ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA

MODULO AUDITORIA DE SISTEMAS 90168

Adriana Aguirre Cabrera adriana.aguirre@unad.edu.co adriana.aguirrecaac@gmail.com

2009

INTRODUCCIN

El curso de Auditoria de sistemas es uno de los componentes fundamentales de la estructura curricular del programa de Ingeniera de sistemas, se concibe como el proceso de revisin, anlisis, evaluacin y recomendacin acerca del desempeo de las actividades en una organizacin, con el propsito de

verificar su correcta realizacin. Se enmarca dentro del campo de formacin profesional electiva y tiene como objetivo la preparacin de los estudiantes en su labor como auditores en la estructura y funcionamiento general de una empresa.

El curso tiene 3 crditos acadmicos los cuales comprenden el estudio independiente y el acompaamiento tutorial, con el propsito de: Integrar y aplicar las diferentes competencias que ha adquirido el estudiante durante su formacin profesional con el propsito de que su desempeo en esta labor tan especializada del auditaje de sistemas sea eficaz y eficiente. Ubicar al estudiante dentro de un contexto organizacional que le permitir

conocer y aplicar los principios y puntos bsicos de la auditoria.

Este curso esta compuesto por tres unidades didcticas: Unidad 1: Conceptos generales de la auditoria de sistemas Unidad 2: Auditoria informtica Unidad 3: El auditor informtico

El curso es de carcter terico y la metodologa a seguir ser bajo la estrategia de educacin a distancia. Por tal razn, es importante planificar el proceso de:

Estudio Independiente: se desarrolla a travs del trabajo personal y del trabajo en pequeos grupos colaborativos de aprendizaje Acompaamiento tutorial: corresponde al acompaamiento que el tutor realiza al estudiante para potenciar el aprendizaje y la formacin.

La evaluacin del curso se realiza a travs de procesos de autoevaluacin, coevaluacion y heteroealuacion, los cuales permiten comprobar el avance en el autoaprendizaje del curso.

El Sistema de interactividades vincula a los actores del proceso pedaggico de la siguiente manera: Tutor-estudiante: a travs del acompaamiento individual Estudiante-estudiante: mediante la participacin activa en los grupos

colaborativos de aprendizaje. Estudiantes-tutor: a travs del acompaamiento a los pequeos grupos colaborativos de aprendizaje. Tutor-estudiantes: mediante el acompaamiento en grupo de curso Estudiantes-estudiantes: en los procesos de socializacin que se realizan en el grupo de curso.

A travs de ellas se puede potenciar y orientar el trabajo de los estudiantes en el logro de los objetivos del curso y pueden realizarse de la siguiente manera: sincrnica, es decir a travs de encuentros directos o mediados y asincrnicas o diferidas es decir por correo electrnico, foros, redes de cooperacin o grupos de discusin.

La tecnologa juega un papel importante en el proceso pedaggico, estimula y despierta el inters facilitando el acceso al conocimiento y a su vez permite la interlocucin entre sus actores.

El acceso a documentos adquiere una dimensin de suma importancia en tanto que la informacin sobre el tema exige conocimientos y planteamientos preliminares, por tal razn es imprescindible el recurso de diversas fuentes documentales y el acceso a diversos medios como son: bibliotecas electrnicas, hemerotecas digitales e impresas, sitios Web especializados.

Durante su formacin profesional, bajo la estrategia de educacin abierta y a distancia el estudiante se capacitar y desarrollar en competencias que le permitirn desarrollar el trabajo de una auditoria, definir sus objetivos, alcances y metodologa para instrumentarla, captar la informacin necesaria para evaluar la funcionalidad y efectividad de los procesos y funciones, diagnosticar sobre los mtodos de operacin y sistemas de informacin, detectar hallazgos y evidencias e incorporarlos en los papeles de trabajo, respetar las normas dentro la organizacin, as como analizar su estructura y funcionamiento en todos sus niveles. Todas estas habilidades le permitirn desarrollar un trabajo congruente y efectivo en un proceso efectivo de auditaje y a su vez el desempeo exitoso como profesional.

1. JUSTIFICACIN

Uno de los intereses en la formacin de los estudiantes del programa de ingeniera de sistemas y en general de cualquier mbito disciplinar, es su formacin integral a travs del desarrollo de competencias, las cuales le permitirn una adecuada interaccin en diferentes contextos como

profesionales competitivos, generadores de cambio y progreso.

El curso de auditoria centra al estudiante dentro de un contexto empresarial donde con sus habilidades y conocimientos puede contribuir al desempeo y cumplimiento exitoso de los procedimientos de la organizacin, pues estar preparado para identificar situaciones de riesgo y sugerir e implantar controles que garantice la seguridad de cualquier sistema.

Este curso, de carcter terico esta dirigido a estudiantes que se encuentren en la etapa final en su proceso de formacin, permite el desarrollo de competencias cognitivas, comunicativas, contextuales y valorativas,

fundamentales para la formacin profesional en todos los campos. El logro de stas competencias exige una planificacin responsable en su proceso de autoaprendizaje si se quieren obtener resultados positivos en el desarrollo del curso. Este proceso se puede planificar de la siguiente manera: Estudio independiente: Estudio individual del material sugerido y consulta de otras fuentes (documentales, consulta en biblioteca, Internet, bibliografa recomendada, consulta a bases de datos documentales, entre otros) Trabajo en grupo: Creacin de grupos de estudio o discusin con el propsito de preparar consultas estructuradas al docente-tutor. Consultas al tutor: Consulta al tutor de las inquietudes surgidas en el punto anterior.

Retroalimentacin: Una vez el tutor haya resuelto las inquietudes, estudie nuevamente el tema, teniendo en cuenta las sugerencias o respuestas dadas por el tutor. Procesos de evaluacin: Una vez se haya realizado el proceso de retroalimentacin, desarrolle los diferentes momentos de evaluacin propuestos en el curso como son la autoevaluacin, coevaluacin y heteroevaluacin.

De esta manera se pretende alcanzar los objetivos propuestos en el curso y la preparacin satisfactoria en el auditaje de sistemas.

2. INTENCIONALIDADES FORMATIVAS

2.1 PROPSITO Contribuir al mejoramiento del funcionamiento empresarial, a travs del anlisis y evaluacin de los procesos que permitan a los estudiantes participar en la conformacin de empresas sostenibles y competitivas.

2.2 OBJETIVOS Identificar las bases conceptuales de la auditoria de sistemas Identificar y analizar el impacto de los riesgos que pueden afectar el funcionamiento de una empresa Conocer los procedimientos que hacen parte de un plan de auditoria de sistemas

2.3

METAS

El estudiante estar capacitado para: Identificar los tipos de auditoria y sus normas generales Clasificar los riesgos segn su origen y el efecto que tienen en el desarrollo de procesos. Identificar los objetivos y componentes del control interno Identificar las reas de la auditoria informtica Presentar adecuadamente informes de auditoria

2.4 COMPETENCIAS

El estudiante analiza, comprende e identifica dentro de los solucin procesos organizacionales

los diferentes riesgos

y ofrece alternativas de

de acuerdo a las exigencias de los mismos, aplicando

conocimientos propios de su disciplina. El estudiante presenta informes de auditoria los cuales sustenta de manera argumentada de acuerdo a los lineamientos exigidos por las normas. El estudiantes esta en la capacidad de realizar un procedimiento de auditaje respetando los principios de la tica profesional y

responsabilidad legal del auditor El estudiante esta en capacidad de comprender la realidad de un

entorno empresarial y elabora propuestas para el mejoramiento del desempeo de las mismas contribuyendo al desarrollo de su regin o localidad.

TABLA DE CONTENIDO

UNIDAD 1 Capitulo 1.

CONCEPTOS GENERALES DE AUDITORIA DE SISTEMAS Aspectos generales Auditoria

Leccin 1.Origen y antecedentes de la auditoria Leccin 2. Concepto de auditoria Leccin 3. Importancia de la auditoria Leccin 4. Objetivos de la auditoria Leccin 5. Clasificacin de la auditoria Capitulo 2. Tcnicas y procedimientos de auditoria

Leccin 1.Conceptos Leccin 2.Tcnicas que se aplican en el trabajo de auditora Leccin 3.Otras Tcnicas en el trabajo de auditora Leccin 4. La entrevista como una tcnica de auditora Leccin 5. Tipos de preguntas en la tcnica de entrevista Capitulo 3. El programa de auditoria

Leccin 1.Desarrollo del programa de auditoria Leccin 2. Normas personales o generales Leccin 3: Normas relativas al trabajo de campo Leccin 4: Normas relativas a la elaboracin del informe de Auditora Leccin 5. Metodologa de la auditoria

UNIDAD 2: AUDITORIA INFORMTICA Capitulo 1. La auditoria informtica Leccin 1. Concepto, objetivos de la auditoria informtica Leccin 2. Alcance, importancia Leccin 3. Necesidad de la auditoria informtica Leccin 4. Tipos de Auditoria Informtica Leccin 5. Medios disponibles y especficos de auditoria. Capitulo 2. Metodologa de la auditoria informtica Leccin 1. Etapas del mtodo de trabajo Leccin 2. Tcnicas, de auditoria Leccin 3. Procedimientos de auditoria Leccin 4. Herramientas de auditoria Leccin 5. Elaboracin y redaccin del Informe Final

