Documente Academic
Documente Profesional
Documente Cultură
1. CONCEPTO DE AUDITORIA
Las primeras Auditorias fueron practicadas por firmas extrajeras (Price Water House, Peat
Marwik, Artur Andersen).
1.1. OBJETIVO
A) Revisoría Fiscal es la única reglamentada por la Ley. A través del decreto 2373 de
1956, la Revisoría Fiscal se asigna solo a los Contadores Públicos.
B) La Auditoria Interna y Externa no son reglamentadas por la Ley, ellas se fundamentan
en la Ley 145/60, Ley 45/90 y otros decretos, además del código de Ética Ley 43.
C) La Ley 87 de Nov-29-1993 reglamenta “Las oficinas de coordinación del Control
Interno, son las encargadas de medir, evaluar la eficiencia, eficacia y economía de los
demás controles, asesorando a la dirección en la continuidad del proceso
administrativo, la revalidación de los planes establecidos; y en la introducción de los
correctivos necesarios para el cumplimiento de las metas y objetivos previstos”.
Hace referencia a las cualidades profesionales del Contador Publico, que de acuerdo a su buen
juicio le permiten ejecutar su examen y emitir un informe del mismo.
1.3.1. PERSONALES.
El examen debe ser practicado por una persona habilitada como contador publico.
Debe tener independencia mental, ello garantiza la Imparcialidad y Objetividad.
Proceder con diligencia profesional en la preparación de su examen e informes.
1
1.3.2. EJECUCIÓN DEL TRABAJO.
1.5.1. RIESGO.
1.5.2. CONTROL.
El Control Interno es el plan de la organización mas todas las medidas, métodos, etc. que la
compañía implanta; con el objeto de vigilar sus activos, información, operaciones y
procedimientos. Lo importante es que este elevado a manuales de procedimientos (escritos no
hablados), para que la organización sea capaz de planificar, ejecutar y controlar. El Control
Interno es ejecutado por la Junta Directiva, o Consejo de Administración de una entidad, por su
grupo directivo (gerencia) y por el resto de personal.
El Control Interno se ha aplicado casi siempre al entorno financiero de una empresa, pero
debido a la falta de controles en actividades claves de la organización, que ha originado la
quiebra en muchas entidades, llevo a replantear los controles internos existentes, y que las
empresas aplicaran cambios en tal sentido como:
2
Reingeniería (Reingeniería de los procesos).
Calidad Total
Out sourcing (contratación externa)
Este cambio constante ha llevado a tendencias externas que influyen sobre las empresas, y se
observan en:
Diversidad de Actividades
Eliminación de líneas del negocio no rentables
Fusión y formación de alianzas estratégicas.
Todos estos hechos han originado unas necesidades de control y auditoria en el ámbito
informático, razones que hacen que el auditor replantee sus esquemas de trabajo, dejando de
lado la evaluación y comprobación de resultados, para concentrarse en la evaluación de
riesgos y comprobación de controles.
Debe existir:
Dentro de las funciones que persigue el control interno en el ambiente informático, se pueden
citar:
A nivel del control interno en los diferentes sistemas se recomienda revisar el control de:
3
1.6. TIPOS DE AUDITORIA
Evalúa el grado de eficiencia y eficacia con la cual la Dirección maneja los recursos disponibles
y logra los objetivos propuestos por el ente económico.
Evalúa la estructura de una empresa, (privada u oficial) en lo que corresponde a sus objetivos,
planes, métodos, controles, forma de operación y factor humano. Hace parte o se incluye
dentro de la auditoria del área informática.
Vela por los actos de los administradores, preservación del patrimonio de socios y accionistas,
emitiendo un dictamen sobre la razonabilidad de la información financiera, colabora con
entidades gubernamentales. Ejercida por firma de profesionales
Evalúa el área de sistemas, sus proyectos, aplicaciones. Emite concepto sobre el P.E.D.
(procesamiento electrónico de datos), para garantizar que la información es confiable y
oportuna. Realizada por firma de ingenieros en colaboración de contadores especializados en
P.E.D. y otros profesionales. El trabajo es coordinado con la Auditoria Interna, Externa o
Revisoría Fiscal, según corresponda.
4
1.7. AUDITOR DE SISTEMAS.
Se recomienda leer el material entregado sobre “Principios Deontología y Códigos Eticos del
Auditor Informático”, tomado del texto AUDITORIA EN INFORMATICA, Un Enfoque Practico.
Capitulo 7.
La función del auditor debe ajustarse a los códigos aplicables de la ética profesional y de las
normas de auditoria en todos sus trabajos, procurando establecer un conjunto de reglas con el
fin de prevenir practicas corruptas.
