92557711 auditoria de la explotacion
Post on 20-Jul-2015
90 Views
Preview:
TRANSCRIPT
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 1/31
3
1 Sistemas De Información (Si)
Un sistema de información es un conjunto de elementos que interactúan entre
sí con el fin de apoyar las actividades de una empresa o negocio. El Sistema
de Información es un conjunto de elementos orientados al tratamiento y
administración de datos e información, organizados y listos para su posterior
uso, generados para cubrir una necesidad u objetivo.
Dichos elementos formarán parte de alguna de estas categorías:
Elementos de un sistema de información.
Personas.
Datos.
Actividades o técnicas de trabajo.
Recursos materiales en general.
Todos estos elementos interactúan entre sí para procesar los datos dando
lugar a información más elaborada y distribuyéndola de la manera másadecuada posible en una determinada organización en función de sus
objetivos.
Un sistema de información realiza cuatro actividades básicas: entrada,
almacenamiento, procesamiento y salida de información.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 2/31
4
1.1 Entrada de Información
Es el proceso mediante el cual el Sistema de Información toma los datos que
requiere para procesar la información. Las entradas pueden ser manuales o
automáticas. Las manuales son aquellas que se proporcionan en forma directapor el usuario, mientras que las automáticas son datos o información que
provienen o son tomados de otros sistemas o módulos, estas se denominan
interfaces automáticas.
1.1.2 Almacenamiento de información
A través de esta propiedad el sistema puede recordar la información guardada
en la sección o proceso anterior. Esta información suele ser almacenada en
estructuras de información denominadas archivos. La unidad típica de
almacenamiento son los discos magnéticos o discos duros, los discos flexibles
o diskettes y los discos compactos (CD-ROM).
1.1.3 Procesamiento de Información
Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo
con una secuencia de operaciones preestablecida. Estos cálculos pueden
efectuarse con datos introducidos recientemente en el sistema o bien con datos
que están almacenados.
1.1.4 Salida de Información
La salida es la capacidad de un Sistema de Información para sacar la
información procesada o bien datos de entrada al exterior. Es importante
aclarar que la salida de un Sistema de Información puede constituir la entrada a
otro Sistema de Información o módulo. En este caso, también existe una
interfase automática de salida.
1.1.5 Ciclo de vida de los Sistemas de Información
Existen pautas básicas para el desarrollo de un Sistema de Información para
una organización:
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 3/31
5
Conocimiento de la Organización: analizar y conocer todos los sistemas
que forman parte de la organización, así como los futuros usuarios del
SI. En las empresas lucrativas, se analiza el proceso de negocio y los
procesos transaccionales a los que dará soporte el SI.
Identificación de problemas y oportunidades: El segundo paso es relevar
las situaciones que tiene la organización y de las cuales se puede sacar
una ventaja competitiva, así como las situaciones desventajosas o
limitaciones que hay que tomar en cuenta.
Determinar las necesidades: Este proceso también se denomina
elicitación de requerimientos. En el mismo, se procede identificar a
través de algún método de recolección de información la información
relevante para el SI que se propondrá.
Diagnóstico: En este paso se elabora un informe resaltando los aspectos
positivos y negativos de la organización. Este informe formará parte de
la propuesta del SI y, también, será tomado en cuenta a la hora del
diseño.
Propuesta: Contando ya con toda la información necesaria acerca de la
organización es posible elaborar una propuesta formal dirigida hacia la
organización donde se detalle el presupuesto, relación costo-beneficio,
presentación del proyecto de desarrollo del SI.
Diseño del sistema: Una vez aprobado el proyecto, se comienza con la
elaboración del diseño lógico del SI, la misma incluye el diseño del flujo
de la información dentro del sistema, los procesos que se realizarán
dentro del sistema, entre otros. En este paso es importante seleccionar
la plataforma donde se apoyará el SI y el lenguaje de programación a
utilizar.
Codificación: Con el algoritmo ya diseñado, se procede a su reescritura
en un lenguaje de programación establecido, es decir, en códigos que la
máquina pueda interpretar y ejecutar.
Implementación: Este paso consta de todas las actividades requeridas
para la instalación de los equipos informáticos, redes y la instalación del
programa generado en la codificación.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 4/31
6
Mantenimiento: Proceso de retroalimentación, a través del cual se puede
solicitar la corrección, el mejoramiento o la adaptación del SI ya creado a
otro entorno.
1.1.6 Tipos de sistemas de información
Debido a que el principal uso que se da a los Sistemas de Información es el de
optimizar el desarrollo de las actividades de una organización con el fin de ser
más productivos y obtener ventajas competitivas, se puede clasificar a los
sistemas de información en:
Sistemas Competitivos
Sistemas Cooperativos
Sistemas que modifican el estilo de operación del negocio
Según la función a la que vayan destinados o el tipo de usuario final del mismo,
los SI pueden clasificarse en:
1.1.7 Sistema de procesamiento de transacciones (TPS)
Gestiona la información referente a las transacciones producidas en una
empresa u organización, también se le conoce como Sistema de Información
operativa.
1.1.8 Sistemas de información gerencial (MIS)
Orientados a solucionar problemas empresariales en general.
1.1.9 Sistemas de soporte a decisiones (DSS)
Herramienta para realizar el análisis de las diferentes variables de negocio con
la finalidad de apoyar el proceso de toma de decisiones.
