0 evaluări0% au considerat acest document util (0 voturi)
365 vizualizări84 pagini
Este documento presenta un resumen de tres oraciones sobre aplicativos de control interno. 1) Expone los objetivos generales y específicos de investigar y documentar aplicativos de auditoría. 2) Describe brevemente la metodología de desarrollar la investigación a través de actividades como búsqueda de información y análisis de aplicativos existentes. 3) Introduce los conceptos teóricos clave de control interno, auditoría y auditoría informática que servirán como marco para el estudio de aplicativos de auditoría.
Este documento presenta un resumen de tres oraciones sobre aplicativos de control interno. 1) Expone los objetivos generales y específicos de investigar y documentar aplicativos de auditoría. 2) Describe brevemente la metodología de desarrollar la investigación a través de actividades como búsqueda de información y análisis de aplicativos existentes. 3) Introduce los conceptos teóricos clave de control interno, auditoría y auditoría informática que servirán como marco para el estudio de aplicativos de auditoría.
Drepturi de autor:
Attribution Non-Commercial (BY-NC)
Formate disponibile
Descărcați ca PDF, TXT sau citiți online pe Scribd
Este documento presenta un resumen de tres oraciones sobre aplicativos de control interno. 1) Expone los objetivos generales y específicos de investigar y documentar aplicativos de auditoría. 2) Describe brevemente la metodología de desarrollar la investigación a través de actividades como búsqueda de información y análisis de aplicativos existentes. 3) Introduce los conceptos teóricos clave de control interno, auditoría y auditoría informática que servirán como marco para el estudio de aplicativos de auditoría.
Drepturi de autor:
Attribution Non-Commercial (BY-NC)
Formate disponibile
Descărcați ca PDF, TXT sau citiți online pe Scribd
IACUL1AD DL CILNCIAS LCONMICAS UNIDAD DL INIORM1ICA Y COMUNICACIONLS
Director: Henry Martnez
Coordinadores: Oscar Javier Silva Romero Mauricio Vergara Bravo
Analista de sistemas: Peter Hiovany Fonseca Programador: lvaro Enrique Palacios Villamil
Auxiliares de Investigacin:
Adelaida Amaya Pinzn Alex Gerardo Sastoque Andrea del Pilar Navarrete Andrea Nadine Gutirrez Angela Jeaneth Ospina Astrid Rocio Angarita Aura Mara Garca Carlos Jos Acua Daza Claudia Alexandra Garzn Claudia Johanna Nieto Daniel Alejandro Ardila David Alexander Arenas David Leonardo Maldonado Diana Vanesa Mora Fabin Alexander Aldana Felipe Quevedo Snchez Gema Andrea lvarez Gildardo Gutierrez Hector Javier Vargas Hctor Javier Orduz Jhony Alexander Romero John Ricardo Cortes Juan Nicolas Vargas Julian Ramirez Angulo Julio Cesar Calvo Karolina Roberto Gonzlez Leonardo Baena Luis Enrique Guzman Mary Luz Muoz Nelson Armando Ariza Nidia Emilse Barrera Olga Lucia Bravo
Desarrollado por: JOHANNA BOLAOS MLNDLZ JUAN CARLOS 1ORRLS
Este trabajo es resultado del esfuerzo de todo el equipo perteneciente a la Unidad de Informtica. Se prohbe la reproduccin parcial o total de este documento, por cualquier tipo de mtodo fotomecnico y/o electrnico, sin previa autorizacin de la Universidad Nacional de Colombia. A AP PL LI IC CA AT TI IV VO OS S I I C CO ON NT TR RO OL L I IN NT TI IR RN NO O
Reunir documentacin completa acerca de aplicatios de control al interior de la
organizacin, partiendo desde su deinicin y orientacin hasta el diseno conceptual para que sira posteriormente como soporte acadmico, con el in de aportar herramientas inormaticas para la simulacin de auditoria.
1.2 Especficos
Conseguir documentacin acerca de aplicatios enocados a la auditoria ya desarrollados con el in de apoyarse en la experiencia y conocimiento generados por aquellos que alguna ez decidieron ingresar en la creacin de un aplicatio de este tipo. Demostrar que un aplicatio de auditoria permite grandes beneicios para la organizacin, ya que realiza serie de examenes peridicos o esporadicos en la inormacin contable con la inalidad de analizar y ealuar la planiicacin, el control, la eicacia, la seguridad, la economa y la adecuacin de la inraestructura de la organizacin. Dar a conocer los dierentes tipos de aplicatios existentes en auditoria en Colombia, exponiendo sus costos de adquisicin, componentes asociados a la
3 necesidad del auditor y la eiciencia de stos mismos. Deinir las caractersticas mnimas que debe tener un aplicatio para que desarrolle los procesos adecuados de auditoria. Seleccionar un aplicatio especico con el in de conocer las caractersticas del sotware, explorandolo a tras de un ejercicio practico. Crear un documento estandar sobre las bases mnimas para lograr el entendimiento de estos aplicatios. Sugerir un aplicatio de auditoria para el proceso educatio de la lacultad de Ciencias Lconmicas, con el in de implementarlo en la Unidad de Inormatica.
4 2 METODOLOGIA Ll desarrollo de la inestigacin se ha planeado por actiidades debido a que el proyecto de inestigacin esta restringido a una primera de ase de documentacin y conceptualizacin. As que las actiidades se distribuyeron de la siguiente manera:
La primera actiidad esta relacionada con la deinicin de los objetios que perseguira la inestigacin y que ueron presentados anteriormente. La siguiente actiidad es una de las mas extensas pues se reiere a la bsqueda de inormacin acerca del tema, deiniciones basicas, tipos de auditoria, clases de aplicatios, etc. La conceptualizacin se reiere al aianzamiento de las deiniciones basicas y los trminos que se manejaran durante el desarrollo de la inestigacin. Ll analisis de aplicatios existentes busca contextualizar el proceso basico de un aplicatio de auditoria, a partir de la experiencia con dierentes aplicatios encontrados en la red por medio de sus demos.
5 La deinicin de un aplicatio en especial consiste en escoger un sotware especico para as estudiarlo bien a ondo, por medio de ejercicios practicos. 3 MARCO TERICO
Ln el desarrollo de nuestra inestigacin, en primer lugar se a ormalizar los aspectos principales del control interno, determinando caractersticas, deinicin, normatiidad de la auditoria como tal, por consiguiente se a hacer un bree estudio de las clases de auditoria exponiendo su objetio principal. Debido a la naturaleza de la inestigacin que consiste explorar un sotware aplicado al control interno de la organizacin, se a a enocar en la auditoria inormatica como tal, estudiando de una manera mas particular su origen, deinicin, importancia, objetios y clases. Ll estudio como tal de una aplicacin inormatica de control interno requiere un sistema integrado de la siguiente manera: AUDITORIA CONTROL INTERNO AUDITORIA FISCAL AUDITORIA ESPECIAL AUDITORIA FINANCIERA
Lste sistema expresa la relacin o nculos que deben tener las clases de auditoria con la auditoria inormatica, en la cual existe una relacin de retroalimentacin, dado que la auditoria inormatica se debe er alimentada por los datos o ariables de las demas auditorias, para desarrollar sus procesos, stos que a su ez arrojaran inormes y analisis que son objeto de estudio para la toma de decisiones de una organizacin, distribuido por areas que son objeto de auditoria inanciera, iscal, de gestin y especial. 3.1 Control Interno
Ll sistema de control interno abarca principalmente la satisaccin de necesidades y requerimientos gerenciales, los cuales estan encaminados a conseguir eiciencia en el uso de recursos y eectiidad en los resultados, por eso, el control interno, es un sistema retroalimentado de la administracin y de la gerencia, que se concreta en un
conjunto de actos y operaciones que tienen por objeto identiicar la realidad, examinarla y compararla con un criterio o modelo preestablecido. Ll control interno se encuentra clasiicado por: Objetivos: esta enocado al desarrollo de coniabilidad de los registros contables, preparacin de inormacin inanciera, preencin de errores e irregularidades y aseguramiento de responsabilidades legales. Jurisdiccin: es el control interno contable y administratio, es decir, esta enocado a la inormacin contable y a los procedimientos o mtodos administratios, con el in de lograr una eiciencia mas amplia. Metodos: este control consiste en detectar los errores o inconeniencias presentadas a niel empresarial, para as poder brindar soluciones preentias. Naturaleza: son los controles organizatios, de inormacin, sistemas de contabilidad, documentales, y algunos adicionales que los requiere la empresa. Por todo lo dicho anteriormente la auditoria es considerada como un sistema de control interno, ya que esta expresada en los mismo trminos de control, por lo tanto, sta sera objeto del estudio de esta inestigacin.
3.2 Definicin de Auditoria
La auditoria es el proceso sistematico de examinar, comprobar, y ealuar las eidencias de hechos econmicos realizados por la entidad, mediante la reisin de los comprobantes, libros, cheques, documentos y demas inormacin, con el objetio de demostrar la eracidad e integridad de la situacin inanciera.
Ln trminos legales en la ley No. 159 de la Oicina Nacional de Auditoria y la Resolucin 3,1999 deine la auditoria como el proceso sistematico, que consiste en obtener y ealuar objetiamente eidencias sobre las airmaciones relatias a los actos o eentos de caracter econmico - administratio, con el in de determinar el grado de correspondencia entre esas airmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas e independientes de conormidad con normas y procedimientos tcnicos.` 1
Ll objetio undamental de la auditoria es ealuar el control de la actiidad administratia y sus resultados, con el in de mantener la honestidad en la gestin administratia y la preseracin de la integridad moral de los trabajadores, en s la auditoria no debe limitarse a una mera relacin detallada de las deiciencias y diicultades encontradas, sino al estudio de las causas que la motiaron y orecer las soluciones encaminadas a que las mismas desaparezcan.
3.3 Clasificacin de la Auditoria
Los tipos de auditoria estan determinados por los objetios que se han establecido, de esta manera se encuentra auditoria de gestin u operacional, inanciera o de estados inancieros, especial y iscal.
9 Auditoria de Gestin u operacional. Consiste en el examen y ealuacin que se realiza a una entidad para establecer el grado de economa, eiciencia y eicacia, en la planiicacin, control y uso de los recursos y comprobar la obserancia de las disposiciones pertinentes, con el objetio
de eriicar la utilizacin mas racional de los recursos y mejorar las actiidades y materias examinadas. Una auditoria de gestin u operacional es un examen objetio y sistematico de eidencias con el in de proporcionar una ealuacin independiente del desempeno de una organizacin, programas, actiidad o uncin, que tenga como propsito mejorar la accin de la administracin y acilitar la toma de decisiones de los responsables de superisar o iniciar acciones correctias. Auditoria Iinanciera o de Lstados Iinancieros Consiste en el examen y ealuacin de los documentos, operaciones, registros y estados inancieros de la entidad, para determinar si stos relejan, razonablemente, su situacin inanciera y los resultados de sus operaciones, as como el cumplimiento de las disposiciones econmico-inancieras, con el objetio de mejorar los procedimientos relatios a las mismas y el control interno. Auditoria Lspecial. Consiste en la eriicacin, de una parte de las operaciones inancieras o administratias, de determinados hechos o de situaciones especiales y responde a una
10 necesidad especica. Por ejemplo puede reerirse a segmentos de estados inancieros, ,estados de ingresos y gastos, estados de eectio recibido y gastado, de actios ijos,.
