AUDITORIA DE LA EXPOTACIN

Zambrano Garca Karen Andreina

15/08/2011 Quinto A

Contenido
OBJETIVOS ..................................................................................................................................... 3 INTRODUCCIN ............................................................................................................................. 4 CONTENIDO ................................................................................................................................... 5 AUDITORIA DE LA EXPLOTACIN .................................................................................................. 5 SISTEMAS DE INFORMACIN: ................................................................................................... 5 ESQUEMA DE UN PROCEDIMIENTO DE AUDITORAS DE LA EXPLOTACIN DE LOS SISTEMAS DE INFORMACIN ................................................................................................ 6 CARTA DE ENCARGO ............................................................................................................. 6 PLANIFICACIN ................................................................................................................ 7 Planificacin Estratgica........................................................................................................ 7 CLASIFICACIN DE LOS CONTROLES ......................................................................................... 8 CONTROLES GENERALES. .......................................................................................................... 8 CONTROLES DE LAS APLICACIONES:.......................................................................................... 9 Actividades y tareas .............................................................................................................. 9 Procesos ................................................................................................................................ 9 Dominios ............................................................................................................................. 10 Evaluacin de los controles internos. ................................................................................. 10 PLANIFICACIN ADMINISTRATIVA .......................................................................................... 10 PLANIFICACIN TCNICA......................................................................................................... 11 REALIZACIN DE TRABAJO (PROCEDIMIENTOS) ..................................................................... 11 INFORMES ............................................................................................................................... 12 TIPOS DE INFORMES............................................................................................................ 12 RECOMENDACIONES ............................................................................................................... 12 NORMAS PARA ELABORAR LOS INFORMES ............................................................................ 13 LA DOCUMENTACIN DE LA AUDITORA Y SU ORGANIZACIN ............................................. 14 PAPELES DE TRABAJO .......................................................................................................... 14 ARCHIVOS ............................................................................................................................ 14 Archivo permanente ........................................................................................................... 14 Archivo corriente................................................................................................................. 14 Archivo general ................................................................................................................... 14 Archivo por reas/procesos ................................................................................................ 14 CONCLUSIN ............................................................................................................................... 15 RECOMENDACIONES ................................................................................................................... 15

BIBLIOGRAFA .............................................................................................................................. 16

OBJETIVOS

Producir resultados informticos de todo tipo (Planificacin, Produccin y Soporte Tcnico). Conocer las fases de la auditora de la explotacin. Auditar las distintas secciones que componen la Empresa.

INTRODUCCIN

El nivel de competencia que existe, hoy en da, entre las empresas les obliga a tomar decisiones rpidas y acertadas. Es necesario, para ello, el funcionamiento adecuado de los sistemas informticos mediante la incorporacin de nuevas tecnologas y su continua actualizacin. Combinando esas tecnologas con una adecuada organizacin y una gestin eficiente, las empresas podrn alcanzar sus objetivos de manera satisfactoria.

La auditora informtica peridica es uno de los instrumentos ms eficaces con que cuentan las empresas para asegurar su existencia y superar a sus competidores. La deteccin oportuna de las debilidades del sistema permite mejorarlo racionalizando los recursos.

CONTENIDO

AUDITORIA DE LA EXPLOTACIN
SISTEMAS DE INFORMACIN:
Un Sistema de Informacin (SI) es un conjunto de componentes que interactan para que la empresa pueda alcanzar sus objetivos satisfactoriamente. Los componentes o recursos de un SI son:

Datos. Tanto estructurados y no estructurados, imgenes, sonidos, etc. Aplicaciones. Incluye aplicaciones manuales e informticas. Tecnologa. Software y Hardware, sistemas operativos, sistemas de gestin de bases de datos, sistemas de red, etc. Instalaciones. En ellas se ubican y se mantienen los sistemas de informacin. Personal. Los conocimientos especficos que ha de tener el personal de los SI para planificarlos, organizarlos, administrarlos y gestionarlos.