Capitulo 3. El auditor Leccin 1. Leccin 2. Leccin 3. Leccin 4. Leccin 5. Normas que regulan el comportamiento del auditor Fraude informtico Caractersticas de los delitos informticos Tipificacin de los delitos informticos Auditor versus delitos informticos

UNIDAD 3. CONTROL INTERNO Capitulo 1. Generalidades del control Leccin 1. Concepto de control Leccin 2. Clasificacin de los controles Leccin 3. Objetivos del control Leccin 4. Elementos y utilidad del control Leccin 5. Caractersticas, ciclo de aplicacin del control Capitulo 2. Control interno Leccin 1. Leccin 2. Leccin 3 Leccin 4. Leccin 5. Definicin y objetivos del control interno Importancia y mtodos del control interno para la auditoria Elementos del control interno Principios de control interno El control interno y la prctica de la auditora

Capitulo 3 Control interno informtico Leccin 1. Leccin 2. Leccin 3. Leccin 4. Leccin 5. Objetivos del control interno informtico Elementos del control interno informtico Control interno y auditoria informticos: campos anlogos Necesidad de una auditoria informtica Implantacin de un sistema de controles internos informticos

PRIMERA UNIDAD

CONCEPTOS GENERALES DE AUDITORIA DE SISTEMAS

UNIDAD 1 CONCEPTOS GENERALES DE AUDITORIADE SISTEMAS

INTRODUCCIONEn esta unidad, se presentan los antecedentes, conceptos y definiciones que se agrupan en torno a la auditoria, el propsito es que usted identifique la esencia y razn de ser de esta disciplina, as como su importancia como actividad profesional, en la evaluacin de los sistemas computacionales.

OBJETIVOSIdentificar los orgenes de la auditoria Distinguir entre los diferentes tipos de auditoria Reconocer las etapas generales de la metodologa de la auditoria

Capitulo 1. Aspectos generales de auditora

Leccin 1. Origen y antecedentes de la auditoriaEn la medida en que se expanda el comercio y por ende las operaciones comerciales, los incipientes comerciantes tuvieron la necesidad e establecer mecanismos de registro que les permitieran controlar las operaciones mercantiles que realizaban. Conforme el nmero de comerciante creci se agruparon en gremios y mercados locales, surgi entonces, la necesidad de contar con un mejor registro de sus actividades tanto individuales como conjuntas. Posteriormente estas agrupaciones crecieron hasta convertirse en incipientes empresas, donde fue necesario establecer un mayor control para conocer sus actividades financieras.1 Este crecimiento dio origen al registro de operaciones mercantiles, dichas operaciones se asentaban de forma muy elemental; posteriormente surge la surge la partida doble y el registro de las operaciones financieras apareciendo la tenedura de libros. Conforme esta tcnica evoluciono, se impuls la contabilidad y el registro de operaciones en libros y plizas. En la medida en que esto evolucionaba, fue necesario que alguien evaluara estos registros y que los resultados fueran correctos y veraces. Esta actividad requiri de alguien que verificara la veracidad y confiabilidad de estas operaciones surgiendo en ese momento el acto de auditar. Los orgenes de la auditoria data desde la revisin y el diagnostico que se practicaban a los registros de las operaciones contables de las empresas, pasando por el anlisis, verificacin y evaluacin de sus aspectos financieros, hasta llegar al anlisis de todos aquellos aspectos que intervienen en sus actividades, incrementando su alcance cuando se lleg revisin integral. Actualmente se llevan a cabo revisiones de algunas reas y actividades especficas que se desarrollan en las organizaciones. Entre estas se encuentran: la auditoria de sistemas computacionales, auditoria del desarrollo a lo que se llamo

de proyectos de mercadotecnia, auditoria de proyectos econmicos y de muchas otras ramas de la actividad empresarial, involucrando las ramas de la ingeniera, medicina, sistemas y otras. En cualquiera de ellas se tienen que considerar los mismos principios y fundamentos tericos y practicas que le dan vigencia a la profesin del auditor. 2

Aunque la revisin de registros y cuentas se pueden contar como el inicio de la auditoria, su reconocimiento como profesin se inicio en el comienzo del siglo presente, aunque hay evidencias que a mediados del siglo pasado los britnicos, estadounidenses, espaoles y mexicanos iniciaron la actividad formal de la auditoria.3

Antecedentes de la Auditoria de sistemas Carlos Muoz Razo, en su libro Auditoria en sistemas computacionales, dice: seria ocioso y sin ningn beneficio prctico profundizar en los orgenes de este tipo de auditoria pues se carece de evidencias comprobables sobre tales inicios. Se citan algunos principales autores sobre este tema:

En 1988, Echenique publico su libro Auditoria de Sistemas, en el cual establece las principales bases para el desarrollo de una auditoria de sistemas computacionales, dando un enfoque terico-practico sobre el tema. En 1992. Lee presento un libro en el cual enuncia los principales aspectos a evaluar en una auditoria de sistemas, mediante una especie de gua que le indica al auditor los aspectos que debe evaluar en este campo. En 1993, Rosala Escobedo Valenzuela presentas la UVM, una tesis de auditoria a los centros de cmputo, como apoyo a la gerencia, destacando sus aspectos ms importantes.

1 2

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002 MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002 3 MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002

En 1994, G. Haffes, F. Holgin y A. Galan, en su libro sobre auditoria de los estados financieros, presenta una parte relacionada con la auditoria de sistemas, que profundiza en los aspectos bsicos de control de sistemas y se complementa con una serie de preguntas que permiten evaluar aspectos relacionados con este campo.

En 1995, Ma. Guadalupe Buiendia Aguilar y Edith Antonieta Campos de la O. presentan un tratado de auditoria informtica (apoyndose en lo sealado por el maestro Echenique), en el cual presentan metodologas y cuestionarios tiles para realizar esta especialidad.

En 1995, Yann Darrien presenta un enfoque particular sobre la auditoria de sistemas.

En 1996, Alvin A. Arens y James K. Loebbecke, en su libro Auditoria. Un enfoque integral, presenta una parte de e sta obra como Auditoria de Sistemas Complejos PED.

En 1996, Hernndez Hernndez propone la auditoria en informatica, en la cual da ciertos aspectos relacionados con esta disciplina.

En 1997, Francisco Avila obtiene mencin honorfica en su examen profesional, en la UVM, Campus San Rafael, con una tesis en la cual propone un caso practico de auditoria de sistemas realizado en una empresa para estatal.

En 1988, Yann Darrien Presenta, Tcnicas de Auditoria, donde hace una propuesta de diversas tecnicas de esta disciplina.

EN 1998. Mario G. Piattini y Emilio del Peso presentan Auditoria Informtica, un enfoque prctico, donde mencionan diversos enfoques y aplicaciones de esta disciplina.

Leccin 2. Concepto de auditoriaHay varios conceptos de auditoria, pero en general coinciden en que es un proceso de revisin, evaluacin y presentacin de un informe final para la gerencia. Algunos conceptos se presentan a continuacin:

La palabra auditoria viene del latn auditorius y de esta proviene auditor, que tiene la virtud de or y revisar, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.4

La Auditoria, es una disciplina expresada en normas, conceptos, tcnicas, procedimientos y metodologa, que tiene por objeto examinar y evaluar crticamente una determinada realidad, para emitir una opinin independiente sobe un aspecto o la totalidad del objeto auditado.5

Auditora, es el examen profesional, objetivo e independiente, de las operaciones financiera y/o Administrativas, que se realiza con posterioridad a su ejecucin en las entidades pblicas o privadas y cuyo producto final es un informe conteniendo opinin sobre la informacin financiera y/o administrativa auditada, as como conclusiones y recomendaciones tendientes a promover la

4 5

http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml#_Toc475957349 PINILLA, Jos. Auditoria Informtica. Un enfoque operacional. Segunda edicin. Bogot: Ecoe ediciones. 1997, p., 37

economa, eficiencia y eficacia de la gestin empresarial o gerencial, sin perjuicio de verificar el cumplimiento de las leyes y regulaciones aplicables.6

Segn Pablo Emilio Torres Flores, en: Curso elemental de auditoria, el concepto anterior destaca los siguientes elementos principales: Del concepto se aprecian los siguientes elementos principales: 1. Es un examen profesional, objetivo e independiente 2. De las operaciones financieras y/o Administrativas 3. Se realiza con posterioridad a su ejecucin. 4. producto final es un informe 5. Conclusiones y recomendaciones 6. Promover la economa, eficiencia y eficacia En la grafica se resume el concepto:

6

http://www.mailxmail.com/curso-elemental-auditoria/concepto-auditoria

Leccin 3. Importancia de la auditoriaImportancia de la auditoria La auditoria en general es muy importante, por cuanto permite a la direccin tener la seguridad de que el desarrollo de las actividades de la empresa son verdaderas y confiables.

La auditoria permite adems, evaluar el grado de eficiencia y eficacia con el que se desarrollan las tareas administrativas, el desarrollo de los programas y las polticas de la gerencia.

