1 Sistemas De Informacin (Si) Un sistema de informacin es un conjunto de elementos que interactan entre s con el fin de apoyar las actividades

de una empresa o negocio. El Sistema de Informacin es un conjunto de elementos orientados al tratamiento y administracin de datos e informacin, organizados y listos para su posterior uso, generados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de alguna de estas categoras:

Elementos de un sistema de informacin. Personas. Datos. Actividades o tcnicas de trabajo. Recursos materiales en general. Todos estos elementos interactan entre s para procesar los datos dando lugar a inf ormacin ms elaborada y distribuyndola de la manera ms adecuada posible en una determ inada organizacin en funcin de sus objetivos. Un sistema de informacin realiza cuatro actividades bsicas: entrada, almacenamient o, procesamiento y salida de informacin. 1.1 Entrada de Informacin Es el proceso mediante el cual el Sistema de Informacin toma los datos que requie re para procesar la informacin. Las entradas pueden ser manuales o automticas. Las manuales son aquellas que se proporcionan en forma directa por el usuario, mien tras que las automticas son datos o informacin que provienen o son tomados de otro s sistemas o mdulos, estas se denominan interfaces automticas. 1.1.2 Almacenamiento de informacin A travs de esta propiedad el sistema puede recordar la informacin guardada en la s eccin o proceso anterior. Esta informacin suele ser almacenada en estructuras de i nformacin denominadas archivos. La unidad tpica de almacenamiento son los discos m agnticos o discos duros, los discos flexibles o diskettes y los discos compactos (CD-ROM). 1.1.3 Procesamiento de Informacin Es la capacidad del Sistema de Informacin para efectuar clculos de acuerdo con un a secuencia de operaciones preestablecida. Estos clculos pueden efectuarse con da tos introducidos recientemente en el sistema o bien con datos que estn almacenado s. 1.1.4 Salida de Informacin La salida es la capacidad de un Sistema de Informacin para sacar la informacin pro cesada o bien datos de entrada al exterior. Es importante aclarar que la salida de un Sistema de Informacin puede constituir la entrada a otro Sistema de Informa cin o mdulo. En este caso, tambin existe una interfase automtica de salida. 1.1.5 Ciclo de vida de los Sistemas de Informacin Existen pautas bsicas para el desarrollo de un Sistema de Informacin para una orga nizacin: Conocimiento de la Organizacin: analizar y conocer todos los sistemas que forman parte de la organizacin, as como los futuros usuarios del SI. En las empresas lucr ativas, se analiza el proceso de negocio y los procesos transaccionales a los qu e dar soporte el SI. Identificacin de problemas y oportunidades: El segundo paso es relevar las situac iones que tiene la organizacin y de las cuales se puede sacar una ventaja competi tiva, as como las situaciones desventajosas o limitaciones que hay que tomar en c

uenta. Determinar las necesidades: Este proceso tambin se denomina elicitacin de requeri mientos. En el mismo, se procede identificar a travs de algn mtodo de recoleccin de informacin la informacin relevante para el SI que se propondr. Diagnstico: En este paso se elabora un informe resaltando los aspectos positivos y negativos de la organizacin. Este informe formar parte de la propuesta del SI y, tambin, ser tomado en cuenta a la hora del diseo. Propuesta: Contando ya con toda la informacin necesaria acerca de la organizacin e s posible elaborar una propuesta formal dirigida hacia la organizacin donde se de talle el presupuesto, relacin costo-beneficio, presentacin del proyecto de desarro llo del SI. Diseo del sistema: Una vez aprobado el proyecto, se comienza con la elaboracin del diseo lgico del SI, la misma incluye el diseo del flujo de la informacin dentro del sistema, los procesos que se realizarn dentro del sistema, entre otros. En este paso es importante seleccionar la plataforma donde se apoyar el SI y el lenguaje de programacin a utilizar. Codificacin: Con el algoritmo ya diseado, se procede a su reescritura en un lengua je de programacin establecido, es decir, en cdigos que la mquina pueda interpretar y ejecutar. Implementacin: Este paso consta de todas las actividades requeridas para la insta lacin de los equipos informticos, redes y la instalacin del programa generado en la codificacin. Mantenimiento: Proceso de retroalimentacin, a travs del cual se puede solicitar la correccin, el mejoramiento o la adaptacin del SI ya creado a otro entorno. 1.1.6 Tipos de sistemas de informacin Debido a que el principal uso que se da a los Sistemas de Informacin es el de opt imizar el desarrollo de las actividades de una organizacin con el fin de ser ms pr oductivos y obtener ventajas competitivas, se puede clasificar a los sistemas d e informacin en: Sistemas Competitivos Sistemas Cooperativos Sistemas que modifican el estilo de operacin del negocio Segn la funcin a la que vayan destinados o el tipo de usuario final del mismo, lo s SI pueden clasificarse en: 1.1.7 Sistema de procesamiento de transacciones (TPS) Gestiona la informacin referente a las transacciones producidas en una empresa u organizacin, tambin se le conoce como Sistema de Informacin operativa. 1.1.8 Sistemas de informacin gerencial (MIS) Orientados a solucionar problemas empresariales en general. 1.1.9 Sistemas de soporte a decisiones (DSS) Herramienta para realizar el anlisis de las diferentes variables de negocio con l a finalidad de apoyar el proceso de toma de decisiones. 1.1.10 Sistemas de informacin ejecutiva (EIS) Herramienta orientada a usuarios de nivel gerencial, que permite monitorizar el estado de las variables de un rea o unidad de la empresa a partir de informacin in terna y externa a la misma. Es en este nivel cuando los sistemas de informacin ma nejan informacin estratgica para las empresas. Con el tiempo, otros sistemas de informacin comenzaron a evolucionar. Los primero s proporcionan informacin a los siguientes a medida que aumenta la escala organiz acional. 1.1.11 Sistemas de automatizacin de oficinas (OAS) Aplicaciones destinadas a ayudar al trabajo diario del administrativo de una emp resa u organizacin. 1.1.12 Sistema Planificacin de Recursos (ERP) Integran la informacin y los procesos de una organizacin en un solo sistema. 1.1.13 Sistema experto (SE) Emulan el comportamiento de un experto en un dominio concreto. 1.1.14 Sistemas de Informacin Estratgicos Puede ser considerado como el uso de la tecnologa de la informacin para soportar o dar forma a la estrategia competitiva de la organizacin, a su plan para incremen