El perfil del auditor de sistemas debe estar soportado en una experiencia y formación acorde a
la función y áreas a auditar, donde se destacan algunas recomendaciones:
5
Verificar que se evalúan periódicamente Revisar la seguridad a diario o administrarla
riesgos o evaluarlos (Es función de otros)
Conocer los perfiles de usuario y criterios de Realizar gestión de perfiles de usuario o
contraseñas. asignar contraseñas
Verificar que las aplicaciones se desarrollan Realizar funciones de análisis o gestionar
según normas y se le incorporan controles. proyectos.
Revisar codificación de programas (seguridad Codificar programas.
y calidad) y pruebas.
Revisar la Documentación (aplicaciones y Realizar la documentación.
programas)
Responsabilizarse del contenido de sus Aceptar presiones de sus jefes o clientes y
informes restar veracidad al informe.
Sustentar sus informes con papeles de trabajo Involucrarse en discusiones de diferencias de
opiniones.
Estar actualizado en cuanto a normas, Auditar con técnicas y/o recomendaciones
avances, riesgos y metodologías obsoletas.
Su finalidad es preparar el recurso humano capacitado, para satisfacer las necesidades que la
tecnología informática demanda a las puertas del nuevo siglo, que esta soportada en la
evolución tecnológica, que ha originado que la auditoria financiera que se realizaba alrededor
del computador, sea realizada desde este, originando no solo una exigencia para el auditor de
sistemas, sino para los auditores en general; los cuales deben ser receptivos hacia las nuevas
tecnologías, porque de lo contrario serán victimas de la misma evolución, y de los cambios que
han originado la implantación de los sistemas a los diferentes niveles de la organización, que
exigen una adaptación rápida a las nuevas circunstancias para sobrevivir. Esta es una razón
por la cual en un gran porcentaje de las empresas, la tecnología y la informática representan
hoy en día uno de sus activos más valiosos e importantes, al igual que los otros activos
tradicionales.
Como ejemplo se puede citar la atención que demando el cambio de siglo, representado en la
evolución, actualización, etc. de hardware y software, que paralelamente demando una
actualización y mantenimiento de los controles (seguridad, funciones, etc.), por el impacto que
represento en las organizaciones.
Independencia Funcional
Libertad de Acción
Facultad para la toma de decisiones
Negociación con los niveles gerenciales
Involucramiento en proyectos de alto impacto en el negocio.
6
1.9.1. CARACTERÍSTICAS Y CONSIDERACIONES AL ESTRUCTURAR LA FUNCION DE
AUDITORIA EN LA COMPAÑIA
A. Características
Independencia funcional
El proceso de auditoria opera estratégicamente
Compromiso permanente con la alta dirección
Propia de entidades Financiera, de crédito y otras del sector gobierno.
Personal de auditoria con visión de negocio.
B. Ventajas
Comunicación formal y permanente entre la alta dirección y responsable de
auditoria.
Apoyo y soporte constante de la alta dirección.
Objetividad en el desempeño de la función.
Se establecen de manera formal y a nivel directivo las políticas, controles y
procedimientos sugeridos por la función de auditoria.
C. Desventajas
El seguimiento del desempeño de la función por parte de la alta dirección se
hace complejo.
En la mayor parte de las empresas no se aceptan auditorias en información.
Falta de profesionales capacitados con estos perfiles estratégicos.
A. Características
No hay independencia funcional respecto a otras direcciones o gerencias.
Se encuentra en los diversos sectores de la comunidad, con frecuencia en entidades
financieras, de crédito, gubernamentales y en menor grado en el sector industrial y
educativo.
Se le limita mucho al estilo de trabajo del nivel superior al que le reporta.
B. Ventajas
La alta dirección la considera una función indispensable para observar el cumplimiento
de políticas y procedimientos de informática en el negocio.
La función tiene contacto con los responsables para la toma de decisiones.
Existen asociaciones, consultores y escuelas profesionales que impulsan diariamente
la formalización de la función, al menos a nivel táctico.
C. Desventajas
Se debilita el compromiso y soporte de la alta dirección hacia la función.
El porcentaje de empresas que considera importante contar con una función de este
nivel es mínimo.
No existen muchos profesionales, técnicas y habilidades requeridas para ejercer la
función de auditoria en informática a un nivel táctico.
7
Hace parte de los controles de Administración y Organización de los controles generales, este
procedimiento de control abarca la asignación de responsabilidad, de manera que la actuación
de una persona proporcione la verificación del trabajo desarrollado. Su principal objetivo es la
prevención y pronta detención de errores o irregularidades en la realización de
responsabilidades asignadas.
Este control también esta basado en el principio de auditoria que recomienda que una misma
persona no tenga la posibilidad de ejecutar todos los pasos de una operación ya que, esta
acumulación de funciones dificulta el control y descarga mucho poder sobre personas que
posiblemente no sean las más idóneas, o concentrar actividades en pocas o en una sola
persona.
Es fundamental segregar adecuadamente las funciones a las personas involucradas con las
actividades a su cargo y supervisar su desarrollo normal dentro de la estrategia administrativa y
principios generales de control interno.