EL proceso de auditora permite a las organizaciones mejorar el desempeo de sus funciones en forma continua, verificando que las actividades y los resultados estn conforme a lo planeado y alcanzan los objetivos previstos, a la vez que proporciona a la gerencia informacin con el fin de que se realicen mejoras segn los fallos detectados, permitiendo a la gerencia tomar decisiones con base en hechos segn los informes generados en el proceso de auditaje. Tambin es importante considerar la planificacin de la auditoria, entre sus objetivos se destacan: 7 Conocer la estructura organizacional Familiarizarse con las operaciones Estudiar la reglamentacin aplicable Identificar las reas u objetivos a auditarse Seleccionar los programas de auditora que se utilizarn Preparar un plan de trabajo y estimado de tiempo

7

http://www.ocpr.gov.pr/educacion_y_prevencion/auditoria_interna/2009/adistramiento_auditores_int/ agencias_departamentos_corp/Presentaciones%208%20de%20mayo%20SN/Planificacion%20de%20auditoria.pdf

Pasos a efectuarse durante la planificacin de una auditora:

Asignar el equipo de trabajo (independencia) Notificar el comienzo de la auditora (solicitud de documentos) Coordinar una reunin inicial con el funcionario principal del rea auditada Obtener y estudiar documentos e informacin sobre la unidad a auditarse Reunirse con el Auditor que hizo la auditora anterior Preparar un Plan de Trabajo y Estimado de Tiempo para la Planificacin

Leccin 4. Objetivos de la auditoriaObjetivos generales de la auditoria8 Realizar una evaluacin independiente de las actividades, reas o funciones especiales de una institucin, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados.

Evaluar el cumplimiento de los planes, programas, polticas, normas y lineamientos que regulan la actuacin de los empleados y funcionarios de una institucin, as como evaluar las actividades que se desarrollen en sus reas y unidades administrativas.

Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus reas, as como sobre el desarrollo de sus funciones y cumplimiento de sus objetivos y operaciones

8

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002

Leccin 3. Clasificacin de la auditoriaEn la tabla9

se indican los tipos de auditoria, segn la procedencia del auditor,

su rea de aplicacin, en reas especificas y en sistemas computacionales:

AUDITORIA POR LA PROCEDENCIA DE AUDITOR Auditoria externa Auditoria interna

AUDITORIAS POR SU AREA DE APLICACION

AUDITORIAS ESPECILIZADAS EN AREAS ESPECIFICAS

AUDITORIA EN SISTEMAS COMPUTACIONALES

Auditoria financiera Auditoria administrativa Auditoria operacional Auditoria integral Auditoria gubernamental

Auditoria del rea medica Auditoria al desarrollo de obras y construcciones Auditoria fiscal Auditoria laboral Auditoria de proyectos de inversin Auditoria a la caja menor Auditoria al manejo de mercancas Auditoria ambiental

Auditoria informtica Auditoria con el computador Auditoria sin el computador Auditoria a la gestin informtica Auditoria al sistema de computo Auditoria alrededor del computador Auditoria de la seguridad en sistemas computacionales Auditoria a los sistemas de redes Auditoria integral a los centros de computo Auditoria ISO-9000 a los sistemas computacionales Auditoria outsourcing Auditoria ergonmica de sistemas computacionales

Por la procedencia del auditor: se refiere a la forma en que se realiza este tipo de trabajo y tambin a como se establece la relacin laboral en las empresas donde se llevara cabo la auditoria. Se divide en auditora interna y externa.

Auditora externa: el objetivo fundamental es el de examinar y evaluar una determinada realidad por personal externo al ente auditado, para emitir una9

MUNOZ, Razo Carlos. Auditoria en sistemas computacionales. Mexico. Pearson Educacin.2002

opinin independiente sobre el resultado de las operaciones y la validez tcnica del sistema de control que esta operando en el rea auditada.

Ventajas: al no tener ninguna dependencia de la empresa el trabajo del auditor es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada. En su realizacin estas auditorias pueden estar apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan tcnicas y herramientas que ya fueron probadas en otras empresas con caractersticas similares.

Desventajas: La informacin del auditor puede estar limitada a la informacin que puede recopilar debido a que conoce poco la empresa. Dependen en absoluto de la cooperacin que el auditor pueda obtener por parte de los auditados. Su evaluacin, alcances y resultados pueden ser muy limitados. Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan.

Auditora interna: es una funcin de control al servicio de la alta direccin empresarial. El auditor interno no ejerce autoridad sobre quienes toman decisiones o desarrollan el trabajo operativo, no revela en ningn caso la responsabilidad de otras personas en la organizacin. El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuacin administrativa, operacional y funcional de empleados y funcionarios de las reas que se auditan.

Por su rea de aplicacin:

Auditora financiera: tiene como objeto el estudio de un sistema contable y los correspondientes estados financieros, con miras a emitir opinin independiente sobre la razonabilidad financiera mostrada en los estados financieros del ente auditado.

Auditoria administrativa: Evala el adecuado cumplimiento de las funciones, operaciones y actividades de la empresa principalmente en el aspecto administrativo. Es la revisin sistemtica y exhaustiva que se

realiza en la actividad administrativa de una empresa, en cuanto a su organizacin, las relaciones entre sus integrantes y el cumplimiento de las funciones y actividades que regulan sus operaciones.

Auditoria operacional: tiene como objeto de estudio el proceso administrativo y las operaciones de las organizaciones, con miras a emitir opinin sobre la habilidad de la gerencia para manejar el proceso administrativo y el grado de economicidad, eficiencia y efectividad de las operaciones del ente auditado.

Auditoria integral: la auditoria integral esta dada por el desarrollo integrado de la de auditoria financiera, operacional y legal. Tiene como objeto de estudio los respectivos campos de las finanzas, la administracin y el derecho, en relacin con su aplicacin a las operaciones econmicas, de los entes auditados. Tiene como objetivo emitir una opinin independiente

sobre la aplicacin de las normas contables, administrativas y legales de las operaciones econmicas con base en los parmetros de economicidad, eficiencia y efectividad.

En esta auditora se conjuga la participacin de muchos profesionales de distintas especialidades, quienes aparentemente no tienen relacin entre si por lo diferente de sus reas de actuacin, pero que al conjuntar sus trabajos contribuyen en gran medida a elevar los alcances, la profundidad y eficacia de la evaluacin de todas las reas de una misma empresa.

Auditoria gubernamental: Es la revisin exhaustiva, sistemtica y concreta que se realiza a todas las actividades y operaciones de una entidad gubernamental. Esta evaluacin se ejecuta con el fin de evaluar el correcto desarrollo de las funciones de todas las reas y unidades administrativas de dichas entidades, as como los mtodos y procedimientos que regulan las actividades necesarias para cumplir con os objetivos gubernamentales.

Especializada en reas especficas: el avance de la auditoria no se detiene y requiere de una mayor especializacin en la evaluacin de las reas y ramas del desarrollo tecnolgico. Por esta razn las auditorias son cada vez mas singulares y estn enfocadas a satisfacer necesidades concretas de revisin y dictamen, segn la especialidad de que se trate

Auditoria del rea mdica: es la revisin sistemtica, exhaustiva y especializada que se realiza a las ciencias medicas y de la salud, aplicadas solo por especialistas de disciplinas medicas o similares con el fin de emitir un dictamen especializado sobre el correcto desempeo de las funciones y actividades del personal medico, tcnicos en salud y similares, como tambin sobre la atencin que las dependencias y el personal prestan a pacientes, familiares y proveedores.

Auditoria al desarrollo de obras y construcciones: es la revisin tcnica especializadas que se realiza a la edificacin de construcciones. Su propsito es establecer un dictamen especializado sobre la correcta

aplicacin de las tcnicas, clculos, mtodos y procedimientos de la ingeniera civil y la arquitectura.

Auditora fiscal: es la revisin exhaustiva, pormenorizada y completa que se realiza a los registros y operaciones contables de una empresa, as como la evaluacin de la correcta elaboracin de los estados financieros.

Auditoria laboral: es la evaluacin de las actividades, funciones y operaciones relacionadas con el factor humano de una empresa, su

propsito es dictaminar sobre el adecuado cumplimiento en la seleccin, capacitacin y desarrollo del personal, la correcta aplicacin de las prestaciones sociales y econmicas, el establecimiento de las medidas de seguridad e higiene en la empresa, los contratos de trabajo, los reglamentos internos de trabajo, normas de conducta y dems actividades que intervienen en la gestin de personal de una empresa.

Auditoria de proyectos de inversin: es la revisin y evaluacin que se realiza a los planes, programas y ejecucin de las inversiones de los recursos econmicos de una institucin pblica o privada, con el propsito de dictaminar sobre el uso y control correctos de esos recursos, evaluando que su aplicacin sea exclusivamente para cumplir el objetivo del proyecto.

Auditoria a la caja menor o caja mayor: es la revisin peridica del manejo del efectivo que se asigna a una persona o rea de una empresa, y de los comprobantes de ingresos y egresos generados por sus operaciones cotidianas; dicha revisin se lleva a cabo con el fin de verificar el adecuado manejo, control y custodia del efectivo disponible para gastos menores, as como de evaluar el uso, custodia y manejo correctos de los fondos de la empresa.