1.1.10 Sistemas de información ejecutiva (EIS)
Herramienta orientada a usuarios de nivel gerencial, que permite monitorizar el
estado de las variables de un área o unidad de la empresa a partir de
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 5/31
7
información interna y externa a la misma. Es en este nivel cuando los sistemas
de información manejan información estratégica para las empresas.
Con el tiempo, otros sistemas de información comenzaron a evolucionar. Los
primeros proporcionan información a los siguientes a medida que aumenta la
escala organizacional.
1.1.11 Sistemas de automatización de oficinas (OAS)
Aplicaciones destinadas a ayudar al trabajo diario del administrativo de una
empresa u organización.
1.1.12 Sistema Planificación de Recursos (ERP)
Integran la información y los procesos de una organización en un solo sistema.
1.1.13 Sistema experto (SE)
Emulan1 el comportamiento de un experto en un dominio concreto.
1.1.14 Sistemas de Información Estratégicos
Puede ser considerado como el uso de la tecnología de la información para
soportar o dar forma a la estrategia competitiva de la organización, a su plan
para incrementar o mantener la ventaja competitiva o bien reducir la ventaja de
sus competidores.
Su función primordial es crear una diferencia con respecto a los competidores
de la organización que hagan más atractiva a ésta para los potencialesclientes.
1.1.1.5 Aplicación de los sistemas de información
Los sistemas de información tratan el desarrollo, uso y administración de la
infraestructura de la tecnología de la información en una organización.
1 En informática, un emulador es un software que permite ejecutar programas o videojuegos en una plataforma (sea una arquitectura
de hardware o un sistema operativo) diferente de aquella para la cual fueron escritos originalmente.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 6/31
8
El mayor de los activos de una compañía hoy en día es su información,
representada en su personal, experiencia, conocimiento, innovaciones. Para
poder competir, las organizaciones deben poseer una fuerte infraestructura de
información, en cuyo corazón se sitúa la infraestructura de la tecnología de
información. De tal manera que el sistema de información se centre en estudiar
las formas para mejorar el uso de la tecnología que soporta el flujo de
información dentro de la organización.
2 Carta De Encargo
Es el documento por medio del que una empresa, sociedad o grupo de
sociedades contrata la prestación de un servicio de auditoría con el fin dedeterminar la situación existente en la citada empresa, sociedad o sociedades
contratantes en un momento determinado. Es decir, es el compromiso de una
empresa frente a un auditor, solicitando que éste le haga un diagnóstico del
cumplimiento de las normas y lleve un adecuado control en la empresa en un
momento determinado.
El propósito de una carta de encargo o acuerdo escrito entre el auditor y su
cliente, es proporcionar evidencia que defina el alcance y el objetivo del trabajo
a realizar, y que por tanto, evite cualquier malentendido con respecto al mismo.
El auditor deberá acordar por escrito con su cliente el objetivo y alcance del
trabajo, así como sus honorarios o los criterios para su cálculo para todo el
periodo de nombramiento.
En el contrato o carta de encargo se deberá indicar el total número de horas
estimado para la realización del trabajo.
Cuando el nombramiento se efectúa por un Registrador Mercantil o un Juez se
deberá detallar, asimismo, el número de horas presupuestado por áreas de
trabajo. A estos efectos, antes de aceptar el nombramiento, el auditor podrá
solicitar de la empresa o entidad auditada todos los datos que considere
necesarios para preparar su propuesta.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 7/31
9
Antes de aceptar el encargo el auditor debe considerar si existe alguna razón
que aconseje su rechazo por razones éticas o técnicas.
3 Planificación
En grandes líneas de trata de prever la utilización de las tecnologías de la
informática en la empresa. Existen varios tipos de planes informáticos. El
principal y origen de todos los demás, lo constituye el Plan Estratégico de
Sistemas de Información.
3.1 Plan Estratégico de Sistemas de Información
Es el marco básico de actuación de los Sistemas de Información en la
empresa, debe asegurar el lineamiento de los mismos con los objetivos de la
misma empresa.
Desgraciadamente, la transformación de los objetivos de la empresa en
objetivos informáticos no es siempre una tarea fácil, mucho se ha escrito sobre
el contenido y las ventajas e inconvenientes de las diversas metodologías de
realización de este tipo de planes. No se trata en estos breves apuntes de
tercias en dicha polémica. El lector encontrara abundante bibliografía sobre la
materia, el auditor deberá evaluar si tales metodologías se están utilizando y/o
pueden ser de utilidad para su empresa.
Estrictamente hablando, estos planes no son responsabilidad exclusiva de la
Dirección de Informática, su aprobación final probablemente incumbe a otros
estamentos de la empresa: Comité de Informática e incluso en último término
de la Dirección General. Sin embargo, la Dirección de Informática debe ser el
permanente impulsor de una planificación de Sistemas de Información
adecuada y a tiempo
Aunque suele definir la vigencia de un plan estratégico como de 3 a 5 años, de
hecho tal plazo es muy dependiente del entorno en que se mueve la empresa,
hay muchos factores que influyen; la cultura de la propia empresa, el sector de
actividad es decir si la empresa se encuentra en un sector en el que el uso
adecuado de la tecnología informática es un factor estratégico por ejemplo, las
acciones de la competencia, etc. Cada empresa tiene su equilibrio natural y el
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 8/31
10
auditor deberá evaluar si los plazos en uso en su empresa son los adecuados,
con la identificación y comprensión de los mecanismos existentes de
seguimiento y actualización del plan y de su relación con la evolución de la
empresa.
