Auditoria de sistemas

Concepto

Auditoría en Informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones

Es el examen crítico y sistemático que hace un Contador Público para evaluar el sistema de procesamiento electrónico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo más selectivo y de mayor penetración sobre las actividades, procedimientos que involucran un gran número de transacciones.

El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar. Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.

Recreando programas de auditoría por computador, el auditor cubre una actividad más grande de la utilidad mercantil tanto financiera como operacional; y puede utilizar recursos para analizar y evaluar campos de problemas de evaluación en las operaciones del cliente. Tal método incrementa su aptitud para remitir óptimos servicios a los mismos. La evaluación de un sistema informático, estriba primero en la revisión del mismo para obtener un conocimiento de como se dice que funciona, y ponerlo a prueba para acumular evidencias que demuestren como es el funcionamiento en la realidad.

Al evaluar la información automática, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programación, para lograr un mejor entendimiento del sistema y los controles que se diseñaron en él. En el sistema de procesamiento electrónico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatización del proceso, y algunos que sustituyen aquellos que en los métodos manuales se basaron en juicios humanos y la división de labores. Muchos de los controles en ambientes informáticos, pueden combinarse en los programas de computadoras con en el proceso manual.

Es una función de la auditoría que:

- Evalua (determina),verifica (evidencias) y diseña los controles en las actividades y recursos de cómputo de las empresas. - Promueve la automatización de las diferentes modalidades de la auditoría

Objetivos 1. Auditoría a la Seguridad en el Centro de Cómputo

Riesgos Físicos Organización y Personal Planes de Respaldo

2. Auditoría hacia el año 2000

Hardware Sistema Operativo Software Aplicativo Archivos

3. Auditoría a las Aplicaciones en Funcionamiento

Entrada de Datos Procesamiento Archivos Salidas Utilitarios

4. Auditoría al Desarrollo y/o modificaciones a las aplicaciones

Solicitudes Análisis de factibilidad Etapas de la metodología adoptada

5. Auditoría al Ambiente de Redes

Seguridad Perfiles de Usuarios

6.Auditoría al ambiente de Microcomputadores

Seguridad física Utilización Respaldo

Diseño de Controles

Máximos controles no son controles óptimos

Pasos

1. Identificación de riesgos

Métodos más usados:

- Lluvias de ideas. (Grupo Delphi). Riesgos macros hasta micros. - Segmentar sistema por áreas, por operaciones, por recursos u otros conceptos. - Agrupar causas y efectos de un mismo riesgo. - Redacción en la forma más clara y explícita del posible riesgo.

Se requiere conocimiento detallado del procedimiento.

2. Selección de riesgos críticos

La eficiencia global de un sistema es inversamente proporcional a la cantidad de controles existentes en el. Se diseñan controles para los riesgos más importantes.

Método recomendado.

- Comparación por parejas. - Análisis cualitativo de efectos y probabilidad de ocurrencia.

3. Evaluar las implicaciones de costos, eficiencia, etc., si se decide controlar

4. La administración decide: Asume el riesgo o controla la operación

5. Se diseña los controles detallados para aquellos riesgos que se decide controlar

Objetivo. Definir controles para riesgos críticos

Método recomendado. - Descomponer riesgos en causas, efectos y formas de ocurrencia. - Examinar procedimientos para:

Eliminar causas

Detectar formas de ocurrencia Reducir efectos Estos controles deben ser: Prácticos, razonables, costo-efecto, oportunos, significativos, apropiados, simples y operativos.

Grupo de diseño de controles

Jefe del área. Personal involucrado Administrativo Auditor

6. Análisis de efectividad de controles Objetivo. Determinar si los controles propuestos son efectivos para los riesgos críticos.

Método recomendado.

- Elaborar matriz riesgos-controles - Determinar y calificar la efectividad de cada control para el riesgo o los riesgos que se aplican. Esta calificación puede ser arbitraria, pero lo que se debe mantener es la forma relativa que permita comparar el grado de protección que ofrece un control para un riesgo determinado. Puede ser: Alto, Medio, Bajo, Nulo; 0,1,2 o Mal, Bien, Excelente. - Analizar cada columna de la matriz (riesgo) para determinar el grado de protección global. - Donde la protección no sea suficiente proponer nuevos controles. - Analizar las filas (controles) para determinar si el control propuesto se justifica por su grado de efectividad, para uno o varios riesgos. De lo contrario eliminarlo.

Notas.

Si para un riesgo crítico solo hay un control que lo minimice suficientemente, este es candidato a selección. Si hay un control que actúe en forma excelente sobre varios riesgos críticos es candidato a selección. Si existen riesgos críticos que no han sido minimizados suficientemente, debo continuar la búsqueda de controles que lo hagan. Tener cuidado con la preselección de controles excluyentes.

7. Análisis de eficiencia

8. Selección de controles.

Objetivo. Decidir si se invierte en el control para reducir la posibilidad de ocurrencia del riesgo, o se acepta la probabilidad de perdidas asociadas al riesgo. La implantación de los controles no debe ser más costosa que los recursos involucrados en el riesgo.

9. Definir el punto más adecuado de implantación. La búsqueda del autocontrol, exige los controles se involucren lo mas natural posible dentro de los procesos. Deben ser procedimientos que interfieran lo menos posibles en las normales actividades, es mas, se deben convertir en formas de actuar.

10. Diseñar procedimiento detallado de ejecución del control

11. Documentación. Garantizan el mantenimiento permanente de los controles implantados

1.1. CONCEPTO DE AUDITORIA DE SISTEMAS

SISTEMA: Conjunto ordenado, lógico y secuencial de normas y procedimientos que persiguen un fin determinado. Podemos hablar por ejemplo de Sistema:Contable PlaneaciónCapitalista OperaciónEducativo FinancieroDe Información Etc.Administrativo Desde este punto de vista, cuando hablemos de AUDITORIA DE SISTEMAS, nos referiremos a los SISTEMAS DE INFORMACI�?N utilizados en las empresas públicas o privadas, más no al computador, que en sí es una herramienta de los sistemas de información. Debemos tener presente que la administración es un sistema abierto y por tanto cambiante en sus conceptos, técnicas y que está influenciada por lo que acontece en su alrededor.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes; también podemos decir que es el examen y evaluación de los procesos del área de Procesamiento Electrónico de Datos (PED) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Los Sistemas de Información en las organizaciones, son desarrollados con propósitos diferentes dependiendo de las necesidades de cada una de ellas y los podemos clasificar así:

�?� Sistema de procesamiento de transacciones�?� Sistema de Automatización de oficina y de manejo de conocimiento�?� Sistemas de Información gerencial�?� Sistema de apoyo a decisiones�?� Sistemas expertos e inteligencia artificial�?� Sistema de apoyo a decisiones de grupo�?� Sistema de apoyo a ejecutivos

1.2. CONCEPTO DE AUDITORÍA INFORMÁTICA

E l concepto de informática es más amplio que el simple uso del computador o de procesos electrónicos. En 1977, la academia Mexicana de informática propuso la siguiente definición: �??Ciencia de los sistemas inteligentes de información�?�. El concepto de informática considera como un todo el sistema de proceso electrónico, información y computadora, y a esta última como una de sus herramientas.

La Auditoría Informática es la evaluación y verificación de las políticas, controles, procedimientos y la seguridad en general, correspondiente al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección), a fin de que se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

¿QUE ES AUDITORIA?

Hasta ahora la Auditoría, es esencialmente una metodología que permite el examen de distintos objetos o campos auditables, en la perspectiva de emitir una opinión independiente sobre la validez científica y/o la técnica del sistema de control que gobierna una determinada realidad que pretende reflejar adecuadamente y/o cumple las condiciones que le han sido prescritas.

En materia de auditoria, los desarrollos tecnológicos relevantes siempre han girado alrededor del conocimiento contable o financiero únicamente. Sin embargo, los avances modernos de las áreas económicas, administrativas y contables han puesto en evidencia que no solo la contabilidad es objeto de auditoría. También son susceptibles de ser auditados los impuestos, los procesos operativos, la informática, la acción social de las organizaciones, el tratamiento del medio ambiente y los proyectos académicos, económicos y sociales, entre otros.

El Auditor de Sistemas actúa sobre el área de sistemas de información, normalmente representada por los siguientes componentes:

-Desarrollo de sistemas de información-Asesoría técnica a usuarios-Servicio de procesamiento electrónico de datos-Apoyo técnico

-Conocimientos de Hardware y Software-desarrollo de Sistemas de Información-Base de datos-Redes-Manejo de personal

TALLER: Conceptualización de Contabilidad, Auditoría, Sistema e Informática y construcción de los conceptos de Auditoría de Sistemas y Auditoría Informática.

1.3. ENFOQUE DE LA AUDITORIA TRADICIONAL

La palabra auditoría se ha empleado incorrectamente y se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase �??tiene auditoría�?� como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo auditoría. El concepto de auditoría es más amplio: no solo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficacia y eficiencia de una sección o de un organismo con miras a corregir o mejorar la forma de actuación.

Eficacia: Lograr los objetivos (gastar bien)

Eficiencia: Con el mejor uso de los recursos (gastar sabiamente)

1.4. ENFOQUE DE LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS ASESOR GERENCIAL

Los profesionales responsables del auditaje en ambientes computarizados, deben poseer una sólida formación en Administración, Control interno, Informática y Auditoría.

En Administración deben manejar con habilidad y destreza las funciones básicas del proceso administrativo, tales como: planeación, organización, dirección y control, con una mentalidad de hombre de negocios y dentro de las modernas teorías de la Planeación Estratégica, y la calidad total.

En la era de la informática, el auditor debe entender que su papel profesional debe ser el de Asesor Gerencial para asegurar el éxito de la función y, en consecuencia, debe visualizar la empresa y su futuro en forma sistémico-estructural, articulando ordenadamente los objetivos del área informática con la misión y los objetivos de la organización, en su conjunto.

En materia de Control Interno, el auditor informático, debe estar en capacidad de diagnosticar su validez técnica, desde un punto de vista sistémico total. Esto quiere decir que deberá entender el control interno como sistema y no como un conjunto de controles distribuidos de cualquier manera en las organizaciones.

El Auditor deberá analizar y evaluar la estructura conceptual del sistema de control interno, teniendo en cuenta para ello los controles preventivos, detectivos y correctivos. Comprometerse con una opinión objetiva e independiente, en relación con el grado de seguridad y de

confiabilidad del sistema de control vigente en el área de informática.

En esencia, un sistema de control interno, para el área de informática, comprende por lo menos los siguientes elementos: Objetivos, políticas y presupuestos perfectamente definido; estructura de organización sólida; personal competente; procedimientos operativos y de control, efectivos y documentados; sistema de información confiable y oportuno; sistema de seguridad de todos los recursos; sistema de auditoría efectivo.

Como puede observarse, la función de Auditoría es un elemento de control interno, solo que goza de un privilegio muy especial y es el de monitorear permanentemente los otros controles y operaciones del ente auditado.

La temática del concepto de control interno, exige del auditor una formación avanzada en administración de recursos informáticos, sobre la base de que no se puede diagnosticar una determinada realidad sin estar en condiciones de conocerla y entenderla plenamente.

