92557711 Auditoria de La Explotacion

5/17/2018 92557711 Auditoria de La Explotacion - slidepdf.com

http://slidepdf.com/reader/full/92557711-auditoria-de-la-explotacion 1/31

3

1 Sistemas De Información (Si)

Un sistema de información es un conjunto de elementos que interactúan entre

sí con el fin de apoyar las actividades de una empresa o negocio. El Sistema

de Información es un conjunto de elementos orientados al tratamiento y

administración de datos e información, organizados y listos para su posterior

uso, generados para cubrir una necesidad u objetivo.

Dichos elementos formarán parte de alguna de estas categorías:

Elementos de un sistema de información.

Personas.

Datos.

Actividades o técnicas de trabajo.

Recursos materiales en general.

Todos estos elementos interactúan entre sí para procesar los datos dando

lugar a información más elaborada y distribuyéndola de la manera másadecuada posible en una determinada organización en función de sus

objetivos.

Un sistema de información realiza cuatro actividades básicas: entrada,

almacenamiento, procesamiento y salida de información.



4

1.1 Entrada de Información

Es el proceso mediante el cual el Sistema de Información toma los datos que

requiere para procesar la información. Las entradas pueden ser manuales o

automáticas. Las manuales son aquellas que se proporcionan en forma directapor el usuario, mientras que las automáticas son datos o información que

provienen o son tomados de otros sistemas o módulos, estas se denominan

interfaces automáticas.

1.1.2 Almacenamiento de información

A través de esta propiedad el sistema puede recordar la información guardada

en la sección o proceso anterior. Esta información suele ser almacenada en

estructuras de información denominadas archivos. La unidad típica de

almacenamiento son los discos magnéticos o discos duros, los discos flexibles

o diskettes y los discos compactos (CD-ROM).

1.1.3 Procesamiento de Información

Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo

con una secuencia de operaciones preestablecida. Estos cálculos pueden

efectuarse con datos introducidos recientemente en el sistema o bien con datos

que están almacenados.

1.1.4 Salida de Información

La salida es la capacidad de un Sistema de Información para sacar la

información procesada o bien datos de entrada al exterior. Es importante

aclarar que la salida de un Sistema de Información puede constituir la entrada a

otro Sistema de Información o módulo. En este caso, también existe una

interfase automática de salida.

1.1.5 Ciclo de vida de los Sistemas de Información

Existen pautas básicas para el desarrollo de un Sistema de Información para

una organización:



5

Conocimiento de la Organización: analizar y conocer todos los sistemas

que forman parte de la organización, así como los futuros usuarios del

SI. En las empresas lucrativas, se analiza el proceso de negocio y los

procesos transaccionales a los que dará soporte el SI.

Identificación de problemas y oportunidades: El segundo paso es relevar

las situaciones que tiene la organización y de las cuales se puede sacar

una ventaja competitiva, así como las situaciones desventajosas o

limitaciones que hay que tomar en cuenta.

Determinar las necesidades: Este proceso también se denomina

elicitación de requerimientos. En el mismo, se procede identificar a

través de algún método de recolección de información la información

relevante para el SI que se propondrá.

Diagnóstico: En este paso se elabora un informe resaltando los aspectos

positivos y negativos de la organización. Este informe formará parte de

la propuesta del SI y, también, será tomado en cuenta a la hora del

diseño.

Propuesta: Contando ya con toda la información necesaria acerca de la

organización es posible elaborar una propuesta formal dirigida hacia la

organización donde se detalle el presupuesto, relación costo-beneficio,

presentación del proyecto de desarrollo del SI.

Diseño del sistema: Una vez aprobado el proyecto, se comienza con la

elaboración del diseño lógico del SI, la misma incluye el diseño del flujo

de la información dentro del sistema, los procesos que se realizarán

dentro del sistema, entre otros. En este paso es importante seleccionar

la plataforma donde se apoyará el SI y el lenguaje de programación a

utilizar.

Codificación: Con el algoritmo ya diseñado, se procede a su reescritura

en un lenguaje de programación establecido, es decir, en códigos que la

máquina pueda interpretar y ejecutar.

Implementación: Este paso consta de todas las actividades requeridas

para la instalación de los equipos informáticos, redes y la instalación del

programa generado en la codificación.



6

Mantenimiento: Proceso de retroalimentación, a través del cual se puede

solicitar la corrección, el mejoramiento o la adaptación del SI ya creado a

otro entorno.

1.1.6 Tipos de sistemas de información

Debido a que el principal uso que se da a los Sistemas de Información es el de

optimizar el desarrollo de las actividades de una organización con el fin de ser

más productivos y obtener ventajas competitivas, se puede clasificar a los

sistemas de información en:

Sistemas Competitivos

Sistemas Cooperativos

Sistemas que modifican el estilo de operación del negocio

Según la función a la que vayan destinados o el tipo de usuario final del mismo,

los SI pueden clasificarse en:

1.1.7 Sistema de procesamiento de transacciones (TPS)

Gestiona la información referente a las transacciones producidas en una

empresa u organización, también se le conoce como Sistema de Información

operativa.

1.1.8 Sistemas de información gerencial (MIS)

Orientados a solucionar problemas empresariales en general.

1.1.9 Sistemas de soporte a decisiones (DSS)

Herramienta para realizar el análisis de las diferentes variables de negocio con

la finalidad de apoyar el proceso de toma de decisiones.