3.2 Otros Planes Relacionados
Como se ha comentado más arriba normalmente, deben existir otros planes
informáticos todos ellos nacidos al amparo del Plan Estratégico, entre otros los
más habituales pueden ser:
Plan Operativo Anual
Plan de Dirección Tecnológica
Plan de Arquitectura de la Información
Plan de Recuperación ante Desastres
Algunos de ellos (Plan Tecnológico, Plan de Arquitectura) aparecen a veces
integrados en el propio Plan Estratégico. En ese capítulo se trataran solo dos
de estos planes, los más comunes y que, además siempre tienen vida propia.
Plan Operativo y Plan de Recuperación.
3.2.1 Plan Operativo Anual
El Plan Operativo se establece al comienzo en cada ejercicio y es el que marca
las pautas a seguir durante el mismo, debe estar obviamente alineado con el
Plan Estratégico, asimismo deberá estar precedido de una recogida de
necesidades de los usuarios.
El Plan Operativo de Sistemas de Informática describe las actividades a
realizar durante el siguiente ejercicio natural, entre otros aspectos debe señalar
los sistemas de información a desarrollar, los cambios tecnológicos previstos,
los recursos y los plazos necesarios, etc.
El auditor deberá evaluar la existencia del Plan y su nivel de calidad, deberá
estudiar su lineamiento con el Plan Estratégico, su grado de atención a las
necesidades de los usuarios, sus previsiones de los recursos necesarios para
llevar a cabo el plan, etc. Deberá analizar si los plazos descritos son realistas
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 9/31
11
teniendo en cuenta entre otras cosas, las experiencias anteriores en la
empresa, etc.
3.2.2 Plan de Recuperación ante Desastres
Una instalación informática puede verse afectada por desastres de variada
naturaleza, incendio, inundación, fallo de algún componente critico de
hardware, robo, sabotaje, acto de terrorismo, etc., que tengan como
consecuencia inmediata la indisponibilidad de un servicio informático
adecuado. La Dirección debe prever esta posibilidad y por tanto planificar para
hacerle frente.
3.3 Clasificación De Los Controles
Se han clasificado tradicionalmente, entre Controles generales y Controles de
las aplicaciones.
3.3.1 Controles Generales
La Norma No. 48 SAS los define como “Aquellos que están relacionados con
todas o con la mayoría de las actividades contables informatizadas, quegeneralmente incluyen controles del desarrollo de las modificaciones y del
mantenimiento de programas informáticos y controles de la utilización y
modificación de los datos que se mantienen en archivos informáticos”.
La RAE manifiesta que son aquellos que afectan un centro del proceso
electrónico de datos. Se consideran también controles generales la protección
de activos (hardware y software).
3.3.1.2 Clasificación de los Controles Generales
3.3.1.2.1 Controles operativos y de organización
Segregación de funciones entre el servicio de información y los usuarios.
Contar con una autorización general para ejecutar transacciones del
departamento
Segregar funciones en el departamento de informática.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 10/31
12
3.3.1.2.2 Control sobre el desarrollo de programas y sus documentos
Realizar revisiones, pruebas y aprobar nuevos sistemas
Tener control de las modificaciones a los programas.
Procedimientos de documentación
3.3.1.2.3 Controles sobre los programas y los equipos
Características para detectar errores de forma automática
Realizar mantenimientos preventivos.
Guías para salir de los errores del equipo (hardware).
Tener control y autorización en la implementación adecuada desistemas.
3.3.1.2.4 Controles de acceso
Sirven para detectar o prevenir errores accidentales causados por el uso
o manipulación inadecuada de los archivos de datos y uso no autorizado
de los programas.
3.3.1.2.5 Controles sobre los procedimientos y los datos
Elaborar manuales escritos para soportar los procedimientos y los
sistemas de aplicación.
Realizar conciliaciones entre los datos fuente y los datos informáticos.
Capacidad de recuperar archivos perdidos, incorrectos o deteriorados.
3.3.2 Controles De Las AplicacionesLos controles de las aplicaciones están relacionados con las propias
aplicaciones informatizadas. Los controles básicos de las aplicaciones son tres:
captura, proceso y salida.
3.3.2.1 Controles sobre la captura de datos
Altas de movimiento
Modificaciones de movimiento
Consultas de movimientos
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 11/31
13
Mantenimiento de los archivos
3.3.2.2 Controles de proceso
Estos controles regularmente se incluyen en los programas y están diseñados
para prevenir o detectar los siguientes errores:
Entrada de datos repetidos.
Procesamiento y actualización de archivo o archivos equivocados.
Entrada de datos ilógicos.
Pérdida o distorsión de datos durante el proceso.
3.3.2.3 Controles de salida y distribución:
Estos controles se diseñan para asegurar que el resultado del proceso es
exacto y que los informes y demás salidas los reciben solo las personas que
estén autorizadas.
En el proyecto Cobit se establece una nueva clasificación, donde se afirma que
existen tres niveles en las Tecnologías de la información a la hora de
considerar la gestión de sus recursos: actividades y/o tareas, procesos y
dominios.
3.3.2.3.1 Actividades y tareas
Estas son necesarias para alcanzar un resultado cuantificable. Las actividades
suponen un concepto cíclico, mientras que las tareas implican un concepto algo
más discreto.