En informática, el auditor debe conocer por lo menos, cómo funcionan los computadores, cuales son sus reales capacidades y limitaciones. Las marcas, las potencialidades y la calidad de los componentes de hardware y de software. Los ambientes de procesamiento, los sistemas operacionales, los sistemas de seguridad, los riesgos posibles, los principales lenguajes de programación, las tecnologías de almacenamiento y la metodología para la generación y mantenimiento de sistemas de información. En general el Auditor de Sistemas debe estar al día en los avances científico-tecnológicos sobre la materia.

En el campo de la auditoría, el auditor informático, debe conocer y manejar deseablemente la teoría básica de la auditoría, en términos de conceptos, filosofía, ética, taxonomía, normatividad, técnicas, procedimientos, metodología, papeles de trabajo e informes.

De otra parte, el auditor informático, debe ser una persona de muy buenas relaciones humanas, respetuoso de la opinión de los demás, analítico, crítico y buen oidor. Amable, objetivo, de espíritu científico, con habilidad y capacidad para trabajar bajo presión, con un amplio sentido de responsabilidad social y por sobre todo, que goce de un comportamiento ético a toda prueba.

TIPOS DE AUDITORIA DESDE EL PUNTO DE VISTA DEL CLIENTE

Auditoría Interna: Obedece a la necesidad de la administración de asegurar el resultado económico planeado.

Auditoría Externa: Satisface la necesidad de información de terceros.

Revisoría Fiscal: Obedece básicamente a exigencias legales.

1.5. ENFOQUES DE LA AUDITORIA INFORMATICA

AUDITORIA ALREDEDOR DEL COMPUTADOR

En este enfoque de auditoría, los programas y los archivos de datos no se auditan.

La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de información. Es el más cómodo para los auditores de sistemas, por cuanto únicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la máquina. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.

La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse, pues tiene objetivos muy importantes como:

1. Verificar la existencia de una adecuada segregación funcional.2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos.3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estén autorizados.4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados.5. Cerciorarse que los procesos se hacen con exactitud.6. Comprobar que los datos sean sometidos a validación antes de ordenar su proceso.7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentación de los datos corregidos al proceso.8. Examinar los controles de salida de la información para asegurar que se eviten los riesgos entre sistemas y el usuario.9. Verificar la satisfacción del usuario. En materia de los informes recibidos.10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la recuperación de los datos en caso de desastres.

Se puede apreciar la ambición de los objetivos planteados, pues solamente faltarían objetivos relacionados con el examen de los archivos y los programas, lo cual es parte de otro enfoque.

Informe de esta Auditoría: deberá redactarse en forma sencilla y ordenada, haciendo énfasis en los riesgos más significativos e indicando el camino a seguir mediante recomendaciones económicas y operativamente posibles.

Pasos que se deben seguir en la auditoría:- Metodología de la auditoría.- Objetivos de la auditoría.- Evaluación del sistema de control interno.- Procedimientos de auditoría.- Papeles de trabajo.- Deficiencias de control interno.- Informe de auditoría.

AUDITORIA A TRAV�?S DEL COMPUTADOR

Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como complemento del enfoque de auditoría alrededor del computador, en el sentido de que su acción va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes y los errores que normalmente tienen origen en los programas.

Este enfoque es más exigente que el anterior, por cuanto es necesario saber con cierto rigor, lenguajes de programación o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje.

Objetivos de esta auditoría 1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro de los parámetros de precisión previstos.2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas.3. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados.4. Comprobar que los programas utilizados en producción son los debidamente autorizados por el administrador.5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilícitos o que se utilicen programas no autorizados para los procesos corrientes.6. Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso correspondiente.

Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles, en este caso de software, para proteger los datos en su proceso de conversión en información.

AUDITORIA CON EL COMPUTADOR

Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos en medios magnéticos, con el auxilio del computador y de software de auditoría generalizado y /o a la medida. Este enfoque es relativamente completo para verificar la existencia, la integridad y la exactitud de los datos, en grandes volúmenes de transacciones.

La auditoría con el computador es relativamente facil de desarrollar porque los programas de auditoría vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicación. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informática. Los paquetes de auditoría permiten desarrollar operaciones y prueba, tales como:1- recálculos y verificación de información, como por ejemplo, relaciones sobre nómina, montos de depreciación y acumulación de intereses, entre otros.2- Demostración gráfica de datos seleccionados.3- Selección de muestras estadísticas.4- Preparación de análisis de cartera por antigüedad.

Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la información contenida en los archivos maestros.

Los tres (3) enfoque de auditoría vistos, son complementarios, pues ninguno de los tres, es suficiente para auditar aplicaciones en funcionamiento.

Algunos paquetes de Auditoría:- S/2190 por Peat Mawick, Mitchell & Co.- Cars por Cullinet International- EDP-Auditor/3 por Cullinet International- Audex por Arthur Anderson & Co.- Cinfex para Bancos- Audap por Auditoría Informática Ltda. (Colombiano)

TALLER: ENFOQUES DE AUDITORIA INFORMATICA

UNIDAD 2. CONOCIMIENTOS GENERALES DEL CONTADOR PRINCIPIANTE

2.1. CONOCIMIENTO DEL COMPUTADOR

Entrada Proceso Salida

TARJETA MADRE (MAIN BOARD)

HARDWARE Término en inglés que significa ferretería, se emplea con una fina y poco disimulada ironía, para referirse a los elementos tangibles del equipo, como la tarjeta madre, la memoria, el disco duro y otros dispositivos de almacenamiento.SOFTWARE Conjunto de instrucciones que ponen en comunicación los diferentes dispositivos del PC y le permiten realizar cualquier tarea. Ej. El sistema operativo, los programas, los archivos de configuración, etc.

UNIDAD CENTRAL DE PROCESO Llamada CPU. Tradicionalmente se ha dicho que la CPU engloba las partes del hardware de mayor importancia, como la tarjeta madre, el chip, la memoria o el disco duro en el que se almacenan los datos. Realmente la CPU (conocida por sus siglas en inglés, CPU), es un circuito microscópico que interpreta y ejecuta instrucciones. La CPU se ocupa del control y el proceso de datos en las computadoras. Generalmente, la CPU es un microprocesador fabricado en un chip, un único trozo de silicio que contiene millones de componentes electrónicos. El microprocesador de la CPU está formado por una unidad aritmético-lógica que realiza cálculos y comparaciones, y toma decisiones lógicas por una serie de registros donde se almacena información temporalmente, y por una unidad de control que interpreta y ejecuta las instrucciones. Para aceptar órdenes del usuario, acceder a los datos y presentar los resultados, la CPU se comunica a través de un conjunto de circuitos o conexiones llamado bus. El bus conecta la CPU a los dispositivos de almacenamiento (por ejemplo, un disco duro), los dispositivos de entrada (por ejemplo, un teclado o un mouse) y los dispositivos de salida (por ejemplo, un monitor o una impresora).

RAM (Random Access memory) Chip de almacenamiento temporal. Entre mas RAM los programas trabajan a mayor velocidad. Su unidad de medida es el Byte y su capacidad de almacenamiento actual esta dado en mega bytes (MB). La memoria RAM almacena instrucciones, variables y otros parámetros de los programas que el usuario haya activado. Su contenido se pierde cuando el PC es apagado.

ROM BIOS (Read only memory) Chip que almacena en forma permanente instrucciones y datos del PC que son solo de lectura, necesarios para activar el sistema operativo y reconocer los periféricos conectados al sistema.

MEMORIA VIRTUAL Truco tecnológico que permite al PC tomar parte del disco duro como prolongación de la RAM. Ayuda a salir del paso en una situación apurada, pero no puede considerarse como una panacea. Al tener que leer y escribir en el disco duro, con un acceso mucho más lento, la ejecución de los programas se resiente, y acaba siendo considerablemente lenta.

MICROPROCESADOR es el cerebro del PC. Chip que ejecuta las instrucciones y procesa los datos con los que trabaja el computador. Su unidad de medida es el hertz y su capacidad de almacenamiento actual esta dado en mega hertz (MHz). El intenso ritmo de investigación ha conseguido duplicar la capacidad de estos chips cada año y medio, aproximadamente. (Ver CPU)

TARJETAS DE EXPANSION con chips y otros componentes electrónicos que sirven para ampliar las capacidades del PC o para controlar algunos periféricos. Estas tarjetas se instalan en ranuras de expansión.

RANURAS DE EXPANSION comunicadas con el procesador a través del BUS. Permiten la inserción de chips de memoria, aceleradoras gráficas, tarjetas de sonido o dispositivos de red.

BUS avenida electrónica por medio de la cual se comunica el procesador, la memoria, los periféricos y otros componentes del PC. Esta formado por líneas de circuito paralelas que

transportan datos e instrucciones entre los dispositivos instalados en la tarjeta madre. De su capacidad para asimilar el flujo de información depende en gran medida el rendimiento del sistema.

BUS LOCAL autopista de alta capacidad y velocidad que comunica al procesador con algunos dispositivos sin tener que usar el BUS principal..

TARJETA MADRE plástica sobre la que están montados los principales componentes del PC: Procesador, Ram, Rom, Ranuras de expansión, Bus. Si se escoge una tarjeta madre inadecuada para el equipo, probablemente se producirá el efecto de cuello de botella: el chip central del PC o sus periféricos llegarán a trabajar con un volumen de datos superior al que los circuitos de la placa pueden soportar, los datos quedarían atrapados en un trancón y el PC procesaría la información a una velocidad inferior al límite para el cual ha sido diseñado.

TARJETA DE SONIDO da al PC la capacidad de reproducir sonido, grabar o utilizar programas de reconocimiento de voz. Los PC que no son multimedia, no tienen Tarjeta de Sonido.

TARJETA GRÁFICA de aquí parte la imagen que se refleja en el monitor y de ella depende el grado de fineza de la imagen resultante. Se complementa con un acelerador gráfico.

DISCO DURO almacena información y programas de computador de modo estable, su capacidad se mide en MB o GB.

UNIDAD DE DISQUETE almacena y permite leer información. 1.44 MB

UNIDAD DE CD-ROM Disco de metal recubierto por una capa plástica para almacenar datos. Su sistema de lectura es por láser: un haz de luz recorre la superficie del disco, mientras que otro dispositivo se encarga de analizar el reflejo del láser sobre el soporte. Los computadores multimedia (que pueden manejar video, sonido y animaciones) usan esta unidad para leer CD-ROM. 650-700 MB (486 disquetes), que pueden almacenar video, sonido, animación, texto, gráfica, etc. Actualmente se consiguen unidades de grabación de CD.

DVD (Digital Video Disc) supera con creces la capacidad y rapidez del CD-ROM. Actualmente superan los 4 GB de capacidad (7 CD) y usados en cinematografía por su calidad de imagen, sonido digital de última generación y diálogos locutados en diferentes idiomas.

SISTEMAS DE COMPRESI�?N Apoyados por estudiadas rutinas, logran reducir el espacio de memoria necesario para almacenar un documento. Existen dos tipos de compresores: destructivo y no destructivo. La diferencia principal entre ambos sistemas hace referencia a la pérdida de calidad en el archivo resultante, después de la compresión.