1.11.1. ADMINISTRATIVOS
-----------Analista de sistemas
-----------Programadores
-----------Operadores de Computadora
-----------Bibliotecario
8
Las responsabilidades primarias dentro del PED para cada puesto estarían definidas de la
siguiente forma:
PUESTO RESPONSBILIDAD
Gerente del Dpto. PED. Ejerce control general, desarrolla planes a corto y largo plazo y
aprueba sistemas
Analista de Sistemas Evalúa los sistemas existentes, diseña nuevos, bosqueja los
sistemas y prepara especificaciones para programadores.
Programador Elabora graficas de flujo de programas, desarrolla y documenta
programas y los actualiza.
Operador de computador Opera el equipo de computo ejecuta el programa de acuerdo con
instrucciones operativas.
Capturista de datos Prepara datos para procesamiento registrándolos en medios
magnéticos. Este también podrá ser realizado directamente por
departamentos o usuarios individuales.
Bibliotecarios Mantiene custodia de documentación de sistemas, programas y
archivos.
Administrador Bases Datos Diseña el contenido y organización de la base de datos y controla
el acceso y uso de la base de datos.
Es de vital importancia que los equipos se encuentren instalados en un lugar fresco y alejado
de la luz directa del sol, rejillas de calefacción, radiadores, etc. Además que se cumplan las
recomendaciones del fabricante.
Las instalaciones eléctricas deben estar aprobadas y señalizadas por los ingenieros eléctricos
que prestan el soporte técnico o distribuidor, diferenciando línea estabilizada, polo a tierra y
caja de breaker a la cual pertenece la conexión de dichos equipos, y que los cables se
encuentren en completo orden. Los tableros del sistema eléctrico deben estar ubicados en un
lugar de fácil acceso al operador del equipo central, y todos los equipos deben contar con
corriente regulada U.P.S y supresor de picos.
9
Todos los equipos deberán estar dotados de cubiertas protectoras y existir cercano un extintor
de Halon o CO2. De igual forma obtener una copia del inventario de los equipos utilizados en el
ambiente informático, a fin de identificar los componentes del equipo (placa de activo fijo,
sección a que pertenece, serie y modelo), cuales se hallan amparados por pólizas de seguro y
mantenimiento, y si están actualizadas.
Se recomienda llevar un registro de las fallas que presentan los equipos en el que se detalle la
fecha, hora, tipo de falla y comentarios adicionales, ello facilita y orienta las labores de
mantenimiento e identifica obsolescencia de los equipos.
Representa mucha atención e importancia el evitar que los usuarios estén explorando o
manipulando el software instalado, cuando es una función que no le corresponde sino al
personal indicado en la organización. Por tal razón se deben controlar:
Cambios al sistema operacional; que es el software más importante que viene con el
computador (máquina). Suele suceder que el fabricante esta realizando actualizaciones y su
deber de acuerdo con el contrato, es enviar la versión mejorada a los clientes (usuarios del
software), cambio que debe ser ejecutado por el personal capacitado para evitar problemas,
además que se deben observar todas las medidas de seguridad a los datos para garantizar el
trabajo normal a los usuarios después del cambio. Todo lo que envié el proveedor como cintas
y documentación se debe de proteger o custodiar adecuadamente para controlar su perdida o
destrucción.
Operación de los programas utilitarios; son los que permiten en algunos casos, manejar los
recursos del ordenador, la memoria, disco, impresoras y sistema operacional, además de
manipular los archivos de datos o programas de aplicación, por tal razón todas estas
herramientas se deben restringir a personal autorizado. Entre estos aspectos se pude
mencionar Rutinas de Spooler, Consultas por Query a la base de datos, acceso al Log de la
bitácora, etc.
En conclusión el control de estos aspectos obliga a que los programas utilitarios residan en una
librería con acceso restringido, que el acceso de usuarios sea controlado por un sistema de
seguridad que los identifique individualmente, para obtener un reporte donde se detalle la
actividad ejecutada en el computador.
En todas las empresas donde se utiliza sistemas de información, y que requieren el uso del
computador; deben saber que están expuestas a la perdida de la información (datos,
programas, etc.), por cualquier factor interno o externo, razón por la cual para evitar mayores
problemas debe existir una política definida, en cuanto al control y respaldo (backups) de esta
información, que le garantice a la empresa la vida y continuidad de las operaciones cuando
sean requeridas.
10
Es de hecho que el mejor hardware puede fallar, y es ahí el momento oportuno donde el
respaldo de la información juega un papel importante, razón por la cual las empresas deben
establecer dentro de sus diseños de respaldo controles como los siguientes:
La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales del
centro de procesamiento de datos, como también su funcionalidad, racionalidad y seguridad,
cuyo objetivo busca establecer políticas, procedimientos y prácticas para evitar las
interrupciones prolongadas del servicio de procesamiento de datos; información que debido a
contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. Debe continuar
en medio de emergencia hasta que sea restaurado el servicio completo.