3.3.2.3.2 Procesos
Estos se definen como una serie de actividades o tareas unidas por
interrupciones naturales.
3.3.2.3.3 Dominios
Los procesos se agrupan de forma natural dando lugar a los dominios, que se
confirman, generalmente, como dominios de responsabilidad en las estructuras
organizativas de las empresas y están en línea con el ciclo de gestión aplicable
a los procesos de las Tecnologías de la Información.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 12/31
14
La Guía de Auditoría del Proyecto Cobit recoge 32 procesos de los Sistemas
de Información donde se sugieren los objetivos de control. Esos procesos están
agrupados en cuatro dominios.
Dominios y procesos de las tecnologías de información:
1. Planificación y organización
1.1 Definir el plan estratégico de las Tecnologías de información (TTI).
1.2 Definir la arquitectura de la información.
1.3 Determinar la dirección tecnológica.
1.4 Definir la organización y las relaciones.
1.5 Gestión de las inversiones.
1.6 Comunicar las tendencias a la dirección.
1.7 Gestión de recursos humanos.
1.8 Asegurarse del cumplimiento de los requisitos externos.
1.9 Evaluación del riesgo.
1.10 Gestión de proyectos.
1.11 Gestión de la calidad.
2. Adquisición e implementación
2.1 Identificar las soluciones automatizadas.
2.2 Adquirir y mantener el software.
2.3 Adquirir y mantener la arquitectura tecnológica.
2.4 Desarrollar y mantener procedimientos.
2.5 Instalar y acreditar los sistemas.
2.6 Gestión de los cambios.
3. Adquisición y mantenimiento
3.1 Definir el nivel de servicios.
3.2 Gestionar los servicios de las terceras partes.
3.3 Gestionar la capacidad y el funcionamiento.
3.4 Asegurarse del servicio continuo.
3.5 Asegurarse de la seguridad de los sistemas.
3.6 Identificar y localizar los costes.
3.7 Formación teórica y práctica de los usuarios.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 13/31
15
3.8 Asistir y asesoras a los clientes.
3.9 Manejo de la configuración.
3.10 Gestión de los problemas y de los incidentes.
3.11 Gestión de los datos.
3.12 Gestión de las actividades.
3.13 Gestión de la explotación.
4. Monitorización:
4.1 Monitorizar el proceso.
4.2 Independencia.
3.4 Evaluación de los Controles Internos
El libro “Auditoría Informática, un enfoque práctico”, segunda edición del autor
Mario Piattini, menciona que “es función del auditor evaluar el nivel de control
interno; también es de su responsabilidad juzgar si los procedimientos
establecidos son los adecuados para salvaguardar el sistema de información” .
La Norma Internacional de Auditoría No. 15, sección 401, contiene losprincipios básicos para una Auditoría en un Ambiente de Sistemas de
Información Computarizada, proporcionando lineamientos sobre los
procedimientos que deben seguirse cuando se realiza una auditoría en un
ambiente de sistema de información computarizada (SIC).
El objetivo y alcance globales de una auditoría no cambia en un ambiente SIC.
Sin embargo el uso de una computadora cambia el procesamiento,
almacenamiento y comunicación de la información financiera y puede afectar
los sistemas de contabilidad y de control interno empleados por la entidad.
El auditor debería tener suficiente conocimiento del SIC para planear, dirigir,
supervisar y revisar el trabajo desarrollado. El auditor debería considerar si se
necesitan habilidades especializadas en SIC para una auditoría.
Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de un
profesional con dichas habilidades, quien puede pertenecer al personal del
auditor o ser un profesional externo.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 14/31
16
Cuando el SIC es significativo, el auditor deberá también obtener una
comprensión del ambiente SIC y de si puede influir en la evaluación de los
riesgos inherentes y de control.
Los riesgos inherente y de control en un ambiente SIC pueden tener tanto un
efecto general como especifico por cuenta de la probabilidad de
representaciones erróneas importantes tales como por ejemplo:
Deficiencias en actividades generales del SIC como desarrollo y
mantenimiento de programas, soporte al software de sistemas,
operaciones, seguridad física del SIC y control sobre el acceso a
programas.
Errores o actividades fraudulentas en aplicaciones específicas, en bases
de datos específicas o en archivos maestros.
Los procedimientos de auditoría de acuerdo a la NIA “Evaluaciones del riesgo y
control interno”, el auditor debería considerar el ambiente SIC al diseñar los
procedimientos de auditoría para reducir el riesgo de auditoría a un nivel
aceptablemente bajo, para lo cual se desarrollan diferentes etapas en el
proceso de evaluación las mismas consisten en recabar la mayor información
disponible sobre:
Manuales de funciones y procedimientos para SIC.
Contratos de servicios de mantenimiento y soporte de SIC.
Políticas para los accesos y manipulación de los SIC.
Estado físico del equipo de cómputo.
Rotación de personal que manipula información relevante del SIC.
Entre otros.
Para el logro de una evaluación del control interno eficaz y significativa la cual
brinde al auditor entera satisfacción de que los SIC han sido conocidos,
interpretados y puestos a prueba, el autor hace mención a la realización de
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 15/31
17
diversos procedimientos los cuales se deberían de realizar en la Planeación
Estratégica, los mismos constan de cuestionarios de control interno, los cuales
se deberían plantear en forma de pregunta cerrada y tomando como base la
documentación que el auditor debió recopilar durante el proceso de obtención
de normas, reglamentos, leyes, etc., los cuales normen el funcionamiento de
los SIC.