CHIP pieza de silicio que contiene millones de componentes electrónicos (transistores y resistores).

SILICIO (SILICON) material que se encuentra en estado natural en al arena y en las rocas.

TRANSISTOR dispositivo semiconductor que funciona como una especie de PUERTA que se abre o cierra al paso de impulsos eléctricos. Un CHIP como el pentium, agrupa + 3.3 millones de transistores en una superficie de menos de 2 Cm cuadrados.

BYTE es una medida de la capacidad de almacenamiento de datos del PC. 1 byte equivale a un caracter. Los textos, dibujos y sonidos están representados por Bytes.

MEGABYTE (MB) = a 1.000.000 de bytes.GIGABYTE (GB) = A 1.000 MB.TERABYTE (TB) = A 1.000 GB.EXABYTE (EB)=A 5.000.000 TB.HERTZ (Hz) medida de cuantas vibraciones eléctricas (ciclos) se producen en 1 segundo. 1 Hz = a un ciclo por segundo.

MEGAHERTZ (MHz) = a 1.000.000 de Hz son la unidad de medida del procesador.

PC computador personal. Son el tipo de computadores más difundidos. Por unidades vendidas representan + del 90% del mercado.

PERIF�?RICOS son todos los dispositivos que se conectan al computador: Ratón, Teclado, Impresora, Monitor, Audífonos, MODEM, Unidad de CD, etc.

TALLER REVISAR CONFIGURACION Y COTIZACIONES DE PC

2.2. COMPOSICI�?N DE UN DEPARTAMENTO DE PROCESAMIENTO ELECTR�?NICO DE DATOS P.E.D.

Debe existir un organigrama y una asignación clara de responsabilidades. Aunque los cargos varían según el centro de procesos, las descripciones siguientes, abreviadas y generales de puestos de trabajo, cubren la mayor parte de los puestos de proceso de datos en los niveles que no sean de dirección.

ORGANIGRAMA

CON UN GRADO DE DETALLE MÍNIMO:

O UN DIAGRAMA MÁS ELABORADO COMO:

CARGO DESCRIPCI�?N

Director del PED Como coordinador del Depto. De PED, le corresponde:�?� Ejecutar la autorización de ampliaciones o cambio en los sistemas principales.�?� Revisión, posterior a la instalación, del costo y eficacia reales de los proyectos de sistemas.�?� Revisión de los proyectos de organización y control del PED.�?� Revisión del rendimiento.

Su responsabilidad consiste en presentar cada ampliación o cambio principal con una propuesta, para ser evaluada desde el punto de vista del Costo �?? Beneficio que ocasionará, ya que la adquisición o introducción de mejoras, equivale a una gran inversión en la ampliación del Activo Fijo y debe estudiarse minuciosamente antes de comprometer recursos en el proyecto.

Analista de Sistemas Analiza las necesidades de información, evalúa el sistema existente y diseña procedimientos de procesos de datos nuevos o mejorados. Describe el sistema y prepara las especificaciones que sirven de guía al programador.

Programador Hace diagramas de la lógica de los programas del PC, especificados por el sistema diseñado por el analista de Sistemas. Codifica la lógica para su traducción al lenguaje del PC. Elimina errores del programa resultante. Prepara la documentación.

Operador del PC Opera el PC de acuerdo con los procedimientos de instalación y los específicos para cada programa descrito en las instrucciones del funcionamiento del PC.

Operador de Textos Prepara información para su proceso en el PC, tecleando en un dispositivo que lo traduce a lenguaje de máquina.

TALLER: Taller Organigrama Departamento PED

2.3. T�?CNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR �?? TAAC.

1- OPERACIONES EN PARALELO: Confrontación de resultados, mediante el proceso de los mismos datos reales, entre un sistema nuevo que sustituye a uno ya auditado. Los programas y procedimientos actuales no se abandonarán hasta cuando los nuevos arrojen los resultados esperados.2- EVALUACI�?N DE UN SISTEMA CON DATOS DE PRUEBA: Comúnmente llamada lotes de prueba. Se ensaya la aplicación con datos de prueba contra resultados obtenidos inicialmente en las pruebas del programa para detectar resultados no válidos. Los datos de prueba deben representar la aplicación que se examina con todas las posibles combinaciones de transacciones que se lleven a cabo en situaciones reales. Esta técnica se utiliza en la fase de prueba del programa, antes de ser enviada a producción y cuando se llevan a cabo modificaciones a un programa, por tanto, los programas utilizados para digitar los datos de prueba deben ser los mismos que se encuentran en producción y que se utilizan para procesar los movimientos diarios. Cuando esta técnica se mantiene en el tiempo para ser, consistente y cotidianamente, aplicada al sistema en producción, toma el nombre de EVALUACION DEL SISTEMA DEL CASO BASE �?? ESCB, en tal caso, la prueba es más completa y requiere de un alto grado de cooperación entres usuarios, auditores y personal de sistemas.3- PRUEBAS INTEGRALES: Permite examinar el proceso de la aplicación en su ambiente normal de producción, pues se procesan datos de prueba en la misma aplicación en producción junto con los datos reales, para lo cual se crea una compañía de prueba con fines de auditoría dentro de la aplicación, lo cual permite disponer de los mismos archivos maestros. Los resultados de la prueba se comparan contra resultados precalculados o predeterminados para examinar la lógica y precisión de los procesos. Se presenta un proceso de información simultáneo para comparar contra resultados predeterminados.4- SIMULACI�?N: Se desarrolla un programa de aplicación para determinada prueba y se compara el resultado con los arrojados por la aplicación real.5- REVISIONES DE ACCESO: Consiste en conservar un registro computarizado de todos los accesos a determinados archivos (información del usuario y terminal) �?? Software de

Auditoría.6- REGISTROS EXTENDIDOS: Agregar un campo de control a un registro - Software de Auditoría.7- TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en obtener totales de datos en alguna parte del sistema, para verificar su exactitud en forma parcial - Software de Auditoría.8- SELECCI�?N DE DETERMINADO TIPO DE TRANSACCIONES COMO AUXILIAR EN EL ANÁLISIS DE UN ARCHIVO HIST�?RICO: Con el fin de analizar en forma parcial el archivo histórico de un sistema, el cual sería casi imposible verificar en forma total - Software de Auditoría.9- RESULTADOS DE CIERTOS CÁLCULOS PARA COMPARACIONES POSTERIORES: Con el fin de comparar en el futuro los totales en diferentes fechas - Software de Auditoría.

La TAAC anteriormente descritas, ayudan al AUDITOR a establecer una metodología para la revisión de los sistemas de aplicación de una institución, empleando como herramienta EL MISMO EQUIPO DE COMPUTO.

El COMPUTADOR le facilita al AUDITOR realizar tareas como:

a- Trasladar los datos del sistema a un ambiente de control del auditor.b- Llevar a cabo la selección de datos.c- Verificar la exactitud de los datos.d- Hacer muestreo estadístico.e- Visualización de datos.f- Ordenamiento de la información.g- Producción de reportes e histogramas.

Lo anterior implica una metodología que garantiza una revisión más extensa e independiente, que podría consistir en los siguientes pasos:

1- Selección del sistema de información a revisar.2- Obtención de la documentación de los archivos que incluye: Nombre del archivo y descripción, nombre de los campos y descripción (longitud, tipo), codificación empleada, etc.3- Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento.4- Llevar a cabo con un software de auditoría las verificaciones que se mencionan anteriormente.5- Participación del Auditor en el desarrollo de sistemas.

En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los sistemas y sus ACTIVIDADES PRINCIPALES SERÁN:

a- Verificar los controles y procedimientos de autorización de la utilización y captura de los datos, su proceso y salida de información, así como los programas que las generan. Es importante revisar los procedimientos para el mantenimiento de los programas y las modificaciones a los sistemas.

b- Revisar las transacciones realizadas para asegurarse de que los archivos reflejan la situación actual.c- Revisar las transacciones y los archivos para detectar posibles desviaciones de las normas establecidas.d- Asegurarse de que las aplicaciones cumplan con los objetivos definidos en la planeación.e- Revisar todos los cambios hechos a los programas y sistemas para verificar la integridad de las aplicaciones.

2.4. CONCEPTO DE SISTEMAS AVANZADOS

SISTEMAS EN LÍNEALas operaciones son procesadas al momento de registrarlas, en ves de acumularla en lotes. Los datos pueden ser registrados en una terminal remota de entrada conectada a la unidad central de proceso por líneas de comunicación. Se refiere a un sistema operativo con terminales, sin implicar su modo de operación. Un sistema en línea acepta y almacena datos desde varias terminales, pero no necesariamente implica la actualización de archivo maestro.

SISTEMA EN TIEMPO REALSe refiere al tiempo requerido para que una acción, actividad o decisión tenga lugar. El término se usa para referirse a sistemas de respuestas rápidas en los cuales los archivos son actualizados tan pronto como las operaciones son registradas y en los cuales los datos de salida son proporcionados inmediatamente al ser solicitados. Los sistemas en tiempo real, son siempre en línea.Un sistema de tiempo real es aquel en el que para que las operaciones computacionales estén correctas no depende solo de que la lógica e implementación de los programas computacionales sea correcto, sino también en el tiempo en el que dicha operación entregó su resultado. Si las restricciones de tiempo no son respetadas el sistema se dice que ha fallado; Por lo tanto, es esencial que las restricciones de tiempo en los sistemas sean cumplidas. El garantizar el comportamiento en el tiempo requerido necesita que el sistema sea predecible.SISTEMAS INTEGRADOSDiseñados para minimizar las operaciones y los registros duplicados. El sistema se diseña de tal manera, que los registros para las funciones diferentes con información similar, sean combinados en un solo registro que los incluya a todos. Algunas características son:1- Una vez iniciado el sistema, un solo documento fuente, con la descripción de la operación o proporcionando otros datos inicia la actualización de todos los registros asociados con la operación o con la partida de datos.2- Las partes del sistema están interrelacionadas y se eliminan los registros duplicados.Un Sistema Integrado, no necesita ser un sistema en Tiempo Real. Un sistema puede estar completo o parcialmente integrado.

BASES DE DATOSES cualquier conjunto de datos organizados para su almacenamiento en la memoria de un ordenador o computadora, diseñado para facilitar su mantenimiento y acceso de una forma estándar. La información se organiza en campos y registros. Un campo se refiere a un tipo o atributo de información, y un registro, a toda la información sobre un individuo. Por ejemplo, en

una base de datos que almacene información de tipo agenda, un campo será el NOMBRE, otro el TEL, otro la DIRECCI�?N..., mientras que un registro viene a ser como la ficha en la que se recogen todos los valores de los distintos campos para un individuo, esto es, su nombre, teléfono, dirección... Los datos pueden aparecer en forma de texto, números, gráficos, sonido o vídeo. Normalmente las bases de datos presentan la posibilidad de consultar datos, bien los de un registro o los de una serie de registros que cumplan una condición.