Edificio
Instalaciones
Equipamiento y telecomunicaciones
Datos
Personal
Los conductos del aire acondicionado deben estar limpios, ya que son una de las
principales causas del polvo y se habrá de contar con detectores de humo que indiquen
la posible presencia de fuego.
En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible,
tanto en la computadora como en la red y los equipos de teleproceso.
En cuanto a los extintores, se debe revisar en número de estos, su capacidad, fácil
acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los
extintores, pero puede suceder que no se encuentren recargados o bien que sean de
difícil acceso de un peso tal que sea difícil utilizarlos.
También se debe ver si el personal sabe usar los equipos contra incendio y si ha
habido prácticas en cuanto a su uso.
Se debe verificar que existan suficientes salidas de emergencia y que estén
debidamente controladas para evitar robos por medio de estas salidas.
Los materiales más peligrosos son las cintas magnéticas que al quemarse, producen gases
tóxicos y el papel carbón que es altamente inflamable.
11
Es de suma importancia que la empresa cuente con un plan de contingencias, que en lo posible
sea probado periódicamente, con el fin de que garantice al recurso humano en caso de
evacuación, la fácil ubicación de alarmas y salidas alternativas; así la exposición a riesgos
superiores a los considerados admisibles en la entidad e incluso en el sector.
La seguridad lógica hace referencia a la seguridad y control del empleo de software, protección
de datos, procesos y programas; como también al ordenado y autorizado acceso de usuarios a
la información. Desde el punto de vista de la auditoria es necesario revisar cómo se identifica y
sobre todo autentican los usuarios, cómo han sido autorizados y por quién, y qué ocurre
cuando se producen trasgresiones o intentos, quién se entera y cuándo y qué se hace.
Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al
conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El
uso inadecuado de la computadora inicia con la utilización de tiempo de máquina para usos
ajenos a la empresa, copia de programas con fines comerciales sin reportar derechos de autor,
acceso por vía telefónica a bases de datos, etc.
Con el objeto de contrarrestar lo expuesto en los párrafos anteriores es recomendable que los
centros de computo estén provistos de software de control de acceso, que eviten o controlen
acceso no autorizado a información confidencial, o que a nivel de la organización se cuente con
un desarrollo que permita ejercer control sobre este aspecto, porque los paquetes resultan ser
demasiado costosos.
En este tipo de control la empresa se pude ver expuesta o perjudicada en delitos que a
conocer, se citan algunos de ellos así:
12
1.11.7. SEGURIDAD EN COMUNICACIONES
Es importante averiguar por la documentación formal que especifique que hace y cómo realiza
cada una de las funciones de administración de la RC., que permitirá la velocidad,
configuración adecuada para el ambiente a utilizar, etc.
Las modificaciones realizadas por los programadores al software de aplicación, deben estar
autorizadas por el director de su área según especificación detallada en el manual de
funciones.
Toda documentación escrita tiene por objeto facilitar las tareas de mantenimiento de los
sistemas, la cual debe residir en un lugar de acceso restringido, que controle el riesgo de
destrucción de la documentación por acción u omisión.
13
Para el control de estos accesos, se deben establecer medidas de seguridad que permitan
controlar aspectos como los siguientes, dependiendo del PED con el cual cuenta la
organización:
Representan el respaldo de toda evaluación, son el principal registro del evaluador, del trabajo
realizado y las conclusiones a que se llegaron.
En resumen son los elementos que permiten al auditor dejar constancia de los procedimientos
y comprobaciones por el seguidas, para la realización de su examen y las conclusiones finales;
los papales de trabajo son propiedad de la Gerencia de Auditoria.
14
Se deben elaborar en forma profesional, porque son el nexo entre el trabajo de evaluación y el
informe producido, de ahí que sean:
Nombre de la empresa
Departamento responsable del trabajo de auditoria que se realiza
Nombre de la planilla
Fecha
Memorandos u otro tipo de papel de trabajo incorporado
Quien elabora y realiza la planilla
Conclusiones a las que se llego.
Para identificar los papeles de trabajo se recomienda anotar en la parte superior derecha de la
cédula, planilla o memorando en número que corresponde, si se utiliza más de una, se
aconseja : 1/3, 2/3 y 3/3 (Esto es para una serie de 3 hojas).
15
Mantener actualizadas las licencias del software utilizado e instalado.
Proteger los datos almacenados en disco, parcial o totalmente para evitar el acceso de
personas extrañas a ellos.
Restringir el uso de los discos duros y en especial el acceso a información confidencial.
Identificar los usuarios de cada programa restringiendo la entrada a aquellos que no están
autorizados.
Controlar la producción y distribución de informes, en especial si contienen información
confidencial.
Controlar el inventario de microcomputadores y efectuar un chequeo físico y periódico del
mismo.
Un inventario básico y actualizado de equipos, debe contener:
Configuración.
Tipo de equipo.
Numero de inventario.