Auditoria Iiscal. Consiste en el examen de las operaciones relacionadas con los tributos, con el objetio de determinar si se eectan en la cuanta que corresponda, dentro de los plazos y ormas establecidas. AUDI1ORIA INIORM1ICA GLNLRALIDADLS A inales del siglo XX, los sistemas inormaticos se han constituido en las herramientas mas poderosas para materializar uno de los conceptos mas itales y necesarios para cualquier organizacin empresarial, los sistemas de inormacin de la empresa. lasta hace poco tiempo, la comprobacin de la gestin y control de la actiidad econmica y inanciera de las organizaciones, se haca solamente por medio de la auditoria inanciera, sin embargo, por el grado de inormatizacin de las empresas, la misma no era suiciente y se hizo necesario conocer qu ocurra dentro de los sistemas de inormacin, ya que la auditoria inanciera poda llegar a conocer la
11 inormacin de entrada al sistema y el resultado obtenido, pero no poda determinar lo que suceda entre el momento de entrada de la inormacin y los resultados o salida de la misma, es decir se conocan los "imputs" y los "outputs" pero no desconoca cmo se haban generado estos ltimos y si haban sido objeto o no de alguna manipulacin. Ll examen de lo que acontece realmente en los sistemas de inormacin, se puede realizar gracias a la auditoria inormatica.
Durante mucho tiempo se ha intentado ormalizar una deinicin de la auditoria inormatica, de dicho proceso se derian entre otras las siguientes deiniciones: Se entiende por auditoria inormatica una serie de examenes peridicos o esporadicos de un sistema inormatico cuya inalidad es analizar y ealuar la planiicacin, el control, la eicacia, la seguridad, la economa y la adecuacin de la inraestructura inormatica de la empresa. La auditoria inormatica comprende la reisin y la ealuacin independiente y objetia, por parte de personas independientes y tericamente competentes del entorno inormatico de una entidad, abarcando todo o algunas de sus areas, los estandares y procedimientos en igor, su idoneidad y el cumplimiento de stos, de los objetios ijados, los contratos y las normas legales aplicables, el grado de satisaccin de usuarios y directios, los controles existentes y el analisis de riesgos". 2
2 Deinicin elaborada por Ramn Gonzalez 3 lernando Catacora Carpio, Lspecialista en Sistemas de Inormacin Gerencial y proesor de esta catedra en la Uniersidad Catlica Andrs Bello de caracas, Venezuela.
12 La auditoria inormatica es aquella que tiene como objetio principal la ealuacin de los controles internos en el area de PLD ,Procesamiento Llectrnico de Datos,. 3
la auditoria inormatica es aquella que tiene como objetios ealuar los controles de la uncin inormatica, analizar la eiciencia de los sistemas, eriicar el cumplimiento de las polticas y procedimientos de la empresa en este ambito y reisar que los recursos materiales y humanos de esta area se utilicen eicientemente. Ll auditor inormatico debe elar por la correcta utilizacin de los recursos que la empresa dispone para lograr un eiciente y eicaz sistema de inormacin. 1eniendo en cuenta las deiniciones anteriores, podemos concluir que la auditoria inormatica surge debido a que la inormacin se conierte en uno de los actios mas importante de las empresas, lo cual se puede conirmar si consideramos el hecho de que si se queman las instalaciones sicas de cualquier organizacin, sin que suran danos los ordenadores, seridores o equipo de cmputo, la entidad podra retomar su operacin normal en un menor tiempo, que si ocurre lo contrario. A raz de esto, la inormacin adquiere gran importancia en la empresa moderna debido a su poder estratgico y a que se inierten grandes sumas de dinero y tiempo en la creacin de sistemas de inormacin con el in de obtener una mayor productiidad. Otro actor que inluy grandemente en el nacimiento de la auditoria inormatica ue el uso de la tecnologa y sistemas computarizados para el procesamiento de la inormacin, lo cual ha tenido una importante repercusin sobre la disciplina
13 contable, pues la mayora de las operaciones inancieras han recibido la inluencia de la inormatica. OBJL1IVOS DL LA AUDI1ORIA INIORM1ICA Los principales objetios que constituyen esta auditoria son el control de la uncin inormatica, el analisis de la eiciencia de los sistemas inormaticos que se compone de la eriicacin del cumplimiento de la normatia general de la empresa en este ambito y la reisin de la eicaz gestin de los recursos materiales y humanos inormaticos. Un elemento clae del proceso y realizacin de dichos objetios es, el auditor inormatico, quien debe elar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eiciente y eicaz sistema de inormacin. Claro esta, que para la realizacin de una auditoria inormatica eicaz, se debe entender a la empresa en su mas amplio sentido, ya que una uniersidad, un ministerio o un hospital son tan empresas como una sociedad annima o empresa pblica. 1odos utilizan la inormatica para gestionar sus "negocios" de orma rapida y eiciente con el in de obtener beneicios econmicos y de costes. CARAC1LRS1ICAS DL LA AUDI1ORIA INIORM1ICA 1eniendo en cuenta la organizacin como tal, se puede deinir de acuerdo con la necesidad las siguientes caractersticas: La inormacin de la empresa se ha conertido en un actio real de la misma, como sus stocks o materias primas si las hay, por ende, han de realizarse
14 inersiones inormaticas, materia de la que se ocupa la .vaitoria ae vrer.iv vforvatica. los sistemas inormaticos han de protegerse de modo global y particular: a ello se debe la existencia de la .vaitoria ae egvriaaa vforvatica en general, o a la auditoria de seguridad de alguna de sus areas, como pudieran ser desarrollo o tcnica de sistemas. Cuando se producen cambios estructurales en la inormatica, se reorganiza de alguna orma su uncin: se esta en el campo de la .vaitoria ae Orgaviaciv vforvatica. Lstos tres tipos de caractersticas abarcan las actiidades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del area de desarrollo de proyectos de la inormatica de una empresa, es porque en ese desarrollo existen, ademas de ineiciencias, debilidades de organizacin, o de inersiones, o de seguridad, o alguna mezcla de ellas. Importancia de la Auditoria Informtica A pesar de ser una disciplina cuya practica ha aumentado en nuestro pas durante los ltimos anos, la auditoria inormatica, es importante en las organizaciones por las siguientes razones: Se pueden diundir y utilizar resultados o inormacin errnea si la calidad de datos de entrada es inexacta o los mismos son manipulados, lo cual abre la posibilidad de que se prooque un eecto de especulacin y aecte seriamente las operaciones, toma de decisiones e imagen de la empresa. Las computadoras, seridores y los Centros de Procesamiento de Datos se han
15 conertido en blancos apetecibles para raudes, espionaje, delincuencia y terrorismo inormatico., seguridad sica, La continuidad de las operaciones, la administracin y organizacin de la empresa no deben descansar en sistemas mal disenados, ya que los mismos pueden conertirse en un serio peligro para la empresa. Las bases de datos no pueden ser propensas a atentados y accesos de usuarios no autorizados o intrusos.,seguridad lgica, Ll robo de secretos comerciales, inormacin inanciera, administratia, la transerencia ilcita de tecnologa y demas delitos inormaticos. Ln el Departamento de Sistemas se obsera: Incremento desmesurado de costes. Necesidad de justiicacin de inersiones inormaticas ,la empresa no esta absolutamente conencida de tal necesidad y decide contrastar opiniones,. Desiaciones presupuestarias signiicatias. Costes y plazos de nueos proyectos ,deben auditarse simultaneamente a desarrollo de proyectos y a la entidad que realiz la peticin,. Laluacin de niel de riesgos en lo que respecta a seguridad lgica, seguridad sica y conidencialidad. Mantener la continuidad del sericio y la elaboracin y actualizacin de los planes de contingencia para lograr este objetio. Los recursos tecnolgicos de la empresa incluyendo instalaciones sicas, personal subalterno, horas de trabajo pagadas, programas, aplicaciones, sericios de
16 correo, Internet, o comunicaciones, son utilizados por el personal sin importar su niel jerarquico, para asuntos personales, alejados totalmente de las operaciones de la empresa o de las labores para las cuales ue contratado. Ll uso inadecuado de la computadora para usos ajenos de la organizacin, la copia de programas para ines de comercializacin sin reportar los derechos de autor y el acceso por a telenica a bases de datos a in de modiicar la inormacin con propsitos raudulentos. No coinciden los objetios de la inormatica con los objetios de la organizacin Los estandares de productiidad se desan sensiblemente de los promedios conseguidos habitualmente. Por ejemplo: Puede ocurrir con algn cambio masio de personal, o en una reestructuracin allida de alguna area o en la modiicacin de alguna Norma importante` 1IPOS DL AUDI1ORIA INIORM1ICA La gestin inormatica desarrolla diersas actiidades y sobre la base de estas se han establecido las principales diisiones de la auditoria inormatica, las cuales son: de explotacin u operacin, desarrollo de proyectos, de sistemas, de comunicaciones y redes y de seguridad. A continuacin repasaremos breemente cada una. AUDI1ORIA INIORM1ICA DL PRODUCCIN O LXPLO1ACIN Ln algunos casos tambin conocida como de explotacin u operacin, se ocupa de reisar todo lo que se reiere con producir resultados inormaticos, listados impresos, transacciones soportadas magnticamente, ordenes automatizadas para lanzar o modiicar procesos, etc.
1 La produccin, operacin o explotacin inormatica dispone de una materia prima, los datos, que es necesario transormar, y que se someten preiamente a controles de integridad y calidad. La transormacin se realiza por medio del proceso inormatico, el cual esta gobernado por programas y obtenido el producto inal, los resultados son sometidos a arios controles de calidad y, inalmente, son distribuidos al cliente, al usuario. La auditoria inormatica es alimentada por otras disciplinas Auditar la produccin, operacin o explotacin consiste en reisar las secciones que la componen y sus interrelaciones, las cuales generalmente son: planiicacin, produccin y soporte tcnico. La auditoria de explotacin a su ez contiene un centro de control y seguimiento de trabajos: Se analiza la captura de la inormacin en soporte compatible con los sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos, la correcta transmisin de datos entre entornos dierentes. Se eriica que los controles de integridad y calidad de datos se realizan de acuerdo a la norma. Se analiza cmo se prepara, se lanza y se sigue la produccin diaria. Basicamente, la explotacin inormatica ejecuta procesos por cadenas o lotes sucesios ,Batch,, o en tiempo real ,1iempo Real,. Mientras que las aplicaciones de teleproceso estan permanentemente actias y la uncin de explotacin se limita a igilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los eectios de explotacin. Ln muchos centros de proceso de datos, ste rgano recibe el nombre de Centro de Control de Batch. Lste grupo determina el xito de la explotacin, en cuanto que es uno de los actores mas importantes en el
18 mantenimiento de la produccin. *Batch y 1iempo Real: Las aplicaciones que son Batch son aplicaciones que cargan mucha inormacin durante el da y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la inormacin, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta inormacin durante el da, pero todaa no procesa nada. Ls solamente un tema de "Data Lntry" que recolecta inormacin, corre el proceso Batch ,por lotes,, y calcula todo lo necesario para arrancar al da siguiente. Las aplicaciones que son tiempo real u online, son las que, luego de haber ingresado la inormacin correspondiente, inmediatamente procesan y deuelen un resultado. Son sistemas que tienen que responder en tiempo real. Ln la actualidad las grandes organizaciones exigen inormacin en tiempo real, para no caer en especulaciones que alteren la toma de decisiones. AUDI1ORIA INIORM1ICA DL DLSARROLLO DL PROYLC1OS La uncin de desarrollo es una eolucin del llamado analisis y programacin de sistemas, y abarca muchas areas, como lo son: prerrequisitos del usuario y del entorno, analisis uncional, diseno, analisis organico ,preprogramacin y programacin,, pruebas entrega a explotacin o produccin y alta para el proceso. Lstas ases deben estar sometidas a un exigente control interno, ya que en caso contrario, los costos pueden excederse, puede producirse la insatisaccin del usuario.