tar o mantener la ventaja competitiva o bien reducir la ventaja de sus competido res. Su funcin primordial es crear una diferencia con respecto a los competidores de l a organizacin que hagan ms atractiva a sta para los potenciales clientes. 1.1.1.5 Aplicacin de los sistemas de informacin Los sistemas de informacin tratan el desarrollo, uso y administracin de la infraes tructura de la tecnologa de la informacin en una organizacin. El mayor de los activos de una compaa hoy en da es su informacin, representada en su personal, experiencia, conocimiento, innovaciones. Para poder competir, las org anizaciones deben poseer una fuerte infraestructura de informacin, en cuyo corazn se sita la infraestructura de la tecnologa de informacin. De tal manera que el sist ema de informacin se centre en estudiar las formas para mejorar el uso de la tecn ologa que soporta el flujo de informacin dentro de la organizacin. 2 Carta De Encargo Es el documento por medio del que una empresa, sociedad o grupo de sociedades co ntrata la prestacin de un servicio de auditora con el fin de determinar la situacin existente en la citada empresa, sociedad o sociedades contratantes en un moment o determinado. Es decir, es el compromiso de una empresa frente a un auditor, so licitando que ste le haga un diagnstico del cumplimiento de las normas y lleve un adecuado control en la empresa en un momento determinado. El propsito de una carta de encargo o acuerdo escrito entre el auditor y su clien te, es proporcionar evidencia que defina el alcance y el objetivo del trabajo a realizar, y que por tanto, evite cualquier malentendido con respecto al mismo. El auditor deber acordar por escrito con su cliente el objetivo y alcance del tra bajo, as como sus honorarios o los criterios para su clculo para todo el periodo d e nombramiento. En el contrato o carta de encargo se deber indicar el total nmero de horas estimad o para la realizacin del trabajo. Cuando el nombramiento se efecta por un Registrador Mercantil o un Juez se deber d etallar, asimismo, el nmero de horas presupuestado por reas de trabajo. A estos ef ectos, antes de aceptar el nombramiento, el auditor podr solicitar de la empresa o entidad auditada todos los datos que considere necesarios para preparar su pro puesta. Antes de aceptar el encargo el auditor debe considerar si existe alguna razn que aconseje su rechazo por razones ticas o tcnicas. 3 Planificacin En grandes lneas de trata de prever la utilizacin de las tecnologas de la informtica en la empresa. Existen varios tipos de planes informticos. El principal y origen de todos los dems, lo constituye el Plan Estratgico de Sistemas de Informacin. 3.1 Plan Estratgico de Sistemas de Informacin Es el marco bsico de actuacin de los Sistemas de Informacin en la empresa, debe ase gurar el lineamiento de los mismos con los objetivos de la misma empresa. Desgraciadamente, la transformacin de los objetivos de la empresa en objetivos in formticos no es siempre una tarea fcil, mucho se ha escrito sobre el contenido y l as ventajas e inconvenientes de las diversas metodologas de realizacin de este tip o de planes. No se trata en estos breves apuntes de tercias en dicha polmica. El lector encontrara abundante bibliografa sobre la materia, el auditor deber evaluar si tales metodologas se estn utilizando y/o pueden ser de utilidad para su empres a. Estrictamente hablando, estos planes no son responsabilidad exclusiva de la Dire ccin de Informtica, su aprobacin final probablemente incumbe a otros estamentos de la empresa: Comit de Informtica e incluso en ltimo trmino de la Direccin General. Sin embargo, la Direccin de Informtica debe ser el permanente impulsor de una planifi cacin de Sistemas de Informacin adecuada y a tiempo Aunque suele definir la vigencia de un plan estratgico como de 3 a 5 aos, de hecho tal plazo es muy dependiente del entorno en que se mueve la empresa, hay muchos factores que influyen; la cultura de la propia empresa, el sector de actividad es decir si la empresa se encuentra en un sector en el que el uso adecuado de la tecnologa informtica es un factor estratgico por ejemplo, las acciones de la compe tencia, etc. Cada empresa tiene su equilibrio natural y el auditor deber evaluar