Numero de serie.
Marca y modelo.
Fecha de adquisición.
Persona responsable del equipo.
Es importante que una vez vencido el período de garantía, todo el hardware y software cuente
con un contrato de mantenimiento. Aquí es importante revisar los términos, costo y cubrimiento,
es decir, con mano de obra y piezas o solo con mano de obra. El tipo de contrato elegido,
depende de la necesidad de la empresa, y de los gastos que este dispuesta a pagar, de
acuerdo con la frecuencia del servicio (8 horas, 24 horas, etc).
Se debe tener en cuenta el servicio y respuesta, ello se determina o evalúa con el tiempo de
respuesta cuando se hace una llamada requiriendo el mantenimiento y la respuesta que el
proveedor acostumbra a dar en el resto del mercado, para tener referencia de las diferentes
ventajas y desventajas al elegir el tipo de mantenimiento que se requiere, para el ambiente de
microcomputadores.
16
El soporte de la copia de seguridad no debe tener ninguna incidencia particular con las políticas
generales de un centro de computo o ambiente de microcomputadores. Si la finalidad de las
copias de seguridad es fácilmente comprensible, las modalidades practicas son a menudo
diferentes de una organización a otra. Ello depende o se debe al tamaño del centro, volúmenes
de información a salvaguardar, sistemas de explotación recomendados por el fabricante, etc.
Cualquiera que sea el procedimiento a aplicar se debe garantizar que estos satisfagan los
objetivos básicos de una adecuada y buena política de salvaguarda y seguridad de
información, ya que es importante recordar que en todo ambiente informático el activo más
valioso es el “dato”.
Permitir arrancar de nuevo en otro equipo en caso de destrucción parcial o total del
emplazamiento de producción.
Permitir corregir un fallo en un soporte físico
Permitir arrancar todas las cadenas en caso de fallo (caídas del fluido eléctrico)
Responder a las obligaciones legales en materia de archivo, o sea, comerciales,
contables y fiscales.
El auditor de sistemas deberá evaluar la seguridad de los C.P.D., para determinar si las
medidas de seguridad establecidas son razonables y suficientes, en relación con la protección
de los recursos informáticos de la empresa, los cuales están expuestos a daños intencionales o
no intencionales. Es importante la evaluación de los controles en cuanto a la seguridad física
del C.P.D. (centro de procesamiento de datos), tales como:
a) Construcción del edificio, que este aislado de material no combustible, con el propósito
de reducir la posibilidad de incendio.
b) Separación del computador central de las áreas de archivos, cintotecas y bibliotecas,
por medio de paredes no combustibles.
c) Verificar las entradas y salidas de personal, para que sean usadas solo por personal
autorizado.
d) Instalar detectores de fuego, humo y alarmas, además de probar su funcionamiento y
mantenimiento adecuado.
e) Ubicación estratégica de extintores portátiles,
f) Que las cortinas, muebles, tapetes, etc del C.P.D. estén hechos de materiales no
combustibles o bien con retardo de fuego.
g) Prohibir consumir alimentos en el C.P.D y cintotecas.
h) Almacenar el papel y otros suministros combustibles fuera del cuarto de la
computadora central.
i) Proteger los circuitos de la computadora contra el vandalismo.
j) Garantizar un medio ambiente de temperatura y humedad en el área del C,P.D.
k) Revisar las coberturas de seguros, mantenimientos, inventarios y su actualización.
l) Revisar una adecuada señalización que en caso de emergencia permita evacuar el
sitio en el menor tiempo posible, tomando las precauciones del caso.
m) La existencia de un plan de restauración que cumpla:
Procedimientos de restauración
Localización de los medios de respaldo, prioridades y secuencias.
Asistencia del proveedor si se necesita
Configuración del equipo alterno si se requiere (Computo y comunicaciones)
17
Procedimientos para la imposición de controles extraordinarios durante la
restauración por el incidente acontecido.
Todos los desarrollos deben ser autorizados según el nivel de importancia del mismo, incluso
por un comité si los costos y riesgos superan el estándar establecido por la empresa, en este
aspecto se debe contar con la participación de los usuarios, auditores (externos), personal de
sistemas. Ejerciendo control a las librerías que pueden acceder los desarrolladores,
metodología seguida, ciclo de vida, gestión de proyectos y estudios de viabilidad.
Se debe revisar si existen realmente sistemas integrados como un todo o programas aislados,
evaluar la existencia de un plan estratégico para la elaboración de los sistemas que indique o
clarifique:
2.5.1. CARACTERÍSTICAS
Los sistemas deben evaluarse de acuerdo al ciclo de vida, el cual consta de varias etapas que
involucran tanto a los usuarios directos, personal de sistemas y auditores informáticos, y que
juntos conforman el grupo de trabajo, que estará activo hasta la etapa de implantación, donde
se pueden considerar las siguientes etapas:
Los beneficios a obtener con el desarrollo de un sistema pueden estar justificados en el ahorro
de costos de operación, reducción en tiempo de proceso, mayor exactitud, mejor servicio,
mayor confiabilidad y seguridad, de igual forma los problemas comunes en los sistemas son:
18
Es recomendable evaluar las políticas, procedimientos y normas, que se han establecido, para
llevar a cabo cada una de las etapas que integran el desarrollo de sistemas en la empresa, sin
dejar de resaltar que la participación del auditor y grupo elegido para el proyecto deben ser de
principio a fin.