1.1.10 Sistemas de información ejecutiva (EIS)

Herramienta orientada a usuarios de nivel gerencial, que permite monitorizar el

estado de las variables de un área o unidad de la empresa a partir de



7

información interna y externa a la misma. Es en este nivel cuando los sistemas

de información manejan información estratégica para las empresas.

Con el tiempo, otros sistemas de información comenzaron a evolucionar. Los

primeros proporcionan información a los siguientes a medida que aumenta la

escala organizacional.

1.1.11 Sistemas de automatización de oficinas (OAS)

Aplicaciones destinadas a ayudar al trabajo diario del administrativo de una

empresa u organización.

1.1.12 Sistema Planificación de Recursos (ERP)

Integran la información y los procesos de una organización en un solo sistema.

1.1.13 Sistema experto (SE)

Emulan1 el comportamiento de un experto en un dominio concreto.

1.1.14 Sistemas de Información Estratégicos

Puede ser considerado como el uso de la tecnología de la información para

soportar o dar forma a la estrategia competitiva de la organización, a su plan

para incrementar o mantener la ventaja competitiva o bien reducir la ventaja de

sus competidores.

Su función primordial es crear una diferencia con respecto a los competidores

de la organización que hagan más atractiva a ésta para los potencialesclientes.

1.1.1.5 Aplicación de los sistemas de información

Los sistemas de información tratan el desarrollo, uso y administración de la

infraestructura de la tecnología de la información en una organización.

1 En informática, un emulador es un software que permite ejecutar programas o videojuegos en una plataforma (sea una arquitectura

de hardware o un sistema operativo) diferente de aquella para la cual fueron escritos originalmente.

http://es.wikipedia.org/wiki/Inform%C3%A1tica

http://es.wikipedia.org/wiki/Software

http://es.wikipedia.org/wiki/Programa_inform%C3%A1tico

http://es.wikipedia.org/wiki/Hardware

http://es.wikipedia.org/wiki/Sistema_operativo

http://es.wikipedia.org/wiki/Sistema_operativo

http://es.wikipedia.org/wiki/Hardware

http://es.wikipedia.org/wiki/Programa_inform%C3%A1tico

http://es.wikipedia.org/wiki/Software

http://es.wikipedia.org/wiki/Inform%C3%A1tica



8

El mayor de los activos de una compañía hoy en día es su información,

representada en su personal, experiencia, conocimiento, innovaciones. Para

poder competir, las organizaciones deben poseer una fuerte infraestructura de

información, en cuyo corazón se sitúa la infraestructura de la tecnología de

información. De tal manera que el sistema de información se centre en estudiar

las formas para mejorar el uso de la tecnología que soporta el flujo de

información dentro de la organización.

2 Carta De Encargo

Es el documento por medio del que una empresa, sociedad o grupo de

sociedades contrata la prestación de un servicio de auditoría con el fin dedeterminar la situación existente en la citada empresa, sociedad o sociedades

contratantes en un momento determinado. Es decir, es el compromiso de una

empresa frente a un auditor, solicitando que éste le haga un diagnóstico del

cumplimiento de las normas y lleve un adecuado control en la empresa en un

momento determinado.

El propósito de una carta de encargo o acuerdo escrito entre el auditor y su

cliente, es proporcionar evidencia que defina el alcance y el objetivo del trabajo

a realizar, y que por tanto, evite cualquier malentendido con respecto al mismo.

El auditor deberá acordar por escrito con su cliente el objetivo y alcance del

trabajo, así como sus honorarios o los criterios para su cálculo para todo el

periodo de nombramiento.

En el contrato o carta de encargo se deberá indicar el total número de horas

estimado para la realización del trabajo.

Cuando el nombramiento se efectúa por un Registrador Mercantil o un Juez se

deberá detallar, asimismo, el número de horas presupuestado por áreas de

trabajo. A estos efectos, antes de aceptar el nombramiento, el auditor podrá

solicitar de la empresa o entidad auditada todos los datos que considere

necesarios para preparar su propuesta.



9

Antes de aceptar el encargo el auditor debe considerar si existe alguna razón

que aconseje su rechazo por razones éticas o técnicas.

3 Planificación

En grandes líneas de trata de prever la utilización de las tecnologías de la

informática en la empresa. Existen varios tipos de planes informáticos. El

principal y origen de todos los demás, lo constituye el Plan Estratégico de

Sistemas de Información.

3.1 Plan Estratégico de Sistemas de Información

Es el marco básico de actuación de los Sistemas de Información en la

empresa, debe asegurar el lineamiento de los mismos con los objetivos de la

misma empresa.

Desgraciadamente, la transformación de los objetivos de la empresa en

objetivos informáticos no es siempre una tarea fácil, mucho se ha escrito sobre

el contenido y las ventajas e inconvenientes de las diversas metodologías de

realización de este tipo de planes. No se trata en estos breves apuntes de

tercias en dicha polémica. El lector encontrara abundante bibliografía sobre la

materia, el auditor deberá evaluar si tales metodologías se están utilizando y/o

pueden ser de utilidad para su empresa.

Estrictamente hablando, estos planes no son responsabilidad exclusiva de la

Dirección de Informática, su aprobación final probablemente incumbe a otros

estamentos de la empresa: Comité de Informática e incluso en último término

de la Dirección General. Sin embargo, la Dirección de Informática debe ser el

permanente impulsor de una planificación de Sistemas de Información

adecuada y a tiempo

Aunque suele definir la vigencia de un plan estratégico como de 3 a 5 años, de

hecho tal plazo es muy dependiente del entorno en que se mueve la empresa,

hay muchos factores que influyen; la cultura de la propia empresa, el sector de

actividad es decir si la empresa se encuentra en un sector en el que el uso

adecuado de la tecnología informática es un factor estratégico por ejemplo, las

acciones de la competencia, etc. Cada empresa tiene su equilibrio natural y el



10

auditor deberá evaluar si los plazos en uso en su empresa son los adecuados,

con la identificación y comprensión de los mecanismos existentes de

seguimiento y actualización del plan y de su relación con la evolución de la

empresa.

