Beruflich Dokumente
Kultur Dokumente
INTRODUCCION......................................................................................3
CAPÍTULO 1. - REFLEXIONES TEÓRICAS SOBRE LAS
AUDITORÍAS INFORMÁTICAS............................................................4
PREMISAS FILOSÓFICAS...........................................................................................................................................................4
CARACTERIZACIÓN, FUNCIONES Y ALCANCE DE LA AUDITORÍA INFORMÁTICA...................................................................................5
PRINCIPALES TIPOS DE AUDITORÍA INFORMÁTICA........................................................................................................................6
Premisas Filosóficas
A finales del siglo XX, los SISTEMAS INFORMATICOS se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más vitales y
necesarios para cualquier organización empresarial, los SISTEMAS de INFORMACION
de la empresa.
La Informática hoy esta integrada en la gestión integral de la empresa, tanto para garantizar
la rapidez y eficiencia de las operaciones, así como para facilitar la toma de decisiones
oportunas y seguras al ejecutivo. Es por ello que las normas y estándares informáticos
deben someterse a los generales de la misma.
Su Alcance trasciende a:
• Proceso de emisión de políticas y directrices para administrar la aplicación de las
tecnologías de Información en calidad de consultores dada su experiencia en la
aplicación del Control Interno.
1°- Obtener una base evaluativa confiable o principios generalmente aceptados que
sustentaran aquellos aspectos que sobre la tecnología de información debían ser
evaluados en su correspondiente enfoque sistémico.
2°- Definir una metodología adecuada de trabajo que permitiera elaborar nuestros propios
programas de Auditoría con la dinámica que estos exigen y adecuado a las
características en concreto de cada lugar atemperado al concepto más amplio de
Sistemas de Información soportados sobre las tecnologías de información en su
concepto más amplio.
Diagrama Informativo-Operacional
Al concluir los pasos anteriores hemos focalizado los aspectos que deben ser verificados o
evaluados acorde a las características o Sistema existente en el objeto de Auditoría.
Las interrogantes que pueden decidir los pasos a seguir tales como:
¿Cuál es la relación Costo Beneficio acorde a la importancia que se le atribuye a la
Auditoría?
¿Cuál es el nivel de riesgo del auditor aceptable para los resultados?
¿Cómo medir los resultados del Auditor?
¿Cuál es el tiempo definido para la Auditoría y la consideración de si este debe ser
reconsiderado?
¿Qué fuerzas son necesarias emplear para el desarrollo de la Auditoría?
¿Es necesario la incorporación de especialistas específicos que dictaminen sobre
aspectos concretos?
Esto implica que las variables:
Estrategia,
Alcance,
Nivel de riesgo tolerable del Auditor
Deben ser definidos antes de elaborar el Plan de Acción o Programa de Auditoría, por
cuanto de estas respuestas depende la rentabilidad y eficiencia de la Auditoría así como la
calidad de la información y las pruebas que se obtengan.
Este es un paso muy importantes en el sentido que es aquí dónde se moldea la Estrategia
y las premisas claves de la Auditoría, se obtiene el punto de vista y las sugerencias del
Jefe de Grupo, se determina cuán importante es la Auditoría para la Entidad y qué nivel de
riesgo de Auditoría se puede aceptar en relación con la importancia del Area o Sistema
que representa el Auditado. Se refleja además en la calidad de la opinión necesaria para
minimizar la posibilidad de arribar a una opinión equivocada que pudiera afectar la
credibilidad e integridad del auditor.
Elaboración del Programa de Auditoría: Está claro que en esos momentos ya hemos
definido:
Los Objetivos que hay que verificar,
Los riesgos que son necesarios evaluar y
Las Técnicas que vamos a emplear.
Para la consecución de los aspectos anteriores se pueden plantear el empleo de programas
específicos propios de la tecnología existente tales como los que obran en la bibliografía
del Manual de la Corporación CIMEX, “La Auditoría Informática: un enfoque práctico”,
entre otras referencias, pero particularizado el Plan de Acción a las condiciones concretas
del Auditado.
Queremos señalar que no siempre es posible encontrar en la literatura Programas de
Auditoría a algunos procesos específicos siendo necesario elaborar los mismos, en nuestra
experiencia lo realizamos a través de la elaboración de un documento que cuenta con la
siguiente estructura:
♦ Gestión de Tarifas
♦ Control sobre la información de los Abonados
♦ Cumplimiento de normativas internas
Orden
Orden de de Servicio
Trabajo Orden de
Trabajo
Centro
Telefónico Centro de Supervisión
y Gestión
Tráfico a
Facturar Cumplimiento
Indicadores
Dirección Oficina
Facturación Comercial
Cumplimiento
Indicadores Tráfico Abonados
Como parte además de la fase de investigación preliminar o etapa de exploración se muestra la
arquitectura funcional de la Central Telefónica desde le punto de vista de los macro procesos que la
componen.