Se debe velar porque la aplicación a desarrollar cumpla con las características de un buen
sistema de información:
2.5.2.1. ANÁLISIS
En esta etapa se hace un análisis de los requisitos del sistema partiendo del sistema actual y
sus problemas asociados, para lo cual el auditor requiere comprobar la existencia de:
Una vez cumplidos los puntos anteriores, se realiza el modelo lógico del sistema en el cual
evaluamos:
2.5.2.2. DISEÑO
Etapa en la cual el auditor desarrolla la tarea más delicada y compleja, aquí define los controles
específicos y diseño de prototipos de los reportes que solicitará al nuevo sistema, además se
diseñan las bases de datos, entradas, salidas, secuencia y ocurrencia de los datos y procesos.
De igual manera se elaboran el conjunto de especificaciones físicas del nuevo sistema, que
será la base de elaboración del mismo. Después de analizar estas etapas, se estudia la
participación del usuario en la identificación del nuevo sistema, de la auditoria interna en el
diseño de los controles y la determinación de los procedimientos de operación y decisión.
19
Completo : Que abarque todos los requerimientos
Consistente : Adecuada definición de las interfases
Claro : Fácilmente traducible a un lenguaje de programación
Flexible : Fácil de modificar
Practico : Fácil realización
Evaluable : Que se permita revisar, evaluar y mejorar.
En esta etapa se auditan la calidad de los programas, su diseño, lenguaje, interconexión entre
programas y los distintos componentes de software y hardware utilizados en el desarrollo del
sistema. Se llevan a cabo todos los procedimientos para que el usuario pueda operar el
sistema, si en la empresa no hay un departamento de Organización y Métodos, el auditor con
su experiencia, puede guiar o dar las bases para la elaboración de los manuales de operación y
técnicos del sistema. El desarrollo estará soportado en las especificaciones de la etapa de
diseño. El auditor debe revisar la realización del desarrollo de los componentes del sistema y
procedimientos de operación así:
C. Preparación de los procedimientos, para que el usuario pueda probar el nuevo sistema:
Además el auditor debe evaluar si el nuevo desarrollo cumple con las siguientes
características:
20
Dinámico : Susceptible a modificaciones
Estructurado : Subsistemas integrados como un todo
Integrado : Sistemas interrelacionados y no programas aislados
Accesibles : Disponibles
Comprensibles : Con todos los atributos
Oportunos : Que la información este cuando se requiere
Funcional : Información a cada nivel
Jerárquicos : Por niveles funcionales
Seguros : Acceso por la persona autorizada
Únicos : Que no duplique información
2.5.2.4. IMPLANTACIÓN
Es aquí donde se realiza la aceptación por parte del usuario, y se debe verificar el
cumplimiento de:
El propósito es evaluar el grado de cumplimiento de los objetivos bajo los cuales fueron
creadas las mismas, como herramientas operativas eficaces en la consecución de los objetivos
generales de una empresa o entidad.
Esto se logra con entrevistas del área usuaria de la aplicación y usuarios de sistemas;
recopilando información que permite profundizar el conocimiento, para así establecer los
objetivos concretos de la auditoria a realizar, identificando las personas claves y creando en
ellas un ambiente de colaboración.
a) Adquirir una visión global del sistema, incluyendo el manual del usuario.
21
b) Conocer la organización y procedimientos de servicio (pruebas, segregación de
funciones, protección física, lógica, etc.)
c) Recursos del entorno de la aplicación (configuración, periféricos, líneas de
comunicación, etc).
d) Software de aplicación con sus seguridades y riesgos inducidos
e) Arquitectura y características lógicas de la aplicación (Programación, bases de datos,
ficheros, modo de captura, listados)
f) Condiciones de seguridad y estadísticas de tiempo de la aplicación.
Es aconsejable solicitar los documentos y soportes informáticos que faciliten su relación, para
llevar a cabo esta evaluación.
Con respecto al informe se debe incluir una opinión sobre aquellos aspectos relevantes en la
evaluación de la aplicación, y que significan un riesgo para la empresa, y que conduzcan al
desmejoramiento de su imagen o eficacia.
En cuanto a las mejoras y/o recomendaciones, lo importante es que la empresa auditada, las
implante como objetivos dentro del plan de desarrollo o estratégico de sistemas, a fin de
garantizar resultados positivos para el ente empresarial. Estas recomendaciones deben
precisar áreas afectadas y a corregir.
