asignaron los recursos de personal, tiempo, etc. En esta fase de Planificacion Tecnica, se indican los metodos a seguir, es decir si se va a seguir un metodo de auditoria basado en los controles o todo lo contrario, un metodo de auditoria basado en pruebas sustantivas, asi tambien
21

si indican los procedimientos, las tecnicas y las herramientas que se utilizaran para poder alcanzar los objetivos deseados de la auditoria. El programa de auditoria debera ser abierto y flexible, de una forma que se puedan ir agregando o introduciendo cambios a medida que se necesiten, segn se vaya conociendo de una mejor forma el sistema. Tanto el programa de auditoria, como los papeles de trabajo son propiedad del auditor, este no tiene obligacion de ensearlos al auditado (empresa que se audita), y debe guardar dichos documentos durante el plazo que indique la ley, hasta que estos prescriban. Dedicarle el tiempo necesario a la planificacion, nos permite evitar perdidas de tiempo y de recursos innecesarios. Segn explica el escritor E. Perry (Planing EDP Audits): Que la distribucion del tiempo empleado en llevar a cabo una auditoria, es de un tercio para planificar, un tercio para llevar a cabo el trabajo de campo y un tercio en la elaboracion del informe de auditoria. Para llevar a cabo este programa, se sigue la guia del proceso Gestion de la Explotacion. Ciertos aspectos de la explotacion de un sistema de informacion pueden quedar al margen del proceso. Esto es debido a la clasificacion que hace CobiT. Esta es una de las grandes ventajas que presenta esta Guia CobiT, la cual facilita la comunicacin en el sentido de que podemos determinar con claridad el alcance de la auditoria. 3.7.1 Objetivos de Control para Tecnologas de informacin y relacionadas (COBIT, en ingles: Control Objectives for Information and related Technology)

Es un conjunto de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT GovernanceInstitute) en 1992

22

4 Realizacion del Trabajo (Procedimientos) Este consiste en llevar a cabo las pruebas sustantivas y de cumplimiento que se han planificado, para alcanzar los objetivos de la auditoria. 4.1 Objetivo general. El objetivo general de la auditoria consistiria en: Asegurarse de que las funciones que sirven de apoyo a las Tecnololigas e Informacion y satisfacen los requisitos empresariales. 4.2 Objetivos Especificos. Para alcanzar el objetivo general, este se puede dividir en varios objetivos especificos sobre los cuales se realizaran las pruebas oportunas, para asi asegurarse que el objetivo general se ha llevado a cabo. El esquema de trabajo para cada uno de los objetivos es el siguiente: Comprender las tareas, las actividades del proceso que se esta auditando. Si fuera necesario, se ampliarian las entrevistas que hemos realizado en la fase de planificacion estrategica. Determinar si son o no apropiados los controles que se estan instalando. Si fuese necesario, se ampliarian las pruebas que se han llevado a cabo en las fase de planificacion estrategica. Realizar pruebas de cumplimiento, para determinar si los controles que estan instalaldos funcionan segn lo establecido, de manera consistente y continua. El objetivo de estas pruebas consiste en analizar el nivel de cumplimiento de las normas de controlo que tiene establecidas el

auditario. Se supone que estas normas de control son eficientes y efectivas.

23

Realizar pruebas sustantivas para aquellos objetivosde control cuyo buen funcionamiento con las pruebas de cumplimiento no nos han satisfecho. El objetivo de estas pruebas, consiste en realizar las pruebas necesarias sobre los datos, para que proporcionen la suficiente seguridad a la direccion sobre si se ha alcanzado su objetivo empresarial.

Debera hacerse el maximo numero de pruebas sustantivas si: No existen instrumentos de medida de los controles. Los instrumentos de medida que existen, se consideran inadecuados. Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han aplicado correctamente de una manera consistente y continua. El auditor deberia haber realizado las suficientes pruebas sobre los resultados de las distintas tareas y actividades de la explotacion del sistema de informacion como para poder determinar si los objetivos de control se han alcanzado o no. Con esa informacion debe elaborar un informe y si procede, hacer las recomendaciones oportunas. 5 Informes

56

Es el resultado de la informacin, estudios, investigacin y

anlisis efectuados por los auditores durante la realizacin de una auditora, que de forma normalizada expresa por escrito su opinin sobre el rea o actividad auditada en relacin con los objetivos fijados, sealan las debilidades de control interno, si las ha habido, y formula recomendaciones pertinentes para eliminar las causas de tales deficiencias y establecer las medidas correctoras adecuadas.

5.1 Importancia Y Relevancia Del Informe El producto que vende Auditora son sus informes. Se remiten a las ms altas autoridades de la organizacin.

24

Es el medio de que se vale Auditora para dar a conocer su opinin. Es su vehculo de comunicacin. Ponen de manifiesto si los auditores tienen una visin gerencial de las reas auditadas o carecen de ella. Si estn realmente capacitados. Son representativos de la calidad de la Auditora Interna en cuanto a: formacin profesional, cultura, estilo, correccin en el lenguaje escrito, etc.