3.2 Otros Planes Relacionados

Como se ha comentado más arriba normalmente, deben existir otros planes

informáticos todos ellos nacidos al amparo del Plan Estratégico, entre otros los

más habituales pueden ser:

Plan Operativo Anual

Plan de Dirección Tecnológica

Plan de Arquitectura de la Información

Plan de Recuperación ante Desastres

Algunos de ellos (Plan Tecnológico, Plan de Arquitectura) aparecen a veces

integrados en el propio Plan Estratégico. En ese capítulo se trataran solo dos

de estos planes, los más comunes y que, además siempre tienen vida propia.

Plan Operativo y Plan de Recuperación.

3.2.1 Plan Operativo Anual

El Plan Operativo se establece al comienzo en cada ejercicio y es el que marca

las pautas a seguir durante el mismo, debe estar obviamente alineado con el

Plan Estratégico, asimismo deberá estar precedido de una recogida de

necesidades de los usuarios.

El Plan Operativo de Sistemas de Informática describe las actividades a

realizar durante el siguiente ejercicio natural, entre otros aspectos debe señalar

los sistemas de información a desarrollar, los cambios tecnológicos previstos,

los recursos y los plazos necesarios, etc.

El auditor deberá evaluar la existencia del Plan y su nivel de calidad, deberá

estudiar su lineamiento con el Plan Estratégico, su grado de atención a las

necesidades de los usuarios, sus previsiones de los recursos necesarios para

llevar a cabo el plan, etc. Deberá analizar si los plazos descritos son realistas



11

teniendo en cuenta entre otras cosas, las experiencias anteriores en la

empresa, etc.

3.2.2 Plan de Recuperación ante Desastres

Una instalación informática puede verse afectada por desastres de variada

naturaleza, incendio, inundación, fallo de algún componente critico de

hardware, robo, sabotaje, acto de terrorismo, etc., que tengan como

consecuencia inmediata la indisponibilidad de un servicio informático

adecuado. La Dirección debe prever esta posibilidad y por tanto planificar para

hacerle frente.

3.3 Clasificación De Los Controles

Se han clasificado tradicionalmente, entre Controles generales y Controles de

las aplicaciones.

3.3.1 Controles Generales

La Norma No. 48 SAS los define como “Aquellos que están relacionados con

todas o con la mayoría de las actividades contables informatizadas, quegeneralmente incluyen controles del desarrollo de las modificaciones y del

mantenimiento de programas informáticos y controles de la utilización y

modificación de los datos que se mantienen en archivos informáticos”.

La RAE manifiesta que son aquellos que afectan un centro del proceso

electrónico de datos. Se consideran también controles generales la protección

de activos (hardware y software).

3.3.1.2 Clasificación de los Controles Generales

3.3.1.2.1 Controles operativos y de organización

Segregación de funciones entre el servicio de información y los usuarios.

Contar con una autorización general para ejecutar transacciones del

departamento

Segregar funciones en el departamento de informática.



12

3.3.1.2.2 Control sobre el desarrollo de programas y sus documentos

Realizar revisiones, pruebas y aprobar nuevos sistemas

Tener control de las modificaciones a los programas.

Procedimientos de documentación

3.3.1.2.3 Controles sobre los programas y los equipos

Características para detectar errores de forma automática

Realizar mantenimientos preventivos.

Guías para salir de los errores del equipo (hardware).

Tener control y autorización en la implementación adecuada desistemas.

3.3.1.2.4 Controles de acceso

Sirven para detectar o prevenir errores accidentales causados por el uso

o manipulación inadecuada de los archivos de datos y uso no autorizado

de los programas.

3.3.1.2.5 Controles sobre los procedimientos y los datos

Elaborar manuales escritos para soportar los procedimientos y los

sistemas de aplicación.

Realizar conciliaciones entre los datos fuente y los datos informáticos.

Capacidad de recuperar archivos perdidos, incorrectos o deteriorados.

3.3.2 Controles De Las AplicacionesLos controles de las aplicaciones están relacionados con las propias

aplicaciones informatizadas. Los controles básicos de las aplicaciones son tres:

captura, proceso y salida.

3.3.2.1 Controles sobre la captura de datos

Altas de movimiento

Modificaciones de movimiento

Consultas de movimientos



13

Mantenimiento de los archivos

3.3.2.2 Controles de proceso

Estos controles regularmente se incluyen en los programas y están diseñados

para prevenir o detectar los siguientes errores:

Entrada de datos repetidos.

Procesamiento y actualización de archivo o archivos equivocados.

Entrada de datos ilógicos.

Pérdida o distorsión de datos durante el proceso.

3.3.2.3 Controles de salida y distribución:

Estos controles se diseñan para asegurar que el resultado del proceso es

exacto y que los informes y demás salidas los reciben solo las personas que

estén autorizadas.

En el proyecto Cobit se establece una nueva clasificación, donde se afirma que

existen tres niveles en las Tecnologías de la información a la hora de

considerar la gestión de sus recursos: actividades y/o tareas, procesos y

dominios.