19 La auditoria en este caso debera principalmente comprobar la seguridad de los programas en el sentido de garantizar que lo ejecutado por la maquina sea exactamente lo preisto o lo solicitado inicialmente. Ln esta auditoria se debe contar con un sotware demasiadamente sensible y lexible a las necesidades del usuario como de la organizacin con el in de tener un analisis integrado de la actiidad a realizar. AUDI1ORIA INIORM1ICA DL SIS1LMAS Se ocupa de analizar y reisar los controles y eectiidad de la actiidad que se conoce como tcnicas de sistemas en todas sus acetas y se enoca principalmente en el entorno general de sistemas, el cual incluye sistemas operatios, sotware basico, aplicaciones, administracin de base de datos, etc. AUDI1ORIA INIORM1ICA DL COMUNICACIONLS Y RLDLS Lste tipo de reisin se enoca en las redes, lneas, concentradores, multiplexores, etc. As pues, la auditoria inormatica ha de analizar situaciones y hechos algunas eces alejados entre s, y esta condicionada a la participacin de la empresa telenica que presta el soporte. Para este tipo de auditoria se requiere un equipo de especialistas y expertos en comunicaciones y redes. Ll auditor inormatico debera inquirir sobre los ndices de utilizacin de las lneas contratadas, solicitar inormacin sobre tiempos de desuso, debera proeerse de la topologa de la red de comunicaciones actualizada, ya que la desactualizacin de esta documentacin signiicara una grae debilidad. Por otro lado, sera necesario que obtenga inormacin sobre la cantidad de lneas existentes, cmo son y donde estan
20 instaladas, sin embargo, las debilidades mas recuentes o importantes se encuentran en las disunciones organizatias, pues la contratacin e instalacin de lneas a asociada a la instalacin de los puestos de trabajo correspondientes ,pantallas, seridores de redes locales, computadoras, impresoras, etc.,. AUDI1ORIA DL LA SLGURIDAD INIORM1ICA La auditoria de la seguridad en la inormatica abarca los conceptos de seguridad sica y lgica. La seguridad sica se reiere a la proteccin del hardware y los soportes de datos, as como la seguridad de los ediicios e instalaciones que los albergan. Ll auditor inormatico debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catastroes naturales, etc. Por su parte, la seguridad lgica se reiere a la seguridad en el uso de sotware, la proteccin de los datos, procesos y programas, as como la del acceso ordenado y autorizado de los usuarios a la inormacin. Ll auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin de irus. AUDI1ORIA INIORM1ICA PARA APLICACIONLS LN IN1LRNL1. Ln este tipo de reisiones, se enoca principalmente en eriicar los siguientes aspectos, los cuales no puede pasar por alto el auditor inormatico: Laluacin de los riesgos de Internet ,operatios, tecnolgicos y inancieros, y as como su probabilidad de ocurrencia.
21 Laluacin de ulnerabilidades y la arquitectura de seguridad implementada. Veriicar la conidencialidad de las aplicaciones y la publicidad negatia como consecuencia de ataques exitosos por parte de hackers. 4 TIPOS DE APLICATIVOS DE AUDITORIA
4.1 ACL
ACL Serices Ltda. es un proeedor de ambito mundial de soluciones de aseguramiento del control del negocio para directores inancieros y proesionales de la auditoria. ACL orece seguridad a las organizaciones en cuanto a la iabilidad, precisin e integridad de los datos de sus operaciones comerciales, cada ez mas complejas. Las soluciones probadas de ACL permiten a los responsables inancieros garantizar el cumplimiento de los controles, reducir los riesgos, detectar los raudes, minimizar las prdidas y mejorar la rentabilidad, con un retorno de la inersin calculado en semanas, no en meses. lace mas de 15 anos que se reconoce a ACL como la empresa lder del mercado en soluciones de extraccin y analisis de datos, deteccin y preencin de raudes y superisin continua. ACL cuenta con clientes en mas de 150 pases, incluidas 89 de las empresas lortune
22 100 y mas de la mitad de las empresas Global 500. Sus clientes tambin incluyen centenares de administraciones nacionales, estatales y locales de seis continentes, as como las cuatro grandes empresas de contabilidad pblica.
CARACTERISTICAS DE ACL
Iuncionalidad incorporada para auditar y analizar los datos: Llea a cabo la auditoria y el analisis de datos mediante poderosos comandos ,por ejemplo: Antigedad, Lstratiicar, Muestreo, Duplicados, sin necesidad de tener conocimientos tcnicos o de programacin. Iacilidad para el anlisis interactivo: Aplicando cualquier metodologa de auditoria, analiza sus datos de manera interactia, obteniendo resultados inmediatos, mientras inestiga las excepciones. Alta capacidad y velocidad: ACL puede acceder rapidamente millones de transacciones, logrando una cobertura del 100 y mayor conianza en los resultados de su inestigacin. Iacilidad de uso: Su interaz amigable que incluye acilidades como mens desplegables, barras de herramientas y comandos para apuntar y hacer clic, le permiten realizar sus analisis de modo totalmente independiente del Departamento de Inormatica. Anlisis universal de datos: Una ez que usted tenga acceso a sus datos, ACL los puede leer en su ormato natio. Usa un solo producto, en una sola plataorma, para leer y analizar casi cualquier tipo de datos de cualquier tipo de plataorma, incluyendo archios que proengan de mainrame, archios de
23 longitud ariable, archios con estructuras antiguas, archios de texto y muchos mas. Procesamiento de varios archivos: 1rabaja simultaneamente con arios archios, para hacer analisis y reportes mas completos.
Informacin de muy alta calidad: Produce reportes multilneas para apoyar mejor sus inestigaciones. Los resultados pueden disenarse, erse antes de la impresin y modiicarse en la pantalla, con la acilidad de arrastrar y dejar caer. Herramientas avanzadas para la productividad: Utiliza poderosas caractersticas de automatizacin para registrar todo el trabajo realizado y el desarrollo de aplicaciones especicas, haciendo mas productias las uturas auditorias. Detalle integral del trabajo realizado: Reisa o imprime, en cualquier momento, el historial completo de sus archios procedimientos y resultados del trabajo, brindando un detalle completo de los procesos de la auditoria. VARIEDAD DE CONFIGURACIONES Y ENTORNOS INFORMTICOS Ll sotware ACL orece unciones analticas eicaces que garantizan la precisin y la integridad de los datos y las transacciones, y sus interaces lexibles aumentan la capacidad de uso. Ll sotware de ACL tiene una amplia ariedad de coniguraciones y entornos inormaticos, desde usuarios indiiduales hasta aplicaciones de red completas, en
24 plataormas, departamentos y empresas. ACL para Windows Permite leer y analizar casi cualquier tipo de datos, con una capacidad ilimitada de tamano de archio y una elocidad sin precedentes, para procesar con rapidez millones de transacciones directamente desde su PC.
ACL para \indows goza de un reconocimiento mundial como sotware lder para el acceso, el analisis y la creacin de reportes de datos. Permite transormar datos en inormacin til y le ayuda a alcanzar sus objetios empresariales para agregar alor a su organizacin. ACL para \indows le permite: Identiicar tendencias, indicar excepciones con toda precisin y resaltar posibles areas problematicas. Localizar errores y posibles raudes comparando y analizando archios en uncin de los criterios del usuario inal. Voler a calcular y comprobar saldos. Identiicar problemas de control y garantizar el cumplimiento de los estandares. Calcular la antigedad y analizar cuentas por cobrar o por pagar, o cualquier otra transaccin que dependa del tiempo. Recuperar gastos o prdidas de ingresos buscando pagos duplicados, altantes en nmeros de acturas o sericios no acturados.
25 Buscar relaciones no autorizadas entre empleados y proeedores. Limpiar y normalizar datos. Utilizar unciones exclusias de ACL para realizar una gran ariedad de operaciones de inestigacin y analisis. ACL para OS/390 Utiliza la capacidad de almacenamiento y la elocidad de procesamiento del mainrame para orecer a los usuarios no tcnicos un acceso sin precedentes a los datos, en su plataorma natia, de una manera segura. Sistema ACL Cliente/Servidor Integra a la pereccin ACL para \indows con ACL para OS,390 con el in de permitir el acceso y el analisis transparente y en tiempo real de datos de mainrame mediante una interaz amiliar de \indows. Gracias a su interaz graica y sus caractersticas interactias de \indows, permite un analisis rapido y exhaustio con el que obtendra los resultados que necesita. Ll sistema Cliente,Seridor le permite hacer lo siguiente: Descargar y acceder a datos de PC y mainrame a la pereccin mediante una interaz amiliar de \indows. Aproechar la eicacia en el procesamiento de datos del mainrame. Acceder de orma segura a datos de mainrame, aceptando los protocolos de seguridad existentes. Reducir la necesidad de solicitar ,y esperar, datos del personal de I1, generalmente ocupado.
26 Minimizar el impacto en el traico de la red. Direct Link para SAP R/3 Proporciona un acceso directo y perecto a los datos de SAP R,3. La solucin de analisis de datos de ACL para \indows Direct Link, ampla el alcance de ACL en el entorno de SAP. Con la herramienta, Direct Link para SAP R,3, podra acceder a los cuatro tipos de tablas de SAP.
REQUISITOS DEL SISTEMA
Para la ersin 6 se requiere: - PC con un procesador 486,100 Mlz ,o superior, 95 o \indows N1 4.0 ,o superior,. - 8 MB de RAM mnimo ,se recomienda 16 megabytes,. - Unidad de disco duro con un mnimo de MB de espacio libre para el programa de ACL y todos los archios relacionados ,se recomienda mucho mas espacio para los archios de trabajo,.
