Determinacin del rea a Auditar

Para hacer una adecuada planeacin de la auditora, hay que seguir una serie de pasos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Para planificar el rea a Auditar vista de los dos objetivos: es fundamental, pues habr que hacerla desde el punto de

Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

Lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello se debe hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Investigacin Preliminar Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: Administracin Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica.

Objetivos a corto y largo plazo. Recursos materiales y tcnicos: Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Estudios de viabilidad: Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados), Fechas de instalacin de los equipos y planes de con otras instalaciones, Configuracin de los equipos y capacidades instalacin, Contratos vigentes de compra, renta y servicio de mantenimiento, Contratos de seguros, Convenios que se tienen actuales y mximas, Planes de expansin, Ubicacin general de los equipos, Polticas de operacin, Polticas de uso de los equipos. Sistemas. Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada,

archivos, salida.

Personal Participante

Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber participar y sus caractersticas. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditora. En primer lugar se debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. Riesgo y materialidad de auditora. Se puede definir los riesgos de auditora como aquellos riesgos de que la informacin pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditora pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusin de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditora. Tcnicas de evaluacin de Riesgos. Al determinar qu reas funcionales o temas de auditora que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditora, el auditor de sistemas debe evaluar esos riesgos y determinar cules de esas reas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluacin de ries gos, estos son:

Permitir que la gerencia asigne recursos necesarios para la auditora.

Garantizar que se ha obtenido la informacin pertinente de todos los niveles gerenciales, y garantiza que las actividades de la funcin de auditora se dirigen correctamente a las reas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para eficazmente el departamento. la organizacin de la auditora a fin de administrar

Proveer un resumen que describa como el tema individual de auditora se relaciona

con la organizacin global de la empresa as como los planes del negocio. Objetivos de controles y objetivos de auditora. El objetivo de un control es anular un riesgo siguiendo alguna metodologa, el objetivo de auditora es verificar la existencia de estos controles y que estn funcionando de manera eficaz, respetando las polticas de la empresa y los objetivos de la empresa.

As pues siguientes:

tenemos

por ejemplo

como

objetivos

de auditora de sistemas los

La informacin de los sistemas de informacin deber estar resguardada de acceso incorrecto y se debe mantener actualizada. vez. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola

Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditora se consiguen mediante los procedimientos de auditora. Procedimientos de auditora. Algunos ejemplos de procedimientos de auditora son: Revisin de la documentacin de sistemas e identificacin de los controles existentes. Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas y controles aplicados. Utilizacin de software de manejo de base de datos para examinar el contenido de los archivos de datos. Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas.

Desarrollo del programa de auditora. Un programa de auditora es un conjunto documentado de procedimientos diseados para alcanzar los objetivos de auditora planificados. El esquema tpico de un programa de auditora incluye lo siguiente: a. b. Tema de auditora: Donde se identifica el rea a ser auditada. Objetivos de Auditora: Donde se indica el propsito del trabajo de auditora a realizar.

c. Alcances de auditora: Aqu se identifica los sistemas especficos o unidades de organizacin que se han de incluir en la revisin en un perodo de tiempo determinado. d. Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar. e. Procedimientos de auditora: para: Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes.

Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento.

Asignacin de Recursos de auditora. La asignacin de recursos para el trabajo de auditora debe considerar las tcnicas de administracin de proyectos las cuales tienen los siguientes pasos bsicos: Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algn mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede llevar en un diagrama de Gantt. As mismo las hojas de control de tiempo son generalmente como sigue: Los recursos deben comprender tambin las habilidades con las que cuenta el grupo de trabajo de auditora y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del personal para la realizacin del trabajo de auditora, como los perodos de vacaciones que estos tengan, otros trabajos que estn realizando, etc. Tcnicas de recopilacin de evidencias. La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de sistemas debe tener conocimiento de cmo puede recopilar la evidencia examinada. Algunas formas son las siguientes: Revisin de las estructuras organizacionales de sistemas de informacin. Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarn en documentos, si no en medios magnticos para lo cual el auditor deber conocer las formas de recopilarlos mediante el uso del computador. Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observacin de operaciones y actuacin de empleados, esta es una tcnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditora. Auto documentacin, es decir el auditor puede preparar narrativas en base a su observacin, flujogramas, cuestionarios de entrevistas realizados. Aplicacin de tcnicas de muestreo para saber cundo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Evaluacin de fortalezas y debilidades de auditora. Luego de desarrollar el programa de auditora y recopilar evidencia de auditora, el siguiente paso es evaluar la informacin recopilada con la finalidad de desarrollar una opinin. Para esto generalmente se utiliza una matriz de control con la que se evaluar el nivel de los controles identificados, esta matriz tiene sobre el eje vertical los tipos de errores que pueden presentarse en el rea y un eje horizontal los controles conocidos para detectar o corregir los errores, luego se establece un puntaje (puede ser de 1 a 10 0 a 20, la idea es