Normas CONTROL Entradas Salidas

PROCESO

Personal

Aplicaciones

Tecnologas

Instalaciones

Datos

Sistemas de Informacin

Estos recursos se han de utilizar de forma que permitan la eficacia y la eficiencia de la Empresa. Por otra parte el sistema debe asegurar la confidencialidad y veracidad.

Para hacer el seguimiento y comprobar que el sistema de informacin est actuando como es preceptivo, ste habr de disponer de un control interno que prevenga los eventos no deseados o en su defecto los detecte y corrija. El esquema que se ir desarrollando como procedimiento para auditar la explotacin del sistema, se adoptarn las normas de ISACA, as como otras Normas de Auditora de Sistemas de Informacin General Aceptadas y Aplicables (NASIGAA).

ESQUEMA DE UN PROCEDIMIENTO DE AUDITORAS DE LA EXPLOTACIN DE LOS SISTEMAS DE INFORMACIN

Inicio

Contrato o Carta de Encargo Planificacin Estrategica: Estudio y evaliacin de riesgos. Establecimiento de Objetivos.

Planificacin

Planificacin Administrativa Planificacin Tcnica: Programa de trabajo Actualizacin del programa de trabajo

Realizar el Trabajo

Pruebas de Cumplimiento Pruebas Sustantivas Revisin del Trabajo

Reviciones e Informes

Elaboracin de Informes Distribucin de Informes

Fin

Archivar los papeles de Trabajo

Esquema de un Procedimiento de Auditoras de la Explotacin de los Sistemas de Informacin

CARTA DE ENCARGO

Las responsabilidades del trabajo de auditora deben quedar recogidas en un contrato o Carta de Encargo antes de comenzar su realizacin. En ese documento debe quedar reflejado cual ser el alcance del trabajo del auditor.

PLANIFICACIN Las Auditoras de los Sistemas de Informacin deben planificarse y supervisarse para tener la seguridad de que los objetivos de las mismas se alcancen y se cumplan las Normas de Auditora de Sistemas de Informacin General Aceptadas y Aplicables (NASIGAA).

Se consideran tres fases: Planificacin Estratgica. Planificacin Administrativa. Planificacin Tcnica.

Planificacin Estratgica.

Es una revisin global que permite conocer la empresa, el SI y su control interno con la intencin de hacer una primera evaluacin de riesgos y segn los resultados establecer los objetivos de la auditora, sus alcances y las pruebas que hayan de aplicarse, as como el momento de realizarlas. Para llevar a cabo esta tarea es necesario conocer los siguientes aspectos: Las caractersticas de los equipos informticos. El o los sistemas operativos. Caractersticas de los archivos o bases de datos. La organizacin de la empresa. La organizacin del servicio de explotacin. Las aplicaciones que el SI de la empresa que se est o se vaya a auditar estn en explotacin. El sector donde opera la empresa. Informacin comercial.

La informacin puede obtenerse: a) Mediante entrevistas o confirmaciones: Con los responsables de explotacin. Con los responsables del plan de contingencias. Con los usuarios. Con los proveedores de software y hardware. b) Inspeccionando la siguiente informacin: Informes y papeles de trabajo de auditoras anteriores. Las normas y procedimientos de la empresa relacionados con la explotacin del SI. Los planes de contingencias.

Agenda de trabajo. Instrucciones sobre el encendido y apagado de os equipos. Contratos de mantenimientos con otras personas. Procedimientos de emergencias. Instrucciones sobre seguridad fsica y lgica. Instrucciones sobre la separacin de las bibliotecas de desarrollo y produccin. Una muestra representativa de las instrucciones operativas de as aplicaciones ms importantes donde se incluyan: fecha, entradas, tiempo de proceso, mensajes de errores, instrucciones para finalizar tareas errneas y diarios de operaciones.