3.3.2.3.1 Actividades y tareas

Estas son necesarias para alcanzar un resultado cuantificable. Las actividades

suponen un concepto cíclico, mientras que las tareas implican un concepto algo

más discreto.

3.3.2.3.2 Procesos

Estos se definen como una serie de actividades o tareas unidas por

interrupciones naturales.

3.3.2.3.3 Dominios

Los procesos se agrupan de forma natural dando lugar a los dominios, que se

confirman, generalmente, como dominios de responsabilidad en las estructuras

organizativas de las empresas y están en línea con el ciclo de gestión aplicable

a los procesos de las Tecnologías de la Información.



14

La Guía de Auditoría del Proyecto Cobit recoge 32 procesos de los Sistemas

de Información donde se sugieren los objetivos de control. Esos procesos están

agrupados en cuatro dominios.

Dominios y procesos de las tecnologías de información:

1. Planificación y organización

1.1 Definir el plan estratégico de las Tecnologías de información (TTI).

1.2 Definir la arquitectura de la información.

1.3 Determinar la dirección tecnológica.

1.4 Definir la organización y las relaciones.

1.5 Gestión de las inversiones.

1.6 Comunicar las tendencias a la dirección.

1.7 Gestión de recursos humanos.

1.8 Asegurarse del cumplimiento de los requisitos externos.

1.9 Evaluación del riesgo.

1.10 Gestión de proyectos.

1.11 Gestión de la calidad.

2. Adquisición e implementación

2.1 Identificar las soluciones automatizadas.

2.2 Adquirir y mantener el software.

2.3 Adquirir y mantener la arquitectura tecnológica.

2.4 Desarrollar y mantener procedimientos.

2.5 Instalar y acreditar los sistemas.

2.6 Gestión de los cambios.

3. Adquisición y mantenimiento

3.1 Definir el nivel de servicios.

3.2 Gestionar los servicios de las terceras partes.

3.3 Gestionar la capacidad y el funcionamiento.

3.4 Asegurarse del servicio continuo.

3.5 Asegurarse de la seguridad de los sistemas.

3.6 Identificar y localizar los costes.

3.7 Formación teórica y práctica de los usuarios.



15

3.8 Asistir y asesoras a los clientes.

3.9 Manejo de la configuración.

3.10 Gestión de los problemas y de los incidentes.

3.11 Gestión de los datos.

3.12 Gestión de las actividades.

3.13 Gestión de la explotación.

4. Monitorización:

4.1 Monitorizar el proceso.

4.2 Independencia.

3.4 Evaluación de los Controles Internos

El libro “Auditoría Informática, un enfoque práctico”, segunda edición del autor

Mario Piattini, menciona que “es función del auditor evaluar el nivel de control

interno; también es de su responsabilidad juzgar si los procedimientos

establecidos son los adecuados para salvaguardar el sistema de información” .

La Norma Internacional de Auditoría No. 15, sección 401, contiene losprincipios básicos para una Auditoría en un Ambiente de Sistemas de

Información Computarizada, proporcionando lineamientos sobre los

procedimientos que deben seguirse cuando se realiza una auditoría en un

ambiente de sistema de información computarizada (SIC).

El objetivo y alcance globales de una auditoría no cambia en un ambiente SIC.

Sin embargo el uso de una computadora cambia el procesamiento,

almacenamiento y comunicación de la información financiera y puede afectar

los sistemas de contabilidad y de control interno empleados por la entidad.

El auditor debería tener suficiente conocimiento del SIC para planear, dirigir,

supervisar y revisar el trabajo desarrollado. El auditor debería considerar si se

necesitan habilidades especializadas en SIC para una auditoría.

Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de un

profesional con dichas habilidades, quien puede pertenecer al personal del

auditor o ser un profesional externo.



16

Cuando el SIC es significativo, el auditor deberá también obtener una

comprensión del ambiente SIC y de si puede influir en la evaluación de los

riesgos inherentes y de control.

Los riesgos inherente y de control en un ambiente SIC pueden tener tanto un

efecto general como especifico por cuenta de la probabilidad de

representaciones erróneas importantes tales como por ejemplo:

Deficiencias en actividades generales del SIC como desarrollo y

mantenimiento de programas, soporte al software de sistemas,

operaciones, seguridad física del SIC y control sobre el acceso a

programas.

Errores o actividades fraudulentas en aplicaciones específicas, en bases

de datos específicas o en archivos maestros.

Los procedimientos de auditoría de acuerdo a la NIA “Evaluaciones del riesgo y

control interno”, el auditor debería considerar el ambiente SIC al diseñar los

procedimientos de auditoría para reducir el riesgo de auditoría a un nivel

aceptablemente bajo, para lo cual se desarrollan diferentes etapas en el

proceso de evaluación las mismas consisten en recabar la mayor información

disponible sobre:

Manuales de funciones y procedimientos para SIC.

Contratos de servicios de mantenimiento y soporte de SIC.

Políticas para los accesos y manipulación de los SIC.

Estado físico del equipo de cómputo.

Rotación de personal que manipula información relevante del SIC.

Entre otros.

Para el logro de una evaluación del control interno eficaz y significativa la cual

brinde al auditor entera satisfacción de que los SIC han sido conocidos,

interpretados y puestos a prueba, el autor hace mención a la realización de



17

diversos procedimientos los cuales se deberían de realizar en la Planeación

Estratégica, los mismos constan de cuestionarios de control interno, los cuales

se deberían plantear en forma de pregunta cerrada y tomando como base la

documentación que el auditor debió recopilar durante el proceso de obtención

de normas, reglamentos, leyes, etc., los cuales normen el funcionamiento de

los SIC.