si los plazos en uso en su empresa son los adecuados, con la identificacin y comp rensin de los mecanismos existentes de seguimiento y actualizacin del plan y de su relacin con la evolucin de la empresa. 3.2 Otros Planes Relacionados Como se ha comentado ms arriba normalmente, deben existir otros planes informticos todos ellos nacidos al amparo del Plan Estratgico, entre otros los ms habituales pueden ser: Plan Operativo Anual Plan de Direccin Tecnolgica Plan de Arquitectura de la Informacin Plan de Recuperacin ante Desastres Algunos de ellos (Plan Tecnolgico, Plan de Arquitectura) aparecen a veces integra dos en el propio Plan Estratgico. En ese captulo se trataran solo dos de estos pla nes, los ms comunes y que, adems siempre tienen vida propia. Plan Operativo y Plan de Recuperacin. 3.2.1 Plan Operativo Anual El Plan Operativo se establece al comienzo en cada ejercicio y es el que marca l as pautas a seguir durante el mismo, debe estar obviamente alineado con el Plan Estratgico, asimismo deber estar precedido de una recogida de necesidades de los u suarios. El Plan Operativo de Sistemas de Informtica describe las actividades a realizar d urante el siguiente ejercicio natural, entre otros aspectos debe sealar los siste mas de informacin a desarrollar, los cambios tecnolgicos previstos, los recursos y los plazos necesarios, etc. El auditor deber evaluar la existencia del Plan y su nivel de calidad, deber estud iar su lineamiento con el Plan Estratgico, su grado de atencin a las necesidades d e los usuarios, sus previsiones de los recursos necesarios para llevar a cabo el plan, etc. Deber analizar si los plazos descritos son realistas teniendo en cuen ta entre otras cosas, las experiencias anteriores en la empresa, etc. 3.2.2 Plan de Recuperacin ante Desastres Una instalacin informtica puede verse afectada por desastres de variada naturaleza , incendio, inundacin, fallo de algn componente critico de hardware, robo, sabotaj e, acto de terrorismo, etc., que tengan como consecuencia inmediata la indisponi bilidad de un servicio informtico adecuado. La Direccin debe prever esta posibilid ad y por tanto planificar para hacerle frente. 3.3 Clasificacin De Los Controles Se han clasificado tradicionalmente, entre Controles generales y Controles de la s aplicaciones. 3.3.1 Controles Generales La Norma No. 48 SAS los define como Aquellos que estn relacionados con todas o con la mayora de las actividades contables informatizadas, que generalmente incluyen controles del desarrollo de las modificaciones y del mantenimiento de programas informticos y controles de la utilizacin y modificacin de los datos que se mantien en en archivos informticos. La RAE manifiesta que son aquellos que afectan un centro del proceso electrnico d e datos. Se consideran tambin controles generales la proteccin de activos (hardwa re y software). 3.3.1.2 Clasificacin de los Controles Generales 3.3.1.2.1 Controles operativos y de organizacin Segregacin de funciones entre el servicio de informacin y los usuarios. Contar con una autorizacin general para ejecutar transacciones del departamento Segregar funciones en el departamento de informtica. 3.3.1.2.2 Control sobre el desarrollo de programas y sus documentos Realizar revisiones, pruebas y aprobar nuevos sistemas Tener control de las modificaciones a los programas. Procedimientos de documentacin 3.3.1.2.3 Controles sobre los programas y los equipos Caractersticas para detectar errores de forma automtica Realizar mantenimientos preventivos. Guas para salir de los errores del equipo (hardware).

 Tener control y autorizacin en la implementacin adecuada de sistemas. 3.3.1.2.4 Controles de acceso Sirven para detectar o prevenir errores accidentales causados por el uso o manip ulacin inadecuada de los archivos de datos y uso no autorizado de los programas. 3.3.1.2.5 Controles sobre los procedimientos y los datos Elaborar manuales escritos para soportar los procedimientos y los sistemas de ap licacin. Realizar conciliaciones entre los datos fuente y los datos informticos. Capacidad de recuperar archivos perdidos, incorrectos o deteriorados. 3.3.2 Controles De Las Aplicaciones Los controles de las aplicaciones estn relacionados con las propias aplicaciones informatizadas. Los controles bsicos de las aplicaciones son tres: captura, proce so y salida. 3.3.2.1 Controles sobre la captura de datos Altas de movimiento Modificaciones de movimiento Consultas de movimientos Mantenimiento de los archivos 3.3.2.2 Controles de proceso Estos controles regularmente se incluyen en los programas y estn diseados para pre venir o detectar los siguientes errores: Entrada de datos repetidos. Procesamiento y actualizacin de archivo o archivos equivocados. Entrada de datos ilgicos. Prdida o distorsin de datos durante el proceso. 3.3.2.3 Controles de salida y distribucin: Estos controles se disean para asegurar que el resultado del proceso es exacto y que los informes y dems salidas los reciben solo las personas que estn autorizadas . En el proyecto Cobit se establece una nueva clasificacin, donde se afirma que exi sten tres niveles en las Tecnologas de la informacin a la hora de considerar la ge stin de sus recursos: actividades y/o tareas, procesos y dominios. 3.3.2.3.1 Actividades y tareas Estas son necesarias para alcanzar un resultado cuantificable. Las actividades s uponen un concepto cclico, mientras que las tareas implican un concepto algo ms di screto. 3.3.2.3.2 Procesos Estos se definen como una serie de actividades o tareas unidas por interrupcione s naturales. 3.3.2.3.3 Dominios Los procesos se agrupan de forma natural dando lugar a los dominios, que se conf irman, generalmente, como dominios de responsabilidad en las estructuras organiz ativas de las empresas y estn en lnea con el ciclo de gestin aplicable a los proces os de las Tecnologas de la Informacin. La Gua de Auditora del Proyecto Cobit recoge 32 procesos de los Sistemas de Inform acin donde se sugieren los objetivos de control. Esos procesos estn agrupados en c uatro dominios. Dominios y procesos de las tecnologas de informacin: 1. Planificacin y organizacin 1.1 Definir el plan estratgico de las Tecnologas de informacin (TTI). 1.2 Definir la arquitectura de la informacin. 1.3 Determinar la direccin tecnolgica. 1.4 Definir la organizacin y las relaciones. 1.5 Gestin de las inversiones. 1.6 Comunicar las tendencias a la direccin. 1.7 Gestin de recursos humanos. 1.8 Asegurarse del cumplimiento de los requisitos externos. 1.9 Evaluacin del riesgo. 1.10 Gestin de proyectos. 1.11 Gestin de la calidad.