Auditora ambiental: es la evaluacin que se hace de la calidad del aire, la atmsfera el ambiente, las aguas, los ros, los lagos y ocanos, as como de la conservacin de la flora y la fauna silvestres, con el fin de dictaminar sobre las medidas preventivas y correctivas que disminuyan y eviten la contaminacin provocada por los individuos las empresas, los automotores, las maquinarias, y as preservar la naturaleza y mejorar la calidad de vida de la sociedad.

De sistemas computacionales (auditoria informtica): Auditoria informtica: es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e informacin utilizados en una empresa, sean individuales o compartidos y/o de redes, as como a sus instalaciones, telecomunicaciones, mobiliario, equipos

perifricos y dems componentes. Dicha revisin se realiza de igual manera a la gestin informtica, el aprovechamiento de los recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cmputo.

Auditoria con el computador: Es la auditoria que se realiza con el apoyo de los equipos de cmputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas, pero s susceptibles de ser automatizadas; dicha auditoria se realiza tambin a las actividades del propio centro de sistemas y a sus componentes. La principal caracterstica de este tipo de auditoria es que, sea en un caso o en otro, o en ambos, se aprovecha el computador y sus programas para la evaluacin de las actividades a revisar, de acuerdo con las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditoria.

Auditoria sin el computador: Es la auditoria cuyos mtodos, tcnicas y procedimientos estn orientados nicamente a la evaluacin tradicional de! comportamiento y validez de tas transacciones econmicas, administrativas y operacionales de un rea de cmputo, y en s de todos los aspectos que afectan a las actividades en las que se utilizan sistemas informticos, pero dicha evaluacin se realiza sin el uso de los sistemas computacionales. Es tambin la evaluacin tanto a la estructura de organizacin, funciones y actividades de funcionarios y personal de un centre de cmputo, as como a los perfiles de sus puestos, como de los reportes, informes y bitcoras de los sistemas, de la existencia y aplicacin de planes, programas y presupuestos en dicho centro, as como del uso y aprovechamiento de los recursos informticos para la realizacin de actividades, operaciones y tareas. Asimismo, es la evaluacin de los sistemas de seguridad y prevencin de contingencias, de la adquisicin y uso del hardware, software y personal informtico, y en s de todo lo relacionado con el centro de cmputo, pero sin el uso directo de los sistemas computacionales.

Auditoria a la gestin

informtica: Es la auditoria cuya aplicacin se

enfoca exclusivamente a la revisin de las funciones y actividades de tipo administrativo que se realizan dentro de un centro de cmputo, tales como la planeacin, organizacin, direccin y control de dicho centro. Esta auditoria se realiza tambin con el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios, empleados y usuarios de las reas de sistematizacin, as como para revisar y evaluar las operaciones del sistema, el uso y proteccin de los sistemas de procesamiento, los programas y la informacin. Se aplica tambin para verificar el correcto desarrollo, instalacin, mantenimiento y explotacin de los sistemas de cmputo, as como sus equipos e instalaciones. Todo esto se lleva a cabo con el propsito de dictaminar sobre la adecuada gestin administrativa de

los sistemas computacionales de una empresa y del propio centro informtico.

Auditoria al sistema de cmputo: Es la auditoria tcnica y especializada que se enfoca nicamente a la evaluacin del funcionamiento y uso correctos del equipo de cmputo, su hardware, software y perifricos asociados. Esta auditoria tambin se realiza a la composicin y arquitectura de las partes fsicas y dems componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones internas o externas, as como al diseo, desarrollo y uso del software de operacin, de apoyo y de aplicacin, ya sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo, o paquetera de aplicacin institucional que se utiliza en la empresa donde se encuentra el equipo de cmputo que ser evaluado. Se incluyo tambin la operacin del sistema.

Auditoria en el entorno del computador: Es la revisin especfica que se realiza a todo lo que est alrededor de un equipo de cmputo, como son sus sistemas, actividades y funcionamiento, haciendo una evaluacin de sus mtodos y procedimientos de acceso y procesamiento de datos, la emisin y almacenamiento de resultados, las actividades de planeacin y

presupuestacin del propio centro de cmputo, los aspectos operacionales y financieros, la gestin administrativa de accesos al sistema, la atencin a los usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en s, a todos aquellos aspectos que contribuyen al buen funcionamiento de un rea de sistematizacin.

Auditoria sobre la seguridad de sistemas computacionales: es la revisin exhaustiva, tcnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cmputo, sus reas y personal, as como a las actividades, funciones y acciones preventivas y correctivas

que

contribuyan

a

salvaguardar

la

seguridad

de

los

equipos

computacionales, las bases de datos, redes, instalaciones y usuarios del sistema. Es tambin la revisin de los planes de contingencia y medidas de proteccin para la informacin, los usuarios y los propios sistemas computacionales, y en s para todos aquellos aspectos que contribuyen a la proteccin y salvaguarda en el buen funcionamiento del rea de sistematizacin, sistemas de redes o computadores personales, incluyendo la prevencin y erradicacin de los virus informticos.

Auditoria a los sistemas de redes: es la revisin exhaustiva, especfica y especializada que se realiza a los sistemas de redes de una empresa, considerando en la evaluacin los tipos de redes, arquitectura, topologa, sus protocolos de comunicacin, las conexiones, accesos, privilegios, administracin y dems aspectos que repercuten en su instalacin, administracin, funcionamiento y aprovechamiento. Es tambin la revisin del software institucional, de los recursos informticos e informacin de las operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones, software y hardware de un sistema de red.

Auditoria integral a los centros de computo: es la revisin exhaustiva, sistemtica y global que se realiza por medio de un equipo multidisciplinario de auditores, de todas las actividades y operaciones de un centro de sistematizacin, a fin de evaluar, en forma integral, el uso adecuado de sus sistemas de cmputo, equipos perifricos y de apoyo para el procesamiento de informacin de la empresa, as como de la red de servicios de una empresa y el desarrollo correcto de las funciones da sus reas, personal y usuarios. Es tambin la revisin de la administracin del sistema, del manejo y control de los sistemas operativos, lenguajes, programas y paqueteras de aplicacin, as como de la administracin y control de proyectos, la adquisicin del hardware y software institucionales, de la adecuada integracin y

uso de sus recursos informticos y de la existencia y cumplimiento de las normas, polticas, estndares y procedimientos que regulan la actuacin del sistema, del personal y usuarios del centro de cmputo. Todo esto hecho de manera global por medio de un equipo multidisciplinario de auditores.

Auditoria

outsourcing:

es

la

revisin

exhaustiva,

sistemtica

y

especializada que se realiza para evaluar la calidad en el servicio de asesora o procesamiento externo de informacin que proporciona una empresa a otra. Esto se lleva a cabo con el fin de revisar la confiabilidad, oportunidad, suficiencia y asesora por parte de los prestadores de servicios de procesamiento de datos, as como el cumplimiento de las funciones y actividades que tienen encomendados tos prestadores de servidos, usuarios y el personal en general. Dicha revisin so realiza tambin en los equipos y sistemas.

Auditoria ergonmica de sistemas computacionales: es la revisin tcnica, especfica y especializada que se realiza para evaluar la calidad, eficiencia y utilidad del entorno hombre-mquina-medio ambiente que rodea el uso de sistemas computacionales en una empresa. Esta revisin se realiza tambin con el propsito de evaluar la correcta adquisicin y uso del mobiliario equipo y sistemas, a fin de proporcionar el bienestar, confort y comodidad que requieren los usuarios de los sistemas de cmputo de la empresa, as como evaluar la deteccin de los posibles problemas y sus repercusiones, y la determinacin de las soluciones relacionadas con la salud fsica y bienestar de los usuarios de los sistemas de la empresa.

Capitulo 2. Tcnicas y procedimientos de auditoria

Leccin 1. Conceptos10Tcnicas de auditora: se refieren a los mtodos usados por el auditor para recolectar evidencia. Los ejemplos incluyen, entre otras, la revisin de la documentacin, entrevistas, cuestionarios, anlisis de datos y la observacin fsica.11

Procedimientos de auditora: son el conjunto de tcnicas aplicadas por el auditor en forma secuencial; desarrolladas para comprender la actividad o el rea objeto del examen; para recopilar la evidencia de auditora para respaldar una observacin o hallazgo; para confirmar o discutir un hallazgo, observacin o recomendacin con la administracin.12 Relacin entre tcnicas y procedimientos de auditora: 13

1011

http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf 12 http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf 13 http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf

Considerando que los procedimientos de auditora constituyen el conjunto de tcnicas de investigacin que el auditor aplica a la informacin sujeta a revisin, mediante las cuales obtiene evidencia para sustentar su opinin profesional; las tcnicas constituyen un detalle del procedimiento. El auditor para realizar su trabajo utiliza un conjunto de herramientas, que se denominan tcnicas de auditora. Dado que procedimiento significa mtodo de ejecutar alguna cosa, la aplicacin de las distintas tcnicas de auditora para aplicarlas al estudio particular de una cuenta u operacin se denomina procedimiento de auditora. Respecto de los procedimientos, es

conveniente determinar los procedimientos de auditora, en el sentido de decidir qu tcnica o tcnicas de auditora deberan formar parte, con carcter general, de un procedimiento de auditora. Ello es as porque el auditor, generalmente, no puede obtener la evidencia necesaria y suficiente mediante la aplicacin de un solo procedimiento de auditora, sino que -por el contrario- debe examinar los hechos que se le presentan mediante la aplicacin simultnea o sucesiva de varios procedimientos de auditora. Cuando se aplican o ejecutan los procedimientos de auditora, se dice que se est realizando una prueba de auditora. Por ello, resumiendo las definiciones expuestas, se puede sealar que: los procedimientos de auditora son un conjunto de tcnicas y que la puesta en prctica de dichos procedimientos constituyen o se materializan en pruebas de auditora.