Cada informe es una carta de presentacin de la Auditora, los errores de concepto, la falta de oportunidad de las recomendaciones y la deficiente redaccin pueden producirse en cualquier auditora y es algo que debe evitarse.

Los tipos de opiniones generalmente aceptas en auditoria, son cuatro: Si se concluye que el sistema es satisfactorio el auditor dara una opinin favorable. Si el auditor considera que el sistema es un desastre, su opinin sera desfavorable. Si el sistema es valido pero tiene algunos fallos que no lo invalidan, la opinin ser con salvedades. Tambin podr ocurrir que el auditor no tenga suficientes elementos de juicio para poder opinar: en este caso no opinara por lo que su resultado seria: denegacin de opinin.

5.2 Tipos de Informes

5.2.1 Favorable En nuestra opinin el servicio de explotacin u las funciones que sirven de apoyo a las tecnologas de la informacin se realizan con regularidad, de forma ordenada u satisfacen los requisitos empresariales.

5.2.2 Desfavorable En nuestra opinin, dada la importancia de los efectos de las salvedades comentadas en los puntos X, X1, de este informe, el servicio de explotacin u
25

las funciones que sirven de apoyo a las tecnologas de la informacin no realizan con regularidad, ni de forma ordenada y no satisfacen los requisitos que la empresa requiere.

5.2.3 Con salvedades En nuestra opinin, excepto por los efectos de las salvedades que se comentan en el punto X de este informe el servicio de explotacin y las funciones que sirven de apoyo a las tecnologas de la informacin se realizan con regularidad, de forma ordenada y satisfacen los requisitos empresariales.

Nota: En una parte del informe se indicaran cuales son las salvedades y en este mismo documento o en documento aparte se harn las recomendaciones oportunas para mejorar el sistema, para que en una siguiente auditoria no existan las salvedades comentadas.

5.3 Denegacin de Opinin En el caso de que las salvedades impidan hacernos una opinin del servicio de explotacin, ya sea por falta de informacin o por no haber tenido acceso a ella por los motivos que fueren, pero siempre ajenos a nuestra voluntad, y no obstante, haber intentado hacer pruebas alternativas, el auditor denegar su opinin.

5.4 Recomendaciones

En el caso de que el auditor durante la realizacin de la auditoria detecte debilidades, este debe comunicarlas al auditado con la mayor prontitud posible. Un esquema, generalmente aceptado, de cmo presentar las debilidades es el siguiente:

Describir la debilidad Indicar el criterio o instrumento de medida que se ha utilizado Indicar los efectos que puede tener el sistema de informacin Describir la recomendacin con la que esa debilidad se podra eliminar.

26

5.5 Normas Para Elaborar Los Informes La elaboracin y el contenido de los informes de auditoria deben ajustarse a las normas de auditoria de sistemas de informacin generalmente aceptadas y aplicables (NASIGAA). Entre otros motivos porque facilita la comparacin de los informes realizados por distintos auditores. Por tanto, siguiendo las normas nmeros 9 y 10 de General Estndar For Informacion Systems Auditing Emitidas por ISACA, adems del prrafo de opinin antes indicado el informe de auditora deber contener otra informacin adicional. El informe es el instrumento que se utiliza para comunicar los objetivos de la auditoria, el alcance que vaya a tener, las debilidades que se detecten y las conclusiones a las que se lleguen, a la hora de preparar el informe, el auditor debe tener en cuenta las necesidades y caractersticas de los que se suponen sern sus destinatarios. El informe debe contener un prrafo en el que se indiquen los objetivos que se pretenden cumplir. Si segn la opinin del auditor, alguno de estos objetivos no se pudiera alcanzar se debe indicar en el informe. En el informe de auditora se deben mencionar cuales son las NASIGAA que se han seguido para realizar el trabajo de auditora. Tambin se deben indicar las excepciones en el seguimiento de estas normas tcnicas, el motivo de no seguirlas, y cuando proceda, tambin se deben indicar los efectos potenciales que pudieran tener en los resultados de la auditoria. El informe de auditora se ha de mencionar el alcance de la auditoria, as como describir la naturaleza y la extensin del trabajo de auditora. En el prrafo de alcance se deben indicar el rea/proceso, el periodo de auditora, el sistema, las aplicaciones y los procesos auditados. Asimismo se indicaran las circunstancias que hayan limitado el alcance cuando, en opinin del auditor, no se hayan podido completar todas las pruebas y procedimientos diseados, o cuando el auditado haya impuesto restricciones o limitaciones al trabajo de auditora. Si durante el trabajo se detectaran debilidades en el sistema de informacin de la entidad auditada estas debern indicarse en el informe, as como sus