2. 2.1 2.2 2.3 2.4 2.5 2.6 3. 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13 4. 4.1 4.2

Adquisicin e implementacin Identificar las soluciones automatizadas. Adquirir y mantener el software. Adquirir y mantener la arquitectura tecnolgica. Desarrollar y mantener procedimientos. Instalar y acreditar los sistemas. Gestin de los cambios. Adquisicin y mantenimiento Definir el nivel de servicios. Gestionar los servicios de las terceras partes. Gestionar la capacidad y el funcionamiento. Asegurarse del servicio continuo. Asegurarse de la seguridad de los sistemas. Identificar y localizar los costes. Formacin terica y prctica de los usuarios. Asistir y asesoras a los clientes. Manejo de la configuracin. Gestin de los problemas y de los incidentes. Gestin de los datos. Gestin de las actividades. Gestin de la explotacin. Monitorizacin: Monitorizar el proceso. Independencia.

3.4 Evaluacin de los Controles Internos El libro Auditora Informtica, un enfoque prctico, segunda edicin del autor Mario Piatt ini, menciona que es funcin del auditor evaluar el nivel de control interno; tambin es de su responsabilidad juzgar si los procedimientos establecidos son los adec uados para salvaguardar el sistema de informacin. La Norma Internacional de Auditora No. 15, seccin 401, contiene los principios bsic os para una Auditora en un Ambiente de Sistemas de Informacin Computarizada, propo rcionando lineamientos sobre los procedimientos que deben seguirse cuando se rea liza una auditora en un ambiente de sistema de informacin computarizada (SIC). El objetivo y alcance globales de una auditora no cambia en un ambiente SIC. Sin embargo el uso de una computadora cambia el procesamiento, almacenamiento y comu nicacin de la informacin financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad. El auditor debera tener suficiente conocimiento del SIC para planear, dirigir, su pervisar y revisar el trabajo desarrollado. El auditor debera considerar si se ne cesitan habilidades especializadas en SIC para una auditora. Si se necesitan habilidades especializadas, el auditor buscara la ayuda de un pro fesional con dichas habilidades, quien puede pertenecer al personal del auditor o ser un profesional externo. Cuando el SIC es significativo, el auditor deber tambin obtener una comprensin del ambiente SIC y de si puede influir en la evaluacin de los riesgos inherentes y de control. Los riesgos inherente y de control en un ambiente SIC pueden tener tanto un efec to general como especifico por cuenta de la probabilidad de representaciones errn eas importantes tales como por ejemplo: Deficiencias en actividades generales del SIC como desarrollo y mantenimiento de programas, soporte al software de sistemas, operaciones, seguridad fsica del SIC

y control sobre el acceso a programas. Errores o actividades fraudulentas en aplicaciones especficas, en bases de datos especficas o en archivos maestros. Los procedimientos de auditora de acuerdo a la NIA Evaluaciones del riesgo y contr ol interno, el auditor debera considerar el ambiente SIC al disear los procedimient os de auditora para reducir el riesgo de auditora a un nivel aceptablemente bajo, para lo cual se desarrollan diferentes etapas en el proceso de evaluacin las mism as consisten en recabar la mayor informacin disponible sobre: Manuales de funciones y procedimientos para SIC. Contratos de servicios de mantenimiento y soporte de SIC. Polticas para los accesos y manipulacin de los SIC. Estado fsico del equipo de cmputo. Rotacin de personal que manipula informacin relevante del SIC. Entre otros.