que cuantifique calidad) para cada correspondencia, una vez completada, la matriz muestra las reas en que los controles no existen o son dbiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control. Seguimiento de las observaciones de auditora. El trabajo de auditora es un proceso continuo, se debe entender que no servira de nada el trabajo de auditora si no se comprueba que las acciones correctivas tomadas por la gerencia, se estn realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento depender del carcter crtico de las observaciones de auditora. El nivel de revisin de seguimiento del auditor de sistemas depender de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situacin actual, en otros casos tendr que hacer una revisin ms tcnica del sistema.

CONCEPTOS Y DEFINICION DE CONTROL INTERNO El control interno es la adopcin de una serie de medidas que se establecen en la empresa, con el propsito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y as ayudar a la administracin y cumplimiento correcto de las actividades y operaciones de la empresa.

OBJETIVOS DEL CONTROL INTERNO El control interno sirve para evaluar el desarrollo correcto de las actividades de las empresas, as como la aceptacin y cumplimiento adecuados de las normas y polticas que regulan sus actividades; sus objetivos fundamentales son: Establecer la seguridad y proteccin de los activos de la empresa. Promover la confiabilidad, oportunidad y veracidad de los registros contables as como de la emisin de la informacin financiera de la empresa. Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y actividades de la empresa. Establecer y hacer cumplir las normas, polticas y procedimientos que regulan las actividades de la empresa. Implantar los mtodos, tcnicas y procedimientos que permitan desarrollar adecuadamente las actividades, tareas y funciones de la empresa.

IMPORTANCIA DEL CONTROL PARA LA AUDITORIA Todas las empresas deben contar con instrumentos que les permitan llevar sus su administracin con eficiencia y eficacia, para satisfacer sus expectativas en cuanto a la salvaguarda y custodia de sus bienes, a la promocin de la confiabilidad, oportunidad y veracidad de sus registros contables y la emisin de su informacin financiera, a la implantacin correcta de los mtodos, tcnicas y procedimientos que les permitan desarrollar adecuadamente sus actividades. La importancia de la auditoria se fundamenta en que por medio del control interno se determinan las actividades, acciones y dems elementos que permiten satisfacer las necesidades de las instituciones y dems elementos que permiten satisfacer las necesidades de las instituciones, la auditoria se desprende de la revisin de las funciones, acciones, operaciones o de cualquier actividad de una entidad administrativa. ELEMENTOS DE CONTROL INTERNO Elementos de organizacin, elementos de procedimientos, elementos de personal, elementos de supervisin.

El auditor debe efectuar un estudio y evaluacin adecuados del control interno existente, que le sirvan de base para determinar el grado de grado de de confianza que va a depositar en l, as mismo, que le permitan determinar la naturaleza, extensin y oportunidad que va a dar a los procedimientos de auditoria.

ESTANDARES DE CONTROL Existen estndares y que se pueden utilizar en la medicin del control y el control interno de las instituciones con el fin de ayudar a la eficiencia y eficacia en el desarrollo de las activides normales de la empresa. ESTANDARES FISICOS: Son aquellos que pueden ser apreciados mediante alguna medidas de dimensin de tipo tangible. (extensin, longitud, magnitud, tamao, volumen, etc.). Estos a su vez pueden agruparse en estndares fsicos de medicin de comparacin y de acumulacin. ESTANDARES DE COSTOS: Son mediciones de tipo monetario que permiten hacer una estimacin del costo (valor que se la da al trabajo) entre estos se destacan costos fijos y variable. ESTANDARES DE CAPITAL: Son estndares que se adoptan para el manejo y control de de los llamados bienes de capital, ya sea capital de trabajo, capital contable, capital financiero o de cualquier otro tipo de estndar que incide en el capital que se maneja en las empresas.