Leccin 2 Tcnicas que se aplican en el trabajo de auditora14El examen de cualquier operacin, actividad, rea, programa, proyecto o transaccin, se realiza mediante la aplicacin de tcnicas, y el auditor debe conocerlas para seleccionar la ms adecuada, de acuerdo con las caractersticas y condiciones del trabajo que realiza.14

http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf

En el trabajo de Auditora, se pueden utilizar las tcnicas de general aceptacin, las cuales se clasifican generalmente sobre la base de la accin que se va a efectuar, es as que tenemos las siguientes:

Verbales o testimoniales Documentales Fsicas Analticas Informticas

Tcnicas verbales o testimoniales Permiten conseguir informacin de forma oral al interior o fuera de la entidad. Estas son utilizadas muy frecuentemente y le permiten al auditor confirmar evidencias encontradas en otras indagaciones as como tambin dilucidar asuntos que ameriten mayor investigacin y documentacin.

La evidencia que se obtenga a travs de esta tcnica, debe documentarse adecuadamente mediante papeles de trabajo preparados por el auditor, en los cuales se describan las partes involucradas y los aspectos tratados. Las tcnicas verbales pueden ser:

-

Entrevista: Consiste en la averiguacin mediante la aplicacin de preguntas directas al personal de la entidad auditada o a terceros, cuyas actividades guarden relacin con las operaciones de esta.

-

Encuestas y cuestionarios: Es la aplicacin de preguntas, relacionadas con las operaciones realizadas por el ente auditado, para conocer la verdad de los hechos, situaciones u operaciones.

Documentales Consisten en obtener informacin escrita para soportar las afirmaciones, anlisis o estudios realizados por los auditores. Estas pueden ser: Comprobacin: Consiste en verificar la evidencia que apoya o

sustenta una operacin o transaccin, con el fin de corroborar su autoridad, legalidad, integridad, propiedad, veracidad mediante el examen de los documentos que las justifican.

-

Confirmacin:

Radica

en

corroborar

la

verdad,

certeza

o

probabilidad de hechos, situaciones, sucesos u operaciones, mediante datos o informacin obtenidos de manera directa y por escrito de los funcionarios o terceros que participan o ejecutan las operaciones sujetas a verificacin.

Leccin 3.Otras Tcnicas en el trabajo de auditoraFsicas Consisten en verificar en forma directa y paralela, la manera como los responsables desarrollan y documentan los procesos o procedimientos, mediante los cuales la entidad auditada ejecuta las actividades objeto de control. Esta tcnica permite tener una visin de la organizacin desde el ngulo que el auditor necesita, o sea, los procesos, las instalaciones fsicas, los movimientos diarios, la relacin con el entorno, etc. Entre estas tcnicas tenemos las siguientes: Inspeccin: Consiste en el reconocimiento mediante el examen fsico y ocular, de hechos, situaciones, operaciones, activos tangibles, transacciones y actividades, aplicando para ello otras tcnicas como son: indagacin, observacin, comparacin, rastreo, anlisis, tabulacin y comprobacin. Observacin: Consiste en la contemplacin a simple vista, que realiza el auditor durante la ejecucin de una actividad o proceso. Comparacin o confrontacin: Es cuando se fija la atencin en las operaciones realizadas por la entidad auditada y en los lineamientos normativos, tcnicos y prcticos establecidos, para descubrir sus relaciones e identificar sus diferencias y semejanzas. Revisin selectiva: Radica en el examen de ciertas caractersticas importantes, que debe cumplir una actividad, informes o documentos, seleccionndose as parte de las operaciones, que sern evaluadas o verificadas en la ejecucin de la auditora. Rastreo: Es el seguimiento que se hace al proceso de una operacin, con el objetivo de conocer y evaluar su ejecucin.

-

-

-

Analticas Son aquellas desarrolladas por el propio auditor a travs de clculos, estimaciones, comparaciones, estudios de ndices y tendencias,

investigacin de variaciones y operaciones no habituales. Esta tcnica se aplica de las formas siguientes: Anlisis: Consiste en la separacin de los elementos o partes que conforman una operacin, actividad, transaccin o proceso, con el propsito de establecer sus propiedades y conformidad con los criterios de orden normativo y tcnico. Permite identificar y clasificar para su posterior anlisis, todos los aspectos de mayor significacin y que en un momento dado pueden afectar la operatividad de la entidad auditada, entre estas podemos identificar, por ejemplo, al anlisis de relaciones, anlisis de tendencias, etc.

- Conciliacin: Consiste en confrontar informacin producida por diferentes unidades administrativas o instituciones, en relacin con una misma operacin o actividad, a efectos de hacerla coincidir, lo que permite determinar la validez, veracidad e idoneidad de los registros, informes y resultados objeto de examen. Clculo: Consiste en la verificacin de la exactitud aritmtica de las operaciones, contenidas en los documentos tales como informes, contratos, comprobantes y presupuestos. Tabulacin: Se realiza mediante la agrupacin de los resultados importantes, obtenidos en las reas y elementos analizados, para arribar o sustentar las conclusiones.

-

Informticas Ms comnmente conocidas como Tcnicas de Auditora Asistidas por Computador (TAAC), se refiere a las tcnicas de auditora que contemplan herramientas informticas con el objetivo de realizar ms eficazmente, eficientemente y en menor tiempo pruebas de auditora. En resumen, los procedimientos de auditora son la agrupacin de tcnicas aplicables al estudio particular de una cuenta u operacin; prcticamente resulta inconveniente clasificar los procedimientos ya que la experiencia y el criterio del auditor deciden las tcnicas que integran el procedimiento en cada caso particular.

Leccin 3. La entrevista como una tcnica de auditora 15Es un dialogo entre personas, en torno a una situacin determinada, en la cual una interroga (pregunta, entrevista) y la otra responde (entrevistado). Esta tcnica de auditora puede utilizar preguntas estandarizadas o puede ser un dilogo abierto, en cualquier caso se requiere de guas que orienten el proceso. En una entrevista generalmente dos personas hablan, interactuando con preguntas y respuestas en torno a un solo tema y tiene como propsito conseguir o dar informacin, proporcionar o recibir indicaciones o recomendaciones, etc.

Tipos de Entrevista Los tipos de entrevistas se pueden clasificar segn la complejidad del tema a tratar, se identifican ms comnmente: Entrevista estructurada:

Llamada tambin formal o estandarizada. Se caracteriza por estar rgidamente estandarizada, se plantean idnticas preguntas y en el mismo orden a varios entrevistados, por ejemplo de una misma rea de trabajo o que realizan actividades similares, quienes deben escoger la respuesta entre dos, tres o ms alternativas que se les ofrecen. Para orientar mejor la entrevista se elabora un cuestionario, que contiene todas las preguntas. Sin embargo, al utilizar este tipo de entrevista el entrevistador tiene limitada libertad para formular preguntas independientes generadas por la interaccin personal. Entre las ventajas que tiene este tipo de entrevista, se mencionan:15

http://www.cgr.gov.bo/PortalCGR/uploads/Tecproaud.pdf

La informacin es ms fcil de procesar, simplificando el anlisis comparativo. El entrevistador no necesita estar entrenado arduamente en la tcnica. Hay uniformidad en la informacin obtenida. Entre las desventajas se tienen: Es difcil obtener informacin confidencial. Se limita la posibilidad de profundizar en un tema que emerja durante la Entrevista. - Entrevista no estructurada: Es ms flexible y abierta, aunque los objetivos de la investigacin rigen a las preguntas, su contenido, orden, profundidad y formulacin se encuentran por entero en manos del entrevistador. Si bien el entrevistador; sobre la base del problema, los objetivos y las variables; elabora las preguntas antes de realizar la entrevista, modifica el orden, la forma de encauzar las preguntas o su formulacin para adaptarlas a las diversas situaciones y caractersticas particulares de los sujetos de estudio. Entre las ventajas de este tipo de entrevista se tienen: Es adaptable y susceptible de aplicarse a toda clase de sujetos en situaciones diversas. Permite profundizar en temas de inters. Orienta posibles hiptesis y variables cuando se exploran reas nuevas. Entre sus desventajas se mencionan: Se requiere de mayor tiempo. Es ms costoso por la inversin de tiempo de los entrevistadores. Se dificulta la tabulacin de los datos. Se requiere mucha habilidad tcnica para obtener la informacin y mayor conocimiento del tema.