A continuación se presenta un ejemplo de un cuestionario de control interno el

cual tiene como objetivo el recabar información y formarse una idea e

interpretaciones generales de los SIC. Entre ellos:



18

Nombre: Auditoría V.Período: del 01 de Enero al 29 de Febrero 2012.

Tipo de Auditoria: De Sistemas

Área Auditada: Coordinación Plan Fin de Semana Facultad de CC.EE. USAC

Nombre de Entrevistado: Lic. Luis Suarez Puesto: Director de

Coordinación

Pregunta SI NO Ref.1. ¿Se realizan los procedimientos descritos en los

manuales para el control y presentación de las notas aRegistro y Estadística?

2. ¿Se realiza supervisión y control de las notasmanejadas en medios electrónicos por loscatedráticos docentes según las normas internas de lafacultad?

3. ¿Se solicita la ejecución de back up de la informaciónregistrada del personal docente y alumnos de lafacultad según el manual para el resguardo de datoselectrónicos?

4. ¿Se realizan cambios y actualizaciones oportunas deusuarios y contraseñas según lo establece elprocedimiento interno para accesos a los programascomputarizados de la facultad?

5. ¿Se actualizan los antivirus y contrafuegos para evitar

accesos indebidos a los programas computarizadossegún el procedimiento interno para resguardo de lainformación electrónica de la facultad?

X

X

X

X

X

DCI-1

DCI-2

Hecho: ARHMFecha: 15/02/2012

Revisado:JV Fecha: 18/02/2012

ECI SIC-01



19

3.5 Establecimiento de Objetivos

En relación a la importancia de los riesgos encontrados por el auditor

establecerá los objetivos de la auditoria, cuya determinación definirá el alcance

de la misma.

El riesgo se convierte en una oración negativa de un objetivo de auditoría, si

esta oración se transformará en una afirmativa se tiene como resultado un

objetivo de control

Ejemplo:

Pregunta de cuestionario para la entrevista:

¿Tiene su empresa normas escritas de cómo deben hacerse los traspases de

programas en desarrollo a programas en explotación?

Si la respuesta fuera “NO”, se concluye que existe un riesgo consistente en que

cada empleado por no dejar evidencia escrita se están realizando de manera

incorrecta por la fuga de información en el trasvase no dejando pistas para

verificar los pasos que se han dado.

La debilidad seria:

La empresa no tiene normas escritas de cómo deben hacerse los traspasos de

programas en desarrollo a programas en explotación.

El Objetivo de control seria:

Comprobar que la empresa cuenta con manuales escritos de cómo deben

hacer los traspases de programas en desarrollo a programas en explotación.

Y para alcanzar este objetivo habrá que diseñar una serie de pruebas de

cumplimiento y sustantivas convirtiéndose cada una de estas pruebas en un

procedimiento.

Los procedimientos podrían ser:



20

a) Pruebas de Cumplimiento

Si se confirma que no existen manuales no se podría realizar estas

pruebas, el procedimiento podría ser:

Comprobar que las normas para pasar un programa de desarrollo a

explotación son adecuadas y que se están cumpliendo.

Por otro lado la inexistencia de manuales no implica que el

procedimiento que se hace este incorrecto pero para confirmarlo se

deberían hacer pruebas sustantivas.

b) Pruebas Sustantivas

Revisar las aplicaciones, si son pocas se revisan todas; si son muchas

se realiza una muestra de los programas que se han pasado de

desarrollo a explotación.

Que han sido sometidas a un lote de pruebas y las han superado

satisfactoriamente, que cumplen con los requisitos y que el traspaso ha

sido autorizado por una persona con suficiente autoridad.

Para comprender y evaluar los riesgos no siempre son suficientes las

entrevistas, inspecciones y confirmaciones, puede ser necesario realizar

cálculos y técnicas de examen analítico.

La confirmación consiste en corroborar con terceros por escrito la

información que existe en los registros.

Los cálculos consisten en comprobar la exactitud aritmética de los

registros de datos.

Las técnicas de examen analítico consisten en comparar los importes

encontrados con las expectativas del auditor al evaluar las distintas

partidas de la información auditada.



21

Siempre que la naturaleza de los datos lo permita es conveniente utilizar

técnicas de examen analítico (Norma técnica numero 5 de ISACA sobre

la realización del trabajo).

3.6 Planeación Administrativa

No debe realizarsehasta haber terminado la Planificación Estratégica. Pueden

surgir en esta fase ciertos problemas de coincidencia en las fechas de trabajo

del personal de la empresa auditora con otros clientes. Deben quedar claros los

siguientes aspectos:

Evidencia: Se podrá realizar una relación de la documentación

disponible de la etapa anterior, indicando el lugar donde se encuentra

para que estén a disposición del equipo de auditoria.

Personal: De que personal se va a disponer, que conocimientos tienen y

si es necesarios utilizar a un experto pudiendo ser de la compañía

auditoria o externo.

Calendario: Establecer la fecha de inicio y finalización de la auditoria y

estipular en que lugar se va a realizar cada tarea.

Coordinación y cooperación: Debe existir una buena relación entre el

auditado y el auditor, sin que se viole el principio de independencia.

3.7 Planificacion Tecnica

En esta ultima fase se elabora el programa de trabajo.

Anteriormente, en la fase de Planificacion Estrategica se establecieron los

objetivos de la auditoria. En la fase de Planificacion Administrativa se asignaron

los recursos de personal, tiempo, etc.