PROCESO DE DATOS DISTRIBUIDOS Hace mención a una red de ordenadores locales; es decir, que los datos están distribuidos en los PC que conforman la red. A menudo se trata de mini-ordenadores conectados en Línea a uno central. Los sistemas distribuidos pueden consistir en diversos servidores que alojen datos, de forma que el cliente no tiene por qué conocer exactamente dónde se encuentran, simplemente hace una petición de servicio, y es el sistema servidor el encargado de localizarlos y proporcionar el resultado de la consulta al usuario que hizo la petición

SISTEMAS EXPERTOSEs un sistema informático que incorpora en forma operativa el conocimiento de una persona experimentada, de forma que es capaz tanto de responder como esa persona, como de explicar y justificar sus respuestas. Actúan como ayudantes inteligentes de los expertos humanos y como consultores cuando no se tiene ninguna otra posibilidad de acceder a la experiencia y al conocimiento. Este sistema adopta decisiones o resuelve problemas de un determinado campo, como las finanzas o la medicina, utilizando los conocimientos y las reglas analíticas definidas por los expertos en dicho campo. Los expertos solucionan los problemas utilizando una combinación de conocimientos basados en hechos y en su capacidad de razonamiento. En los sistemas expertos, estos dos elementos básicos están contenidos en dos componentes separados, aunque relacionados: una base de conocimientos y una máquina de deducción, o de inferencia. La base de conocimientos proporciona hechos objetivos y reglas sobre el tema, mientras que la máquina de deducción proporciona la capacidad de razonamiento que permite al sistema experto extraer conclusiones. Los sistemas expertos facilitan también herramientas adicionales en forma de interfaces de usuario y los mecanismos de explicación. Las interfaces de usuario, al igual que en cualquier otra aplicación, permiten al usuario formular consultas, proporcionar información e interactuar de otras formas con el sistema. Los mecanismos de explicación, la parte más fascinante de los sistemas expertos, permiten a los sistemas explicar o justificar sus conclusiones, y también posibilitan a los programadores verificar el funcionamiento de los propios sistemas.

2.5. MATRIZ DE PLANEACI�?N

Es un documento que sirve de guía para seguir una secuencia lógica en la realización de la auditoría. En este documento, se informa el personal a cargo de cada labor de auditoría, las pruebas a realizar, los procedimientos a seguir, el tiempo estimado e invertido, el riesgo y la referencia a papeles de trabajo con el fin de permitir el seguimiento y control del desarrollo de la auditoría. (Ver modelo propuesto).

2.6. PLANILLA DE CONTROL INTERNO

Es un informe de las situaciones que se presentan en la organización que se deben corregir,

sustentando las apreciaciones y recomendando las acciones a tomar para encausarlas o corregirlas. Su contenido recomendado es el siguiente.

Planilla de análisis de control internoNombre de la compañía Fecha:*Deficiencia:Consiste en identificar y transcribir, en forma clara y concreta, la deficiencia de control interno detectada al interior de la organización; en nuestro caso, al interior de cualquiera de los procesos del sistema de información que este siendo objeto de auditoría.

*Sustentación:Consiste en redactar, en forma clara e inequívoca, la evidencia que sustenta la existencia de la deficiencia sobre la cual el auditor se apoya para identificar su materialización. Esta sustentación debe ser:*Relevante�?� Lógica*Fiable �?� Válida, Objetiva *Suficiente�?�Cuantitativa*Adecuada�?� Cualitativa

Firma Auditor:_____________________ *Recomendación:Es la propuesta del auditor tendiente a contrarrestar la deficiencia de control interno. Debe ser coherente con la deficiencia detectada consultado la relación costo-beneficio. Para verificar lo acertado de la recomendación, podemos responder las siguientes preguntas:1-¿La recomendación es coherente con la deficiencia?2-¿La recomendación aplica al problema?3-¿La recomendación es suficiente?; ¿con su aplicación la deficiencia no se vuelve a presentar?*Beneficio:Se debe indicar cuál es el beneficio que se obtendrá con la implantación de la recomendación, el cual debe ser representativo, tangible y atractivo para la administración.

*Compromiso:Se debe obtener el compromiso de parte del responsable del área o de la administración en el sentido de que se acoge la recomendación para implantarla, definiendo fecha en que se hará y firma, de estos, en señal de compromiso y ejecución operativa.

Firma responsable:__________________

VER EJEMPO EN TALLER: MATRIZ DE PLANEACION -hojas- Ejemplo, planilla 1 y planilla 2

TALLER: Conceptuar Matriz y PlanillaTALLER: matriz planeación �??hojas- matriz1, matriz2 y matriz3

UNIDAD 3. EVALUACI�?N DE LA SEGURIDAD

3.1. SEGURIDAD L�?GICA Y CONFIDENCIAL

La seguridad Lógica y Confidencial hace un gran énfasis en la conservación y protección de la información y valora esa información como el activo más importante de la empresa y por eso tiene en cuenta que:

-La computadora es un instrumento que almacena información y por tanto:�?� Es confidencial�?� Puede ser mal utilizada�?� se puede prestar para Fraudes�?� Se pueden presentar sabotajes que provoquen destrucción de información

-La información puede ser de gran importancia y el no tenerla puede provocar atrasos sumamente costosos.

Cuanto tiempo pasaría para que una organización estuviese nueva/ en operación?

El centro de computo puede ser el activo + valioso y al también el + vulnerable.

El 95% de los delitos por computadora han sido descubiertos por casualidad y no se divulgan para no dar ideas a personas mal intencionadas.

Los fraudes, falsificaciones y venta de información hechos a la computadora o por medio de ellas es una constante.

El incremento de los fraudes por computadora crece más rápido que los sistemas de seguridad.

Los procedimientos de Auditoría y seguridad son responsabilidad del Usuario y del Depto. De Auditoría Interna.

AL AUDITAR los sistemas, se debe tener en cuenta que no se tengan copias piratas y que al conectarnos en RED no exista posibilidad de transmisión de VIRUS.

MOTIVO DE LOS DELITOS POR COMPUTADORA

- Beneficio Personal- Beneficios para la organización- Síndrome de Robin Hood (Para beneficiar a otras personas)- Jugando a jugar- Fácil desfalcar- El Depto. Es deshonesto- Odio a la organización (Revancha)- El individuo tiene problemas financieros- La computadora no tiene sentimientos ni delata- Equivocación de ego (Deseo de sobresalir en alguna forma)- Mentalidad turbada

FACTORES QUE PERMITEN EL INCREMENTO DE DELITOS POR PC.

1- Aumento del # de personas que estudia computación2- Aumento del # de empleados con acceso a los equipos3- Facilidad en el uso de los equipos de computo4- Incremento en la concentración del # de aplicaciones, y de la información

Estos factores son el objetivo del centro de cómputo, pero también constituye un incremento del riesgo del delito.

El uso inadecuado del computador empieza con la utilización del tiempo de maquina para usos ajenos al de la organización, la copia de programas para fines comerciales, el acceso vía telefónica para copiar o modificar datos con fines fraudulentos.

Los delitos pueden ser no intencionales Ej.

IMAGINASE una compañía de publicidad por correo. ¿Cuánto podría costarle que la competencia adquiriera su lista de correo o que la información sea cambiada o dañada? Ej. Una Cia. De venta puerta a puerta, le sustrajeron la lista de clientes, la cual fue vendida a la competencia; la Cia. Estimo la perdida en ventas en $ 7.062�??000.000.

Actualmente las Cias. Tienen grandes dispositivos de seguridad física de las computadoras; LO GRAVE, es que se tiene la idea que los sistemas no pueden se violados si no se entra a la sala de computo, olvidándose del uso de terminales y de sistemas remotos de teleproceso.

Se piensa como en el caso de Incendio o robo, que �??eso no me puede suceder a mi�?� 0 �??Es poco probable que suceda aqu��.

Algunos gerentes creen que las computadoras y sus programas son tan complejos, que nadie fuera de la Cia. Los va a entender y no les van a servir; pero existe gran # de personas que pueden captar la información de un sistema y hacer de ella su segundo ingreso.

El incremento en los Fraudes, ha ocasionado el incremento en la seguridad Física y Lógica con la

desventaja que la seguridad Lógica requiere mucho recurso de computador.

Lo ideal es obtener la seguridad adecuada, de acuerdo a la seguridad requerida con el menor costo posible.

Se debe tener en cuenta la posibilidad de Fraude cometida por los empleados en el desarrollo de sus funciones. A) el mas común es en el desarrollo de programas, en el cual se pueden insertar rutinas con fines dañinos (borrar información, beneficio personal-nómina, robar información, venganza, etc.), de hay la necesidad de tener los programas fuente y/o debidamente documentados.

Peligroso no tener los programas documentados, porque se crea dependencia con aquellos empleados que concentran en su memoria toda la información referente a la construcción, mantenimiento y reformas de los programas.

La seguridad empieza con la simple clave de acceso (password), hasta sistemas complicados, pero debe evaluarse que entre + complicados los dispositivos de seguridad, resultan + costosos; por tanto, se debe mantener una adecuada relación de seguridad-costo en los sistemas de información.TALLER: TRABAJO Claves de acceso -Se aplicará un Taller de claves accesoSe incluyó en trabajo de A. FISICA

Un sistema integral de seguridad debe comprender:

1- Elementos administrativos2- Definición de una política de seguridad3- Organización y definición de responsabilidades4- Seguridad física y contra catástrofes (incendio, terremoto, etc.)5- Practicas de seguridad del personal6- Pólizas de seguros7- Elementos técnicos y procedimientos8- Sistemas de seguridad de equipos y de sistemas, incluyendo redes y terminales9- Aplicación de los sistemas de seguridad incluyendo datos y archivos10- El papel de los Auditores tanto interno como externo11- Planeación de programas de desastre y su prueba. Los accidentes pueden surgir por mal manejo de la Admón., por negligencia o por ataques intencionales hechos por ladrones, fraudes, sabotajes o por situaciones propias de la Cia. Ej. huelgas

El poder trabajar con la posibilidad de un desastre debe ser algo común, debe planearse como evitarlo y que hacer cuando ocurra.

Se debe evaluar el riesgo que pueda tener el daño en las instalaciones y/o en las aplicaciones, con gran impacto en la Cia. y/o en la comunidad si el servicio se interrumpe por cierto período; otras pueden fácilmente continuar sin afectar fuertemente la Cia. Ej. Por medio de métodos manuales.

Para establecer la RELACI�?N COSTO / BENEFICIO entre el costo por pérdida de

información y el costo de un sistema de seguridad debemos tener en cuenta algunos puntos como:

1- Clasificar la aplicación en términos de riesgo (alto, medio, bajo)2- Identificar aplicaciones con alto riesgo3- Impacto en la suspensión de aplicaciones con alto riesgo4- Medidas de seguridad necesarias acorde a la seguridad requerida5- Justificar el costo de implantar las medidas de seguridad

IDENTIFICACI�?N DE LAS APLICACIONES DE ALTO RIESGO Y CLASIFICACI�?N DEL RIESGO

Para esto debemos preguntarnos:

1- ¿Qué sucedería si no se puede usar el sistema?a. ¿Se puede trabajar normalmente? Si la respuesta es No, entonces podemos concluir que la aplicación es de alto riesgo. 2- ¿Qué implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo? Unos minutos?, un día? Una semana?. 3- ¿Existe un procedimiento alterno y qué problemas ocasionaría?, si existe, manual, datos telefónicos, procesar en otro sistema; no existe. Ej. Reserva de tiquetes por las redes y bancos de datos, retraso e ineficiencia en los despachos de vuelos.4- ¿Qué se ha hecho para un caso de emergencia? Sistemas paralelos, sistemas duplicados en áreas críticas (aires acondicionados, discos, etc.), sistemas de energía no interrumpible. Ej. Elaborar la NOMINA en forma manual o pagarla con la de la quincena anterior.