Para el logro de una evaluacin del control interno eficaz y significativa la cual brinde al auditor entera satisfaccin de que los SIC han sido conocidos, interpre tados y puestos a prueba, el autor hace mencin a la realizacin de diversos procedi mientos los cuales se deberan de realizar en la Planeacin Estratgica, los mismos co nstan de cuestionarios de control interno, los cuales se deberan plantear en form a de pregunta cerrada y tomando como base la documentacin que el auditor debi reco pilar durante el proceso de obtencin de normas, reglamentos, leyes, etc., los cua les normen el funcionamiento de los SIC. A continuacin se presenta un ejemplo de un cuestionario de control interno el cua l tiene como objetivo el recabar informacin y formarse una idea e interpretacione s generales de los SIC. Entre ellos:

Nombre: Auditora V. Perodo: del 01 de Enero al 29 de Febrero 2012. Tipo de Auditoria: De Sistemas rea Auditada: Coordinacin Plan Fin de Semana Facultad de CC.EE. USAC Nombre de Entrevistado: Lic. Luis Suarez Puesto: Director de Coor dinacin Pregunta SI NO Ref. 1. Se realizan los procedimientos descritos en los manuales para el control y presentacin de las notas a Registro y Estadstica? 2. Se realiza supervisin y control de las notas manejadas en medios electrnico s por los catedrticos docentes segn las normas internas de la facultad? 3. Se solicita la ejecucin de back up de la informacin registrada del personal docente y alumnos de la facultad segn el manual para el resguardo de datos elect rnicos? 4. Se realizan cambios y actualizaciones oportunas de usuarios y contraseas s egn lo establece el procedimiento interno para accesos a los programas computariz ados de la facultad?

5. Se actualizan los antivirus y contrafuegos para evitar accesos indebidos a los programas computarizados segn el procedimiento interno para resguardo de la informacin electrnica de la facultad? X

DCI-1

DCI-2

3.5 Establecimiento de Objetivos En relacin a la importancia de los riesgos encontrados por el auditor establecer l os objetivos de la auditoria, cuya determinacin definir el alcance de la misma. El riesgo se convierte en una oracin negativa de un objetivo de auditora, si esta oracin se transformar en una afirmativa se tiene como resultado un objetivo de con trol Ejemplo: Pregunta de cuestionario para la entrevista: Tiene su empresa normas escritas de cmo deben hacerse los traspases de programas e n desarrollo a programas en explotacin? Si la respuesta fuera NO, se concluye que existe un riesgo consistente en que cada empleado por no dejar evidencia escrita se estn realizando de manera incorrecta por la fuga de informacin en el trasvase no dejando pistas para verificar los pas os que se han dado. La debilidad seria: La empresa no tiene normas escritas de cmo deben hacerse los traspasos de program as en desarrollo a programas en explotacin. El Objetivo de control seria: Comprobar que la empresa cuenta con manuales escritos de cmo deben hacer los tras pases de programas en desarrollo a programas en explotacin. Y para alcanzar este objetivo habr que disear una serie de pruebas de cumplimiento y sustantivas convirtindose cada una de estas pruebas en un procedimiento. Los procedimientos podran ser: a) Pruebas de Cumplimiento Si se confirma que no existen manuales no se podra realizar estas pruebas, el pro cedimiento podra ser: Comprobar que las normas para pasar un programa de desarrollo a explotacin son ad ecuadas y que se estn cumpliendo. Por otro lado la inexistencia de manuales no implica que el procedimiento que se hace este incorrecto pero para confirmarlo se deberan hacer pruebas sustantivas. b) Pruebas Sustantivas Revisar las aplicaciones, si son pocas se revisan todas; si son muchas se realiz a una muestra de los programas que se han pasado de desarrollo a explotacin. Que han sido sometidas a un lote de pruebas y las han superado satisfactoriament e, que cumplen con los requisitos y que el traspaso ha sido autorizado por una p ersona con suficiente autoridad. Para comprender y evaluar los riesgos no siempre son suficientes las entrevistas , inspecciones y confirmaciones, puede ser necesario realizar clculos y tcnicas de examen analtico. La confirmacin consiste en corroborar con terceros por escrito la informacin que e xiste en los registros. Los clculos consisten en comprobar la exactitud aritmtica de los registros de dato s. Las tcnicas de examen analtico consisten en comparar los importes encontrados con las expectativas del auditor al evaluar las distintas partidas de la informacin a uditada. Siempre que la naturaleza de los datos lo permita es conveniente utilizar tcnicas de examen analtico (Norma tcnica numero 5 de ISACA sobre la realizacin del trabajo ). 3.6 Planeacin Administrativa