CLASIFICACIN DE LOS CONTROLES

En la auditoria informtica se ha distinguido, tradicionalmente en los siguientes controles. Controles Generales Controles De Las Aplicaciones

CONTROLES GENERALES.
Los controles generales son una parte del entorno general de control y son aquellos que afectan, en un centro de proceso electrnico de datos, a toda la informacin por igual y a la continuidad de este servicio en la entidad. Tambin se consideran controles generales aquellos relacionados con la proteccin de los activos: la informacin resultante, los elementos fsicos del hardware y el software. La debilidad o ausencia de estos controles pueden tener un impacto significativo en la integridad y exactitud de los datos. Los controles generales se pueden clasificar en las siguientes categoras: CONTROLES Controles Operativos y de Organizacin: CARACTERSTICAS Segregacin de funciones entre le servicios de Informacin y los usuarios. Existencia de autorizacin general en lo que respecta a la ejecucin y a las transacciones del departamento. Realizacin de revisiones, pruebas y aprobacin de los nuevos sistemas. Controles de las modificaciones de los programas. Procedimientos de documentacin. Caractersticas para detectar, de manera automtica, errores. Hacer mantenimiento preventivos peridicos.

Controles sobre el Desarrollo de Programas y su Documentacin: Controles sobre los Programas y los Equipos:

 Procedimientos para salir de los errores de los equipos (HW). Controles de Acceso: Sirven para detectar y/o prevenir errores accidentales o deliberados, causados por el uso o la manipulacin inadecuada de los archivos de datos y por el uso incorrecto o no autorizado de los programas. Manuales escritos como soporte de los procedimientos y de los sistemas de aplicacin. Capacidad para restaurar archivos perdidos, deteriorados o incorrectos.

Controles sobre los Procedimientos y los Datos:

CONTROLES DE LAS APLICACIONES:

Los controles de las aplicaciones son aquellos relacionados con las propias aplicaciones Informatizadas. Los controles bsicos de las aplicaciones son tres: captura, proceso y salida. CONTROLES Controles sobre la Captura de Datos: CARACTERSTICAS Altas de movimientos. Modificaciones de movimientos. Consultas de movimientos. Mantenimientos de los archivos. Entrada de datos. Procesamiento y actualizacin de archivo o archivos equivocados. Entrada de datos ilgicos. Perdida yo distorsin de datos durante el proceso. Asegurar de que el resultado del proceso esa exacto y que los informes y dems salidas los reciben solo las personas que estn autorizadas.

Controles Proceso:

de

Controles de Salida y Distribucin:

En el proyecto CobiT se establece otra clasificacin, donde se afirma que existen tres niveles en las tecnologas de la informacin a la hora de considerar la gestin de sus recursos:
Actividades y tareas

Las actividades y las tareas son necesarias para alcanzar un resultado cuantificable. Las actividades suponen un concepto fijo, mientras que las tareas implican un concepto algo ms discreto.
Procesos

Los procesos se definen como una serie de actividades o tareas unidad por interrupciones naturales.

Dominios

Los procesos se agrupan de forma natural dando lugar a los dominios, que se confirman, generalmente, como dominios de responsabilidad en las estructuras organizativas de las empresas y estn en lnea con el ciclo de gestin aplicable a los procesos de las Tecnologas de Informacin. La gua de auditoria del Proyecto CobiT recoge 32 procesos de los sistemas de informacin donde se surgieren los objetivos de control. Esos procesos estn agrupados en cuatro dominios.

Planificacin y organizacin. Adquisicin e implementacin. Suministro y mantenimiento Monitorizacin.

Evaluacin de los controles internos.

Es funcin del auditor evaluar el nivel de control interno: tambin es de su responsabilidad juzgar si los procedimientos establecidos son los adecuados para proteger el sistema de informacin. Para evaluar los controles es necesario buscar evidencia sobre: La terminacin completa de todos los procesos. Las normas del nivel de servicios de los proveedores. Las estadsticas del funcionamiento. Los estndares de funcionamiento interno. La realizacin del mantenimiento peridico de todos los equipos. La evidencia de la rotacin de los turnos de los operadores y de las vacaciones tomadas.