SUBSISTEMA
DE
AGRUPACIÓN
DE ABONADOS
LR
CSNL MATRIZ
STS
PCM CENTRAL
CSND LR
DE
PCM SMT
CSED CONEXIÓN
PCM SMX
LR
BSC*
PCM SMA
RCP*
MIS
Vicepresidencia
VPON Solicitud de Comercial
Servicio
Orden
Orden de de Servicio
Trabajo Orden de
Trabajo
Centro
Telefónico Centro de Supervisión
y Gestión
Tráfico a
Facturar Cumplimiento
Indicadores
Dirección Oficina
Facturación Comercial
Cumplimiento
Indicadores Tráfico Abonados
En la Tecnología destacamos el SMC por ser el Subsistema de Multiprocesadoras encargada de llevar el control de las
funciones de los Abonados, la Tasación , el Traductor, entre otros, y a éste están conectados las estaciones de trabajo que
opera y gestiona el hombre las que actúan directamente sobre la Central Telefónica.
SUBSISTEMA
DE
AGRUPACIÓN
DE ABONADOS
LR
CSNL MATRIZ
STS
PCM CENTRAL
CSND LR
DE
PCM SMT
CSED CONEXIÓN
PCM SMX
LR
BSC*
PCM SMA
RCP*
MIS
.
la Central Telefónica con miras a la prevención de los problemas
La Estrategia, Alcance y Nivel de Riesgo del auditor fueron analizados cuidadosamente
toda vez que no poseíamos experiencia en este sentido ni literatura que propiciara indicios
de cómo actuar en estas circunstancias, determinando que debíamos elaborar programas
que formalizaran la información de la Central, redefinimos los objetivos claves en aras de
una relación eficaz Costo/Beneficio y creamos condiciones para futuras actuaciones los
procesos asociados a una Central Digital.
Esto permitió disminuir considerablemente el nivel de riesgo, minimizando el nivel de
riesgo y revisando sistemáticamente la estrategia trazada evaluando la efectividad de la
misma.
Las técnicas y herramientas a emplear están en dependencia de la caracterización del tipo
de sistema que estemos auditando, nos encontrábamos ante un sistema En Línea dónde se
plantea que entre otras herramientas de prueba más eficaces se encuentran, entre otros:
Documentación de Especificaciones del Sistema
Simulador de terminal batch.
Facilidad integrada de Prueba.
Programas implantados para colectar datos de prueba
Reconocimiento en línea.
Prueba de transacciones virtuales.
Módulos de Auditabilidad implantados
Módulos de Simulación de Sistemas
Por consiguiente, luego de definir los Riesgos y técnicas de prueba a emplear definimos el
Programa de Auditoría a emplear del cual adjuntamos algunos aspectos del mismo.
OBJETIVOS DE RIESGOS OBJETIVOS DE TÉCNICAS DE
CONTROL AUDITORÍA Y PRUEBA/PASOS
PRUEBA
ESPECÍFICOS
E.S. 11 Administración de• Inconsistencia entre las tarifas•Verificar si seAplicación de softwares
Datos definidas en Comercial y las corresponden la Ordenesespecíficos para el análisis
existentes en la Central Digital de Trabajo con los datosde las Bases de Datos.
• Error en las zonastarifarias de la Central Elaboración de programas
definidas por Comercial y las• Conciliación de Bases deque normalicen las Bases de
definidas en la Central. Datos para verificar suDatos de la Central
exactitud, suficiencia y
validez con Bases
análogas.
E.S. 11.28 Garantizar la• Inconsistencia en la•Verificación de laAplicación de softwares
integridad en el información referente a los integridad de laespecíficos como elWinIdea
procesamiento de datos. abonados según contrato y la información a través deo ACL
definida a los mismos en la la técnica del muestreo.
Central Telefónica.
E.S. 13.6 Realizar la• Deficiente análisis periódico•Interrogación de mandosSelección de los mandos a
revisión del llenado de las de la información contenida y revisión de modelosverificar.
bitácoras de operaciones en las bitácoras de la Central con el objetivo deAplicación de softwares de
mediante interrogación en con miras a la prevención de verificar elselección
sus salvas sistemáticas. los problemas. cumplimiento de esta
tarea.
Capítulo 3. - Proyecciones de trabajo para ETECSA en las Auditorías
Informáticas
Continuar con el desarrollo de nuestro sitio WEB haciéndolo más dinámico como
alternativa de promover y dar a conocer los fundamentos, resultados y principales
riesgos y deficiencias de la Empresa.
Comenzar la preparación de programas de Auditoria que nos pongan a tono con las
aspiraciones del país y la Empresa en aspectos tales como el Comercio Electrónico,
Servicios de videoconferencia, Gestión Integrada de Tecnologías, entre otros.
No cabe duda de que nuestra línea de acción es adecuada por el empuje que la Auditoria
Informática ha obtenido en nuestra Empresa en el escaso término de 3 años.
COM
Consideramos conveniente, en nuestra opinión, la generalización e implantación del
Modelo Cobit en el conocimiento de las Auditorías Informáticas como principio
generalmente aceptable para la evaluación de los Sistemas Informáticos. Su
aprendizaje nos permitirá transitar nuestro conocimiento hacia valoraciones más
integradoras en el desarrollo de la especialidad.