A continuación se presenta un ejemplo de un cuestionario de control interno el
cual tiene como objetivo el recabar información y formarse una idea e
interpretaciones generales de los SIC. Entre ellos:
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 16/31
18
Nombre: Auditoría V.Período: del 01 de Enero al 29 de Febrero 2012.
Tipo de Auditoria: De Sistemas
Área Auditada: Coordinación Plan Fin de Semana Facultad de CC.EE. USAC
Nombre de Entrevistado: Lic. Luis Suarez Puesto: Director de
Coordinación
Pregunta SI NO Ref.1. ¿Se realizan los procedimientos descritos en los
manuales para el control y presentación de las notas aRegistro y Estadística?
2. ¿Se realiza supervisión y control de las notasmanejadas en medios electrónicos por loscatedráticos docentes según las normas internas de lafacultad?
3. ¿Se solicita la ejecución de back up de la informaciónregistrada del personal docente y alumnos de lafacultad según el manual para el resguardo de datoselectrónicos?
4. ¿Se realizan cambios y actualizaciones oportunas deusuarios y contraseñas según lo establece elprocedimiento interno para accesos a los programascomputarizados de la facultad?
5. ¿Se actualizan los antivirus y contrafuegos para evitar
accesos indebidos a los programas computarizadossegún el procedimiento interno para resguardo de lainformación electrónica de la facultad?
X
X
X
X
X
DCI-1
DCI-2
Hecho: ARHMFecha: 15/02/2012
Revisado:JV Fecha: 18/02/2012
ECI SIC-01
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 17/31
19
3.5 Establecimiento de Objetivos
En relación a la importancia de los riesgos encontrados por el auditor
establecerá los objetivos de la auditoria, cuya determinación definirá el alcance
de la misma.
El riesgo se convierte en una oración negativa de un objetivo de auditoría, si
esta oración se transformará en una afirmativa se tiene como resultado un
objetivo de control
Ejemplo:
Pregunta de cuestionario para la entrevista:
¿Tiene su empresa normas escritas de cómo deben hacerse los traspases de
programas en desarrollo a programas en explotación?
Si la respuesta fuera “NO”, se concluye que existe un riesgo consistente en que
cada empleado por no dejar evidencia escrita se están realizando de manera
incorrecta por la fuga de información en el trasvase no dejando pistas para
verificar los pasos que se han dado.
La debilidad seria:
La empresa no tiene normas escritas de cómo deben hacerse los traspasos de
programas en desarrollo a programas en explotación.
El Objetivo de control seria:
Comprobar que la empresa cuenta con manuales escritos de cómo deben
hacer los traspases de programas en desarrollo a programas en explotación.
Y para alcanzar este objetivo habrá que diseñar una serie de pruebas de
cumplimiento y sustantivas convirtiéndose cada una de estas pruebas en un
procedimiento.
Los procedimientos podrían ser:
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 18/31
20
a) Pruebas de Cumplimiento
Si se confirma que no existen manuales no se podría realizar estas
pruebas, el procedimiento podría ser:
Comprobar que las normas para pasar un programa de desarrollo a
explotación son adecuadas y que se están cumpliendo.
Por otro lado la inexistencia de manuales no implica que el
procedimiento que se hace este incorrecto pero para confirmarlo se
deberían hacer pruebas sustantivas.
b) Pruebas Sustantivas
Revisar las aplicaciones, si son pocas se revisan todas; si son muchas
se realiza una muestra de los programas que se han pasado de
desarrollo a explotación.
Que han sido sometidas a un lote de pruebas y las han superado
satisfactoriamente, que cumplen con los requisitos y que el traspaso ha
sido autorizado por una persona con suficiente autoridad.
Para comprender y evaluar los riesgos no siempre son suficientes las
entrevistas, inspecciones y confirmaciones, puede ser necesario realizar
cálculos y técnicas de examen analítico.
La confirmación consiste en corroborar con terceros por escrito la
información que existe en los registros.
Los cálculos consisten en comprobar la exactitud aritmética de los
registros de datos.
Las técnicas de examen analítico consisten en comparar los importes
encontrados con las expectativas del auditor al evaluar las distintas
partidas de la información auditada.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 19/31
21
Siempre que la naturaleza de los datos lo permita es conveniente utilizar
técnicas de examen analítico (Norma técnica numero 5 de ISACA sobre
la realización del trabajo).
3.6 Planeación Administrativa
No debe realizarsehasta haber terminado la Planificación Estratégica. Pueden
surgir en esta fase ciertos problemas de coincidencia en las fechas de trabajo
del personal de la empresa auditora con otros clientes. Deben quedar claros los
siguientes aspectos:
Evidencia: Se podrá realizar una relación de la documentación
disponible de la etapa anterior, indicando el lugar donde se encuentra
para que estén a disposición del equipo de auditoria.
Personal: De que personal se va a disponer, que conocimientos tienen y
si es necesarios utilizar a un experto pudiendo ser de la compañía
auditoria o externo.
Calendario: Establecer la fecha de inicio y finalización de la auditoria y
estipular en que lugar se va a realizar cada tarea.
Coordinación y cooperación: Debe existir una buena relación entre el
auditado y el auditor, sin que se viole el principio de independencia.