27

causas, sus efectos y las recomendaciones necesarias para mejorar o eliminar las debilidades. El auditor debe expresar en el informe su opinin sobre el rea o proceso auditado. No obstante, en funcin de los objetivos de la auditoria, esta opinin puede ser general y referirse a todas las reas o procesos en su conjunto. El informe de auditora debe presentarse de una forma lgica y organizada. Debe contener la informacin suficiente para que sea comprendido por el destinatario y este pueda llevar a cabo las acciones pertinentes para introducir las correcciones oportunas que mejoren el sistema. El informe se debe emitir en el momento ms adecuado para que permita que las acciones que tenga que poner en prctica el auditario, tengan los mayores efectos positivos posibles. Con anterioridad al informe, el auditor puede emitir, si lo considera oportuno, recomendaciones destinadas a personas concretas. Estas recomendaciones no deberan alterar el contenido del informe. En el informe se debe indicar la entidad que se audita y la fecha de emisin del informe para que este no llegue a manos indebidas. 6 La Documentacin de la Auditoria y su Organizacin 6.1 Papeles de trabajo Es el registro del trabajo de auditoria realizado y la evidencia que sirve de soporte a las debilidades encontradas y las conclusiones a las que ha llegado el auditor. Los papeles de trabajo se deben disear y organizar segn las circunstancias y las necesidades del auditor. reflejado en los papeles por los siguientes motivos: Recogen la evidencia obtenida a lo largo del trabajo. Ayudan al auditor en el desarrollo de su trabajo Ofrecen un soporte del trabajo realizado para as, poder utilizarlo en auditorias sucesivas Permiten que el trabajo pueda ser revisado por terceros. Todo trabajo debe quedar

28

6.2 Archivos Los papeles de trabajo que el auditor va elaborando se puede organizar en dos archivos principales: El archivo Permanente o continua de auditoria y el archivo corriente o de la auditoria en curso.

6.2.1 Archivo Permanente El archivo permanente contiene todos aquellos papeles que tienen un inters continuo y una validez plurianual tales como:

Caractersticas de los equipos y de las aplicaciones, Manuales de los equipos y de las aplicaciones, Descripcin del control interno. Organigramas de la empresa en general, Organigramas del servicio de informacin y divisin de funciones, Cuadro de planificacin plurianual de auditoria, Escrituras y contratos, Consideraciones sobre el negocio, Consideraciones sobre el sector, Y en general toda aquella informacin que puede tener una importancia para auditorias posteriores.

6.2.2 Archivo Corriente Este archivo, a su vez, se suele dividir en archivo general y en archivo de reas o de procesos.

6.2.3 Archivo General Los documentos que se suelen archivar aqu son aquellos que no tienen cabida especfica en alguna de las reas/procesos en que hemos dividido el trabajo de auditoria tales como:

El informe del auditor La carta de recomendaciones, Los acontecimientos posteriores,


29

El cuadro de planificacin de la auditoria corriente, La correspondencia que se ha mantenido con la direccin de la empresa, El tiempo que cada persona del equipo ha empleado en cada una de las reas/procesos.

6.2.4 Archivo Por Areas/Procesos Se debe preparar un archivo para cada una de las reas o procesos en que hayamos dividido el trabajo e incluir en cada archivo todos los documentos que hayamos necesitado para realizar el trabajo de esa rea proceso concreto. Al menos debern incluirse los siguientes documentos.

Programa de auditoria de cada una de las ares/procesos. Conclusiones del rea/proceso en cuestin, Conclusiones del procedimiento en cuestin.

30

7 CONCLUSIONES La labor del auditor informtico es esencial para garantizar la adecuacin de los sistemas informticos; para ello debe realizar su trabajo apegndose a las Normas de Auditoria de Sistemas de Informacin Generalmente Aceptadas y Aplicables como requisito necesario que garantice la calidad del trabajo realizado y que la evidencia de este quede documentada. A medida que la sociedad se va sistematizando cadavez ms, es necesario disear normas para que las empresas tengan la seguridad de que los sistemas funcionan y que sus datos se mantienen con la debida confidencialidad. Los informes de los distintos auditores se pueden comparar, siempre y cuando se tengo un archivo adecuado de los papeles de trabajo.

31

8 RECOMENDACIONES Es de suma importancia que el auditor de sistemas informticos tenga una panormica general y muy bien soportada en sus papeles de trabajo, para que la evaluacin que realice al hardware sea lo suficientemente objetiva y brinde una opinin certera sobre la razonabilidad de la informacin generada.

El auditor de sistemas informticos debe de cumplir con las normas de observancia general emitidas por entidades internacionales, nacionales, internas, etc., las cuales le brinden un marco regulatorio adecuado y satisfaga con criterios soportados la opinin que va a emitir sobre la razonabilidad de los sistemas informticos.

32

9 BIBLIOGRAFIA 1. Auditoria Informtica, Un enfoque practico, 2. Edicin ampliada y modificada, Mario Gerardo Piattini y Emilio del Peso Navarro, Editorial Madrid, Espaa.

2. Norma Internacional de Auditora No. 15, Sec. 401, Auditora en un Ambiente de Sistemas de Informacin por Computadora, International Standard on Auditing ISA, traduccin al espaol por Instituto Mexicano de Contadores Pblicos y Auditores (IMCP), ao 2002.

3. www, wikipedia.org

33

Anda mungkin juga menyukai