22
A. NORMA : Conjunto de leyes o reglas que se deben seguir, o deben ajustarse todos los
actos fijados por una empresa, en una nación o internacionalmente, con relación a la
auditoria informática. Ej: SISAS, COBIT
Los aspectos tratados anteriormente determinan si un informe es corto o largo, con relación a
las irregularidades encontradas.
a) Situación Actual : Cuando se refiere a una revisión periódica, que evalúa una situación en
el tiempo, se expone la situación prevista y la actual.
23
V. Normatividad Aplicada:
VII. Conclusión:
Se deben incluir hechos importantes, para no desviar la atención del lector, además de
consolidar los hechos descritos en el mismo.
Se debe tener en cuenta la distribución del informe que debe corresponder a lo estipulado en el
contrato. La carta de introducción resume la auditoria realizada, se dirige solo al responsable
máximo de la empresa, o a la persona que encargo o contrato la auditoria, y esta compuesta
por:
24
En este aspecto es aconsejable requerir ayuda legal cuando se celebran contratos de software
y hardware, para garantizar que la compra se encuentra totalmente protegida, incluso si el
proveedor cambia o desaparece del mercado; además es importante involucrar a las personas
que tienen el conocimiento jurídico, para que emitan un concepto en cuanto a la forma de
celebrar el contrato en lo correspondiente a la parte legal, y brindar a su vez, por parte del
departamento de sistemas, el apoyo técnico requerido a la parte jurídica, a fin de aclarar los
requerimientos técnicos que se están adquiriendo o forman parte del contrato.
Entre las características relevantes que se deben considerar, se incluyen aspectos como:
Es preciso indicar que las necesidades de software a menudo dictan las necesidades de
hardware y viceversa.
Por las razones expuestas, el auditor debe analizar las necesidades estratégicas de la
empresa, que le sirvan de soporte para determinar el tipo de hardware que requiere, y a su vez
realizar las evaluaciones pertinentes al particular, recordando el principio de Calidad, en su
concepto de “solicitar la ayuda profesional cuando se desconocen aspectos a auditar”, se hace
referencia en este tema a la parte técnica, que requiere ser bien elegida, por las consecuencias
que ella deriva de no elegirse de manera acertada.
25
c) Paquete de Aplicación General : Más económico, y estándar en el mercado
Lo importante es buscar un paquete adecuado en el mercado, que cumpla con las principales
funciones del sistema que se requiere, además de ser digno de confianza, fácil de usar, bien
soportado y un costo razonable.
Un buen paquete debe cumplir con un alto porcentaje de la etapas de análisis, diseño,
desarrollo e implantación, de igual manera de unos requisitos técnicos definidos por el sistema
(lenguaje de programación compatible), donde se debe evaluar el cumplimiento de:
Es aconsejable que el proveedor del paquete garantice ciertas ventajas que marcan diferencia
a nivel de mercadeo como son:
a) Garantía
Errores y futuros requerimientos
Requerimientos legales
Nuevas versiones
Para abordar este punto de referencia, las principales fuentes las brindan los otros usuarios,
detallistas y la trayectoria o comportamiento que se ha ganado en el mercado el proveedor
después de haber realizado una venta a un usuario de sistemas y el apoyo posterior que ha
brindado. Cualquiera sea el proveedor elegido, se debe evaluar en este:
a) Antigüedad en la industria
b) Posicionamiento en el mercado
c) Capacidad Financiera
d) Nivel profesional del personal a cargo
e) Reputación y referencias
f) Soporte y mantenimiento
En el sitio, tiempo de respuesta
Disponibilidad
Frecuencia, costo anual, que servicios incluye y cuales excluye
Horarios de atención
g) Capacitación
Tiempo y lugar
Numero de personas
Costo adicional
26
El auditor informático ha estado ligado siempre a la auditoria interna o a la auditoria general, en
factores unidos a la contabilidad de control, veracidad de las cifras y operaciones, etc.
Es claro que hoy en día el auditor informático, para llevar a cabo la revisión, diagnostico de los
sistemas informáticos y sistemas de información, requiere de ciertos conocimientos en ambas
disciplinas, Informática y Auditoria., además de complementar con conocimientos de Gestión de
Cambios y Gestión Empresarial, que le permitan alcanzar las características necesarias de
convertirse en un consultor de la empresa, este es el tipo de profesional que requiere el
mercado.