En esta fase de Planificacion Tecnica, se indican los metodos a seguir, es decir

si se va a seguir un metodo de auditoria basado en los controles o todo locontrario, un metodo de auditoria basado en pruebas sustantivas, asi tambien



22

si indican los procedimientos, las tecnicas y las herramientas que se utilizaran

para poder alcanzar los objetivos deseados de la auditoria.

El programa de auditoria debera ser abierto y flexible, de una forma que se

puedan ir agregando o introduciendo cambios a medida que se necesiten,

según se vaya conociendo de una mejor forma el sistema. Tanto el programa

de auditoria, como los papeles de trabajo son propiedad del auditor, este no

tiene obligacion de enseñarlos al auditado (empresa que se audita), y debe

guardar dichos documentos durante el plazo que indique la ley, hasta que estos

prescriban.

Dedicarle el tiempo necesario a la planificacion, nos permite evitar perdidas de

tiempo y de recursos innecesarios. Según explica el escritor E. Perry (Planing

EDP Audits): Que la distribucion del tiempo empleado en llevar a cabo una

auditoria, es de un tercio para planificar, un tercio para llevar a cabo el trabajo

de campo y un tercio en la elaboracion del informe de auditoria.

Para llevar a cabo este programa, se sigue la guia del proceso Gestion de la

Explotacion. Ciertos aspectos de la explotacion de un sistema de informacion

pueden quedar al margen del proceso.

Esto es debido a la clasificacion que hace CobiT. Esta es una de las grandes

ventajas que presenta esta Guia CobiT, la cual facilita la comunicación en el

sentido de que podemos determinar con claridad el alcance de la auditoria.

3.7.1 Objetivos de Control para Tecnologías de información y relaciona-

das (COBIT, en ingles: Control Objectives for Information and

related Technology)

Es un conjunto de mejores prácticas para el manejo de información creado por

la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA,

en inglés: Information Systems Audit and Control Association), y el Instituto de

Administración de las Tecnologías de la Información (ITGI, en inglés: IT

GovernanceInstitute) en 1992

http://es.wikipedia.org/wiki/Mejores_pr%C3%A1cticas

http://es.wikipedia.org/w/index.php?title=ISACA&action=edit&redlink=1

http://es.wikipedia.org/w/index.php?title=Information_Systems_Audit_and_Control_Association&action=edit&redlink=1

http://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1




http://es.wikipedia.org/w/index.php?title=Information_Systems_Audit_and_Control_Association&action=edit&redlink=1

http://es.wikipedia.org/w/index.php?title=ISACA&action=edit&redlink=1

http://es.wikipedia.org/wiki/Mejores_pr%C3%A1cticas



23

4 Realizacion del Trabajo (Procedimientos)

Este consiste en llevar a cabo las pruebas sustantivas y de cumplimiento que

se han planificado, para alcanzar los objetivos de la auditoria.

4.1 Objetivo general.

El objetivo general de la auditoria consistiria en:

Asegurarse de que las funciones que sirven de apoyo a las Tecnololigas e

Informacion y satisfacen los requisitos empresariales.

4.2 Objetivos Especificos.

Para alcanzar el objetivo general, este se puede dividir en varios objetivos

especificos sobre los cuales se realizaran las pruebas oportunas, para asi

asegurarse que el objetivo general se ha llevado a cabo.

El esquema de trabajo para cada uno de los objetivos es el siguiente:

Comprender las tareas, las actividades del proceso que se estaauditando.

Si fuera necesario, se ampliarian las entrevistas que hemos realizado en

la fase de planificacion estrategica.

Determinar si son o no apropiados los controles que se estan instalando.

Si fuese necesario, se ampliarian las pruebas que se han llevado a cabo

en las fase de planificacion estrategica.

Realizar pruebas de cumplimiento, para determinar si los controles que

estan instalaldos funcionan según lo establecido, de manera consistente

y continua.

El objetivo de estas pruebas consiste en analizar el nivel de

cumplimiento de las normas de controlo que tiene establecidas el

auditario. Se supone que estas normas de control son eficientes y

efectivas.



24

Realizar pruebas sustantivas para aquellos objetivosde control cuyo

buen funcionamiento con las pruebas de cumplimiento no nos han

satisfecho.

El objetivo de estas pruebas, consiste en realizar las pruebas necesarias

sobre los datos, para que proporcionen la suficiente seguridad a la

direccion sobre si se ha alcanzado su objetivo empresarial.

Debera hacerse el maximo numero de pruebas sustantivas si:

No existen instrumentos de medida de los controles.

Los instrumentos de medida que existen, se consideran inadecuados.

Las pruebas de cumplimiento indican que los instrumentos de medida de

los controles no se han aplicado correctamente de una manera

consistente y continua.

El auditor deberia haber realizado las suficientes pruebas sobre los resultados

de las distintas tareas y actividades de la explotacion del sistema de

informacion como para poder determinar si los objetivos de control se han

alcanzado o no. Con esa informacion debe elaborar un informe y si procede,

hacer las recomendaciones oportunas.

5 Informes

56Es el resultado de la información, estudios, investigación y

análisis efectuados por los auditores durante la realización de una auditoría,

que de forma normalizada expresa por escrito su opinión sobre el área o

actividad auditada en relación con los objetivos fijados, señalan las debilidades

de control interno, si las ha habido, y formula recomendaciones pertinentes

para eliminar las causas de tales deficiencias y establecer las medidas

correctoras adecuadas.