Aseguramiento del control del negocio Las soluciones de ACL reducen en gran modo los costos y los riesgos empresariales generales asociados con la presencia de datos transaccionales incompletos, imprecisos e incoherentes y con transacciones que no cumplen los controles necesarios. Gracias al analisis automatizado de transacciones y a la superisin continua, ACL permite la realizacin de pruebas y la alidacin de datos empresariales importantes de orma independiente. Ll aseguramiento del control del negocio de ACL resulta especialmente til en entornos en los que la existencia de grandes olmenes de transacciones, procesos complejos, operaciones distribuidas y aplicaciones y sistemas dispares pueden poner en peligro la integridad general de los datos. Con ACL, las organizaciones ganan seguridad y conianza en la precisin y la integridad de los datos transaccionales, as como la adherencia de las transacciones empresariales a los controles y las polticas de cumplimiento. Cumplimiento de los controles loy en da, las organizaciones son objeto de inestigacin cada ez mayor por parte de organismos reguladores, analistas de mercado y accionistas para garantizar la integridad de su administracin inanciera. Ln este entorno, los puntos dbiles en los
28 procesos de autoridad y controles internos pueden desestabilizar incluso a las companas mas slidas, exponindolas a prdidas inancieras directas y danando su credibilidad. Las aplicaciones probadas de ACL para el cumplimiento de controles y la superisin continua permiten a una organizacin garantizar la integridad de sus datos y transacciones, as como el cumplimiento de los controles externos y reguladores. Administracin de la calidad de datos La calidad de los datos es un componente basico de la seguridad empresarial. Los datos de poca calidad ponen en peligro el rendimiento y la eicacia de los sistemas operatios. 1ambin restan alor a los sistemas de inormacin comercial en los que se basan las organizaciones para adoptar decisiones. Las decisiones basadas en datos incorrectos pueden proocar prdidas inancieras directas, aectar a las relaciones con los clientes y danar la credibilidad de la organizacin. A medida que aumenta el nmero de organizaciones que reconocen los datos como actor estratgico, se exige cada ez mas a los directios que garanticen la precisin, calidad y iabilidad de la inormacin. Los problemas con la calidad de los datos an desde los errores de entrada por parte de los usuarios hasta las deiciencias en los controles de aplicacin de sistemas. Ll desao que supone garantizar la calidad de los datos aumenta debido a los enormes olmenes de datos y transacciones que las organizaciones generan diariamente. Los problemas con la calidad suelen surgir durante la transormacin de los datos: en las conersiones de sistemas, los proyectos de integracin de sistemas asociados a las
29 usiones y adquisiciones y en la creacin de almacenes de datos para reportes de administracin y sistemas de inormacin comercial. ACL permite a las organizaciones administrar de orma eicaz y rentable la calidad de los datos para obtener una mayor seguridad empresarial. ACL permite acceder a los datos de cualquier origen, incluidos los sistemas de datos heredados y no relacionales, y admite el proceso de extraccin, transormacin y carga. Se puede utilizar para probar, reconciliar y alidar datos de orma independiente, as como orecer analisis y reportes detallados con un tiempo y un costo muy ineriores a los de otras soluciones tecnolgicas. Deteccin de fraudes Lstudios recientes reelan que el 46 de los raudes detectados se atribuyen a controles insuicientes y que otro 40 se debe simplemente a la omisin de los controles. La implementacin de un sistema eicaz de analisis de datos computerizado para ayudar a detectar raudes es una parte basica de la seguridad empresarial. Ll enoque dinamico de ACL para la deteccin y preencin de raudes se basa en el analisis transaccional completo de los sistemas inancieros y operatios. Mediante programas lexibles, aciles de personalizar y de superisin continua, ACL permite a las organizaciones probar y alidar independientemente datos de casi cualquier aplicacin empresarial, con una notiicacin automatica oportuna a la direccin cuando se detectan indicadores de raude. Ll sotware de analisis de datos de ACL lder en el mercado puede identiicar
30 tendencias, indicar excepciones con toda precisin y resaltar posibles areas problematicas superando los obstaculos de los mtodos de deteccin de raudes conencionales. Lstos incluyen las limitaciones de acceso a los datos, los analisis poco detallados, los continuos desaos de superisin y la alta de inormacin organizatia sobre los distintos tipos de posibles actiidades raudulentas. Auditoria interna Ln el entorno empresarial actual, los auditores internos de todo el mundo suren una presin cada ez mayor para garantizar a las organizaciones que ealan de orma eicaz los controles internos, la administracin de riesgos y los procesos de autoridad. Durante los ltimos 15 anos, ACL ha trabajado con grupos de auditores internos y externos con el in de proporcionar las soluciones tecnolgicas necesarias para ealuar la integridad de los datos y la compatibilidad de las transacciones. loy en da, los auditores de todo el mundo consideran a ACL como la solucin de sotware especica para la auditoria lder en la extraccin y el analisis de datos, la superisin continua y las inestigaciones de raudes orenses, unas aplicaciones muy solicitadas debido a la necesidad de proporcionar seguridad empresarial a las organizaciones. La seleccin, implementacin y aplicacin de sotware especico para la auditoria son mas eicaces si orman parte de una estrategia de analisis de datos completa. ACL ayuda a los auditores a superar problemas de acceso a datos internos, el mayor obstaculo existente, y a identiicar las principales areas empresariales que pueden proporcionar el mayor rendimiento. La capacidad de reisar de orma rapida y eicaz la totalidad de los datos transaccionales mediante las aplicaciones de superisin
31 continua de ACL mejora la calidad, la eicacia y el alcance de los procesos de auditoria interna. Iusiones y adquisiciones Los riesgos empresariales aumentan de orma exponencial cuando dos organizaciones con controles internos, estilos de administracin y procesos distintos intentan integrarse en una usin o adquisicin, ya que una ez concluida la transaccin, si no se administran de orma eicaz los olmenes de datos, la complejidad de los sistemas de integracin y el proceso de conersin de los datos resultantes de la usin en inormacin til, las companas y los ejecutios participantes pueden erse seriamente aectados. ACL permite a las organizaciones administrar mejor los riesgos inherentes de las usiones y adquisiciones en cada etapa del proceso. Antes de la usin, ACL admite el proceso de las diligencias necesarias permitiendo el acceso a todos los datos y proporcionando herramientas eicaces de analisis para una ealuacin rapida de las posibles oportunidades y los posibles escollos. Lsto puede ayudar a preer sorpresas que pueden suponer una amenaza para la nuea entidad combinada. Despus de la usin, la aplicacin eicaz de la tecnologa de analisis de datos de ACL mejora la integracin y la conersin inal de los datos de distintos sistemas para que los pueda utilizar la empresa recin ormada, alidando la integridad de los datos en las transacciones. Recuperacin de costos / Auditoria de proveedores Los pagos excesios a los proeedores representan un riesgo empresarial que aecta
32 directamente sus resultados inales. Cuanto mas crece una organizacin, mas complejo resulta el proceso de compra y mayor es el riesgo de prdidas inancieras considerables debidas a pagos excesios no detectados y no recaudados. Los procedimientos de auditoria de proeedores tradicionales resultan costosos y exigen mucho tiempo, y no siempre resultan especialmente eicaces, pues suelen identiicar y recuperar slo el 50 de los pagos excesios. Ll desao consiste en aumentar las recuperaciones de cuentas pagables a un coste inerior. Antes de recurrir a especialistas externos, las organizaciones necesitan la tecnologa y los procesos de actiacin para ampliar sus esuerzos internos con el in de identiicar tanto los pagos excesios como los puntos dbiles de los controles que permiten que se produzcan. ACL orece soluciones rentables y aciles de implementar para los desaos de las auditorias de proeedores, basadas en sotware probado que puede acceder, analizar y comparar incluso los mayores olmenes de datos transaccionales. Con ACL, las aplicaciones de superisin continua se pueden instalar rapidamente para comprobar y alidar de orma independiente todos los elementos de datos que orman el proceso de desembolso. Los pagos excesios se pueden identiicar y, en muchos casos, preenir si se notiican oportunamente a la direccin. Como resultado, se obtiene una conianza y una seguridad mayores en los procesos de pago, as como mejoras inmediatas en los resultados inales.
Case\are esta enocado a la auditoria y deteccin de raude, desaos y nueas tecnologas para crear alor, sus dos grandes objetios son: Crear alor para las empresas,organizaciones. Administrar adecuadamente los riesgos. Case\are esta orientado principalmente a la auditoria, es considerado como una solucin lder en la integracin de todos sus componentes en el entorno de la \eb y Microsot, su localizacin esta en basada en practicas locales y de socios proesionales, es un lder con muy alta penetracin en UK, Norte de Luropa, LLUU y Canada. Las entajas de Case\are son: Reconoce el dominio de Microsot. Lxplota todas las posibilidades del entorno Microsot,\indows,Oice, se integra con el mismo y explota los sericios de \eb. Liderazgo mundial en Sotware de Inteligencia de Negocios para Auditores y otros proesionales. Orientado al usuario inal.
34 Orece una suite de productos y aplicaciones integradas. LA SUITE DE PRODUCTOS Case\are cuenta con cuatro productos, en donde IDLA 2002 hace parte de esta suite, por lo tanto solo se dara una bree explicacin de cada producto y solo se proundizara en IDLA 2002, ya que ste es el objeto de analisis. 4.2.1 CASE WARE WORKING PAPERS Lsta orientado a crear un ambiente de auditoria sin papeles, posee una administracin de proyectos, tiene un control del lujo de trabajo, administra papeles de trabajo electrnicos, asegura la integridad entre los papeles de trabajo y el balance de comprobacin, genera automaticamente estados inancieros personalizados y permite una diersidad de plantillas para incorporar indicadores de desempeno.
4.2.2 CASE WARE TIME Desarrolla una administracin de tiempos asignados a proyectos, una administracin de costos y gastos de proyectos, tiene un registro de costos para acturacin o administracin interna, bri.da un seguimiento del progreso de proyectos, subproyectos, clientes, tiene un sistema de administracin de contactos y una sincronizacin de los miembros de equipos de trabajo.
35 4.2.3 CASE WARE TODAY Es una integracin de CaseWare Working Papers, Time y IDEA con Microsoft Outlook y Exchange para trabajo cooperativo, utiliza las listas de contactos de Outlook para integrar informacin sobre direcciones e-mail, domicilios y otros datos del cliente, tambin puede utilizarse para clientes internos o externos.
4.2.3 CASE WARE IDEA WEB SERVER Ls para auditorias a distancia, tiene una ersin de IDLA basada en la \eb, la cual esta disenada para compartir una instalacin por mltiples usuarios, posee una administracin de datos centralizada, y su estructura puede soportar eleadas demandas, este sotware incluye la uncionalidad de Case\are IDLA.
4.2.4 CASE WARE IDEA 2002
Ls una herramienta de productiidad que analiza, manipula, compara, muestrea y extrae datos de cualquier tipo de archios. Ls poderoso, acil de usar por contadores, auditores y otros proesionales de
36 control, raude y seguridad. 1iene una gran cantidad de acilidades incorporadas en un paquete para uso de no-especialistas. MODULOS DE IDEA 2002 Ll Sotware IDLA contiene cuatro mdulos: 1. IDLA: Ll mdulo para la importacin de datos, analisis y realizacin de pruebas de auditoria. Se pueden importar datos proenientes de dierentes orgenes tales como Access, Lxcel, a ODBC, archios delimitados ASCII y otros. Los restantes tres mdulos pueden ser accedidos desde el mdulo IDLA. 2. RDL : Ll Lditor de Deinicin de Registro para el diseno de datos complejos preio a la importacin dentro del mdulo IDLA. RDL contiene una serie de herramientas tiles para el analisis de archios de datos y la deinicin de registros para IDLA. 3. DataImport de IDLA: Usado para la importacin de Archios de Reportes Impresos. Su acceso es a tras del Asistente de Importacin que se encuentra en el mdulo IDLA. 4. IDLAScript : La herramienta de programacin compatible con VBA que extiende el podero de IDLA permitiendo generar y guardar macros.