Una vez definido el grado de riesgo (alto, medio, bajo), se debe elaborar una lista de medidas preventivas a tomar y las correctivas en caso de desastre señalando prioridades.

Hay que tener mucho cuidado con la información que sale de la oficina, con su utilización y que sea borrada al momento de dejar la instalación de respaldo.

LOS PLANES DE SEGURIDAD DEBEN ASEGURAR:

1- La integridad y exactitud de los datos2- Identificar la información confidencial, de uso exclusivo y la delicada3- Proteger y asegurar los activos de desastres provocados por la mano del hombre y de actos abiertamente hostiles4- Asegurar la capacidad de la organización para sobrevivir accidentes5- Proteger a los empleados contra tentaciones o sospechas innecesarias6- Proteger a la Administración contra cargos de imprudencia

CLASIFICACI�?N DE LA APLICACI�?N EN T�?RMINOS DE RIESGO

1- Clasificar los datos, archivos y programas con información confidencial, con un alto valor en el mercado de competencia de una Cia.2- Clasificar la información de difícil recuperación3- Identificar la información con un alto costo financiero en caso de pérdida4- Identificar la información que pueda provocar un gran impacto en la toma de decisiones5- Determinar la información que tenga una gran pérdida en la Cia. Y posiblemente pueda ocasionar que no pueda sobrevivir sin esa información.

EJEMPLO:

ALTO RIESGO: Información sobre el mercado y publicidad de una Cia.

MEDIO RIESGO: La nómina, que puede ser hecha a mano, utilizar procedimientos alternos (pagar con la nómina anterior) o un adecuado sistema de respaldo.

BAJO RIESGO: Los estado financieros, los que se pueden reestructurar con cierta facilidad, salvo la presentación con fines fiscales.

CUANTIFICACI�?N DEL RIESGO

Se debe entrevistar a los niveles administrativos afectados directamente por la suspensión del proceso para averiguar en que forma afecta la organización.

PRECAUCIONES EN LA DIVISI�?N DEL TRABAJO

1- El personal que prepara la información no debe tener acceso a la operación2- Los analistas y programadores no deben tener acceso al área de operación y viceversa3- Los operadores deben tener acceso restringido a las librerías y a lugares donde se tenga archivos almacenados; es importante separar las funciones de librería y de operación4- Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados5- Evaluar y revisar en forma visual el orden y limpieza de la sala de computo y las oficinas, ya que una inadecuada limpieza en el trabajo refleja problemas de disciplina y crea posibilidades de fallas en la seguridad, además de perjudicar el desarrollo normal del trabajo

Los sistemas de seguridad pueden reducir flexibilidad en el trabajo, pero no deben reducir la eficiencia (IMPORTANTE.)

3.2. SEGURIDAD EN EL PERSONAL

El centro de cómputo depende en gran medida de:

1- Integridad del personal2- Estabilidad del personal3- Lealtad del personal4- Adecuada política de vacaciones5- Adecuada política de reemplazo, lo cual permite en caso necesario, poder cambiar a una persona sin riesgo de funcionamiento para la organización.6- Adecuada política de rotación en puestos de alto nivel de confianza, para mermar la posibilidad de fraude, identificar el personal indispensable y eliminarlos.7- Adecuada política motivacional con el fin de fortalecer la lealtad8- Fomentar la cultura de seguridad en los programas para protegerlos de posibles fraudes.

Se recomienda, pues, los exámenes psicológicos, médicos, antecedentes laborales, Valores sociales, estabilidad ya que normalmente son personas que trabajan bajo presión y estrés, por lo que importa mucho su actitud y comportamiento.

3.3. SEGURIDAD FÍSICA

El objetivo es establecer POLÍTICAS, PROCEDIMIENTOS Y PRACTICAS para evitar la interrupción prolongada del proceso de datos y continuar en un medio de emergencia hasta que sea restaurado el servicio. Se debe asegurar contra:

1- Incendio2- Inundación3- Huelgas4- Disturbios5- Sabotaje6- Material de la construcción (no inflamable, no tóxicos, sin polvo)7- Temperatura de la sala de computo8- Ductos, del aire acondicionado, limpios9- Detectores de humo10- Equipos de fuente no interrumpible en instalaciones de alto riesgo en la computadora, la red y equipos de teleproceso11- Número de extintores, capacidad, fácil acceso (cerca, altura), peso, tipo de producto (que no sean líquidos, no produzcan gases tóxicos), vencimiento de la carga12- Entrenamiento del personal en el uso de los equipos contra incendio13- Suficientes salidas de emergencia debidamente controladas14- Almacenamiento adecuado de cintas que produce gases tóxicos y papel altamente inflamable

Fue costumbre exhibir la sala de cómputo en grandes ventanales al público como símbolo de orgullo de la organización, y con gran cantidad de invitados visitándola. Eso cambió radicalmente para prevenir el riesgo de terrorismo y sabotaje.

3.4. SEGUROS

El seguro es muy importante.

Existe un gran problema:

El agente de seguros es experto en Riesgos Comerciales, de Vida, ect., pero sabe muy poco sobre computadoras.

El personal de Informática es experto en computadoras, pero conoce muy poco sobre seguros.

En la compra de SEGUROS, se debe tener en cuenta que el proveedor del equipo y/o del mantenimiento, cubre ciertos riesgos, con el fin de no duplicar el seguro.

La póliza debe cubrir todo el equipo y su INSTALACI�?N

Verificar: -la fecha de vencimiento del SEGURO-Póliza adecuada-Actualizada con los nuevos equipos

El valor del seguro debe estar a precio de COMPRA del mercado y no al precio al momento de la compra de SEGURO.

El SEGURO debe cubrir: -Daños causados por factores externos (Terremotos, inundación, etc.)-Daños causados por factores internos (Negligencia, Aire acondicionado, Polvo, etc.)

EL SEGURO en programas debe tener en cuenta:-Costo de elaborarlos en determinado equipo-Costo de crearlos nuevamente-Valor comercial

EL SEGURO en cuanto a personal debe cubrir:-Fianzas contra robo-Negligencia-Daños causados por el personal-Sabotaje-Acciones deshonestas-Confidencialidad

SE DEBERÁ ESTABLECER NORMAS Y PRACTICAS EFICACES PARA EVITAR EN LO POSIBLE EL DA�?O FÍSICO AL PERSONAL, OFICINAS Y EQUIPO DE COMPUTO.

3.5. SEGURIDAD EN LA UTILIZACION DEL EQUIPO

La tendencia en los programas y equipos, son ser más sofisticados y solo algunas personas del

centro PED conocen el detalle el diseño, lo cual puede provocar deterioro de los sistemas, para lo cual se deberán tomar medidas como:

1- Restringir el acceso a los programas y archivos2- Los operadores deben trabajar con poca supervisión y sin la participación de los programadores, y no deben modificar los programas ni los archivos.3- Asegurar en todo momento que los datos y archivos usados sean los adecuaros, procurando no usar respaldos inadecuados.4- No debe permitirse entrar a la red a personas no autorizadas, ni usar las terminales.5- La información confidencial debe usar formas codificadas o encriptadas.6- Revisión periódica física del uso de terminales y de los reportes obtenidos.7- Auditoria periódica sobre el área de operación y utilización de terminales.8- Asegurar el proceso completo de los datos.9- Debe existir registros de transferencia de información ente las funciones de un sistema.10- Debe controlarse la distribución de las salidas (reportes, cintas, etc.)11- Guardar copia de archivos fuera del Depto, de PED y en instalaciones de alta seguridad (Bancos)12- Control estricto en el transporte de cintas y discos del PED al local de almacenaje distante.13- Identificar y controlar perfectamente los archivos.14- Estricto control en el acceso físico a los archivos.

SE DEBE TENER UN ESTRICTO CONTROL EN EL MANEJO DE LA INFORMACI�?N; por tanto se debe:1- Cuidar que no se obtengan copias de información sin la debida autorización.2- Solo el personal autorizado debe tener acceso a la información confidencial.3- Controlar el destino final de los listados correctos e incorrectos.4- Controlar el # de copias y la destrucción de información y del papel carbón de la información confidencial.

EL FACTOR + IMPORTANTE EN LA ELIMINACI�?N DEL RIESGO EN LA PROGRAMACI�?N es que todos los programas y archivos estén debidamente documentados; por lo cual, se debe tener alto grado de seguridad desde el momento del diseño preliminar del sistema.

EL SIGUIENTE PUNTO EN IMPORTANCIA ES CONTAR CON LOS RESPALDOS Y DUPLICADOS DE LOS SISTEMAS, PROGRAMAS, ARCHIVOS Y DOCUMENTACI�?N necesaria para que pueda funcionar el plan de emergencia.

SEGURIDAD AL RESTAURAR EL EQUIPO

Cuando ocurre una contingencia, es esencial conocer el motivo que la generó y el daño causado, lo que permite recuperar en el menor tiempo posible el proceso perdido. Se debe analizar el impacto futuro en el funcionamiento de la organización y prevenir implicaciones negativas.

En una situación ideal, se debe elaborar planes para manejar cualquier contingencia que se

presente.

Se debe definir planes de recuperación y reanudación, para asegurar que los usuarios se afecten lo menos posible en caso de falla o siniestro. Entre ellas tenemos:a- No realizar ninguna acción y reanudar el procesob- Con copias periódicas de los archivos reanudar un proceso a partir de una fecha determinada.c- Cambiar el proceso normal por uno alterno de emergencia (Manual, en otro equipo, en equipo paralelo, en otra instalación, etc.)

Cualquier procedimiento a usar deberá ser planeado y probado previamente.

3.6. PROCEDIMIENTO DE RESPALDO EN CASO DE DESASTRE

Debe elaborarse en cada Depto. De PED un plan de emergencia, el cual debe ser aprobado por el Depto. De Informática y definir los procedimientos e información para ayudar a la recuperación de información en caso de interrupciones en la operación del sistema de cómputo.

El plan de emergencia debe ser probado y utilizado en condiciones anormales para en caso de usarse en condiciones de emergencia se tenga la seguridad de que funcione. Se debe considerar:-Que la emergencia existe-Utilizar respaldos (en otros sitios)-Cambiar la configuración-Usar métodos manualesLa desventaja de un plan de emergencia es su costo, pero al igual que un seguro, solo se puede evaluar la ventaja del plan de emergencia si el desastre ocurre.

Una vez aprobado el plan de emergencia, se debe distribuir entre el personal responsable de su operación y es conveniente guardar copia fuera del Depto. PED.