No debe realizarsehasta haber terminado la Planificacin Estratgica. Pueden surgir en esta fase ciertos problemas de coincidencia en las fechas de trabajo del pers onal de la empresa auditora con otros clientes. Deben quedar claros los siguient es aspectos: Evidencia: Se podr realizar una relacin de la documentacin disponible de la etapa a nterior, indicando el lugar donde se encuentra para que estn a disposicin del equi po de auditoria. Personal: De que personal se va a disponer, que conocimientos tienen y si es nec esarios utilizar a un experto pudiendo ser de la compaa auditoria o externo. Calendario: Establecer la fecha de inicio y finalizacin de la auditoria y estipul ar en que lugar se va a realizar cada tarea. Coordinacin y cooperacin: Debe existir una buena relacin entre el auditado y el aud itor, sin que se viole el principio de independencia. 3.7 Planificacion Tecnica En esta ultima fase se elabora el programa de trabajo. Anteriormente, en la fase de Planificacion Estrategica se establecieron los obje tivos de la auditoria. En la fase de Planificacion Administrativa se asignaron l os recursos de personal, tiempo, etc. En esta fase de Planificacion Tecnica, se indican los metodos a seguir, es decir si se va a seguir un metodo de auditoria basado en los controles o todo lo cont rario, un metodo de auditoria basado en pruebas sustantivas, asi tambien si indi can los procedimientos, las tecnicas y las herramientas que se utilizaran para p oder alcanzar los objetivos deseados de la auditoria. El programa de auditoria debera ser abierto y flexible, de una forma que se pued an ir agregando o introduciendo cambios a medida que se necesiten, segn se vaya c onociendo de una mejor forma el sistema. Tanto el programa de auditoria, como l os papeles de trabajo son propiedad del auditor, este no tiene obligacion de ens earlos al auditado (empresa que se audita), y debe guardar dichos documentos dura nte el plazo que indique la ley, hasta que estos prescriban. Dedicarle el tiempo necesario a la planificacion, nos permite evitar perdidas de tiempo y de recursos innecesarios. Segn explica el escritor E. Perry (Planing ED P Audits): Que la distribucion del tiempo empleado en llevar a cabo una auditori a, es de un tercio para planificar, un tercio para llevar a cabo el trabajo de c ampo y un tercio en la elaboracion del informe de auditoria. Para llevar a cabo este programa, se sigue la guia del proceso Gestion de la Exp lotacion. Ciertos aspectos de la explotacion de un sistema de informacion pueden quedar al margen del proceso. Esto es debido a la clasificacion que hace CobiT. Esta es una de las grandes ven tajas que presenta esta Guia CobiT, la cual facilita la comunicacin en el sentido de que podemos determinar con claridad el alcance de la auditoria. 3.7.1 Objetivos de Control para Tecnologas de informacin y relacionadas (COBIT, en ingles: Control Objectives for Information and related Technology) Es un conjunto de mejores prcticas para el manejo de informacin creado por la Asoc iacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: Informa tion Systems Audit and Control Association), y el Instituto de Administracin de l as Tecnologas de la Informacin (ITGI, en ingls: IT GovernanceInstitute) en 1992 4 Realizacion del Trabajo (Procedimientos) Este consiste en llevar a cabo las pruebas sustantivas y de cumplimiento que se han planificado, para alcanzar los objetivos de la auditoria. 4.1 Objetivo general. El objetivo general de la auditoria consistiria en:

Asegurarse de que las funciones que sirven de apoyo a las Tecnololigas e Informa cion y satisfacen los requisitos empresariales. 4.2 Objetivos Especificos. Para alcanzar el objetivo general, este se puede dividir en varios objetivos esp ecificos sobre los cuales se realizaran las pruebas oportunas, para asi asegurar se que el objetivo general se ha llevado a cabo. El esquema de trabajo para cada uno de los objetivos es el siguiente: Comprender las tareas, las actividades del proceso que se esta auditando. Si fuera necesario, se ampliarian las entrevistas que hemos realizado en la fase de planificacion estrategica. Determinar si son o no apropiados los controles que se estan instalando. Si fuese necesario, se ampliarian las pruebas que se han llevado a cabo en las f ase de planificacion estrategica. Realizar pruebas de cumplimiento, para determinar si los controles que estan ins talaldos funcionan segn lo establecido, de manera consistente y continua. El objetivo de estas pruebas consiste en analizar el nivel de cumplimiento de la s normas de controlo que tiene establecidas el auditario. Se supone que estas n ormas de control son eficientes y efectivas. Realizar pruebas sustantivas para aquellos objetivosde control cuyo buen funcion amiento con las pruebas de cumplimiento no nos han satisfecho. El objetivo de estas pruebas, consiste en realizar las pruebas necesarias sobre los datos, para que proporcionen la suficiente seguridad a la direccion sobre si se ha alcanzado su objetivo empresarial. Debera hacerse el maximo numero de pruebas sustantivas si: No existen instrumentos de medida de los controles. Los instrumentos de medida que existen, se consideran inadecuados. Las pruebas de cumplimiento indican que los instrumentos de medida de los contro les no se han aplicado correctamente de una manera consistente y continua. El auditor deberia haber realizado las suficientes pruebas sobre los resultados de las distintas tareas y actividades de la explotacion del sistema de informaci on como para poder determinar si los objetivos de control se han alcanzado o no. Con esa informacion debe elaborar un informe y si procede, hacer las recomendac iones oportunas. 5 Informes Es el resultado de la informacin, estudios, investigacin y anlisis efectuados por l os auditores durante la realizacin de una auditora, que de forma normalizada expre sa por escrito su opinin sobre el rea o actividad auditada en relacin con los objet ivos fijados, sealan las debilidades de control interno, si las ha habido, y form ula recomendaciones pertinentes para eliminar las causas de tales deficiencias y establecer las medidas correctoras adecuadas.