3 FUNCIONES DE IDEA 2002 Gestin de archivos y clientes IDLA tiene un explorador de archios para orecer una gestin de archios sencilla y estandarizada. Lsta entana es mil, acoplable, reajustable y isualiza la inormacin de todos los archios de IDLA, en la carpeta que se tenga abierta en ese momento, tanto en orma de arbol, como de orma clasiicada. Importar datos de un amplio rango de tipos de archivo Ll sotware de IDLA permite importar casi todo tipo de archios desde cualquier tipo de origen, mediante la utilizacin del Asistente de Importacin. IDLA orece tambin el Lditor de Deinicin de registros, para archios mas complejos, registros de longitud ariable y mltiples tipos de registros. Lstadisticas de archivo Ll sotware IDLA desarrolla analisis especicos de los datos como el calculo de diersas estadsticas, deteccin de omisiones, deteccin de duplicados y sumarizaciones. Dentro de una base se datos, las estadsticas pueden generarse por campos numricos y de echas. Para cada campo numrico se puede calcular el alor neto, maximo, mnimo y medio, as como los importes de dbito, crdito y registros con alor cero. Para cada campo de echa se puede calcular las echas anteriores y posteriores y analisis de las transacciones diarias y mensuales.
38 Lxtracciones Las extracciones o pruebas de excepcin, son las que mas recuentemente se usan en IDLA. Lsta uncin se utiliza para identiicar registros que satisagan una caracterstica especica, tales como pagos superiores a 10.000, o transacciones realizadas antes de una determinada echa. Los criterios de extraccin se introducen utilizando el Lditor de Lcuaciones y todos los registros que satisagan dichos criterios se extraen a una nuea Base de Datos. Con IDLA se puede realizar una sola extraccin, o mas de 50 extracciones, de orma sencilla, dentro de una base de datos. IDLA contiene mas de 80 unciones entre sus unciones aritmticas, de texto, criterio de datos y noedosas unciones inancieras. Agregar bases de datos La opcin Agregar bases de datos se utiliza para concatenar dos o mas archios dentro de una nica base de datos, con el in de realizar pruebas de control, estadsticas, etc. Por ejemplo, se pueden agregar todos los archios mensuales de nominas durante una ano, para obtener una base de datos con todas las nominas del ano. La base de datos se podra totalizar por empleado para obtener el importe bruto, neto, impuestos, deducciones, etc. Pueden agregarse hasta 32.68 archios en una nica base de datos. Duplicados IDLA puede identiicar datos duplicados dentro de una base de datos, en la que mas de 8 campos de inormacin sean los mismos. Por ejemplo, nmero de cuentas
39 duplicados, direcciones, seguros, etc. Omisiones Dentro de una secuencia numrica o de echas, e incluso alanumricas, con IDLA se puede buscar un campo para detectar omisiones con una mascara deinida. Para omisiones de echas, de puede elegir la opcin de ignorar ines de semana o acaciones especiicas. Como en otras unciones de IDLA, se pueden establecer criterios antes de realizar la bsqueda, por ejemplo, importes superiores a 1.000, e incluso puede modiicarse el incremento, como buscar omisiones mltiplos de 10. Clasificacin La opcin clasiicacin se utiliza para crear una nuea base de datos clasiicada, segn el orden que se especiique. La clasiicacin puede mejorar, de manera signiicatia, la ejecucin de ciertas unciones. Iunciones Las lunciones se utilizan para realizar calculos complejos y de pruebas de excepcin. IDLA dispone de mas de 60 lunciones, las cuales pueden utilizarse para llear a cabo aritmtica de echas, manipulacin de textos as como calculos estadsticos, inancieros, numricos y de conersin. Muestro IDLA orece cuatro mtodos de muestreo, ademas de la posibilidad de obtener muestras basadas en parametros, as como ealuar los resultados de las pruebas de
40 estas muestras. Los mtodos de muestreo disponibles son: sistematicos ,ej. cada 1000 registros,, aleatorio ,numero de elementos elegidos al azar,, aleatorio estratiicado ,numero especiico de elementos seleccionado al azar entre interalos, y unidad monetaria ,cada 1.000 u otra unidad monetaria,. Ln este contexto, IDLA tambin orece la opcin Laluacin y Planiicacin por Atributos, que se puede utilizar para calcular tamanos de la muestra, nieles de conianza, limites de error y nmero de errores del muestreo. Lstos calculos de utilizan para planiicar y ealuar posteriormente los resultados de las muestras. Unir y comparar diferentes archivos de datos. IDLA con la opcin de unir bases de datos, combina campos de dos bases de datos dentro de una nica base de datos, es decir, permite combinar elementos para comprobar que datos coinciden o no dentro de dierentes archios. Lstos archios pueden unirse si tienen un campo comn. Generar automticamente un completo historial documentando los anlisis realizados Ll programa orece una opcin que es el historial el cual muestra todas y cada una de las operaciones realizadas en la base de datos, desplegando una lista acil de utilizar. Cada prueba o uncin que se haya realizado genera, de orma automatica, un cdigo IDLAScript. IDLAScript es un lenguaje de programacin compatible con Visual Basic.
41 Grficos La opcin graico de datos puede utilizarse para mostrar graicos de archios de datos o resultados de pruebas, representados en orma de barra, areas, lneas, barras apiladas, etc. Ll asistente de graicos lleara paso a paso la creacin del graico. Lsta opcin incluye ttulos, imagenes 3D, leyendas, colores y ormas, e incluso estilo de celdas. Lstos graicos pueden imprimirse, guardarse como archio de Bitmaps o copiarse en otra aplicacin de \indows. Lstratificacin IDLA proporciona potentes herramientas para totalizar el nmero y alor de registros dentro de unos interalos especicos. Lstas herramientas son: Lstratiicacin numrica, Lstratiicacin de Caracter y Lstratiicacin de lechas. Por ejemplo se podran analizar los registros por el cdigo postal o cdigo alanumrico del producto, o los actios ijos por la echa de adquisicin. 1otalizacin de campos La uncin totalizar campos se utiliza para sumar los alores de los campos numricos, totalizando un nico campo clae. La uncin totalizacin campo clae se utiliza donde existe uno o mas campos en la clae. Los resultados de dicha totalizacin pueden llearse a un graico. IDLAScript IDLAScript es un lenguaje de programacin, orientado a objetos, compatible con
42 Microsot Visual Basic para Aplicaciones y LotusScript. Los IDLAScripts, tambin denominados macros, pueden crearse grabando una serie de pasos, copiarse desde otros scripts, copiarse desde el historial, escribiendo dentro de la entana de Macro o mediante una combinacin de todas estas posibilidades. EL USO DE IDEA Cuando se utiliza IDLA se puede obtener grandes analisis y pruebas que brindan un gran beneicio para la organizacin, estas son: Analisis cuantitatio. Pruebas de eectiidad y eiciencia. Identiicacin de transacciones especicas. Prueba de Controles. Conersin de datos. Automatizacin de auditorias. Monitoreo Continuo. Inestigaciones de raude. Analisis inancieros y otros. Reisiones de seguridad. FUNCIONES EXCLUSIVAS DE IDEA 2002 Realiza comparacin directa de saldos entre archios. Lxclusin de duplicados de un archio. Control de altantes por mascara sobre echas, nmeros y textos. Unin de archios desordenados.
43 Lectura aanzada de reportes. Generacin aanzada de reportes. REQUERIMIENTOS DEL SISTEMA
4.3 Methodware
Methodware es lder mundial en el desarrollo de sotware de administracin de riesgos, auditoria interna y proceso de 1I. 1odo el sotware de Methodware esta desarrollado utilizando el Motor RLQULRIMILN1OS DL SIS1LMA LSPLCIIICACIN MNIMA LSPLCIIICACIN RLCOMLNDADA Sistema Operatio \indows N14,98,ML,2000,XP \indows N14,98,ML,2000,XP
Procesador Pentium o superior Pentium II 350 o superior Memoria ,RAM, 32 MB 128 MB para N1,\in 2000 or XP 64 MB para \in 98,ML Capacidad en Disco: Archios de Programa 60 MB 60 MB
44 Adisor Pathinder para satisacer necesidades especicas de administracin de Riesgos y Auditoria. Ll Motor Adisor Pathinder permite:
Que el producto sea personalizado eicientemente a los requerimientos de su organizacin.
Una estructura e interaz de usuario consistentes a tras de todas las aplicaciones. Como resultado directo, el sotware de Methodware comparte una inraestructura comn.
Cobit adisor , Cobit management adisor y Risk adisor hacen parte de el conjunto de sotware que orece Methodware para la Administracin del Riesgo y la Auditora por otra parte que tambin hacen parte del conjunto los siguientes aplicatios :
Risk Ranking Advisor : una herramienta para la deinicin de criterios de riesgo, aloracin y clasiicacin de las areas auditables, y planear, ejecutar y producir los inormes del proceso de la Auditora.
Pro audit. Advisor proee un proceso consistente con modelos mundiales ,COSO, Cadbury,, para ealuar , auditar el control interno, mediante la ealuacin automatizada de los riesgos y controles.
45 Business Assessor: es una herramienta Gerencial para crear, estandarizar, distribuir y consolidar resultados, de modelos de auto ealuacin de riesgos y controles, a la medida de los procesos del negocio. Proee mapas de procesos del modelo COSO como punto de partida de la auto ealuacin.
Desde su introduccin en 1996, la estructura cobit se ha conertido en el estandar internacional para la administracin y control de tecnologa inormatica. Con la implementacin de cobit 3rd Ldition management adisor y cobit 3rd Ldition adisor, se ha acilitado an mas la aplicacin de la estructura cobit.
Para objeto de nuestro estudio es necesario deinir y desarrollar el contenido basico de la metodologa COBI1, que se encuentra automatizado y cuyos elementos hacen parte de los mdulos principales de los aplicatios anteriormente mencionados.
4.3.1 Cobit
COBI1 es un estandar de administracin, control y auditora de tecnologa de inormacin en el mundo de los negocios, desarrollado y promoido por el Instituto de Gobierno de 1ecnologa de Inormacin de ISACA ,Inormation Systems Audit and Control Association Inc.`la Asociacin mundial de Control y Auditora de
46 Sistemas de Inormacin`, junto con la ISACl ,La Inormation Systems Audit and Control loundation , quienes desarrollaron los Objetios de la estructura COBI1 para ser adaptados como una estructura generalmente aplicable y apoyada en practicas de seguridad y control de Sistemas de inormacin para el control de la tecnologa de la inormacin. Lsta estructura COBI1 le permite a la gerencia comparar ,benchmark, la seguridad y practicas de control de los ambientes de 1I, permite a los usuarios de los sericios de 1I asegurarse que existe una adecuada seguridad y control y permite a los auditores sustanciar sus opiniones sobre el control interno y aconsejar sobre materias de seguridad y control de 1I.
De esta manera COBI1 Se public por primera ez en el ano de 1.996 y en el ano 2001 se produjo la tercera ersin, reisada y aumentada. COBI1 signiica Control Objeties or Inormation and Related 1echnology ,Objetios de Control para la Inormacin y 1ecnologa Relacionada,. A partir de la tercera edicin signiica Gobierno, Control y Auditora de Inormacin y 1ecnologa Relacionada ,Goernance, Control and Audit or Inormation and Related 1echnology,.