ESTANDARES DE INGRESOS Y EGRESOS: Son los valores monetarios que se asignan a los ingresos (entradas) y egresos (salidas) como parte fundamental de sus actividades de trabajo. ESTANDARES NO TANGIBLES: Existen estndares que no necesariamente son tangibles ni numerables, los cuales, aunque no se puedan cuantificar pero si se deben tomar en cuenta, por lo general son representaciones que se dan a las cualidades de las cosas (Bueno, Malo, satisfactorio, bondadoso, adecuado, etc.). ESTANDARES DE CONTROL ESTADISTICOS: Permiten establecer, medir, evaluar, al amparo de razones matemticas, estadsticas, y en algunos casos integrales y diferenciales. ESTANDARES DE AUDITORIA: son herramientas, mtodos, tcnicas y procedimientos de auditoria. NORMAS DE EVOLUCION: son normas que contribuyen al establecimiento de de los parmetros de evaluacin que se requieren para el establecimiento del control interno necesario para realizar una auditoria. - NORMAS CUANTITATIVAS: son aquellas que permiten dar una cuanta medible en cifras significativas, con las cuales se establecen parmetros validos para medir resultados. - NORMAS CUALITATIVAS: estas normas se establecen de forma no tan objetiva, y sirven de parmetros cualitativos. - NORMAS MATERIALES: estas se refieren a los criterios que permiten evaluar aspectos fundamentales en el desempeo de las actividades de una empresa. Estas a su vez se divide en dos grandes grupos: de desempeo y complementarias. OTRAS NORMAS Y ESTANDARES: Existen muchos tipos de tipos de estndares que buscan utilizarse para evaluar el cumplimiento de lo alcanzado en relacin con lo esperado. - ESTANDARES DEL IEEE (Instituto de Ingenieros Elctricos y Electrnicos) desarrollado en los 80 para desarrollar estndares para la tecnologa emergentes en diferentes reas de la ingeniera. - NORMAS DE LA SERIE ISO-9000: norma creada para la gestin y el aseguramiento de la calidad. - ESTANDARES Y NORMAS DE CALIDAD: en este caso es donde se disean estndares y normas por medio de las cuales se busca apreciar los cumplimientos en cuanto a la calidad esperada en relacin con la calidad realmente alcanzada. CONTROL INTERNO INFORMATICO Definiciones

El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados. (Auditora Informtica - Aplicaciones en Produccin - Jos Dagoberto Pinilla) Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. En el ambiente informtico, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin de herramientas computacionales. Controles Automticos; son generalmente los incorporados en el software, llmense estos de operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc. Los controles segn su finalidad se clasifican en: Controles Preventivos, para tratar de evitar la produccin de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.

Objetivos principales: Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de Auditora Informtica interna/externa Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informticos. Realizar en los diferentes sistemas y entornos informticos el control de las diferentes actividades que se realizan. Control interno informtico (funcin) El Control Interno Informtico es una funcin del departamento de Informtica de una organizacin, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de informacin automatizados se realicen cumpliendo las normas, estndares, procedimientos y disposiciones legales establecidas interna y externamente. Entre sus funciones especficas estn: Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al personal de programadores, tcnicos y operadores. Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en los siguientes aspectos: Desarrollo y mantenimiento del software de aplicacin. Explotacin de servidores principales Software de Base Redes de Computacin

 Seguridad Informtica Licencias de software Relaciones contractuales con terceros Cultura de riesgo informtico en la organizacin Control interno informtico (reas de aplicacin) controles generales organizativos Son la base para la planificacin, control y evaluacin por la Direccin General de las actividades del Departamento de Informtica, y debe contener la siguiente planificacin: Plan Estratgico de Informacin realizado por el Comit de Informtica. Plan Informtico, realizado por el Departamento de Informtica. Plan General de Seguridad (fsica y lgica). Plan de Contingencia ante desastres. Controles de desarrollo y mantenimiento de sistemas de informacin Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a travs de metodologas como la del Ciclo de Vida de Desarrollo de aplicaciones.