El siguiente grafico resume lo anterior:

Leccin 5. Tipos de preguntas en la tcnica de entrevistaEl entrevistador puede hacer cinco clases de preguntas: preliminares o introductorias, informativas, de anlisis o de evaluacin, y de admisin o confirmacin. En una entrevista, donde el objeto es obtener informacin, solo tres de las cinco clases de preguntas deben ser normalmente utilizadas: Introductorias, informativas y preguntas personales. Si el entrevistador tiene razonable fundamento o causa para creer que el entrevistado no est siendo honesto,

preguntas de anlisis o de evaluacin pueden ser utilizadas. Finalmente, si el entrevistador decide con razonable fundamento o causa que el entrevistado esta respondiendo con vacilacin, puede utilizar preguntas de confirmacin o admisin. Preguntas Preliminares o Introductorias: Son usadas por el entrevistador con dos propsitos principales: informarle al entrevistado acerca del objetivo y del proceso de la entrevista y obtener de este verbalmente un acuerdo de cooperacin durante la entrevista. Son de carcter general y pueden tocar aspectos personales y profesionales, como por ejemplo, acerca de su profesin o especialidad, antigedad en la entidad y en el puesto, etc. Luego de haber establecido el clima propicio se pasar a utilizar las preguntas diseadas y posibilitar as un mayor dilogo. Preguntas Informativas: Una vez que el formato apropiado de la entrevista est establecido, el entrevistador entonces trata de obtener la informacin verdadera sobre el tema de inters para la auditora. Hay esencialmente tres tipos de preguntas que pueden ser hechas: cerradas, abiertas y deliberadas (con el propsito de obtener una respuesta esperada). Preguntas Cerradas

Esta forma de pregunta es la que se puede contestar con un si o un no. Generalmente, una pregunta limitada debera evitarse porque no invita a discusin y falla al no indicar qu est pensando el entrevistado. Cuando se usa, la pregunta cerrada debera estar seguida por: por qu?, cmo? o dnde?, para que a la persona que responda se le exija explicar sus puntos de vista.

En una entrevista, estas preguntas son hechas de forma cerrada con el propsito de reconfirmar los hechos, obtener informacin no obtenida previamente, obtener nueva evidencia, y mantener una buena relacin con el entrevistado. Preguntas abiertas

Esta forma de pregunta exige elaboracin: ej: Cmo se realiza esta actividad?. Estas preguntas pueden tomar dos formas: pregunta directa o pregunta indirecta.

Preguntas de Evaluacin o de Anlisis:

Cada tipo de pregunta es usada en una secuencia lgica, para maximizar el desarrollo de la informacin. Si el entrevistador tiene razn para creer que el entrevistado no est siendo honesto, entonces puede hacer preguntas de evaluacin o de anlisis. Asimismo, la entrevista deber llevar a un final lgico. Por medio de la observacin de las reacciones del entrevistado a estas preguntas, el entrevistador puede evaluar la credibilidad del entrevistado con algn grado de precisin. Estas evaluaciones podran ser la base que el entrevistador decida acerca de realizar preguntas de admisin para obtener evidencia acerca de un hecho irregular.

Preguntas de Admisin o de Declaracin: Las preguntas de admisin o de declaracin estn reservadas

especficamente cuando se tiene evidencia razonable acerca la existencia de hechos irregulares o deficiencias manifiestas en la actividad u proceso

objeto de la auditora. Estas preguntas no deben violar los derechos y libertades de la persona que est siendo entrevistada.

Capitulo 3.

El programa de auditoria

Leccin 1: Desarrollo del programa de auditoria 16Un programa de auditora es un conjunto de procedimientos documentados, diseados para alcanzar los objetivos planificados en una auditoria.

El programa de auditora es fundamental para el proceso de auditora ya que da la seguridad de que el trabajo se plane adecuadamente, permite realizar el seguimiento y supervisin, es una gua para la ejecucin del trabajo y para documentar los diversos pasos de auditoria as como tambin para sealar la ubicacin del material de evidencia. Generalmente tiene la siguiente estructura:Procedimientos de Auditora Papeles Trabajo Referencia_______ Realizado por:__________________ Fecha_________________________

Lugar

El esquema caracterstico de un programa de auditora incluye lo siguiente:

Tema de auditora: donde se identifica el rea a ser auditada.16

http://www.monografias.com/trabajos12/condeau/condeau.shtml#DESARR

Objetivos de auditora: donde se indica el propsito del trabajo de auditora a realizar. Alcances de auditora: se identifica los sistemas especficos o unidades de organizacin que se han de incluir en la revisin en un perodo de tiempo determinado. Planificacin previa: se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar.

Procedimientos de auditora para: Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento. Los procedimientos de auditora incluidos en los programas de trabajo deben ser lo suficientemente claros de tal forma que permitan a los miembros del equipo de auditora comprender que es lo que se va a realizar.

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las polticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las polticas o procedimientos son eficaces.

Normas generales de auditoria17 Las normas son los medios que regulan la calidad de trabajo del auditor. Pueden ser:

Leccin 2. Normas personales o generales:Se refieren generalmente a la calidad de trabajo y a las cualidades que el Auditor debe tener para poder analizar.

Entrenamiento y capacidad social: el examen debe ser efectuado por personas que tienen entrenamiento tcnico adecuado y capacidad profesional como Auditor. Esmero y capacidad profesional: el Auditor debe ejercer el debido cuidado profesional en la ejecucin del examen y la reparacin del informe. Independencia de criterio: en todos los asuntos relacionados con el examen del Auditor debe tener independencia de criterio.

Leccin 3: Normas relativas al trabajo de campoSon los elementos bsicos fundamentales en la ejecucin de trabajo del Auditor, se encuentran: Planeamiento y direccin profesional (supervisn adecuada): el examen debe ser planeado adecuadamente y el trabajo de los asistentes del Auditor si los hay debe ser debidamente supervisado. Estudio y evaluacin del control interno: el Auditor debe estudiar y evaluar apropiadamente el sistema de control interno como base para determinar el grado de confianza que merece y consecuentemente por determinar el alcance de las comprobaciones que deben efectuarse mediante los procedimientos de Auditoria.17

http://www.mailxmail.com/curso/empresa/auditoria/capitulo2.htm

Evidencia, suficiencia y competencia: el Auditor debe obtener una evidencia adecuada en grado suficiente mediante la inspeccin, observacin, indagacin, confirmacin para contar una base que nos permita dar una operacin de los Estados Financieros sujetos al examen.

Leccin 4: Normas relativas a la elaboracin del informe de AuditoraEl producto final de una auditoria es la elaboracin de un informe, este es uno de los documentos ms importantes del trabajo realizado.

Contiene la opinin del auditor la cual puede alternativas: Sin salvedades Con salvedades Adversa Puede abstenerse de opinar.

tener las siguientes

El informe debe indicar las sugerencias que considere convenientes para mejorar los ndices de eficiencia y efectividad.

Leccin 5: Metodologa de la auditoriaExisten algunas metodologas de Auditoria de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estndar, las cuatro fases bsicas en un proceso de revisin son:

Fases de un proceso de auditoria

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios del PAD. Revisin y evaluacin de controles y seguridades: Consiste en la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas criticas: Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usara, definir la metodologa de trabajo, la duracin de la auditoria, Presentar el plan de trabajo y analizara detalladamente cada problema encontrado. Comunicacin de resultados: Se elaborar el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas

encontrados, los efectos y las recomendaciones de la Auditoria. El informe debe contener lo siguiente: o o o o o o o Motivos de la Auditoria Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditoria

SEGUNDA UNIDAD

AUDITORIA INFORMATICA

Auditoria InformticaINTRODUCCIONEn esta unidad, se desarrollan aspectos de la auditoria informtica relacionados con el alcance, importancia y tipos de la auditoria informtica.

El propsito es que usted identifique el proceso de una auditoria informtica, su metodologa y las diferentes tcnicas aplicadas en su ejecucin.

OBJETIVOSIdentificar el propsito de la auditoria informtica Distinguir entre los diferentes tipos de auditoria informtica Identificar el papel del auditor informtico

Capitulo 1.

La auditoria informtica

Leccin 1. Concepto, objetivos de la auditoria infor mticaConcepto: La auditoria informtica: es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e informacin utilizados en una empresa, sean individuales compartidos y/o de redes, as como a sus instalaciones, telecomunicaciones, mobiliario, equipos perifricos y dems componentes. Dicha revisin se realiza de igual manera a la gestin informtica, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cmputo. El propsito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la informacin y la emisin oportuna de los resultados en la institucin, incluyendo la evaluacin en el cumplimiento de las funciones actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa. 18

Objetivos de la auditoria informtica Evaluar el uso de los recursos tcnicos y materiales para el procesamiento de la informacin as como tambin el aprovechamiento de los equipos de cmputo, sus perifricos, las instalaciones y mobiliario del centro de cmputo. Evaluar el desarrollo e instalacin de nuevos sistemas, el

aprovechamiento de de los sistemas de procesamiento, los sistemas operativos, los lenguajes, programas y aplicaciones. Operatividad Verificacin de las normas existentes en el departamento de Informtica y su coherencia con las del resto de la empresa La operatividad, se encarga de verificar que la organizacin y las maquinas funcionen, siquiera mnimamente. No es aceptable detener la los recursos de

computo para descubrir sus fallos y comenzar de nuevo. Cuando los sistemas estn operando la auditoria inicia su actividad. De ah que la principal

preocupacin del auditor informtico es la de mantener la operatividad de los sistemas y para lograrlo debe verificar que se estn realizando los siguientes tipos de controles: Controles Tcnicos Generales de Operatividad y Controles Tcnicos Especficos de Operatividad.