La motiacin primaria para brindar esta estructura ue posibilitar el desarrollo de una poltica clara y buenas practicas para el control de 1I a tras de toda la industria en todo el mundo. Para cumplir dicho objetio se centro en ejecutios de negocios, proesionales de 1I y auditores de sistemas de inormacin, el resultado de dicho enoque es que COBI1 armoniza estandares de 18 dierentes uentes primarias de todo el mundo y es el estandar internacional para la administracin y control de tecnologa inormatica. Lsta disenada no slo para ser empleada por los usuarios y auditores, sino tambin como un amplio 'checklist' ,lista de eriicacin, para los propietarios de los procesos del negocio. Lntre las uentes tomadas por COBI1
4 encontramos las normas y reglamentaciones tales como ISO ,9000-3,,Cdigos de Conducta del Consejo Luropeo y COSO, IlAC, IIA, ISACA, AICPA y Otras reglamentaciones
La ase ya completada del proyecto COBI1 proee un Resumen Ljecutio, un Marco para el control de 1I, una lista de Objetios de Control, y un conjunto de Guas de Auditora. ,Los objetios de control y las guas de auditoria estan reerenciadas a la estructura,. "inculo al proyecto COBI1"
Las ases uturas del proyecto proeeran guas de auto-ealuacin para la direccin e identiicaran objetios nueos o actualizados mediante incorporacin de otros estandares globales de control que se identiiquen. Ademas, agregar guas de control e identiicar indicadores claes de desempeno.
DLIINICIONLS GLNLRALLS ADAP1ADAS POR COBI1 Ll concepto de control interno de COBI1 ue adaptado del COSO y el de "Objetio de Control" es adaptado del SAC Control Interno: "Las polticas, procedimientos, practicas y estructuras organizacionales disenadas para proporcionar razonable conianza en que los objetios de los negocios seran alcanzados y que los eentos indeseados seran preenidos o detectados y corregidos". Objetivo de Control de 1ecnologia de Informacin: "Una declaracin del resultado deseado o propsito a ser alcanzado mediante la implementacin de
48 procedimientos de control en una actiidad particular de 1ecnologa de Inormacin". Gobierno de 1ecnologia de Informacin: "Una estructura de relaciones y procesos para dirigir y controlar la empresa en orden a alcanzar las metas corporatias anadiendo alor, mientras se establece un balance entre los riesgos ersus el retorno sobre la tecnologa de inormacin y sus procesos". Lsto signiica que dentro del gobierno corporatio de las organizaciones, el gobierno y control de la tecnologa de Inormacin ,1I, exige cada da mas importancia. La administracin de los riesgos relacionados con 1I, ahora es una parte clae del gobierno corporatio de las organizaciones. Las empresas para ser exitosas, necesitan entender y manejar los riesgos asociados con la implementacin de nueas tecnologas. lay numerosos cambios en 1I y su ambiente de operacin, que enatizan la necesidad de mejorar el manejo de los riesgos relacionados con 1I. La dependencia con respecto a la inormacin electrnica y los sistemas de inormacin es esencial para soportar los procesos de negocio crticos. Ademas, el ambiente regulatorio nacional e internacional esta exigiendo controles estrictos sobre la inormacin, como consecuencia de la diulgacin de desastres en sistemas de inormacin y el incremento de delitos electrnicos. Para muchas organizaciones, la inormacin y la tecnologa que la soporta representan sus actios mas aliosos ,actios de inormacin,. Ademas, en el ambiente de negocios de hoy, tan competitio y cambiante, la gerencia ha incrementado sus expectatias respecto al uncionamiento de los sericios de la tecnologa de inormacin ,1I,: exige incrementar las caractersticas de calidad, uncionalidad y acilidad de uso, disminuir los tiempos de respuesta, mejorar continuamente los nieles de sericio, y que todo lo anterior se logre a bajos costos.
49 Segn COBI1, el gobierno de la tecnologa de inormacin ,1I, es parte integral del xito de la gestin corporatio de las organizaciones. COBI1 proee la estructura que articula 34 procesos de 1I con los recursos de cmputo y la inormacin que satisace los objetios y estrategias de la organizacin. Ademas, integra e institucionaliza un conjunto de "buenas o mejores practicas" para las actiidades de planeacin y organizacin, adquisicin e implementacin, prestacin de sericios y soporte, y monitoreo del desempeno en 1I para asegurar que la inormacin corporatia y la tecnologa relacionada soportan los objetios de los negocios. As, el gobierno de 1I habilita a la empresa para tomar entaja completa de su inormacin, maximizando sus beneicios, capitalizando las oportunidades y ganando entaja competitia ".
RLCURSOS DL 1I COB1 clasiica los recursos de 1I como datos, sistemas de aplicacin, tecnologa, instalaciones y gente. Los datos son deinidos en su sentido mas amplio e incluyen no slo nmeros, textos y echas, sino tambin objetos tales como graicos y sonido. Los sistemas de aplicacin son entendidos como la suma de procedimientos manuales y programados. La tecnologa se reiere al hardware, sistemas operatios, equipos de redes y otros. Instalaciones son los recursos utilizados para albergar y soportar los sistemas de inormacin. Gente comprende las capacidades y habilidades indiiduales para planear, organizar, adquirir, entregar, apoyar y monitorear los sericios y sistemas de inormacin.
Para satisacer los objetios del negocio, la inormacin necesita conormarse a ciertos criterios a los cuales COBI1 se reiere como requerimientos del negocio respecto de la inormacin. COBI1 combina los principios incorporados en los modelos de reerencia existentes en tres amplias categoras: calidad, responsabilidad iduciaria y seguridad. De estos amplios requerimientos, el inorme extrae siete categoras superpuestas de criterios para ealuar cuan bien estan satisaciendo los recursos de 1I los requerimientos de inormacin del negocio. Lstos criterios son eectiidad, eiciencia, conidencialidad, integridad, disponibilidad, cumplimiento y coniabilidad de la inormacin.
PROCLSOS Y DOMINIOS
COBI1 clasiica los procesos de 1I en cuatro dominios. Lstos cuatro dominios son ,1, planeamiento y organizacin, ,2, adquisicin e implementacin, ,3, entrega y soporte y ,4, monitoreo. Ll agrupamiento natural de procesos en dominios es a menudo conirmado como dominios de responsabilidad en las estructuras organizacionales y sigue el ciclo gerencial o ciclo de ida aplicable a los procesos de 1I en cualquier ambiente de 1I. COB1 presenta una estructura de control para los propietarios de los procesos del negocio. Cada ez mas, la direccin esta totalmente acultada con responsabilidad y autoridad completa por los procesos del negocio. COBI1 incluye deiniciones tanto de control interno como de los objetios de control de 1I, cuatro dominios de procesos y 34 procesos, de control de alto niel para esos procesos, 318 objetios de control reerenciados a esos 34 procesos y 34 guas de auditora inculadas a los
LS1RUC1URA Comenzando al pie, estan las actiidades y tareas necesarias para lograr un resultado mensurable. Las actiidades tienen un concepto de ciclo de ida mientras que las tareas son consideradas mas discretas. Ll concepto ciclo de ida tiene requerimientos tpicos de control dierentes de las actiidades discretas. Ljemplos de la primera categora son las actiidades de desarrollo de sistemas, administracin de la coniguracin y administracin de los cambios. La segunda categora incluye tareas realizadas en soporte de planeamiento estratgico de 1ecnologa Inormatica, ealuacin de riesgos, planeamiento de calidad, administracin de capacidad y perormance. Los procesos son entonces deinidos una capa mas arriba como una serie de actiidades conjuntas o tareas con cortes ,de control, naturales. Al mas alto niel, los procesos son agrupados naturalmente juntos en Dominios. Su agrupamiento natural es a menudo conirmado como Dominios de Responsabilidad en una estructura organizacional y esta en lnea con el ciclo de administracin o ciclo de ida aplicable a los procesos de 1ecnologa Inormatica.
LS1RUC1URA COBI1 VS LS1RUC1URAS DL CON1ROL IN1LRNO
A linales del siglo XX el control interno se conierte en una ariable de gran importancia auditores, gerentes, contadores y legisladores., en la necesidad de implementar el control interno se emiten 3 documentos en las cuales se incluye la estructura COBI1, para objeto de nuestra inestigacin es de gran importancia resaltar las caractersticas de COBI1 rente a los documentos emitidos por COSO y SAC quienes de una u otra manera implementan parte de la metodologa COBI1, en primer lugar deiniremos cada uno de ellos: Ll inorme SAC ,Systems Auditability and Control report, deine a un sistema de control interno como: un conjunto de procesos, unciones, actiidades, subsistemas, y gente que son agrupados o concientemente segregados para asegurar el logro eectio de los objetios y metas. Ll inorme COSO Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio.`"1radeway" ,Committee o Sponsoring Organisations o the 1radeway Commission,. deine control interno como: un proceso, eectuado por el directorio, la gerencia y otro personal de la entidad, disenado para proeer un aseguramiento razonable en relacin al logro de los objetios en las siguientes categoras: Lectiidad y eiciencia de las operaciones Coniabilidad de los reportes inancieros Cumplimiento con las leyes y regulaciones aplicables. COBI1 ,1996, es una estructura que proee una herramienta para los propietarios de los procesos del negocio para descargar eiciente y eectiamente sus responsabilidades de control sobre los sistemas inormaticos. Para una mayor comprensin de cada documento y de orma bree les se expondran las
54 principales caractersticas a tras de una tabla de comparacin:
Comparacin de Conceptos de Control CARAC1LRIS1ICA COBI1 SAC COSO Dirigido a: Administracin, Usuarios, Auditores de Sistemas Responsables de 1I Auditores Internos Administracin Ll Control Interno es Visto como Conjunto de procesos incluyendo politicas, procedimientos, prcticas y estructura Organizacional Conjunto de procesos, subsistemas y personas Procesos Lfectividad y Lficiencia de las operaciones Lfectividad y Lficiencia de las operaciones Lfectividad y Lficiencia de las operaciones Confidencialidad, Integridad y disponibilidad de la informacin Confiabilidad en los reportes financieros Confiabilidad en los reportes financieros Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Cumplimiento con leyes y normas Los Objetivos Organizacionales de Control Interno Cumplimiento con leyes y normas
Componentes o Dominios Dominios: Componentes: Componentes:
55 Planeacin y Organizacin Ambiente de Control Ambiente de Control Adquisicin e implantacin Sistemas Manuales y Automatizados. Lvaluacin de Riesgo Servicio y Soporte Procedimientos de Control Actividades de Control Seguimiento Informacin y Comunicacin Seguimiento Lnfocado a 1ecnologia de Informacin 1ecnologia de Informacin 1oda la Organizacin Lvaluacin de la Lfectividad del Control I. Por un periodo de tiempo Por un periodo de tiempo Ln un punto en el tiempo Responsable por el Control Interno Administracin Administracin Administracin 1amao J87 pginas en 4 volmenes JJ93 pginas en J2 mdulos 3S3 pginas en 4 volmenes
COB1 es una coleccin de objetios de control alidados globalmente, organizados en procesos y dominios y inculados a requerimientos de inormacin del negocio. SAC orece una gua detallada sobre los eectos de distintos aspectos de la tecnologa inormatica en el sistema de controles internos. COSO presenta una deinicin comn de control interno y enatiza que los controles internos ayudan a las organizaciones a lograr operaciones eicaces y eicientes, inormes inancieros coniables, y el cumplimiento de las leyes y regulaciones aplicables. Ll documento proee una gua sobre la ealuacin de sistemas de control, inormar pblicamente sobre control interno, y realizar ealuaciones de sistemas de control.