5.1 Importancia Y Relevancia Del Informe

El producto que vende Auditoría son sus informes.

Se remiten a las más altas autoridades de la organización.



25

Es el medio de que se vale Auditoría para dar a conocer su opinión. Es

su vehículo de comunicación.

Ponen de manifiesto si los auditores tienen una visión gerencial de las

áreas auditadas o carecen de ella. Si están realmente capacitados. Son representativos de la calidad de la Auditoría Interna en cuanto a:

formación profesional, cultura, estilo, corrección en el lenguaje escrito,

etc.

Cada informe es una carta de presentación de la Auditoría, los errores

de concepto, la falta de oportunidad de las recomendaciones y la

deficiente redacción pueden producirse en cualquier auditoría y es algo

que debe evitarse.

Los tipos de opiniones generalmente aceptas en auditoria, son cuatro:

Si se concluye que el sistema es satisfactorio el auditor daría una

opinión favorable.

Si el auditor considera que el sistema es un desastre, su opinión sería

desfavorable.

Si el sistema es valido pero tiene algunos fallos que no lo invalidan, la

opinión será con salvedades.

También podrá ocurrir que el auditor no tenga suficientes elementos de

juicio para poder opinar: en este caso no opinaría por lo que su

resultado seria: denegación de opinión.

5.2 Tipos de Informes

5.2.1 Favorable

En nuestra opinión el servicio de explotación u las funciones que sirven de

apoyo a las tecnologías de la información se realizan con regularidad, de forma

ordenada u satisfacen los requisitos empresariales.

5.2.2 Desfavorable

En nuestra opinión, dada la importancia de los efectos de las salvedades

comentadas en los puntos X, X1, de este informe, el servicio de explotación u



26

las funciones que sirven de apoyo a las tecnologías de la información no

realizan con regularidad, ni de forma ordenada y no satisfacen los requisitos

que la empresa requiere.

5.2.3 Con salvedades

En nuestra opinión, excepto por los efectos de las salvedades que se comentan

en el punto X de este informe… el servicio de explotación y las funciones que

sirven de apoyo a las tecnologías de la información se realizan con regularidad,

de forma ordenada y satisfacen los requisitos empresariales.

Nota: En una parte del informe se indicaran cuales son las salvedades y en

este mismo documento o en documento aparte se harán las recomendaciones

oportunas para mejorar el sistema, para que en una siguiente auditoria no

existan las salvedades comentadas.

5.3 Denegación de Opinión

En el caso de que las salvedades impidan hacernos una opinión del servicio

de explotación, ya sea por falta de información o por no haber tenido acceso a

ella por los motivos que fueren, pero siempre ajenos a nuestra voluntad, y no

obstante, haber intentado hacer pruebas alternativas, el auditor denegará su

opinión.

5.4 Recomendaciones

En el caso de que el auditor durante la realización de la auditoria detecte

debilidades, este debe comunicarlas al auditado con la mayor prontitud posible.

Un esquema, generalmente aceptado, de cómo presentar las debilidades es el

siguiente:

Describir la debilidad

Indicar el criterio o instrumento de medida que se ha utilizado

Indicar los efectos que puede tener el sistema de información

Describir la recomendación con la que esa debilidad se podría eliminar.



27

5.5 Normas Para Elaborar Los Informes

La elaboración y el contenido de los informes de auditoria deben ajustarse a las

normas de auditoria de sistemas de información generalmente aceptadas y

aplicables (NASIGAA). Entre otros motivos porque facilita la comparación de

los informes realizados por distintos auditores. Por tanto, siguiendo las normas

números 9 y 10 de “General Estándar For Informacion Systems Auditing”

Emitidas por ISACA, además del párrafo de opinión antes indicado el informe

de auditoría deberá contener otra información adicional.

El informe es el instrumento que se utiliza para comunicar los objetivos de la

auditoria, el alcance que vaya a tener, las debilidades que se detecten y las

conclusiones a las que se lleguen, a la hora de preparar el informe, el auditor

debe tener en cuenta las necesidades y características de los que se suponen

serán sus destinatarios. El informe debe contener un párrafo en el que se

indiquen los objetivos que se pretenden cumplir. Si según la opinión del auditor,

alguno de estos objetivos no se pudiera alcanzar se debe indicar en el informe.

En el informe de auditoría se deben mencionar cuales son las NASIGAA que se

han seguido para realizar el trabajo de auditoría. También se deben indicar lasexcepciones en el seguimiento de estas normas técnicas, el motivo de no

seguirlas, y cuando proceda, también se deben indicar los efectos potenciales

que pudieran tener en los resultados de la auditoria.

El informe de auditoría se ha de mencionar el alcance de la auditoria, así como

describir la naturaleza y la extensión del trabajo de auditoría. En el párrafo de

alcance se deben indicar el área/proceso, el periodo de auditoría, el sistema,

las aplicaciones y los procesos auditados. Asimismo se indicaran las

circunstancias que hayan limitado el alcance cuando, en opinión del auditor, no

se hayan podido completar todas las pruebas y procedimientos diseñados, o

cuando el “auditado” haya impuesto restricciones o limitaciones al trabajo de

auditoría.

Si durante el trabajo se detectaran debilidades en el sistema de información de

la entidad auditada estas deberán indicarse en el informe, así como sus



28

causas, sus efectos y las recomendaciones necesarias para mejorar o eliminar

las debilidades.