PLANIFICACIN ADMINISTRATIVA
La planificacin administrativa no se debera hacer hasta haber concluido la planificacin estratgica. En esta fase pueden surgir ciertos problemas, por coincidir la fecha de trabajo de la empresa auditora con otros clientes. Se deben tener claros ciertos aspectos:

Evidencia.- Se podr hacer una relacin con la documentacin anterior disponible, documentacin que se utilizar indicando el lugar donde se encuentra para que este a disposicin.

10

Personal.- Personal con el que se va a disponer, que conocimiento y experiencia son los ideales y va a ser necesario o no contar con expertos. Calendario.- Establecer el comienzo y finalizacin del de la auditora y determinar dnde se va a realizar cada tarea: en dependencia del cliente o en las oficinas de auditor. Coordinacin y Cooperacin.- Es necesario que el auditor mantenga buenas relaciones con el auditario, que se establezca entre ambos , un nivel de cooperacin sin que deje de cumplirse el principio de la independencia.

PLANIFICACIN TCNICA
Esta ltima fase se ha de elaborar el programa de trabajo. En la fase de planificacin estratgica se han establecido los objetivos de la auditoria, en la planificacin administrativa los recursos de personal, tiempo, etc., y en esta fase se indican los mtodos que se van a seguir, los procedimientos y tcnicas, que se utilizarn para alcanzar los objetivos. El programa de auditora debe ser flexible, para poder introduciendo cambios a medida que se vaya conociendo mejor el sistema. El programa y el resto de los papeles de trabajo son de propiedad del auditor, no tiene obligacin de mostrrselos a la empresa. Dedicarle a la planificacin el tiempo necesario permite evitar prdidas innecesarias de tiempo y de recursos.

REALIZACIN DE TRABAJO (PROCEDIMIENTOS)

Consiste en llevar a cabo las pruebas de cumplimiento y sustantivas que se han planificado para poder alcanzar los objetivos de la auditora. Objetivo General.- Consiste en, asegurarse de que las funciones que sirven de apoyo a las tecnologas de la informacin se realizan con regularidad, de forma ordenada y satisfacen los requisitos empresariales. Objetivos Especficos.- Para alcanzar el Objetivo General, se puede dividir ese objetivo en diversos objetivos especficos sobre los que se realizarn pruebas oportunas, para asegurarse que el objetivo general se alcanza. El esquema de trabajo para cada uno de los objetivos es el siguiente: Comprender las tareas, las actividades del proceso que se est auditando Si fuera necesario ampliaramos las entrevistas que se han realizado en la fase de planificacin estratgica Determinar si son o no apropiados los controles que estn instalados Si fuera necesario ampliaramos las pruebas que se han realizado en la fase de planificacin estratgica

11

Hacer pruebas de cumplimiento para determinar si los controles que estn instalados funcionan segn lo establecido Esta consiste en analizar el nivel de cumplimiento de las normas de control que tiene establecidas el auditario, se supone que son efectivas y eficientes. Hacer pruebas sustantivas para aquellos objetivos de control cuyo buen funcionamiento con las pruebas de cumplimiento no nos han satisfecho Consiste en realizar las pruebas necesarias sobre los datos para que proporcionen la suficiente seguridad a la direccin sobre si se a alcanzado su objetivo empresarial.

Habr que realizarse un nmero de pruebas sustantivas si: No existe instrumentos de medida de controles Los instrumentos de medidas que existes se considera que no son los adecuados Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han aplicado de manera consistente y continua

INFORMES
TIPOS DE INFORMES

Una vez realizadas todas las fases anteriores, el auditor est en condiciones de emitir un informe en el que exprese su opinin. Los tipos de opiniones bsicas, generalmente aceptadas en auditora, son cuatro:

1. Si se concluye que el sistema es satisfactorio, el auditor dara una opinin favorable. 2. Si el auditor considera que el sistema es un desastre, su opinin sera desfavorable. 3. El sistema es vlido pero tiene algunos fallos que no lo invalidan, opinin con salvedades. 4. Tambin podra ocurrir que el auditor no tenga suficientes elementos de juicio para poder opinar; en ese caso no opinara: denegacin de opinin.