3.7 Planificacion Tecnica
En esta ultima fase se elabora el programa de trabajo.
Anteriormente, en la fase de Planificacion Estrategica se establecieron los
objetivos de la auditoria. En la fase de Planificacion Administrativa se asignaron
los recursos de personal, tiempo, etc.
En esta fase de Planificacion Tecnica, se indican los metodos a seguir, es decir
si se va a seguir un metodo de auditoria basado en los controles o todo locontrario, un metodo de auditoria basado en pruebas sustantivas, asi tambien
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 20/31
22
si indican los procedimientos, las tecnicas y las herramientas que se utilizaran
para poder alcanzar los objetivos deseados de la auditoria.
El programa de auditoria debera ser abierto y flexible, de una forma que se
puedan ir agregando o introduciendo cambios a medida que se necesiten,
según se vaya conociendo de una mejor forma el sistema. Tanto el programa
de auditoria, como los papeles de trabajo son propiedad del auditor, este no
tiene obligacion de enseñarlos al auditado (empresa que se audita), y debe
guardar dichos documentos durante el plazo que indique la ley, hasta que estos
prescriban.
Dedicarle el tiempo necesario a la planificacion, nos permite evitar perdidas de
tiempo y de recursos innecesarios. Según explica el escritor E. Perry (Planing
EDP Audits): Que la distribucion del tiempo empleado en llevar a cabo una
auditoria, es de un tercio para planificar, un tercio para llevar a cabo el trabajo
de campo y un tercio en la elaboracion del informe de auditoria.
Para llevar a cabo este programa, se sigue la guia del proceso Gestion de la
Explotacion. Ciertos aspectos de la explotacion de un sistema de informacion
pueden quedar al margen del proceso.
Esto es debido a la clasificacion que hace CobiT. Esta es una de las grandes
ventajas que presenta esta Guia CobiT, la cual facilita la comunicación en el
sentido de que podemos determinar con claridad el alcance de la auditoria.
3.7.1 Objetivos de Control para Tecnologías de información y relaciona-
das (COBIT, en ingles: Control Objectives for Information and
related Technology)
Es un conjunto de mejores prácticas para el manejo de información creado por
la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA,
en inglés: Information Systems Audit and Control Association), y el Instituto de
Administración de las Tecnologías de la Información (ITGI, en inglés: IT
GovernanceInstitute) en 1992
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 21/31
23
4 Realizacion del Trabajo (Procedimientos)
Este consiste en llevar a cabo las pruebas sustantivas y de cumplimiento que
se han planificado, para alcanzar los objetivos de la auditoria.
4.1 Objetivo general.
El objetivo general de la auditoria consistiria en:
Asegurarse de que las funciones que sirven de apoyo a las Tecnololigas e
Informacion y satisfacen los requisitos empresariales.
4.2 Objetivos Especificos.
Para alcanzar el objetivo general, este se puede dividir en varios objetivos
especificos sobre los cuales se realizaran las pruebas oportunas, para asi
asegurarse que el objetivo general se ha llevado a cabo.
El esquema de trabajo para cada uno de los objetivos es el siguiente:
Comprender las tareas, las actividades del proceso que se estaauditando.
Si fuera necesario, se ampliarian las entrevistas que hemos realizado en
la fase de planificacion estrategica.
Determinar si son o no apropiados los controles que se estan instalando.
Si fuese necesario, se ampliarian las pruebas que se han llevado a cabo
en las fase de planificacion estrategica.
Realizar pruebas de cumplimiento, para determinar si los controles que
estan instalaldos funcionan según lo establecido, de manera consistente
y continua.
El objetivo de estas pruebas consiste en analizar el nivel de
cumplimiento de las normas de controlo que tiene establecidas el
auditario. Se supone que estas normas de control son eficientes y
efectivas.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 22/31
24
Realizar pruebas sustantivas para aquellos objetivosde control cuyo
buen funcionamiento con las pruebas de cumplimiento no nos han
satisfecho.
El objetivo de estas pruebas, consiste en realizar las pruebas necesarias
sobre los datos, para que proporcionen la suficiente seguridad a la
direccion sobre si se ha alcanzado su objetivo empresarial.
Debera hacerse el maximo numero de pruebas sustantivas si:
No existen instrumentos de medida de los controles.
Los instrumentos de medida que existen, se consideran inadecuados.
Las pruebas de cumplimiento indican que los instrumentos de medida de
los controles no se han aplicado correctamente de una manera
consistente y continua.
El auditor deberia haber realizado las suficientes pruebas sobre los resultados
de las distintas tareas y actividades de la explotacion del sistema de
informacion como para poder determinar si los objetivos de control se han
alcanzado o no. Con esa informacion debe elaborar un informe y si procede,
hacer las recomendaciones oportunas.
5 Informes
56Es el resultado de la información, estudios, investigación y
análisis efectuados por los auditores durante la realización de una auditoría,
que de forma normalizada expresa por escrito su opinión sobre el área o
actividad auditada en relación con los objetivos fijados, señalan las debilidades
de control interno, si las ha habido, y formula recomendaciones pertinentes
para eliminar las causas de tales deficiencias y establecer las medidas
correctoras adecuadas.
5.1 Importancia Y Relevancia Del Informe
El producto que vende Auditoría son sus informes.