La información que contiene el plan de emergencia es confidencial o de acceso restringido.

El plan debe permitir su revisión constante y su actualización y a cada responsable debe asignársele su tarea y una persona de respaldo para cada uno de ellos, con anotación de su nombre, dirección y # telefónico.

EN LOS DESASTRES PUEDE SUCEDER LO SIGUIENTE:

a- Completa destrucción del centro de cómputob- Destrucción parcial del centro de cómputoc- Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (electricidad, aire acondicionado, etc)d- Destrucción parcial o total de los equipos descentralizadose- Pérdida total o parcial de información, manuales o documentosf- Pérdida de personal claveg- Huelga o problemas laborales

EL PLAN DE DESASTRE DEBE INCLUIR

a- La documentación de programas y de operaciónb- El acuerdo de soporte recíproco, para lo cual se debe tener en cuenta:i. Configuración de equiposii. Configuración de equipo de captación de datosiii. Sistemas operativosiv. Configuración de equipos periféricosc- Los equiposi. El equipo completoii. El ambiente de los equiposiii. Datos y archivosiv. Papelería y equipo accesoriov. Sistemas (operativo, base de datos, programas, programas de utilería)

CUANDO EL PLAN SEA REQUERIDO EN EMERGENCIA, el grupo deberá:

a- Asegurar que todos los miembros sean notificadosb- Informar al director de informática (Jefe de sistemas)c- Cuantificar el daño o pérdida del equipo, archivos y documentos para definir qué parte del plan debe ser activadad- Determinar el estado de todos los sistemas en procesoe- Notificar a los proveedores del equipo cual fue el dañof- Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en cuenta:a. Elaborar lista con métodos disponibles para llevar a cabo la recuperaciónb. Señalar la posibilidad de alternar los procedimientos de operación (cambio en dispositivos, sustituir procesos en línea por lotes)c. Señalar la necesidad para agrupar y transportar al lugar de respaldo los archivos, programas, etc, que se requierand. Estimación del tiempo de computadora para periodo largo.e. Posponer las aplicaciones de prioridad más bajaf. Cambiar la frecuencia del proceso de trabajosg. Suspender las aplicaciones en desarrollo

3.7. CONDICIONES, PROCEDIMIENTOS Y CONTROLES PARA OTORGAR SOPORTE A OTRAS INSTITUCIONES

La idea es establecer convenios con otros centros de PED para utilizar su equipo en caso de fallas mayores o de desastre, a fin de evitar interrupciones de los servicios de procesamiento por largo período.

Es importante la intervención de la administración de las empresas o centros que hacen el convenio PARA ASEGURAR LA SERIEDAD DEL COMPROMISO y para esto se debe considerar:

a- Calidad de la persona a la que se le otorga el respaldob- Condiciones en las que se otorga el respaldoc- Procedimientos y controles para el uso del lugar y equipos de respaldod- Tiempo durante el cual se otorga el respaldoe- Periodicidad para otorgar el respaldof- Costo del servicio de respaldo

TALLER: TRABAJO AUDITORIA - PROGRAMA Y Formas Auditoría Física y aplicaciones en funcionamiento -hoja- Físico

UNIDAD 4. DISE�?O DE CONTROLES

En los sistemas de información, el control interno se materializa básicamente en controles de dos tipos.1- CONTROLES MANUALES: Realizados normalmente por el personal del área usuaria. Son controles previstos para asegurar que se preparan, autorizan y procesan todas las operaciones, se subsanan adecuadamente todos los errores, son coherentes los resultados de salida.2- CONTROLES AUTOMÁTICOS: Incorporados a los programas de la aplicación que sirven de ayuda para tratar de asegurar que la información se registre y mantenga completa y exacta, los procesos de todo tipo sean correctos y su utilización por parte de los usuarios respete la confidencialidad y permita la aplicación de la segregación de funciones.Según su finalidad, los controles son:1- CONTROLES PREVENTIVOS: Se diseñan patrones de formatos y estructura (dato numérico, fecha válida, valores válidos, dígitos de control para códigos de identificación, de documentos, nomenclaturas etc.) para evitar los errores a base de exigir el ajuste de los datos a formatos prediseñados2- CONTROLES DETECTIVOS: con el fin de descubrir errores que no hayan sido posible evitar.3- CONTROLES CORRECTIVOS: para asegurar que se subsanen los errores identificados mediante controles detectivos.

Los controles anteriores pueden ser utilizados en las transacciones de recogida o toma de datos, en los procesos de información de la aplicación y en la generación de informes y resultados de salida.

4.1. CONTROL EN EL ORIGEN DE LAS TRANSACCIONES

En el origen de las transacciones deben establecerse controles básicamente, sobre la AUTORIZACI�?N y PROCESAMIENTO DE DOCUMENTOS FUENTE. Como ejemplo tenemos:

- PROCEDIMIENTOS EN EL ÁREA USUARIA: Se debe trabajar con base en procedimiento escritos y aprobados por la dirección, en el proceso de iniciación, revisión y autorización de las transacciones de entrada, y se utilizan principalmente para las siguientes actividades operativas:

o Preparar documentos fuente.o Regular el flujo de documentos.o Establecer la necesidad de ceñirse a los programas de trabajo, como por ejemplo, las fechas de corte.o Controlar el uso de códigos espaciales, como los passwords entre otros.o Describir los requisitos claves de entrada de datos.o Precisar las correcciones que en nombre de los usuarios pueden hacer el personal de sistemas.- FORMULARIOS PREIMPRESOS: Guían el registro inicial de las transacciones en un formato uniforme. El diseño de formularios es un eficiente control preventivo para los sistemas en funcionamiento, en la etapa de entrada de datos. Un buen diseño de formularios permite que los datos sean completos y precisos, evitando de esta forma errores y omisiones, logrando un sistema correcto de autorizaciones y apoyando la objetividad de la contabilidad o de otras aplicaciones, de las organizaciones. Los formularios diseñados a la medida del sistema facilitan el registro de transacciones y el establecimiento de controles a través de:o Bloques de autorizacióno Totales de controlo Totalizaciones verticales u horizontaleso Fechas de retención de datosLos documentos fuente pre-impresos permiten la serialización de los mismos, esto es, verificar la secuencia del procedimiento de entrada de datos. La identificación y serialización de los documento fuente facilitan el rastreo de las transacciones hacia delante y hacia atrás, cuando se hace el trabajo de auditoría.- IDENTIFICACI�?N DE TRANSACCIONES: Toda operación que se registre en un proceso computarizado, debe estar suficientemente identificada como norma de control interno; Ej. Número de serie, número de secuencia, código de la transacción.- REFERENCIA CRUZADA: En el computador, las transacciones incluyen generalmente un campo, que tiene por objeto identificar el documento fuente. Si este número hace parte de la identificación de la transacción, entonces se convertirá en una referencia cruzada que sirve para rastrear la información hacia delante y hacia atrás. En el registro de CxC, existe un campo para el número de la factura; esta referencia puede utilizarse para recuperar los documentos fuente cuando sea necesario.- LOG DE SECUENCIA: Normalmente se identifican las transacciones con números de secuencia y lleva además, un LOG interno de los números de secuencia que sirve para asegurarse de que los datos de entrada estén completos, y como pista de auditoría.- ACCESO RESTRINGIDO A LOS FORMULARIOS EN BLANCO: Los documentos y formularios en blanco deben estar adecuadamente controlados para evitar uso fraudulento, en la entrada de datos. Esta restricción incluye los documentos negociables.- CUSTODIA DOBLE DE FORMULARIOS: Se acostumbra básicamente para controlar formularios contables de alto nivel de criticidad. Se requiere que un miembro del Depto. De usuario y otro del Depto. De PED autoricen conjuntamente la entrega de formularios prenumerados. El control exige hacer seguimiento riguroso a los formularios en blanco para que sean devueltos y archivados oportunamente.- SEGREGACI�?N FUNCIONAL: Este control en sistemas computarizados requiere por lo menos de:o Separación del Depto. de PED de los Depto. Usuarios.o Segr

Publicado por JORGE ALBERTO RESTREPO GOMEZ en Guia del profesor a las 22:34 | Comentarios (0) | Referencias (0)

1 - Un enfoque sistémico y de mejora continua

los procesos de mejora continua y eliminación de despilfarros / desperdicios en la empresa, las nuevas herramientas a utilizar con una visión de gestión de calidad total, y por último los nuevos enfoques a ser incorporados a la luz de los cambios en materia tanto tecnológica como productiva y comercial; lo cual es producto de la incorporación del Just in Time, la tercerización, el teletrabajo, internet y la informática (para éste último ítem se da un desarrollo más pormenorizado de los controles a verificar).

De la experiencia que día a día se va acumulando resulta sorprendente las graves falencias que en materia de auditoría y control interno adolecen las empresas, incluyéndose entre ellas no sólo a pequeñas y medianas, sino también a grandes empresas, para ello basta como ejemplo el famoso caso del Banco Barhing,  o  el de las grandes empresas estatales.

En primer lugar debemos subrayar la falta de cumplimiento a las normas básicas y fundamentales en materia de control interno, pero por otro lado está la ausencia de amplitud de conceptos en cuanto al patrimonio a proteger, y de los métodos e instrumentos de análisis a ser utilizados por los auditores internos.

Al igual que en el control de calidad, la falta de planificación y prevención es la norma en muchas empresas en lo relativo tanto al control interno, como al accionar de la auditoría interna. Por ello no es de sorprenderse ver a los auditores tratando de analizar que es lo que salió mal, porqué, y que hacer para evitar su repetición, cuando lo correcto es actuar preventivamente, y de acontecer algún hecho perjudicial no quedarse en los aspectos más superficiales sino profundizar hasta llegar hasta la causa-raíz, tratando de desentrañar de tal forma las razones que llevaron al sistema a engendrar dichas falencias.

Otro aspecto importante a cuestionar en las auditorías es que la misma sea percibida como una entidad dedicada sólo a la inspección (y a veces hasta con una perspectiva policíaca), y no al asesoramiento con el objetivo de proteger y mejorar el funcionamiento de la organización.

Es menester conformar una nueva visión de la empresa desde un enfoque sistémico, de tal manera de ubicar a la auditoría como un componente de dicho sistema, encargado de proteger el buen funcionamiento del sistema de control interno (subsistema a nivel empresa), sino además, de salvaguardar el buen funcionamiento de la empresa a los efectos de su supervivencia y logro de las metas propuestas.

Es interesante significar que sólo el dirigente que reconozca la necesidad de considerar la empresa como un conjunto de sistemas interrelacionados y entrelazados, habrá descubierto la clave para entender cómo opera realmente la empresa.

Muchas empresas han dejado de existir como producto de sus falencias en el control interno, y en la falta de una auditoría interna que evalúe eficazmente la misma. La falta de buenos controles internos (no meramente normativos, sino aplicados) no sólo han dado lugar a estafas o defraudaciones (sea esta por parte de ejecutivos, empleados o clientes), sino también a graves errores en materia de decisiones producto de graves errores en materia de información.