56 COBI1, COSO y SAC contienen muchos de los mismos conceptos de control interno, desde luego, los documentos posteriores trabajaron sobre conceptos de control interno desarrollados por los anteriores. Los documentos diieren en la audiencia a los que an dirigidos, en el propsito del documento, y el niel de detalle que proeen como gua. Aunque otras partes encontraran tiles a cada uno de estos documentos, COBI1 esta dirigido a tres audiencias distintas: la gerencia, los usuarios y los auditores de sistemas de inormacin, SAC esta primariamente dirigido a los auditores internos y COSO a los gerentes y directorios. COBI1 esta ocalizado exclusiamente en los controles sobre la tecnologa inormatica en soporte de los objetios del negocio. SAC se enatiza en tecnologa inormatica y COSO proee una isin amplia, a niel de entidad. SAC y COSO son documentos auto contenidos. Los cuatro documentos se complementan y soportan unos a otros. SAC y COSO son tiles para la audiencia primaria de COBI1, para los legisladores y en general para los interesados en comprender o mejorar el control interno. Ln esta primera parte de aplicatios Methodware se realizo un esuerzo de explicar breemente la metodologa COBI1 que es automatiza en los aplicatios que amos ha exponer y teniendo en .cuenta que en el estudio de estos se ampliaran muchos mas conceptos de al metodologa COBI1. 4.3.2 Cobit Advisor
COBI1 Adisor 3rd Ldition,Audit, es una aplicacin basada en Microsot \indows que
5 automatiza toda la Lstructura COBI1. \ que genera 1odo lo que usted necesita, desde ormatos de cuestionarios hasta la generacin de inormes en un poderoso paquete acil de utilizar. USUARIOS DE COBIT ADVISOR
Cobit adisor es utilizado por directores de sistemas, auditores, contralores, consultores de negocios, propietarios de procesos de la organizacin- GLRLNCIA: ayuda a "balancear los riesgos e inersiones en control en un ambiente de 1I a menudo impredecible y analizar el costo beneicio del control" USUARIOS IINALLS: ayuda a "obtener conianza en la seguridad y controles de los sericios proistos internamente y por terceros." AUDI1ORLS: ayuda "sustentar sus opiniones a gerencia sobre los controles internos de 1I y a ser consejeros proactios del negocio y determinar el impacto en la organizacin, y el control mnimo requerido" Aparte de responder a las necesidades de la audiencia inmediata de la gerencia senior, los auditores y proesionales de seguridad y control, COBI1 puede ser utilizado dentro de las empresas por los propietarios de los procesos del negocio, en su responsabilidad de control sobre los aspectos inormatios del proceso y por los responsables de 1I de la empresa.
ALCANCLS DL COBI1 ADVISOR
Personalizar su auditoria deiniendo las secciones releantes de la Metodologa COBI1. Realizar ealuaciones de alto niel a niel de Dominios. Realizar ealuaciones detalladas a niel de Objetios de Control. Completar eriicaciones detalladas ealuando las Guas de Auditoria. Realizar el seguimiento de las obseraciones a distintos nieles.
58 Un proceso consistente para ealuar,auditar la gestin y control de sistemas de I1 Un benchmark ,medir en orma comparatia, reconocido para la gestin y control de sus sistemas de I1 Reisiones ocalizadas mediante la seleccin de los procesos, recursos de I1 y criterios de calidad de la inormacin, releantes para el alcance de cada ealuacin,auditoria. Permite enocar el trabajo en tres nieles: Laluacin de procesos ,Control general,, ealuacin detallada del control, y a niel de auditoria con enoque basado en riesgos. Generar graicas a niel de dominio y objetios de control y generar reportes de alta calidad comparatios de las ealuaciones realizadas a dierentes areas o de la misma area en dierentes periodos de tiempo Permite la identiicacin de los controles y guas de auditoria, basadas en estandares de mejores prcticas
IUNCIONALIDAD DLL COBI1 ADVISOR Generacin de Objetios de Control, Guas de Auditora y resultados ,hallazgos, opiniones, recomendaciones, respuestas de la gerencia, etc. para su seguimiento,. Campos memo ,en ormato R1l, para documentar los comentarios del usuario en cualquier etapa del proceso de ealuacin y,o auditora. Consolidacin y comparaciones graicas para consideracin de la alta gerencia. Las graicas se pueden desagregar en nieles y ser exportadas a MS \ord. Un amplio rango de inormes, disponibles en dierentes ormatos al toque de un botn. 1odos los inormes pueden ser ajustados a las necesidades especicas de la organizacin y soportan graicas embebidas utilizando el MS \ord y MS Lxcel. luncionalidad soisticada para iltrar ,seleccionar,, clasiicar y generar inormes. Laluacin multiusuario, uniendo los archios de dierentes usuarios. Lxportacin e importacin de ealuaciones hacia o desde otras ealuaciones con el
59 Cobit Adisor u otros productos Adisor Contiene ayudas para dirigir y analizar el resultado de los trabajos, mediante el registro, clasiicacin y iltro ,seleccin, de hallazgos, recomendaciones, acciones, etc
RLQULRIMILN1OS DL HADWARL
Pentium 90 20 MB de espacio libre en disco. 64MB de RAM disponible.
La memoria tiene el mayor impacto en el desempeno del sistema, mejorando el mismo si se utilizan 128MB o mas.
RLQULRIMILN1OS DL SOI1WARL
Microsot. \indows. 95 , Microsot. \indows N1. 4.0 o sistemas operatios posteriores. Microsoft. Word 7 |o posterior|. Para generacin de ormularios electrnicos y ormateo de reportes. Muchos de los reportes que se pueden generar estan en R1l ,lormato 1exto Lnriquecido, que soporta un amplio rango de caractersticas de ormateo ,incluyendo estilos automaticos Microsot. \ord, tablas, cabeceras y pis de paginas, y entradas de autotexto,. Ln orma predeterminada, se carga Microsot. \ord como editor de reportes R1l. Si no dispone del Microsot. \ord |o posterior|, puede cambiar este predeterminado por otro editor de reportes R1l, sin embargo, tenga en cuenta que algunas de las caractersticas de ormateo podran no estar soportadas y en consecuencia no podra producir ormularios electrnicos.
60 Microsoft. Lxcel 97 |o posterior|. Para la produccin de reportes con resultados en ormato graico. Un Lxplorador Web. Para er y eniar ormularios y reportes l1ML por Internet,su Intranet.
COMPOSICIN DL COBI1 PAN1ALLA PRINCIPAL
1 2 3 4 Cobit Adisor 1iene 4 Dominios Ln Lste Modulo Me Genra La Laluacin De Los Dominios En Este Modulo Cobit Me Generan Un Resumen De Cada Dominio O De Forma Integral En este modulo podemos determinar el alcance de la auditoria definiendo cada uno de los dominios, subdominios y criterios, recursos y detalles
lay 318 objetios de control pre-deinidos. Cada sub-dominio tiene de 3 a 25 objetios de control pre-inculados. Cada objetio de control tiene una descripcin detallada ,tal como se lo describe en la Lstructura COBI1,. Usted tambin puede agregar objetios de control adicionales y incularlos a cualquier sub-dominio.
Los detalles de los objetios de control se ingresan y mantienen en la entana Objetios de Control. Por cada objetio de control se puede:
63 Determinar su releancia para la auditoria. Adaptar la descripcin a la empresa. Registrar una descripcin de la implementacin real del objetio de control. Registrar una ealuacin utilizando una escala modiicable, de cinco puntos o registrar que no se ha realizado la ealuacin. Ver el score de ealuacin de perodos anteriores. Registrar la importancia del objetio de control utilizando una escala modiicable de 5 puntos. Registrar quin realiza el objetio de control. Registrar e inormar sobre las recomendaciones. Registrar la respuesta de gerencia. Lditar, ealuar, agregar y incular guas de auditora. Agregar y monitorear las obseraciones que surgen durante la ealuacin. Realizar seguimiento y monitorear el progreso de las reisiones. Adjuntar documentacin externa de soporte.
GUAS DL AUDI1ORA
lay 34 guas de auditoria pre-deinidas. Cada sub-dominio predeinido tiene de 4 a 24 guas de auditoria pre-inculadas. Por cada sub-dominio deinido por el usuario y objetios de control pre-deinidos , deinidos por el usuario usted debera establecer los nculos apropiados.Usted tambin puede agregar guas de auditoria adicionales y incularlas a cualquier sub-dominio y,u objetio de control.
Cada gua de auditoria esta clasiicada en 1 a 6 tipos:
Los detalles de las guas de auditoria se ingresan y mantienen en la entana Guas de Auditoria. Cada gua de auditoria tiene un campo de descripcin detallada que contiene una cantidad de pasos posibles que pueden llearse a cabo. Por cada gua de auditoria se puede:
Determinar su releancia para la auditoria. Adaptar la descripcin a la empresa. Registrar si se realiz la ealuacin y ue exitosa. Registrar e inormar sobre recomendaciones. Registrar la respuesta de gerencia. Agregar y monitorear las obseraciones que surgen durante la ealuacin. Realizar el seguimiento y monitorear el progreso de los tests. Adjuntar documentacin externa de soporte.
La uncionalidad de Obseraciones le permite registrar y monitorear tem que surgen durante la auditoria. No hay obseraciones pre-deinidas en COBI1 Adisor 3rd Ldition,Audit,. Las obseraciones pueden incluir debilidades para las cuales se ijan perodos de tiempo para rectiicarlas, o areas de la auditoria que requieren que se produzca algn eento para ser completadas.
Para cada obseracin se puede:
Registrar una descripcin detallada. Clasiicar la obseracin dentro de ciertos tipos deinibles. Registrar y monitorear la echa de seguimiento de la obseracin. Registrar el estado de la obseracin. Registrar y monitorear el progreso. Asignar responsabilidades. Vincularla a uno o mas sub-dominios, objetios de control y,o guas de auditoria.
Ademas, se pueden realizar acilmente, de un istazo, comparaciones y consolidaciones de ealuaciones de Dominios de mltiples archios de auditoria.
Para cada uno de los 4 dominios deinidos en el Modelo COBI1, ,Planeamiento y Organizacin, Adquisicin e Implementacin, Lntrega y Soporte y Monitoreo,, se pre- deinen los detalles indiiduales de los 34 sub-dominios. Si se requiere, se pueden agregar sub-dominios adicionales. Para cada sub-dominio se registran los siguientes componentes del Modelo COBI1: Ll criterio de 1I al cual es releante Los Recursos de 1I Consideraciones Objetios de Control Guas Detalladas de Auditoria
68 Los detalles de sub-dominios se ingresan y mantienen en la entana Sub-Dominios. Para cada sub-dominio se puede:
Determinar su releancia para la auditoria. Registrar una ealuacin utilizando una escala deslizadora. Ver el score de ealuacin de perodos anteriores. Registrar inormacin justiicatoria de la ealuacin. Registrar recomendaciones de mejora. Registrar la respuesta de gerencia. Lditar, ealuar, agregar y incular objetios de control. Lditar, ealuar, agregar y incular guas de auditoria. Agregar y monitorear las obseraciones que surgen durante la ealuacin. Realizar seguimiento y monitorear el estado de la ealuacin. Adjuntar documentacin externa de soporte.
lay 4 hojas resumen de Dominios que exhiben las areas de ortalezas y debilidades por Sub- dominio y le permiten al usuario registrar un resumen memo de dichas ortalezas y debilidades. Los Dominios son deinidos de la siguiente orma: Planeamiento y Organizacin: Lste Dominio cubre la estrategia y las tacticas y le concierne la identiicacin de la orma en que la tecnologa inormatica puede contribuir mejor al logro de los objetios del negocio. Mas an, la realizacin de la isin estratgica necesita planearse, comunicarse y administrarse desde dierentes perspectias. linalmente, debe instalarse una organizacin apropiada as como una inraestructura tecnolgica. Adquisicin e Implementacin: Para comprender la estrategia de 1ecnologa Inormatica, las soluciones de 1ecnologa Inormatica necesitan ser identiicadas, desarrolladas o
69 adquiridas as como implementadas e integradas en el proceso del negocio. Ademas, se cubren en este Dominio los cambios en y el mantenimiento de los sistemas existentes. Lntrega y Soporte: A este Dominio le concierne la entrega real de los sericios requeridos, que cubre desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta el entrenamiento. Para brindar sericios deben instalarse los procesos de soporte necesarios. Lste Dominio incluye el procesamiento real de los datos por los sistemas de aplicacin, a menudo clasiicados como controles de las aplicaciones. Monitoreo: 1odos los procesos de 1ecnologa Inormatica necesitan ser ealuados regularmente en el tiempo en su calidad y cumplimiento con los requerimientos de control.