RECOMENDACIONES
En el caso de que el auditor durante la realizacin de la auditora detecte debilidades, ste debe comunicarlas al auditado con la mayor prontitud posible. Un esquema, generalmente aceptado, de cmo presentar las debilidades es el siguiente:

12

Describir la debilidad. Indicar el criterio o instrumento de medida que se ha utilizado. Indicar los efectos que puede tener en el sistema de informacin. Describir la recomendacin con la que esa debilidad se podra eliminar.

A continuacin se completan las caractersticas que debe tener un buen informe de auditora:

NORMAS PARA ELABORAR LOS INFORMES

A la hora de preparar el informe, el auditor debe tener en cuenta las necesidades y caractersticas de los que se suponen sern sus destinatarios. El informe debe contener un prrafo en el que se indiquen los objetivos que se pretenden cumplir. Si, segn la opinin del auditor, alguno de estos objetivos no se pudiera alcanzar, se debe indicar en el informe.

En el informe de auditora se ha de mencionar el alcance de la auditora. Se deben indicar el rea/proceso, el perodo de auditora, el sistema, las aplicaciones y los procesos auditados. Asimismo se indicarn las circunstancias que hayan limitado el alcance cuando, en opinin del auditor, no se hayan podido completar todas las pruebas y procedimientos diseados, o cuando el auditario haya impuesto restricciones o limitaciones al trabajo de auditora.

El informe de auditora debe presentarse de una forma lgica y organizada. Debe contener la informacin suficiente para que sea comprendido por el destinatario y ste pueda llevar a cabo las acciones pertinentes para introducir las correcciones oportunas que mejoren el sistema.

En el informe se debe indicar la entidad que se audita y la fecha de emisin del informe, tambin se deben indicar las restricciones que fuesen convenientes a la hora de distribuir el informe para que ste no llegue a manos indebidas.

13

LA DOCUMENTACIN DE LA AUDITORA Y SU ORGANIZACIN

PAPELES DE TRABAJO

Es el registro del trabajo de auditora realizado y la evidencia que sirve de soporte a las debilidades encontradas y las conclusiones a las que ha llegado el auditor. Recogen la evidencia obtenida a lo largo del trabajo. Ayudan al auditor en el desarrollo de su trabajo. Ofrece un soporte del trabajo realizado. Permiten que el trabajo pueda ser revisado por terceros.

ARCHIVOS

Los papeles de trabajo que el auditor va elaborando se pueden organizar en dos archivos principales: el archivo permanente y el archivo corriente o de la auditora en curso.
Archivo permanente

El archivo permanente contiene todos aquellos papeles que tienen un inters continuo y una validez plurianual.

Archivo corriente

Este archivo, a su vez, se suele dividir en archivo general y en archivo de reas o de procesos:
Archivo general

Los documentos que se suelen archivar aqu son aquellos que no tienen cabida especfica en alguna de las reas/procesos en que hemos dividido el trabajo de auditora, como el informe del Auditor o el Cuadro de Planificacin de la auditora.
Archivo por reas/procesos

Se debe preparar un archivo para cada una de las reas o procesos en que hayamos dividido el trabajo e incluir en cada archivo todos los documentos que hayamos necesitado para realizar el trabajo de esa rea/proceso concreto.

14

CONCLUSIN
La labor del auditor informtico es esencial para garantizar la adecuacin de los sistemas informticos.

RECOMENDACIONES
El auditor debe realizar su trabajo atenindose a las Normas de Auditora de Sistemas de Informacin Generalmente Aceptadas y Aplicables como requisito necesario que garantice la calidad del trabajo realizado. Documentar todo el trabajo realizado.

15

BIBLIOGRAFA

DEL PESO NAVARRO Emilio, PIATTINI VELTHUIS Mario. Auditora informtica: un enfoque prctico. 2000, pgs. 231-260. http://www.eici.ucm.cl/Academicos/ygomez/descargas/Aud_Seg_Sist/ Auditoria-Explotacion.ppt http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml

16