La verificacin de las normas existentes en el departamento de Informtica y su coherencia con las del resto de la empresa, implica que se debe revisar:

18

MUOZ, Razo Carlos. Auditoria en Sistemas Computacionales. Mxico: Pearson Educacin. 2002. p.

Leccin 2. Alcance, importancia, necesidad de la audit oria informticaAlcance de la Auditoria Informtica El alcance define el entorno y los lmites donde va a desarrollarse la auditoria informtica, complementndose con los objetivos definidos para el proceso de revisin. El alcance debe manifestarse claramente en el Informe Final, de modo que queden perfectamente detallados no solamente los puntos que fueron examinados, sino tambin cuales fueron omitidos. 19 Importancia de la Auditoria Informtica La Auditoria Informtica, es importante en las organizaciones por las siguientes razones: Se pueden difundir y utilizar resultados o informacin errnea si la calidad de datos de entrada es inexacta o los mismos son manipulados, lo cual abre la posibilidad de que se provoque un efecto domin y afecte seriamente las operaciones, toma de decisiones e imagen de la empresa.

Las computadoras, servidores y los Centros de Procesamiento de Datos se han convertido en blancos apetecibles para fraudes, espionaje, delincuencia y terrorismo informtico. La continuidad de las operaciones, la administracin y organizacin de la empresa no deben descansar en sistemas mal diseados, ya que los mismos pueden convertirse en un serio peligro para la empresa. Las bases de datos pueden ser propensas a atentados y accesos de usuarios no autorizados o intrusos.

19

www.monografias.com Auditoria de Sistema y polticas de Seguridad Informtica. Integrantes: COITE, Anglica y ROMERO, Hugo.

Leccin 3. Necesidad de la auditoria informticaNecesidad de la Auditoria Informtica20

Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases: Sntomas de descoordinacin y desorganizacin: No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa. Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. Sntomas de mala imagen e insatisfaccin de los usuarios: No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles. Sntomas de debilidades econmico-financiero: Incremento desmesurado de costes.20

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml

Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin). Sntomas de Inseguridad: Evaluacin de nivel de riesgos Seguridad Lgica Seguridad Fsica Confidencialidad Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

Leccin 4. Tipos de Auditoria InformticaLa divisin de la auditoria informtica o de sistemas se ha realizado teniendo en cuenta las diferentes funciones que se desarrollan en esta rea, se indican brevemente cada una de estas divisiones: 2121

www.monografias.com Auditoria de Sistema y polticas de Seguridad Informtica. Integrantes: COITE, Anglica y ROMERO, Hugo.

Explotacin u Operacin. Desarrollo de Proyectos. De Sistemas. De Comunicaciones y Redes y de Seguridad. Auditoria de la Seguridad Informtica Auditoria Informtica para Aplicaciones en Internet.

Auditoria Informtica de Produccin o Explotacin: conocida tambin como de operacin, se ocupa de revisar todo lo que se refiere con producir resultados informticos, listados impresos, archivos soportados magnticamente, ordenes automatizadas para ejecutar o modificar procesos, etc.

La produccin, operacin o explotacin informtica dispone de una materia prima, los datos, que son necesarios para transformar y que se someten previamente a controles de integridad y calidad. La transformacin se realiza por medio del proceso informtico, el cual est regido por programas y una vez obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario.

La auditoria informtica de produccin, operacin o explotacin se encarga de revisar las secciones que la componen y sus interrelaciones, las cuales generalmente son: planificacin, produccin y soporte tcnico.

Auditoria Informtica de Desarrollo de Proyectos: La funcin de desarrollo es una evolucin del llamado anlisis y programacin de sistemas, y abarca muchas reas tales como: prerrequisitos del usuario y del entorno, anlisis funcional, diseo, anlisis orgnico (reprogramacin y programacin) y pruebas. Estas fases deben estar sometidas a un exigente control interno, de lo contrario,

los costos pueden ser excesivos o se puede no satisfacer todas las necesidades del usuario. La auditoria en este caso deber principalmente comprobar la seguridad de los programas en el sentido de garantizar que lo ejecutado por la mquina sea exactamente lo previsto o lo solicitado inicialmente.

Auditoria Informtica de Sistemas: Se ocupa de analizar y revisar los controles y efectividad de la actividad que se conoce como tcnicas de sistemas en todas sus facetas y se enfoca principalmente en el entorno general de sistemas, el cual incluye sistemas operativos, software bsico, aplicaciones, administracin de base de datos, etc.

Auditoria Informtica de Comunicaciones y Redes: Este tipo de revisin se enfoca en las redes, lneas, concentradores, multiplexores, etc. El auditor

informtico deber indagar sobre los ndices de utilizacin de las lneas contratadas, solicitar informacin sobre tiempos de desuso. Tambin ser

necesario que obtenga informacin sobre la cantidad de lneas existentes, cmo son y donde estn instaladas, sin embargo, las debilidades ms frecuentes o importantes se encuentran en las disfunciones organizativas, pues la contratacin e instalacin de lneas va asociada a la instalacin de los puestos de trabajo correspondientes (pantallas, servidores de redes locales,

computadoras, impresoras, etc.).

Auditoria de la Seguridad Informtica: La auditoria de la seguridad en la informtica comprende los conceptos de seguridad fsica y lgica. La

seguridad fsica se refiere a la resguardo del hardware y los soportes de datos, as como la seguridad de los edificios e instalaciones que los alojan. Es papel del auditor informtico contemplar situaciones de incendios, sabotajes, inundaciones, robos, catstrofes naturales, etc.

Por su parte, la seguridad lgica hace referencia a la seguridad en el uso de software, la proteccin de los datos, procesos y programas, as como la del acceso ordenado y autorizado de los usuarios a la informacin.

El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado de que no existen copias piratas, o de que, al conectarnos en red con otros computadores, no exista la posibilidad de transmisin de virus.

Auditoria Informtica para Aplicaciones en Internet: En este tipo de revisiones, se enfoca principalmente en verificar los siguientes aspectos, que el auditor informtico no puede pasar por alto: Evaluacin de los riesgos de Internet (operativos, tecnolgicos y financieros) y as como su probabilidad de ocurrencia. Evaluacin de vulnerabilidades y la arquitectura de seguridad

implementada. Verificar la confidencialidad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.

Leccin 5. Medios disponibles y especficos de auditoria . 22Medios tcnicos o Equipo fsico y locales. o Software bsico. Medios humanos. Medios financieros.

1. Medios tcnicos: Equipo fsico y locales.

22

http://zip.rincondelvago.com/00022558

Comprende el ordenador propiamente dicho, el hardware y los soportes fsicos de los ficheros, as como los locales donde se instalan estas mquinas.

Aspectos a tener en cuenta: Los equipos fsicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, tanto cualitativas como cuantitativas. Dada la evolutividad de los objetivos el equipo fsico debe ser tambin evolutivo sin dejar de resultar adecuado y modular. Cada componente del equipo fsico de formar parte de un todo homogneo. Otros criterios de eleccin son la fiabilidad del material y la rapidez de las restauraciones. Para garantizar la consecucin de la finalidad se hace necesario garantizar la seguridad del hardware. Es conveniente disponer de un curativo para garantizar esa seguridad.

plan preventivo y

El plan preventivo debe prever catstrofes generales ( incendio, inundacin,...) as como otros sucesos ( cortes de fludo elctrico, aumentos de tensin, presencia de polvo,...).

El plan curativo est formado por soluciones de emergencia en circunstancias diversas. Resulta fundamental la salvaguarda en

lugares distintos de un nmero suficiente de generaciones de ficheros, de programas y su modo de empleo. Una documentacin actualizada y disponible debe describir las caractersticas tcnica del equipo fsico.

Herramientas de auditora especfica: a) La auditora del equipo fsico debe comprobar si se aplican las reglas anteriores: adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para

ello, el auditor debe estar provisto de unos conocimientos tcnicos slidos. b) El auditor valorar la adaptacin a los objetivos y a las acciones tomando como base de juicio la evolucin histrica. c) El inters del auditor por las ejecuciones trs la adaptacin a las finalidades. d) Estimacin de la homogeneidad de los componentes y su fiabilidad atendiendo a las estadsticas de tiempo de utilizacin y la conservacin de grabaciones en caso de fallos. e) El estudio del presupuesto de seguridad evaluando los medios en funcin del servicio que prestan y conforme a la probabilidad de fallo que pueden tener. Tambin se examinar la seguridad del material suplementario y los formularios que contienen talonarios y letras. f) La conservacin se evala a partir de los contratos y de los informes de indisponibilidad. Puede ser preventiva (mantenimiento) o curativa (restauracin).

Software bsico. Constituye una parte creciente del coste de un sistema. Tiene una importancia primordial en la seguridad de las operaciones pero a medida que va creciendo ms compleja es su evaluacin.

Aspectos a tener en cuenta:

1.

El software bsico se adapta a las finalidades siempre y cuando permita

una correcta utilizacin del hardware con el lenguaje y en el modo de explotacin elegidos para ejecutar las aplicaciones. El software posee muchas posibilidades pero lo ms interesante a nivel prctico es la posibilidad de poder incorporarse en gran parte al equipo fsico.

2.

La evolutividad del software exige una transparencia de su dependencia

con respecto a las aplicaciones del equipo fsico. Los lmites de las posibilidades del software deben encontrarse bastante alejados, as como los obstculos no deben ser tan rgidos. Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro de un estudio como ya ocurre con el hardware.