Requiere de una persona con alto grado de calificación técnica y corrientes organizativas
empresariales, es decir, esta persona debe contar con una mezcla de auditoria financiera y de
informática general, con conocimientos básicos en:
Desarrollo informático
Gestión del departamento de sistemas
Análisis de Riesgos
Sistemas Operativos
Telecomunicaciones
Administración de Datos
Comercio Electrónico
Gestión de BD, Redes Locales
Seguridad Física
Ofimática
Encriptación de Datos
Gestión de seguridad de los sistemas
Gestión de problemas y cambios en información
El auditor informático pasa a ser un auditor y consultor del ente empresarial, no solo de los
sistemas informáticos objeto de estudio, sino de las relaciones operativas entre este y el
contexto empresarial, que lo lleva a ser un Analista, Auditor y Asesor en materias de:
a) Seguridad
b) Control Interno Operativo
c) Eficiencia y Eficacia
d) Tecnología Informática
e) Continuidad de Operaciones
f) Gestión de Riesgos
JEFE DPTO. , Desarrolla plan operativo, puestos de trabajo, planificación anual, etc
GERENTE, Ayuda a evaluar riesgos, vende la función con el auditado, dirige el trabajo
27
Y responde por estos.
Aquí se hace referencia a los controles de Aplicación en relación con los elementos del sistema
contable y los procedimientos de control de una estructura de control interno del PED, para
garantizar que los controles han sido diseñados a fin de proporcionar una seguridad razonable
en el procesamiento e información de datos.
Son de vital importancia porque la mayoría de los errores se comenten casi siempre en este
momento. Se diseñan para garantizar una seguridad razonable de que los datos recibidos para
el procesamiento han sido debidamente autorizados y convertidos en forma sensible a la
máquina. Entre los cuales se consideran:
A. CONTROLES DE VERIFICACIÓN
Incluyen la recaptura de todos o la mayor parte de los datos de entrada, por parte de una
segunda persona, comparando resultados, y utilizando documentos reversibles.
Son rutinas que tienen por finalidad detectar datos incompletos, incorrectos o no razonables,
donde se incluyen:
C. TOTALES DE CONTROL
Totales financieros
Totales hash (cifras de control)
Recuento de documentos
Esta clase de controles son diseñados para evitar que se pierdan, añadan, dupliquen o alteren
datos durante el procesamiento. Los más comunes son los incorporados a las aplicaciones
individuales de software, donde se incluyen:
A. CONTROL DE TOTALES
28
Son marcar externas físicamente a cintas magnéticas o discos par permitir la identificación
visual del un archivo. Las etiquetas de archivos internos se encuentra bajo formas legible por la
máquina y se comparan de manera electrónica con instrucciones específicas de los
ordenadores, antes de iniciarse un proceso.
Muestra un resumen de los contenidos del archivo antes y después de cada actualización
E. PRUEBAS DE SECUENCIA
Cuando a las transacciones se les asigna un número de identificación, o si los registros se han
de procesar en un orden específico.
Involucra un listado de datos específicos, para inspección visual con el fin de determinar si el
procesamiento es correcto. Para evaluar cambios en partidas críticas, puede incluir el
contenido antes y después del procesamiento.
Para asegurar que el resultado del procesamiento es correcto y de que solo personal
autorizado reciba los resultados, es importante incluir una hoja de distribución de informes. Se
incluyen:
A. CONCILIACIÓN DE TOTALES
Los totales de salida se concilian con los totales de entrada y de procesamiento, por el grupo
de control y usuario final.
C. ANÁLISIS VISUAL
Los resultados se analizan para asegurarse de su totalidad y aparente razonabilidad, los reales
con los resultados estimados.
Es una estrategia planificada, que esta constituida por un conjunto de recursos de respaldo,
una organización de emergencia y procedimientos; cuyo objetivo es la recuperación progresiva
y ágil de los servicios afectados por un desastre, y todo esto debe ser llevado a un manual
escrito y actualizado, que debe ser probado, publicado, enseñado y practicado periódicamente.
29
Un desastre además de no avisar, interrumpe el normal funcionamiento de una empresa,
aunque la probabilidad de ocurrencia es baja, en caso de que ocurra la repercusión es fatal,
sino existe un plan contingente.
El plan de contingencias informático, debe hacer parte del plan corporativo de contingencias de
una empresa, que garantice no solamente la pronta restauración del sistema, sino la
disposición inmediata de las personas, por tal razón se debe garantizar su integridad física
dentro del plan.
ANÁLISIS Y DISEÑO
Hay personas que acostumbran iniciar esta etapa basándose en la Probabilidad (estadística)
de ocurrencia de un desastre, por el contrario otras personas se basan en el Impacto (imagen)
que significa para la empresa si llegara a suceder, es decir, consideran hechos reales.
PRUEBAS Y MANTENIMIENTO
Se definen sus características, ciclos y se lleva a cabo la primer prueba, para familiarizar al
personal implicado. De igual forma su estrategia de mantenimiento, responsable, normatividad
y procedimientos para llevarlo a cabo.
30
a) Garantizar la continuidad de las operaciones de la empresa, en el menor tiempo posible.
b) Evitar la perdida de imagen corporativa por el efecto del desastre.
c) Ser preventivos y ejercer un control Pre-desastre,
d) Crear la cultura de autocontrol, para defender los intereses de los accionistas, clientes y
proveedores.
e) Garantizar protección de hardware, software y del recurso humano.
31