5.1 Importancia Y Relevancia Del Informe El producto que vende Auditora son sus informes. Se remiten a las ms altas autoridades de la organizacin. Es el medio de que se vale Auditora para dar a conocer su opinin. Es su vehculo de comunicacin. Ponen de manifiesto si los auditores tienen una visin gerencial de las reas audita das o carecen de ella. Si estn realmente capacitados. Son representativos de la calidad de la Auditora Interna en cuanto a: formacin pro fesional, cultura, estilo, correccin en el lenguaje escrito, etc. Cada informe es una carta de presentacin de la Auditora, los errores de concepto, la falta de oportunidad de las recomendaciones y la deficiente redaccin pueden pr oducirse en cualquier auditora y es algo que debe evitarse. Los tipos de opiniones generalmente aceptas en auditoria, son cuatro: Si se concluye que el sistema es satisfactorio el auditor dara una opinin favorabl e. Si el auditor considera que el sistema es un desastre, su opinin sera desfavorable .

 Si el sistema es valido pero tiene algunos fallos que no lo invalidan, la opinin ser con salvedades. Tambin podr ocurrir que el auditor no tenga suficientes elementos de juicio para p oder opinar: en este caso no opinara por lo que su resultado seria: denegacin de o pinin. 5.2 Tipos de Informes 5.2.1 Favorable En nuestra opinin el servicio de explotacin u las funciones que sirven de apoyo a las tecnologas de la informacin se realizan con regularidad, de forma ordenada u s atisfacen los requisitos empresariales. 5.2.2 Desfavorable En nuestra opinin, dada la importancia de los efectos de las salvedades comentada s en los puntos X, X1, de este informe, el servicio de explotacin u las funciones que sirven de apoyo a las tecnologas de la informacin no realizan con regularidad , ni de forma ordenada y no satisfacen los requisitos que la empresa requiere. 5.2.3 Con salvedades En nuestra opinin, excepto por los efectos de las salvedades que se comentan en e l punto X de este informe el servicio de explotacin y las funciones que sirven de apoyo a las tecnologas de la informacin se realizan con regularidad, de forma ord enada y satisfacen los requisitos empresariales. Nota: En una parte del informe se indicaran cuales son las salvedades y en este mismo documento o en documento aparte se harn las recomendaciones oportunas para mejorar el sistema, para que en una siguiente auditoria no existan las salvedade s comentadas. 5.3 Denegacin de Opinin En el caso de que las salvedades impidan hacernos una opinin del servicio de exp lotacin, ya sea por falta de informacin o por no haber tenido acceso a ella por l os motivos que fueren, pero siempre ajenos a nuestra voluntad, y no obstante, ha ber intentado hacer pruebas alternativas, el auditor denegar su opinin. 5.4 Recomendaciones En el caso de que el auditor durante la realizacin de la auditoria detecte debili dades, este debe comunicarlas al auditado con la mayor prontitud posible. Un esq uema, generalmente aceptado, de cmo presentar las debilidades es el siguiente: Describir la debilidad Indicar el criterio o instrumento de medida que se ha utilizado Indicar los efectos que puede tener el sistema de informacin Describir la recomendacin con la que esa debilidad se podra eliminar.

5.5 Normas Para Elaborar Los Informes La elaboracin y el contenido de los informes de auditoria deben ajustarse a las n ormas de auditoria de sistemas de informacin generalmente aceptadas y aplicables (NASIGAA). Entre otros motivos porque facilita la comparacin de los informes real izados por distintos auditores. Por tanto, siguiendo las normas nmeros 9 y 10 de G eneral Estndar For Informacion Systems Auditing Emitidas por ISACA, adems del prrafo de opinin antes indicado el informe de auditora deber contener otra informacin adic ional. El informe es el instrumento que se utiliza para comunicar los objetivos de la a uditoria, el alcance que vaya a tener, las debilidades que se detecten y las con clusiones a las que se lleguen, a la hora de preparar el informe, el auditor deb e tener en cuenta las necesidades y caractersticas de los que se suponen sern sus destinatarios. El informe debe contener un prrafo en el que se indiquen los objet