Se remiten a las más altas autoridades de la organización.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 23/31
25
Es el medio de que se vale Auditoría para dar a conocer su opinión. Es
su vehículo de comunicación.
Ponen de manifiesto si los auditores tienen una visión gerencial de las
áreas auditadas o carecen de ella. Si están realmente capacitados. Son representativos de la calidad de la Auditoría Interna en cuanto a:
formación profesional, cultura, estilo, corrección en el lenguaje escrito,
etc.
Cada informe es una carta de presentación de la Auditoría, los errores
de concepto, la falta de oportunidad de las recomendaciones y la
deficiente redacción pueden producirse en cualquier auditoría y es algo
que debe evitarse.
Los tipos de opiniones generalmente aceptas en auditoria, son cuatro:
Si se concluye que el sistema es satisfactorio el auditor daría una
opinión favorable.
Si el auditor considera que el sistema es un desastre, su opinión sería
desfavorable.
Si el sistema es valido pero tiene algunos fallos que no lo invalidan, la
opinión será con salvedades.
También podrá ocurrir que el auditor no tenga suficientes elementos de
juicio para poder opinar: en este caso no opinaría por lo que su
resultado seria: denegación de opinión.
5.2 Tipos de Informes
5.2.1 Favorable
En nuestra opinión el servicio de explotación u las funciones que sirven de
apoyo a las tecnologías de la información se realizan con regularidad, de forma
ordenada u satisfacen los requisitos empresariales.
5.2.2 Desfavorable
En nuestra opinión, dada la importancia de los efectos de las salvedades
comentadas en los puntos X, X1, de este informe, el servicio de explotación u
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 24/31
26
las funciones que sirven de apoyo a las tecnologías de la información no
realizan con regularidad, ni de forma ordenada y no satisfacen los requisitos
que la empresa requiere.
5.2.3 Con salvedades
En nuestra opinión, excepto por los efectos de las salvedades que se comentan
en el punto X de este informe… el servicio de explotación y las funciones que
sirven de apoyo a las tecnologías de la información se realizan con regularidad,
de forma ordenada y satisfacen los requisitos empresariales.
Nota: En una parte del informe se indicaran cuales son las salvedades y en
este mismo documento o en documento aparte se harán las recomendaciones
oportunas para mejorar el sistema, para que en una siguiente auditoria no
existan las salvedades comentadas.
5.3 Denegación de Opinión
En el caso de que las salvedades impidan hacernos una opinión del servicio
de explotación, ya sea por falta de información o por no haber tenido acceso a
ella por los motivos que fueren, pero siempre ajenos a nuestra voluntad, y no
obstante, haber intentado hacer pruebas alternativas, el auditor denegará su
opinión.
5.4 Recomendaciones
En el caso de que el auditor durante la realización de la auditoria detecte
debilidades, este debe comunicarlas al auditado con la mayor prontitud posible.
Un esquema, generalmente aceptado, de cómo presentar las debilidades es el
siguiente:
Describir la debilidad
Indicar el criterio o instrumento de medida que se ha utilizado
Indicar los efectos que puede tener el sistema de información
Describir la recomendación con la que esa debilidad se podría eliminar.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 25/31
27
5.5 Normas Para Elaborar Los Informes
La elaboración y el contenido de los informes de auditoria deben ajustarse a las
normas de auditoria de sistemas de información generalmente aceptadas y
aplicables (NASIGAA). Entre otros motivos porque facilita la comparación de
los informes realizados por distintos auditores. Por tanto, siguiendo las normas
números 9 y 10 de “General Estándar For Informacion Systems Auditing”
Emitidas por ISACA, además del párrafo de opinión antes indicado el informe
de auditoría deberá contener otra información adicional.
El informe es el instrumento que se utiliza para comunicar los objetivos de la
auditoria, el alcance que vaya a tener, las debilidades que se detecten y las
conclusiones a las que se lleguen, a la hora de preparar el informe, el auditor
debe tener en cuenta las necesidades y características de los que se suponen
serán sus destinatarios. El informe debe contener un párrafo en el que se
indiquen los objetivos que se pretenden cumplir. Si según la opinión del auditor,
alguno de estos objetivos no se pudiera alcanzar se debe indicar en el informe.
En el informe de auditoría se deben mencionar cuales son las NASIGAA que se
han seguido para realizar el trabajo de auditoría. También se deben indicar lasexcepciones en el seguimiento de estas normas técnicas, el motivo de no
seguirlas, y cuando proceda, también se deben indicar los efectos potenciales
que pudieran tener en los resultados de la auditoria.
El informe de auditoría se ha de mencionar el alcance de la auditoria, así como
describir la naturaleza y la extensión del trabajo de auditoría. En el párrafo de
alcance se deben indicar el área/proceso, el periodo de auditoría, el sistema,
las aplicaciones y los procesos auditados. Asimismo se indicaran las
circunstancias que hayan limitado el alcance cuando, en opinión del auditor, no
se hayan podido completar todas las pruebas y procedimientos diseñados, o
cuando el “auditado” haya impuesto restricciones o limitaciones al trabajo de
auditoría.
Si durante el trabajo se detectaran debilidades en el sistema de información de
la entidad auditada estas deberán indicarse en el informe, así como sus
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 26/31
28
causas, sus efectos y las recomendaciones necesarias para mejorar o eliminar
las debilidades.