Ahora bien, cuando de custodia de activos o patrimonios se trata, la auditoría interna tradicional pone todo su acento en los activos fisicos, derechos y obligaciones de las empresas, dejando desprotegidos activos tan valiosos como lo son los clientes y sus niveles de satisfacción, el personal y su capital intelectual, y la calidad de los bienes y servicios producidos por la empresa.

Otro aspecto muy importante es la ubicación de la Auditoría Interna dentro del marco organizativo en cuanto a su grado de independencia. Que la Gerencia o Departamento de Auditoría Interna quede a un nivel de negociación o presión, impide alcanzar los objetivos que motivan su razón de ser.

En la nueva visión de la auditoría interna, ésta debe estar integrada a la Gestión Total de Calidad haciendo pleno uso de los diferentes instrumentos y herramientas de gestión a los efectos de lograr mayores niveles en la prestación de sus servicios.

Definiciones y objetivos

Auditoría Interna  

El Instituto de Auditores Internos de los Estados Unidos define la auditoría interna como //“una actividad independiente que tiene lugar dentro de la empresa y que está encaminada a la revisión de operaciones contables y de otra naturaleza, con la finalidad de prestar un servicio a la dirección”.//

Es un control de dirección que tiene por objeto la medida y evaluación de la eficacia de otros controles.

La auditoría interna surge con posterioridad a la auditoría externa por la necesidad de mantener un control permanente y más eficaz dentro de la empresa y de hacer más rápida y eficaz la función del auditor externo. Generalmente, la auditoría interna clásica se ha venido ocupando fundamentalmente del sistema de control interno, es decir, del conjunto de medidas, políticas y procedimientos establecidos en las empresas para proteger el activo, minimizar las posibilidades de fraude, incrementar la eficiencia operativa y optimizar la calidad de la información económico-financiera. Se ha centrado en el terreno administrativo, contable y financiero.

La necesidad de la auditoría interna se pone de manifiesto en una empresa a medida que ésta aumenta en volumen, extensión geográfica y complejidad y hace imposible el control directo de las operaciones por parte de la dirección. Con anterioridad, el control lo ejercía directamente la dirección de la empresa por medio de un permanente contacto con sus mandos intermedios, y

hasta con los empleados de la empresa. En la gran empresa moderna esta peculiar forma de ejercer el control ya no es posible hoy día, y de ahí la emergencia de la llamada auditoría interna.

El objetivo principal es ayudar a la dirección en el cumplimiento de sus funciones y responsabilidades, proporcionándole análisis objetivos, evaluaciones, recomendaciones y todo tipo de comentarios pertinentes sobre las operaciones examinadas. Este objetivo se cumple a través de otros más específicos como los siguientes:

a)                  Verificar la confiabilidad o grado de razonabilidad de la información contable y extracontable, generada en los diferentes niveles de la organización.

b)                 Vigilar el buen funcionamiento del sistema de control interno(lo cual implica su relevamiento y evaluación), tanto el sistema de control interno contable como el operativo.

Control Interno

El control interno es una función que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos y ofrecer la seguridad de que no se contraerán obligaciones sin autorización.

Una segunda definición definiría al control interno como “el sistema conformado por un conjunto de procedimientos (reglamentaciones y actividades) que interrelacionadas entre sí, tienen por objetivo proteger los activos de la organización.

Entre los objetivos del control interno tenemos

a)                  Proteger los activos de la organización evitando pérdidas por fraudes o negligencias.

b)                 Asegurar la exactitud y veracidad de los datos contables y extracontables, los cuales son utilizados por la dirección para la toma de decisiones.

c)                  Promover la eficiencia de la explotación.

d)                 Estimular el seguimiento de las prácticas ordenadas por la gerencia.

e)                  Promover y evaluar la seguridad, la calidad y la mejora continua.

Entre los elementos de un buen sistema de control interno se tiene:

3 - Independencia

Es fundamental considerar de quién debe depender el auditor interno. En una empresa dependerá directamente del dueño de la misma o de un comité. En una gran empresa deberá depender del Síndico y de un Comité de Control Interno (cuyos miembros no ejerzan funciones ejecutivas). Es fundamental que los miembros de la auditoría interna no tengan relaciones con la Gerencia de Personal (para temas como búsqueda y contratación de personal de auditoría, para planes de capacitación, jerarquización, liquidación y pago de sueldos, vacaciones o permisos especiales, etc.), tampoco deberá tener relaciones comerciales con el ente para el cual trabajen. De esta forma se protege la total independencia de criterio y observación, evitando además las “politiquerías” internas que tienden a distorsionar información y proteger a personal del ente. Es también fundamental que no exista lazos directos de familia entre los miembros de la auditoría y el personal a ser auditado, de existir alguna relación ello debiera dejarse como constancia en los informes de auditoría respectivos.

No preservar la independencia y objetividad (aunque todo sujeto tiende a la subjetividad) de los auditores, impide un óptimo y efectivo ejercicio de las funciones que le están encomendadas.

Imaginemos que sucedería en una institución bancaria si los auditores pidieran créditos u otros servicios a dicha institución, es lógico pensar en intercambio o negociación de favores.

4 - Tercerización

Por todo lo visto arriba y por los menores costos, mayores niveles de productividad y mejores niveles de calidad sería conveniente utilizar servicios tercerizados de auditoría interna. De tal forma se evitan costos fijos (sueldos, espacio físico, computadoras, gastos de teléfono), si los servicios no son adecuados es más fácil el cambio de auditoría, al prestar servicio en distintas empresas los auditores poseen mayor nivel de experiencia, la capacitación de los auditores no corre por cuenta de la empresa sino por parte de el ente prestador del servicio, pueden utilizarse alta tecnología producto de que el costo de la misma puede subdividirse entre numerosos clientes, pueden lograrse servicios con alto nivel de especialización (el ente prestador del servicio puede contar con especialistas en: auditoría en informática, en seguridad, en materia impositiva, en fraude, en calidad y satisfacción del consumidor, e inclusive auditores por tipos de actividades) lo cual redunda en mejores niveles de calidad.

5 - Alcances de la nueva auditoría

La nueva auditoría ya no comprende sólo los controles tradicionales, sino que en la búsqueda de proteger los activos de la organización audita el cumplimiento de normativas (sean éstas internas o externas), políticas y directrices, y principios fundamentales de gestión moderna de empresas, en todo lo atinente a la calidad de los productos y servicios, niveles de satisfacción de los clientes, eficiencia de los procesos administrativos y productivos. En el caso de la calidad el

auditor interno no procederá a efectuar mediciones o controles de calidad, su función en este caso es la de verificar la existencia de dichos controles y los mismos son correctamente llevados a cabo. En el caso de los procesos administrativos y productivos deberá contarse con auditores capacitados debidamente en dichas áreas y sus informe tendrán un enfoque netamente de asesoramiento.

Además deberá tenerse debidamente en cuenta los efectos que en el control interno tienen las siguientes nuevas maneras de operar:

a)                  Teletrabajo

b)                 Tercerización

c)                  Utilización de internet

d)                 Uso de redes informáticas (cajeros automáticos, transferencias electrónicas)

e)                  Globalización de los mercados

f)                   Cuadro de Mando Integral (necesidad de confirmar la corrección de los datos y del buen funcionamiento del sistema informático)

g)                  Contribuir en la eliminación de desperdicios y despilfarros, contribuyendo con su asesoramiento a la mejora de los procesos y actividades

6 - Trabajo en equipo

El mejor uso de las capacidades y experiencias para una evaluación más efectiva del control interno, como así también la investigación de casos especiales hacen necesario la implementación del trabajo en equipo incluyendo los Círculos de Calidad en el área de auditoría interna, como forma de mejorar los procedimientos, logrando de tal forma controles, propuestas, análisis e informes de mayor calidad y menores costos.

7 - Uso de herramientas de gestión

Ya sea en forma individual, en equipo o en los círculos de calidad se deberá hacer uso de las herramientas de gestión aplicada en materia de calidad y productividad. Nos referimos tanto a las siete herramientas clásicas, como a las nuevas herramientas y otras que pueda idear el personal de auditoría en el ejercicio de sus tareas.

Así tenemos la //Matriz de Ishikawa//, la cual puede ser utilizada para analizar falencias, detectar

causas de errores o ilícitos, búsqueda de soluciones o mejoras del control interno.

El //Diagrama de Pareto// permite entre otras funciones importantes la priorización de controles en función de la preponderancia que los diferentes factores tienen, como así también la utilización de la misma para descubrir la causa de problemas, o dar solución a las mismas.

//Los Seis Porqué?// permite mediante preguntas sucesivas llegar a la causa fundamental de los problemas evitando quedar en los rasgos más superficiales.

El //Control Estadístico de Procesos// (CEP) posibilita determinar la capacidad del proceso para engendrar productos y servicios externos e internos que satisfagan los niveles requeridos. Así las diferencias contables, o de inventario o la falta de cumplimentación correcta en las carpetas crediticias en el caso de las instituciones bancarias se deben a diferentes causas, el CEP permite conocer si la cantidad de falencias esta dentro de lo que es natural al sistema o si sus causas son especiales, adoptando según el caso las respectivas medidas de análisis y corrección.

El //fluxograma// es un elemento fundamental no sólo para evaluar el sistema de control interno, sino además para evaluar la eficiencia de las actividades o procesos.

El //Diagrama de Dispersión// permite poner a prueba la interrelación entre diferentes factores, como podría ser cantidad de comprobantes recepcionados por caja con las diferencias de caja.

El //histograma //permite analizar la distribución de los errores o falencias detectadas.

La //estratificación //permite mejorar los niveles de cumplimentación y detectar razones de irregularidades. Si al controlar atrasos crediticios en un Banco se tienen mayores niveles en una línea crediticia ello puede deberse al sector al cual está destinado o a falencias en la concesión de los mismos, y si los niveles están concentrados en determinadas sucursales bancarias ello puede deberse a falta de capacitación del personal crediticio o problemas propios de determinadas zonas económicas.

//Análisis Preventivos//. Consistentes en utilizar la lluvia de ideas por parte de los auditores internos a los efectos de detectar para cada proceso, servicio, producto o actividad donde o qué problemas pueden surgir, analizando como evitar de que se produzcan y fijando sistemas para su detección.

//El método de las Seis Preguntas Fundamentales//, conformadas por: Qué? Cómo? Quién? Dónde? Cuándo? y el Porqué? para cada una de las respuestas anteriores permite mejorar el control interno, detectar irregularidades y mejorar la eficiencia de los procesos y actividades. Así pueden descubrirse que se están realizando tareas actualmente innecesarias, o que quién lo ejecuta es un personal demasiado costoso para la ejecución de la misma, o que el lugar donde se realiza es poco apropiado por razones de seguridad (lugar de la Tesorería), o el como se realiza resulta costoso o inseguro.

8 - Conocimientos y Aptitudes

En cuanto a conocimientos como es obvio de lo expresado con anterioridad, es menester que los auditores posean conocimientos a materia de herramientas de gestión, estadística, control estadístico de procesos (SPC), resolución de problemas, benchmarking, trabajo en equipo, círculos de calidad, tormenta de ideas, pensamiento sistémico, relevamiento y evaluación del control interno, planificación, administración, finanzas, a parte de las normativas legales, contables y conocimientos en sistemas de información.