ivos que se pretenden cumplir. Si segn la opinin del auditor, alguno de estos obje tivos no se pudiera alcanzar se debe indicar en el informe. En el informe de auditora se deben mencionar cuales son las NASIGAA que se han se guido para realizar el trabajo de auditora. Tambin se deben indicar las excepcione s en el seguimiento de estas normas tcnicas, el motivo de no seguirlas, y cuando proceda, tambin se deben indicar los efectos potenciales que pudieran tener en lo s resultados de la auditoria. El informe de auditora se ha de mencionar el alcance de la auditoria, as como desc ribir la naturaleza y la extensin del trabajo de auditora. En el prrafo de alcance se deben indicar el rea/proceso, el periodo de auditora, el sistema, las aplicacio nes y los procesos auditados. Asimismo se indicaran las circunstancias que hayan limitado el alcance cuando, en opinin del auditor, no se hayan podido completar todas las pruebas y procedimientos diseados, o cuando el auditado haya impuesto res tricciones o limitaciones al trabajo de auditora. Si durante el trabajo se detectaran debilidades en el sistema de informacin de la entidad auditada estas debern indicarse en el informe, as como sus causas, sus ef ectos y las recomendaciones necesarias para mejorar o eliminar las debilidades. El auditor debe expresar en el informe su opinin sobre el rea o proceso auditado. No obstante, en funcin de los objetivos de la auditoria, esta opinin puede ser gen eral y referirse a todas las reas o procesos en su conjunto. El informe de auditora debe presentarse de una forma lgica y organizada. Debe cont ener la informacin suficiente para que sea comprendido por el destinatario y este pueda llevar a cabo las acciones pertinentes para introducir las correcciones o portunas que mejoren el sistema. El informe se debe emitir en el momento ms adecuado para que permita que las acci ones que tenga que poner en prctica el auditario, tengan los mayores efectos positi vos posibles. Con anterioridad al informe, el auditor puede emitir, si lo consi dera oportuno, recomendaciones destinadas a personas concretas. Estas recomendac iones no deberan alterar el contenido del informe. En el informe se debe indicar la entidad que se audita y la fecha de emisin del i nforme para que este no llegue a manos indebidas. 6 La Documentacin de la Auditoria y su Organizacin 6.1 Papeles de trabajo Es el registro del trabajo de auditoria realizado y la evidencia que sirve de so porte a las debilidades encontradas y las conclusiones a las que ha llegado el a uditor. Los papeles de trabajo se deben disear y organizar segn las circunstancia s y las necesidades del auditor. Todo trabajo debe quedar reflejado en los pape les por los siguientes motivos: Recogen la evidencia obtenida a lo largo del trabajo. Ayudan al auditor en el desarrollo de su trabajo Ofrecen un soporte del trabajo realizado para as, poder utilizarlo en auditorias sucesivas Permiten que el trabajo pueda ser revisado por terceros. 6.2 Archivos Los papeles de trabajo que el auditor va elaborando se puede organizar en dos a rchivos principales: El archivo Permanente o continua de auditoria y el archivo corriente o de la auditoria en curso. 6.2.1 Archivo Permanente El archivo permanente contiene todos aquellos papeles que tienen un inters contin uo y una validez plurianual tales como: Caractersticas de los equipos y de las aplicaciones, Manuales de los equipos y de las aplicaciones, Descripcin del control interno. Organigramas de la empresa en general, Organigramas del servicio de informacin y divisin de funciones, Cuadro de planificacin plurianual de auditoria, Escrituras y contratos,

 Consideraciones sobre el negocio, Consideraciones sobre el sector, Y en general toda aquella informacin que puede tener una importancia para auditor ias posteriores. 6.2.2 Archivo Corriente Este archivo, a su vez, se suele dividir en archivo general y en archivo de reas o de procesos. 6.2.3 Archivo General Los documentos que se suelen archivar aqu son aquellos que no tienen cabida especf ica en alguna de las reas/procesos en que hemos dividido el trabajo de auditoria tales como: s. El informe del auditor La carta de recomendaciones, Los acontecimientos posteriores, El cuadro de planificacin de la auditoria corriente, La correspondencia que se ha mantenido con la direccin de la empresa, El tiempo que cada persona del equipo ha empleado en cada una de las reas/proceso

6.2.4 Archivo Por Areas/Procesos Se debe preparar un archivo para cada una de las reas o procesos en que hayamos d ividido el trabajo e incluir en cada archivo todos los documentos que hayamos ne cesitado para realizar el trabajo de esa rea proceso concreto. Al menos debern inc luirse los siguientes documentos. Programa de auditoria de cada una de las ares/procesos. Conclusiones del rea/proceso en cuestin, Conclusiones del procedimiento en cuestin.

7 CONCLUSIONES La labor del auditor informtico es esencial para garantizar la adecuacin de los si stemas informticos; para ello debe realizar su trabajo apegndose a las Normas de A uditoria de Sistemas de Informacin Generalmente Aceptadas y Aplicables como requi sito necesario que garantice la calidad del trabajo realizado y que la evidencia de este quede documentada. A medida que la sociedad se va sistematizando cadavez ms, es necesario disear norm as para que las empresas tengan la seguridad de que los sistemas funcionan y que sus datos se mantienen con la debida confidencialidad. Los informes de los distintos auditores se pueden comparar, siempre y cuando se tengo un archivo adecuado de los papeles de trabajo.

8 RECOMENDACIONES Es de suma importancia que el auditor de sistemas informticos tenga una panormica general y muy bien soportada en sus papeles de trabajo, para que la evaluacin que realice al hardware sea lo suficientemente objetiva y brinde una opinin certera sobre la razonabilidad de la informacin generada. El auditor de sistemas informticos debe de cumplir con las normas de observancia general emitidas por entidades internacionales, nacionales, internas, etc., las cuales le brinden un marco regulatorio adecuado y satisfaga con criterios soport ados la opinin que va a emitir sobre la razonabilidad de los sistemas informticos.

9 BIBLIOGRAFIA 1. Auditoria Informtica, Un enfoque practico, 2 . Edicin ampliada y modificada, Mario Gerardo Piattini y Emilio del Peso Navarro, Editorial Madrid, Espaa. 2. Norma Internacional de Auditora No. 15, Sec. 401, Auditora en un Ambiente de Sistemas de Informacin por Computadora, International Standard on Auditing ISA , traduccin al espaol por Instituto Mexicano de Contadores Pblicos y Auditores (IMC P), ao 2002. 3. www, wikipedia.org