3.

Los componentes del software bsico deben estar adaptados entre s y

con la configuracin del equipo fsico siempre en funcin de la finalidad. Por otro lado, tambin ha de adaptarse a los medios humanos, tanto para aquellos que desarrollan las aplicaciones como tambin para los que las usan.

4.

La fiabilidad del software bsico se consigue mediante el registro de las

anomalas para su posterior anlisis y rectificacin por el constructor aunque el software debe emplear ayudas para diagnstico de fallos. Resulta esencial que el software permita implantar los puntos de enlace eficazmente utilizables mediante la reinicializacin en la eventualidad de un mal funcionamiento, como una adecuada recuperacin de los ficheros. En definitiva, la fiabilidad de una base de datos est sealada en su sistema de gestin.

5.

Para la seguridad del software bsico se requiere una proteccin contra

los accesos prohibidos, especialmente en el modo interactivo y en un sistema de base de datos. Se aconseja la proteccin de los programas y datos temporales alojados en la memoria central, as como recomendable la rpida destuccin de ficheros con informacin confidencial. Las distintas protecciones del software deben registrar el intento de acceso ilegal. Aunque resulta difcil obtener una proteccin eficaz contra el acceso no

autorizado en pequeos sistemas debiendo colocar los ficheros en soportes que slo se manejen a la hora de su empleo.

6.

Resulta importante que el software contenga una documentacin

completa y actualizada que le sirva de referencia al usuario.

Herramienta de auditora especfica: a) La auditora del software bsico, en primer lugar, puede tener por fin la evaluacin de su adaptacin y de su evolutividad as como de su homogeneidad con los otros componentes. Igualmente, la auditora del software bsico puede versar sobre la fiabilidad y/o la seguridad. b) El auditor ha de ser realista pues al examinar el software directamente no puede hacer ms que comprobar reducidos fragmentos, incluso cuando la documentacin existe y est bien hecha. Es indispensable que el auditor adquiera los conocimientos para comprender el funcionamiento y poder intentar encontrar las deficiencias o la mala realizacin como si fuera un sistema de gestin de ficheros ordinarios. c) El auditor ha de examinar la consulta de la documentacin pues sto le indica la complejidad del software o bien su falta de actualizacin.

2. Medios humanos.

Aspectos a tener en cuenta: 1. Las personas tienen su propia finalidad la cul tratan de satisfacer, an as en una empresa se ha de respetar la realizacin de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la ostilidad particular.

2. Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo ha de contar con un escaso nmero de miembros, incluso resulta aconsejable una rotacin de las responsabilidades. 3. Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente. Tambin es importante una formacin y una informacin suficiente para que el personal tenga una visin bastante amplia de los problemas y de las interrelaciones. 4. Se ha de proceder a una verificacin de las informaciones transmitidas y tratadas por cada miembro del personal. Las comprobaciones deben ser tales que se detecte con rapidez el error humano y se rectifique antes de que se produzcan grandes consecuencias. La documentacin e informacin recprocas deben ser suficientes para que nadie resulte insustituible. 5. La seguridad comienza por la seleccin del personal y contina por el control mutuo en la realizacin de las tareas ms importantes. An as, es preciso precaverse contra un posible sabotaje directo o indirecto. 6. Sin informacin no hay motivacin, por tanto los fines y mtodos adoptados han de ser comprendidos y aceptados, a la vez que la formacin del personal es en s mismo una finalidad.

Herramientas de auditora especfica: a) Es conveniente tener el historial general del servicio y de los movimientos del personal. b) Comprobar la adecuacin al plan de los medios humanos por medio de los organigramas y fichas de funcin. c) Los medios humanos del sistema de informaciones son tambin piezas externas al servicio informtico. d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas de consola nos indican la fiabilidad de las operaciones de explotacin. La separacin de funciones, un examen de todas las protecciones materiales y lgicas y un conocimiento de los modos operativos proporcionan en su conjunto la seguridad humana. La realizacin de cursos como la utilizacin de libros y revistas conllevan una mejor documentacin y una mayor formacin.

3. Medios financieros.

La eleccin de los medios financieros ha de considerarse de forma global. No slo consiste en determinar qu equipos fsicos, programas o realizaciones cuestan ms o menos, sino tambin abarca otros aspectos, adems del econmico, tales como: fiabilidad, velocidad de procesamiento, rentabilidad, etc....

Aspectos a tener en cuenta:

1. La adecuacin de los medios financieros a la finalidad se mide por la proporcin entre los gastos exigidos y los resultados (financieros o no) obtenidos.

Los mtodos de control de gestin y contabilidad presupuestaria clsicos sirven para prever y posteriormente controlar la adecuacin a los objetivos. La evolutividad implica un presupuesto no slo flexible sino modulado en el tiempo, ya que los costes son importantes. 2. Los mtodos clsicos de la contabilidad analtica permiten establecer los estndares de homogeneidad de los medios financieros. Tambin es muy til verificar peridicamente si los costes imputados son todava competitivos con relacin a un servicio exterior. 3. Para elaborar un sistema equitativo sera preciso que dos servicios semejantes diera lugar a una misma valoracin. Los costos deben ser registrados de forma fiable, completa y pertinente, y los clculos y agrupaciones efectuados deben ser legtimos. El trabajo del personal debe ser registrado o repartido segn conceptos para que las cifras conserven algn sentido. 4. La seguridad financiera se obtiene por una rentabilidad duradera de la financiacin de hardware y el software. A la hora de la entrega de los equipos informticos, el contrato debe recoger un plan y un informe de gastos que condujo a su eleccin. La garanta de fiabilidad material reside en una clusula que fija el plazo de intervencin, en caso de avera, y el grado de fiabilidad de los componentes. Tambin puede contratarse un seguro para una garanta eficaz de los equipos. 5. Tanto los contratos de adquisicin y seguro como los documentos contables comprenden la documentacin sobre los medios financieros.

Herramientas de auditora especfica: a) Unos mnimos conocimientos por el auditor a nivel de contabilidad analtica y presupuestaria as como de derecho comercial y seguros, con lo que podr comprobar la existencia y la adecuacin de los presupuestos de inversin, la

correccin de las previsiones y medios de control, as como la forma de financiacin.

b) Para la seguridad de los medios financieros el auditor consultar todos los documentos contractuales que vinculan a la empresa.

Capitulo 2.

Metodologa de la auditoria informtica

Leccin 1. Etapas del mtodo de trabajoEl mtodo de trabajo del auditor pasa por las siguientes etapas: 23 Alcance y Objetivos de la Auditora Informtica. Estudio inicial del entorno auditable. Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del plan y de los Programas de Trabajo. Actividades propiamente dichas de la auditora. Confeccin y redaccin del Informe Final. Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final.

23

http://www.monografias.com/trabajos5/audi/audi2.shtml

Alcance y Objetivos de la Auditoria Informtica: El alcance de la Auditoria expresa los lmites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A efectos de delimitar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la Auditoria, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.

Las personas que realizan la Auditoria han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos especficos, stos se aadirn a los objetivos generales y comunes de a toda Auditoria Informtica: La operatividad de los Sistemas y los Controles Generales de Gestin Informtica. Estudio inicial del entorno auditable. Para realizar dicho estudio se deben examinar las funciones y actividades generales de la informtica. Para su realizacin el auditor debe conocer lo siguiente:

Organizacin: Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:

Organigrama: El organigrama expresa la estructura oficial de la organizacin a auditar. Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia.

Departamentos: Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos. Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes. Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el contrario, indican relaciones no estrictamente subordinables. Flujos de Informacin: Adems de las corrientes verticales

intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extradepartamentales. Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontneamente canales alternativos de informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos canales alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa. Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades personales o simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones en la organizacin. Nmero de Puestos de trabajo: El equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la organizacin corresponden a las funciones reales distintas.

Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la existencia de funciones operativas redundantes. Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer

tal circunstancia y expresarn el nmero de puestos de trabajo verdaderamente diferentes.

Nmero de personas por Puesto de Trabajo: Es un parmetro que los auditores informticos deben considerar. La inadecuacin del personal determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organizacin. Entorno Operacional: El equipo de Auditoria informtica debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

Situacin geogrfica de los Sistemas: Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos en la empresa. A continuacin, se verificar la existencia de responsables en cada unos de ellos, as como el uso de los mismos estndares de trabajo.

Arquitectura y configuracin de Hardware y Software: Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuracin de los sistemas esta muy ligada a las polticas de seguridad lgica de las compaas. Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de los equipos.

Inventario de Hardware y Software: El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y remotas, perifricos de todo tipo, etc.

El inventario de software debe contener todos los productos lgicos del Sistema, desde el software bsico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.

Comunicacin y Redes de Comunicacin: En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas principales de las lneas, as como de los accesos a la red pblica de comunicaciones. Igualmente, poseern informacin de las Redes Locales de la Empresa.

Aplicaciones bases de datos y archivos: El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informticos realizados en la empresa auditada. Para ello debern conocer lo siguiente: Volumen, antigedad y complejidad de las Aplicaciones Metodologa del Diseo: Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondr de manifiesto. Documentacin: La existencia de una adecuada documentacin de las aplicaciones propo