El auditor debe expresar en el informe su opinión sobre el área o proceso
auditado. No obstante, en función de los objetivos de la auditoria, esta opinión
puede ser general y referirse a todas las áreas o procesos en su conjunto.
El informe de auditoría debe presentarse de una forma lógica y organizada.
Debe contener la información suficiente para que sea comprendido por el
destinatario y este pueda llevar a cabo las acciones pertinentes para introducir
las correcciones oportunas que mejoren el sistema.
El informe se debe emitir en el momento más adecuado para que permita quelas acciones que tenga que poner en práctica el “auditario”, tengan los mayores
efectos positivos posibles. Con anterioridad al informe, el auditor puede emitir,
si lo considera oportuno, recomendaciones destinadas a personas concretas.
Estas recomendaciones no deberían alterar el contenido del informe.
En el informe se debe indicar la entidad que se audita y la fecha de emisión del
informe para que este no llegue a manos indebidas.
6 La Documentación de la Auditoria y su Organización
6.1 Papeles de trabajo
Es el registro del trabajo de auditoria realizado y la evidencia que sirve de
soporte a las debilidades encontradas y las conclusiones a las que ha llegado
el auditor. Los papeles de trabajo se deben diseñar y organizar según las
circunstancias y las necesidades del auditor. Todo trabajo debe quedar
reflejado en los papeles por los siguientes motivos:
Recogen la evidencia obtenida a lo largo del trabajo.
Ayudan al auditor en el desarrollo de su trabajo
Ofrecen un soporte del trabajo realizado para así, poder utilizarlo en
auditorias sucesivas
Permiten que el trabajo pueda ser revisado por terceros.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 27/31
29
6.2 Archivos
Los papeles de trabajo que el auditor va elaborando se puede organizar en dos
archivos principales: El archivo Permanente o continua de auditoria y el archivo
corriente o de la auditoria en curso.
6.2.1 Archivo Permanente
El archivo permanente contiene todos aquellos papeles que tienen un interés
continuo y una validez plurianual tales como:
Características de los equipos y de las aplicaciones,
Manuales de los equipos y de las aplicaciones,
Descripción del control interno.
Organigramas de la empresa en general,
Organigramas del servicio de información y división de funciones,
Cuadro de planificación plurianual de auditoria,
Escrituras y contratos,
Consideraciones sobre el negocio,
Consideraciones sobre el sector,
Y en general toda aquella información que puede tener una importancia
para auditorias posteriores.
6.2.2 Archivo Corriente
Este archivo, a su vez, se suele dividir en archivo general y en archivo de áreas
o de procesos.
6.2.3 Archivo General
Los documentos que se suelen archivar aquí son aquellos que no tienen cabida
específica en alguna de las áreas/procesos en que hemos dividido el trabajo de
auditoria tales como:
El informe del auditor
La carta de recomendaciones,
Los acontecimientos posteriores,
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 28/31
30
El cuadro de planificación de la auditoria corriente,
La correspondencia que se ha mantenido con la dirección de la
empresa,
El tiempo que cada persona del equipo ha empleado en cada una de lasáreas/procesos.
6.2.4 Archivo Por Aéreas/Procesos
Se debe preparar un archivo para cada una de las áreas o procesos en que
hayamos dividido el trabajo e incluir en cada archivo todos los documentos que
hayamos necesitado para realizar el trabajo de esa área proceso concreto. Al
menos deberán incluirse los siguientes documentos.
Programa de auditoria de cada una de las ares/procesos.
Conclusiones del área/proceso en cuestión,
Conclusiones del procedimiento en cuestión.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 29/31
31
7 CONCLUSIONES
La labor del auditor informático es esencial para garantizar la adecuación de los
sistemas informáticos; para ello debe realizar su trabajo apegándose a las
Normas de Auditoria de Sistemas de Información Generalmente Aceptadas y
Aplicables como requisito necesario que garantice la calidad del trabajo
realizado y que la evidencia de este quede documentada.
A medida que la sociedad se va sistematizando cadavez más, es necesario
diseñar normas para que las empresas tengan la seguridad de que los
sistemas funcionan y que sus datos se mantienen con la debida
confidencialidad.
Los informes de los distintos auditores se pueden comparar, siempre y cuando
se tengo un archivo adecuado de los papeles de trabajo.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 30/31
32
8 RECOMENDACIONES
Es de suma importancia que el auditor de sistemas informáticos tenga una
panorámica general y muy bien soportada en sus papeles de trabajo, para que
la evaluación que realice al hardware sea lo suficientemente objetiva y brinde
una opinión certera sobre la razonabilidad de la información generada.
El auditor de sistemas informáticos debe de cumplir con las normas de
observancia general emitidas por entidades internacionales, nacionales,
internas, etc., las cuales le brinden un marco regulatorio adecuado y satisfaga
con criterios soportados la opinión que va a emitir sobre la razonabilidad de lossistemas informáticos.
5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com
http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 31/31
33
9 BIBLIOGRAFIA
1. Auditoria Informática, Un enfoque practico, 2ª. Edición ampliada y
modificada, Mario Gerardo Piattini y Emilio del Peso Navarro, Editorial
Madrid, España.
2. Norma Internacional de Auditoría No. 15, Sec. 401, Auditoría en un
Ambiente de Sistemas de Información por Computadora, International
Standard on Auditing ISA, traducción al español por Instituto Mexicano
de Contadores Públicos y Auditores (IMCP), año 2002.
3. www, wikipedia.org
top related