Controles de explotacin de sistemas de informacin Tienen que ver con la gestin de los recursos tanto a nivel de planificacin, adquisicin y uso del hardware as como los procedimientos de, instalacin y ejecucin del software. Controles en aplicaciones Toda aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, salida, validez y mantenimiento completos y exactos de los datos. Controles en sistemas de gestin de base de datos Tienen que ver con la administracin de los datos para asegurar su integridad, disponibilidad y seguridad. Controles informticos sobre redes Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organizacin sean estas centrales y/o distribuidos. Controles sobre computadores y redes de rea local Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto del hardware como del software de usuario, as como la seguridad de los datos que en ellos se procesan. PAPELES DE TRABAJO PARA LA AUDITORA DE SISTEMAS COMPUTACIONES A lo largo de todo el trabajo de auditora, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuacin con las necesarias matizaciones para emitir el informe, sino como medio de demostrar, en cualquier momento la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditora utilizados, as como la interpretacin dada en cada caso a los hechos, con las conclusiones obtenidas. Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores.

Objetivos de los papeles de trabajo podemos indicar los siguientes: - Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo. - Presentar informes a las partes interesadas. - Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente. - Facilitar la continuidad del trabajo en el caso de que un rea deba ser terminada por persona distinta de la que la inici. - Facilitar la labor de revisiones posteriores y servir para la informacin y evaluacin personal. Tipos de papeles de trabajo. En funcin de la fuente de la que procedan los papeles de trabajo, stos se podrn clasificar en tres grupos: a) Preparados por la entidad auditada. Se trata de toda aquella documentacin que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos b) Confirmaciones de terceros. Una parte del trabajo de auditora consiste en la verificacin de los saldos que aparecen en el balance de situacin a auditar. c) Preparados por el auditor. Este ltimo grupo estar formado por toda la documentacin elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes captulos de los estados financieros, cuentas, transacciones,

Centro de Procesamiento de Datos y cual es su objetivo principal? Un Centro de Procesamiento de Datos es una parte de la empresa donde se aplican diversas tcnicas para la planeacin, control, direccin y organizacin de los datos e informacin, utilizando recursos necesarios de hardware, software y humanos para dar una respuesta efectiva y acertada, tanto en la parte tecnolgica como para las decisiones importantes de inversin de la empresa. Y por tanto toda empresa u organizacin debe contar con un centro, ya que es de gran importancia para la misma.

El objetivo principal de un Centro de Procesamiento de datos es: Mejorar la capacidad de respuesta en cuanto a recuperacin, seguridad, respaldo, de datos e informacin, que contribuya a la proteccin de los mismos y atender las obligaciones administrativas, permitiendo as la evolucin de la tecnologa para implementar nuevos procesos Proceso administrativo de un Centro de Procesamiento de Datos. En este proceso se ejecutan una serie de pasos como son crear, disear y mantener un buen ambiente de trabajo para crear un clima adecuado de trabajo que genere el cumplimiento de las metas. - En el proceso de Planeacin, se realiza el diseo o adecuaciones de las instalaciones del centro de computo; definiendo los planes y metas a corto, mediano y largo plazo; e igualmente los servicios que va a prestar, como es la operatividad y recursos a utilizar. - En cuanto a la Organizacin, se realiza la manera en que va a funcionar el centro, su distribucin (departamentos) segn las funciones planeadas; y se seleccionan los recursos humanos y tecnolgicos a usar. - Con respecto a la Direccin y control, en esta etapa se definen los niveles de responsabilidad y toma de decisiones en el centro de cmputo o sistemas. Se definen los niveles de seguridad y acceso al centro, as como las medidas de control y las actividades para el personal del centro. Funciones de un centro de procesamiento de Datos

Entre las funciones ms importantes de entro de Procesamientos de Datos tenemos: - Conservar la operatividad de los sistemas, para que el usuario pueda hacer un mejor uso a los mismos, a dems de ejecutar un mantenimiento preventivo y correctivo del software y hardware. - Elaborar las solicitudes y peticiones (con especificaciones detalladas, de costo y caractersticas) de los servicio que necesita el centro. - Debe realizar copias de respaldo de la informacin y procesos de cmputo, para mantener una proteccin y seguridad en los datos que se procesan diariamente en la empresa. - Llevar de manera estadstica un registro de las fallas, problemas, soluciones, acciones desarrolladas y trabajos realizados e informar al Jefe inmediato sobre el funcionamiento de centro. - Usar en forma estricta las normas, reglamentos, medidas de seguridad y procedimientos establecidos.