El auditor debe expresar en el informe su opinión sobre el área o proceso

auditado. No obstante, en función de los objetivos de la auditoria, esta opinión

puede ser general y referirse a todas las áreas o procesos en su conjunto.

El informe de auditoría debe presentarse de una forma lógica y organizada.

Debe contener la información suficiente para que sea comprendido por el

destinatario y este pueda llevar a cabo las acciones pertinentes para introducir

las correcciones oportunas que mejoren el sistema.

El informe se debe emitir en el momento más adecuado para que permita quelas acciones que tenga que poner en práctica el “auditario”, tengan los mayores

efectos positivos posibles. Con anterioridad al informe, el auditor puede emitir,

si lo considera oportuno, recomendaciones destinadas a personas concretas.

Estas recomendaciones no deberían alterar el contenido del informe.

En el informe se debe indicar la entidad que se audita y la fecha de emisión del

informe para que este no llegue a manos indebidas.

6 La Documentación de la Auditoria y su Organización

6.1 Papeles de trabajo

Es el registro del trabajo de auditoria realizado y la evidencia que sirve de

soporte a las debilidades encontradas y las conclusiones a las que ha llegado

el auditor. Los papeles de trabajo se deben diseñar y organizar según las

circunstancias y las necesidades del auditor. Todo trabajo debe quedar

reflejado en los papeles por los siguientes motivos:

Recogen la evidencia obtenida a lo largo del trabajo.

Ayudan al auditor en el desarrollo de su trabajo

Ofrecen un soporte del trabajo realizado para así, poder utilizarlo en

auditorias sucesivas

Permiten que el trabajo pueda ser revisado por terceros.



29

6.2 Archivos

Los papeles de trabajo que el auditor va elaborando se puede organizar en dos

archivos principales: El archivo Permanente o continua de auditoria y el archivo

corriente o de la auditoria en curso.

6.2.1 Archivo Permanente

El archivo permanente contiene todos aquellos papeles que tienen un interés

continuo y una validez plurianual tales como:

Características de los equipos y de las aplicaciones,

Manuales de los equipos y de las aplicaciones,

Descripción del control interno.

Organigramas de la empresa en general,

Organigramas del servicio de información y división de funciones,

Cuadro de planificación plurianual de auditoria,

Escrituras y contratos,

Consideraciones sobre el negocio,

Consideraciones sobre el sector,

Y en general toda aquella información que puede tener una importancia

para auditorias posteriores.

6.2.2 Archivo Corriente

Este archivo, a su vez, se suele dividir en archivo general y en archivo de áreas

o de procesos.

6.2.3 Archivo General

Los documentos que se suelen archivar aquí son aquellos que no tienen cabida

específica en alguna de las áreas/procesos en que hemos dividido el trabajo de

auditoria tales como:

El informe del auditor

La carta de recomendaciones,

Los acontecimientos posteriores,



30

El cuadro de planificación de la auditoria corriente,

La correspondencia que se ha mantenido con la dirección de la

empresa,

El tiempo que cada persona del equipo ha empleado en cada una de lasáreas/procesos.

6.2.4 Archivo Por Aéreas/Procesos

Se debe preparar un archivo para cada una de las áreas o procesos en que

hayamos dividido el trabajo e incluir en cada archivo todos los documentos que

hayamos necesitado para realizar el trabajo de esa área proceso concreto. Al

menos deberán incluirse los siguientes documentos.

Programa de auditoria de cada una de las ares/procesos.

Conclusiones del área/proceso en cuestión,

Conclusiones del procedimiento en cuestión.



31

7 CONCLUSIONES

La labor del auditor informático es esencial para garantizar la adecuación de los

sistemas informáticos; para ello debe realizar su trabajo apegándose a las

Normas de Auditoria de Sistemas de Información Generalmente Aceptadas y

Aplicables como requisito necesario que garantice la calidad del trabajo

realizado y que la evidencia de este quede documentada.

A medida que la sociedad se va sistematizando cadavez más, es necesario

diseñar normas para que las empresas tengan la seguridad de que los

sistemas funcionan y que sus datos se mantienen con la debida

confidencialidad.

Los informes de los distintos auditores se pueden comparar, siempre y cuando

se tengo un archivo adecuado de los papeles de trabajo.



32

8 RECOMENDACIONES

Es de suma importancia que el auditor de sistemas informáticos tenga una

panorámica general y muy bien soportada en sus papeles de trabajo, para que

la evaluación que realice al hardware sea lo suficientemente objetiva y brinde

una opinión certera sobre la razonabilidad de la información generada.

El auditor de sistemas informáticos debe de cumplir con las normas de

observancia general emitidas por entidades internacionales, nacionales,

internas, etc., las cuales le brinden un marco regulatorio adecuado y satisfaga

con criterios soportados la opinión que va a emitir sobre la razonabilidad de lossistemas informáticos.



33

9 BIBLIOGRAFIA

1. Auditoria Informática, Un enfoque practico, 2ª. Edición ampliada y

modificada, Mario Gerardo Piattini y Emilio del Peso Navarro, Editorial

Madrid, España.

2. Norma Internacional de Auditoría No. 15, Sec. 401, Auditoría en un

Ambiente de Sistemas de Información por Computadora, International

Standard on Auditing ISA, traducción al español por Instituto Mexicano

de Contadores Públicos y Auditores (IMCP), año 2002.

3. www, wikipedia.org

Date post:	20-Jul-2015
Category:	Documents
Upload:	jorge-leonardo-perez-mayorga
View:	90 times
Download:	0 times

92557711 Auditoria de La Explotacion

Documents