El benchmarking como metodología que tiene por objetivo detectar las mejores prácticas y procedimientos a los efectos de su análisis y posterior implementación es muy interesante a los efectos de adaptar métodos o procedimientos aplicados por otras auditorías. La realización del benchmarking se ve facilitado por la existencia de las Asociaciones de Auditores Internos a nivel general como por sectores.

En cuanto a aptitudes el auditor interno deberá tener:

a)      Interés y aptitud por la investigación

b)      Capacidad de análisis estadístico

c)      Conocimientos específicos (técnicos) en materia de auditoría interna, control interno y en lo concerniente al sector.

d)      Comportamiento organizacional y programación neuro-lingüística

e)      Capacidad de análisis

f)        Aptitud para trabajar en equipo

g)      Actitud proactiva

h)      Alto nivel ético

9 - Planificación

Deberá ante todo definirse claramente los valores, y la misión de la Auditoría Interna. Es necesario que quede completamente en claro quienes son sus clientes y que requieren. Para lo cual resulta sumamente interesante implementar un sistema para verificar la calidad de los trabajos e informes de auditoría, como así también medir los niveles de satisfacción de los usuarios de la información suministrada. Resulta utilizar recursos para luego de un tiempo tomar conocimiento de que los informes no eran de importancia o significación para los receptores de

éstos.

Volviendo al elemento central de la planificación, es fundamental ella por cuanto suministra la visión a compartir por los miembros de la auditoría, lo cual será el eje central que movilizará las capacidades y recursos para un más efectivo y eficiente logro de los objetivos.

10 - La mejora continua en la auditoría

El sector de auditoría no puede escapar a las consignas del momento que son lograr cada día mejores niveles tanto en calidad, como en costos, productividad y plazos.

Por ello el realizar las auditorías con el mejor uso de los recursos (sobre todo teniendo en cuenta que las actividades de auditoría interna no poseen valor agregado para el cliente externo), el mayor nivel de calidad y en plazos perentorios resulta fundamental. Para ello deben concentrarse la utilización de los recursos de la forma más eficiente posible, mejorando de manera continua los niveles de performance. Los controles deben centrarse en cuestiones o elementos significativos y con un creciente impacto en la organización.

11 - El control interno y los resultados económicosEn la última línea del Cuadro de Resultados está la verdad, en el se refleja que tan bien a operado la empresa. Muchas empresas con un más que óptimo resultado en materia productiva y comercial ven reducir sus utilidades y hasta en algunos casos se llegan a los números en rojo producto de negligencias, fraudes, robos y hurtos. Entre las negligencias podemos mencionar la falta de seguros ya sea por incendios o accidentes entre otros, también la falta de controles adecuados al momento de calificar a un cliente para el otorgamiento de crédito. No menos costosos son las pérdidas por errores de cálculo o falta de cumplimientos formales en materia impositiva. Estos son sólo unos ejemplos de los hechos que más comúnmente se dan en las organizaciones. De igual forma es menester evitar los fraudes, robos y hurtos, como así también acciones destructivas que puedan afectar el patrimonio de la empresa. Sólo un buen control interno, el cual debe ser relevado y evaluado convenientemente por los auditores de la compañía puede evitar la disminución de las utilidades o su conversión en pérdidas.

En una Institución Bancaria el no haber actualizado el monto de impuesto de sellos por chequeras llevó a una percepción menor en concepto de dicho impuesto, y por lo tanto a abonar menos al Ente Recaudador, teniéndose que hacer cargo luego la Institución Financiera de la diferencia más los intereses y multas respectivas.

No menor efecto tienen en los resultados de la empresa, tanto en su cálculo, como en la calidad de la información manejada para la adopción de decisiones, un control interno que asegure información correcta, precisa y a tiempo.

Como ejemplo podría mencionarse el caso de una Institución Bancaria que por calcular erróneamente sus Niveles de Efectivo Mínimo Diarios, tomaba fondos interbancarios para cubrirlos con el alto costo que ello implicaba, cuando en realidad sus situación real le permitía el otorgamiento de fondos a otras instituciones bancarias con la consiguiente obtención de jugosos beneficios.

Otro ejemplo de graves resultados es la información incorrecta en materia de Deudores por Ventas. Reclamar a alguien que ha pagado puede hacer perder el cliente, y no hacerlo a alguien que no está al día con sus pagos implica también pérdida de liquidez y de resultados.

Tener información confiable en materia de inventarios es muy importante, máxime aún en una época de altos costos financieros y ante la necesidad de aplicar metodologías como el Just in Time.

Podemos apreciar con está pequeña cantidad de ejemplos las graves consecuencias que una falta de control interno eficaz puede traer aparejada para la empresa en materia de resultados.

12 - Auditoría y control de los procesos informaticos

Los procesos informáticos han cambiado notablemente las condiciones internas de las organizaciones, motivando de tal modo importantes consecuencias en materia de control interno.

Se aconseja a los efectos de evitar fraudes la separación de funciones entre quienes son encargados de manejar el sistema, los programadores y quienes controlan los inputs, los cuales deberían ser efectuados por tres técnicos o grupos de técnicos en informática diferentes. Sin embargo tanto por el tamaño de las empresas, como por las nuevas características que tienen lugar en los procesos fabriles y de servicios los controles deben adaptarse a esta nueva situación. La creación de mecanismos paralelos e independientes al sistema para el control comparativo es adonde apuntan las nuevas metodologías destinadas a salvaguardar los procesos informáticos.

Poner los sistemas informáticos al resguardo del accionar de los “piratas”, como de los “virus” resulta fundamental por las enormes pérdidas que las mismas pueden ocasionar a la empresa.

No menos importante resulta no sólo el control de acceso a la información, sino la posibilidad de acceder a archivos de gran valor estratégico como son los relacionados con los clientes y su respectivas evoluciones comerciales. Muchos tienen interés en hacerse de dichas bases de datos a los efectos de su venta a la competencia.

En el control de sistemas del procesamiento electrónico de datos (EDP) podemos diferenciar tres aspectos:

//a)      Controles de la organización del proceso de datos. Podemos estudiar en el cuatro aspectos: ////  //

1.      División de responsabilidades

2.      Control sobre los operadores del ordenador

3.      Biblioteca de programas

4.      Sistemas de seguridad ante incendios u otros accidentes

A los efectos de mantener la integridad del sistema cuando las funciones de autorización y registro están comprendidas en el propio programa es necesario separar la función de operación y manejo de las máquinas y la de mantenimiento del programa y de la memoria o biblioteca. Esta separación de funciones es importante por cuanto, proporciona una eficaz verificación cruzada de la exactitud y corrección de los cambios introducidos en el sistema, impide al personal de operaciones efectuar revisiones sin plena autorización y verificación, evita que el personal ajeno a la operación tenga acceso al equipo, y por último mejora la eficiencia, puesto que las capacidades y el adiestramiento que se requieren para desempeñar tan diversas actividades difieren.

Es importante la separación entre el personal encargado de las bibliotecas, y el de la sección de adquisición y control de datos.

//b)      Controles de procedimientos. Se refieren a cuatro puntos específicos: ////  //

1.      Datos fuente y controles de salida. Es preciso un control sobre los datos de entrada que permita verificar que éstos han sido autorizados e introducidos una sola vez. La función de los controles de salida es determinar que los datos procesados no incluyen ninguna alteración desautorizada por la sección de operaciones del ordenador y que los datos son correctos o razonables.

2.      Controles del proceso. Los objetivos principales son descubrir la pérdida de datos o la falta de su procesamiento, determinar que las funciones aritméticas se ejecuten correctamente, establecer que todas las transacciones se asienten en el registro indicado, asegurar que los errores descubiertos en el procesamiento de datos se corrijan satisfactoriamente.

3.      Controles del archivo o biblioteca. Si éstos son defectuosos pueden deformar la contabilización.

4.      Controles sobre las salidas

//c)      Controles administrativos. Hacen referencia al diseño, programación y operaciones del EDP. ////  //

//Seguridad física. //Las precauciones básicas a tal objeto son:

1.      Deben mantenerse en otro lugar, duplicados de todos los archivos, programas y documentación básica.

2.      Protección contra excesos de humedad, variaciones de temperatura, caídas de tensión, cortes de suministro, campos magnéticos, actos delictivos, etc.

3.      Protección contra incendios, inundaciones, desastres naturales, etc.

4.      Plan de emergencia que prevea las actuaciones básicas y medios alternativos disponibles ante distintos niveles de sucesos catastróficos.

5.      Designación de un responsable de seguridad y revisión periódica de la operatividad de los medios dispuestos.

6.      Seguro que cubra el riesgo de interrupción del negocio y el costo de reconstrucción de ficheros.

13 - La Matriz de Control Interno

La misma es una forma de pensar, de planificar, de delegar, de adoptar decisiones y resolver problemas, y de ver la organización en su totalidad.

Es una forma de pensar, porque analizando la interrelación de los diversos productos, servicios y áreas de la empresa con las disposiciones normativas externas e internas, como así también con los principios de control interno y seguridad, lleva tanto a los funcionarios, como a los auditores internos (o externos) y a las gerencias de las diversas áreas a preguntarse de que manera afectan, si es que lo hacen, las diversas normativas a sus procesos y actividades, o bien indagar acerca de la existencia o no de normas que se relacionen con las mismas.

Cabría preguntarse cuantas veces las organizaciones son pasibles de sanciones pecuniarias por incumplimiento de deberes formales sólo por el hecho de no haber realizado las indagaciones o bien de no tener planificados los controles y las respectivas acciones.

Es una manera de planificar por cuanto los funcionarios de la organización establecen cantidad de controles a ejecutar por período de tiempo, con que elementos o recursos se van a contar, que cuestionarios se han de utilizar y quienes los elaborarán. Por medio de la delegación se asigna por un lado quienes son los responsables de realizar los controles.

Como el sistema matricial hace uso de puntajes de eficacia, los aspectos o áreas de mayor riesgos, los cuales surgen de los puntajes más bajos, son aquellos en los cuales se han de priorizar los ajustes y correcciones, además a través del análisis de las razones de los bajos puntajes se logra saber los motivos que los originan y de tal forma adoptar las mejores acciones tendientes a su resolución.

14 - Bibliografía

Soriano Guzmán, Genaro //– La auditoría interna en el proceso administrativo// – Editoral CENAPEC – 1992

Suárez Suárez, Andrés – //La moderna auditoría// – McGraw Hill – 1991

Skinner y Anderson – //Auditoría Analítica// – Editores Libreros – 1969

Madariaga, J.M. – //Nociones Prácticas de Auditoría// – Deusto – 1986

Rusenas, Rubén Oscar – //Manual de Control Interno// – Editorial Cangallo – 1978

Pungitore, José Luis – //Sistemas Administrativos y Control Interno// – Club de Estudio - 1994

Poch, Ramón – Manual de control interno – Gestión 2000 – 1997

Lefcovich, Mauricio L. – Matriz de Control Interno – Gestiopolis.com – Noviembre/2003