Los recursos de 1ecnologa Inormatica pueden ser explicados,deinidos como sigue:
Datos: Objetos datos en su mas amplio sentido, ,ej: externos e internos,, estructurados y no estructurados, graicos, sonido, etc. Sistemas de Aplicacin: Se entiende como sistemas de aplicacin la suma de procedimientos programados y manuales. 1ecnologia: 1ecnologa cubre hardware, sistemas operatios, sistemas de administracin de bases de datos, redes, multimedia, etc. Instalaciones: Recursos para albergar y soportar los sistemas de inormacin. Gente: labilidades del personal, concientizacin y productiidad para planear, organizar, adquirir, entregar, soportar y monitorear sistemas de inormacin y sericios.
Requerimientos de Calidad, linancieros y de Seguridad : Lfectividad: trata con inormacin releante y pertinente al proceso de negocios, as como entregada de una manera oportuna, correcta, consistente y til. Lficiencia: concierne a la proisin de inormacin mediante el uso ptimo ,mas productio y econmico, de los recursos. Confidencialidad: concierne a la proteccin de la inormacin sensible respecto de la disposicin no autorizada. Integridad: se relaciona con la precisin y completamiento de la inormacin as como con su alidez de acuerdo con los alores y expectatias del negocio. Disponibilidad: se reiere a que la inormacin est disponible cuando sea
3 requerida por el proceso del negocio, ahora y en el uturo. 1ambin concierne a la salaguarda de los recursos necesarios y las capacidades asociadas. Cumplimiento: trata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales esta sujeto el proceso del negocio, ej: criterios del negocio impuestos desde el exterior. Confiabilidad de la Informacin: se relaciona con la proisin de inormacin apropiada a la gerencia para operar la entidad y tambin para ejercer sus responsabilidades de elaboracin de inormes inancieros y de cumplimiento. Los criterios pueden ser clasiicarse segn el grado: Primario es el grado al cual el Objetio de Control deinido satisace completamente el requerimiento de inormacin concerniente. Secundario es el grado al cual el Objetio de Control deinido slo satisace con una menor extensin o indirectamente el requerimiento de inormacin concerniente. Blanco podra ser aplicable, pero sin embargo, los requerimientos se satisacen mas apropiadamente por otro criterio en este proceso y,o por otro proceso. Luego de haber deinido los dominios, subdominios, criterios y recursos se adapta el tipo de auditoria que el usuario quiere llear proceso por proceso estableciendo el grado de ealuacin, los objetios y guas que an hacer empleadas para dicho estudio de la siguiente manera:
de esta manera trabaja cobit adisor tambin cuenta con la parametrizacion de una matriz similar doa en donde el usuario determina debilidades y ortalezas de la misma manera el usuario debe generar una introduccin y hacer algunos apuntes para la Niel de ealuacin deseado por el usuario Niel predeterminado por el sistema
5 generacin de reportes. RLSUMLN LJLCU1IVO Se puede crear un Resumen Ljecutio para documentar los objetios, alcance, antecedentes y conclusiones de la auditoria. Lste resumen se incluye en inormes claes y es accedido haciendo clic en el botn "Resumen Ljecutio" en la icha Naegacin de la entana Principal. CONSOLIDAR LOS RLSUL1ADOS DL MUL1IPLLS ARCHIVOS DL AUDI1ORA Los resultados de mltiples archios de auditoria se pueden cargar, agrupar, analizar y reportar utilizando la lerramienta de Consolidacin. Lsta herramienta le permite er comparatiamente los resultados de archios de auditoria de dierentes unciones del negocio o subsidiarias.
COBI1 adisor tambin genera graicos, el niel y caliicacin de los dierentes dominios, objetios y otros parametros que an hacer ealuados mediante un reporte y de la misma manera los graicos a tras de sus colores permiten ealuar el proceso de la auditoria
Ln esta parte del aplicatio cobit se describi breemente lo que poda hacer , entre otras unciones cobit permite zipear archios, exportar, importar, unir archios, recoger una lista de acciones que han realizado los dierentes usuarios y por ultimo establecer alertas que lo que permite es que el usuario determine un numero determinado de items a los cuales quiere hacer seguimiento especial de esta manera el programa reportara los hechos que acontezcan o modiicaciones realizadas a estos items.
9 adisor, este proee a la organizacin de una herramienta de ealuacin de los riesgos y control interno, basada en el modelo de control interno reconocido en el ambito internacional COSO. Cobit 3rd Ldition Management Advisor permite administrar mas acilmente que nunca los sistemas de inormacin. Al comprender una base de datos de lactores Crticos de Lxito, Indicadores Claes de Objetios, Indicadores Claes de Desempeno y Pasos de Madurez para cada uno de los 34 procesos de Cobit, Cobit 3rd Ldition Management Adisor permite ealuar el proceso de 1ecnologa Inormatica y brindar seguridad a la Alta Gerencia , Directorio de que se identiican y administran los riesgos claes de 1I. Aplicable a organizaciones grandes o pequenas, pblicas o priadas, Cobit 3rd Ldition Management Adisor brinda las herramientas que se necesitan para ealuar y medir el entorno de 1I de la organizacin. COBI1 3RD LDI1ION MANAGLMLN1 ADVISOR PLRMI1L: Aplicar en orma consistente las Guas Gerenciales de 1I en toda la organizacin, utilizando como modelo base la estructura Cobit. Responder a la necesidad de los gerentes de controlar y medir a 1I, proeyndoles la inormacin que necesitan en la orma que desean. Determinar y monitorear el niel apropiado de seguridad y control de 1I de la organizacin mediante las guas gerenciales. IUNCIONALIDA DL COBI1 3RD LDI1ION MANAGLMLN1 ADVISOR : Soporta consolidacin multi-niel, permitiendo comparar resultados a tras de la organizacin y en el tiempo. Posibilita una reisin permanente con la acilidad de destacar los cambios producidos en el tiempo.
80 Se puede modiicar para satisacer los requerimientos especicos del usuario. Proee acilidades para elaborar inormes y graicos estandar en todas las etapas del proceso de auditoria. Lsta basado en \indows, es amigable para el usuario y acil de aprender. 1iene capacidad intranet , Internet. Permite incorporar slo aquellas partes de la estructura Cobit que son releantes para la reisin actual. 4.3.4 Cobit Management Advisor
Risk Adisor V3 es una herramienta completa para administracin y control de riesgos, que brinda: un sistema consistente de administracin de riesgos que cumple con el Lstandar de Administracin de Riesgos 4360:1990 Neozelands,Australiano. administracin de riesgos personalizada a tras de la habilidad de los usuarios de deinir el contexto estratgico, organizacional de administracin de riesgos especico de su organizacin. identiicacin matricial del riesgo especico al contexto estratgico y organizacional. administracin y monitoreo de planes de accin dentro de una base de datos nica. ealuacin semi-cuantitatia de riesgos, controles y tratamientos mediante el analisis de recuencia y consecuencia. una representacin isual del riesgo mediante graicacin en lnea. inormes \ord de alta calidad personalizados a los requerimientos indiiduales del
81 negocio. Risk Adisor V3 es un producto adisor disenado para asistir a las organizaciones a incorporar la administracin de riesgos en sus practicas de negocios. Ll programa llea al usuario a tras de un procesos paso a paso de implementacin de administracin de riesgos, dando a los gerentes de la empresa una oportunidad para considerar su peril actual de riesgos y destacar la existencia o ausencia de mecanismos igentes para mitigar esos riesgos. Risk Adisor V3 es consistente con el Lstandar AS,NZS 4360 de Australia , nuea Zelanda. Lste estandar ue preparado por el Comit Conjunto de Lstandares Australia , estandares Nuea Zelanda sobre Administracin de Riesgos con el objetio de proeer una estructura genrica para la identiicacin, analisis, ealuacin, tratamiento y monitoreo del riesgo. Risk Adisor V3 adopta esta estructura genrica internacionalmente aceptada y la conierte en un paquete de sotware que es amplio, amigable y satisace los requerimientos del estandar 4360. Cuando operan un negocio exitosamente, es ital que los tomadores de decisiones no slo estn concientes de los riesgos que enrenta su empresa, sino que tambin estn concientes de las posibles consecuencias de tal orma poder seguir los pasos necesarios para controlar cualquier impacto. Risk Adisor V3 les permitira a los Gerentes lograr esto. A continuacin se obsera el modelo de Risk adisor V3 que aparece en la pantalla principal de este programa y por consiguiente deiniremos sus componentes:
LS1ABLLCLR LL CON1LX1O Lstablecer el contexto estratgico, organizacional y de administracin de riesgos en el cual tendra lugar el resto del proceso. Debera establecerse los criterios contra los cuales se ealuara el riesgo y deinirse la estructura del analisis. IDLN1IIICA RILSGOS Identiicar riesgos que, por que, y como pueden surgir las cosas como base para analisis posterior.
MONI1ORLAR Y RLVISAR
Monitorear y reisar el desempeno del sistema de administracin de riesgos y los cambios que podran aectarlo.
Determinar los controles existentes y analizar riesgos en termino de consecuencias y probabilidades en el contexto de esos controles. Ll analisis debera considerar el rango de consecuencias potenciales y probabilidades son combinadas para producir nieles un niel estimado de riesgos.
LVALUAR RILSGOS
Comparar los nieles estimados de riesgos contra los criterios preestablecidos. Lsto permite ordenar por importancia los riesgos para identiicar las prioridades de administracin. Si los nieles de riesgos establecidos son bajos, entonces pueden caer en una categora aceptable y no requerir tratamiento.
1RA1AR RILSGOS
Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos. Desarrollar e implementar un plan especiico de administracin que incluya consideraciones de los ondos requeridos.
COMUNICAR Y CONSUL1AR
Comunicar y consultar con los interesados internos y externos segn corresponda en cada etapa del proceso de y en lo concerniente al proceso como un todo.
La inestigacin de los programas de Methodware es una inestigacin terica que busca como resultado la exploracin y proundizacin de los aplicatios para implementar o generar un proceso de auditoria en las dierentes instituciones con el in de desarrollar un sotware estandarizado que posea cada una de las caractersticas principales con el in de generar eiciencia y eectiidad y ante todo logran uno de los objetios principales del control interno como es la transparencia y el buen uncionamiento de las instituciones.