Debilidades que pueden motivar la auditoría de un sistema de información

(1)

Auditoría de

Sistemas

(2)

(3)

Auditoría de sistemas

Fascículo No. 3

Tabla de contenido

Página

Planeación de la auditoría 1

Planeación de la empresa 1

Planeación del área de informática 2

Estudios administrativos previos 3

Estudio de factibilidad 3

Factibilidad tecnológica 4

Factibilidad operacional 4

Factibilidad económico/financiera 4

Productos terminados 5

Administración de proyectos 5

Planeación de la auditoría 6

Riesgo y materialidad de auditoría 7

Planeación de la auditoría informática 8

Investigación preliminar 10

Administración 10

Sistemas 11

Personal participante 12

Debilidades que pueden motivar la auditoría de un sistema

de información 14

Resumen 14

Bibliografía recomendada 15

Párrafo nexo 16

(4)

Auditoría de sistemas Fascículo No. 3

Prohibida la reproducción total o parcial sin autorización por escrito del Presidente de la Fundación.

La redacción de este fascículo estuvo a cargo de JAVIER OSWALDO GUECHA MARIÑO Sede Santa Fe de Bogotá, D.C.

Diseño instruccional y orientación a cargo de MARIANA BAQUERO DE PARRA

Diseño gráfico y diagramación a cargo de SANTIAGO BECERRA SAENZ ORLANDO DIAZ CARDENAS

(5)

1

Auditoría de sistemas_{Fascículo No. 3}

Planeación de la auditoría

Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la Auditoría así como los riesgos del negocio y control asociado.

Al terminar el estudio del presente fascículo, el estudiante:

 Explica la importancia del proceso de planeación en el trabajo de auditoría informática, comenzando por identificar el marco de referencia que será la planeación del negocio, continuando con los planes de desarrollo en el departamento de informática y terminando con los planes de trabajo en el área de auditoría general.

 Determina el resultado de la planeación como el plan de trabajo del área

de auditoría informática, ajustado a las necesidades de la organización, de informática y de auditoría.

Planeación de la empresa

Al planificar una auditoría, el auditor de sistemas debe tener una

com-prensión suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el am-biente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirán requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera. Los pa-sos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son:

(6)

2

Fascículo No. 3

 Lectura de material sobre antecedentes que incluyan publicaciones

sobre esa industria, memorias e informes financieros.

 Entrevistas a gerentes claves para comprender los temas

comercia-les esenciacomercia-les.

 Estudio de los informes sobre normas o reglamentos.

 Revisión de planes estratégicos a largo plazo.

 Revisión de informes de auditorías anteriores.

3.1

¿Cuál es la importancia de la Planeación en una empresa?

Planeación del área de informática

Consiste en definir el conjunto de proyectos relacionados con la función de informática en tiempos a corto, mediano y largo plazos. Cada pro-yecto debe estar orientado a objetivos y estrategias específicos del ne-gocio (los cuales fueron definidos en el plan de nene-gocio).

El periodo de elaboración o actualización del plan de informática depen-de depen-de las estrategias y formalidad que posea dicho proceso en cada or-ganización. Ahora bien, se recomienda que al ser aprobado por la alta dirección se ejecute oportuna y formalmente.

Los planes de informática en cuanto a:

 Desarrollo

 Mantenimiento

 Adquisiciones

 Educación

 Vacaciones

 Contingencias

(7)

3

y cualquier otro relacionado, deben estar por escrito, actualizados, ser divulgados y conocidos, además, deben estar integrados con los planes generales de la organización, en los tres conceptos tradicionales de: es-tratégico, táctico y operativo. Deben adicionarse e integrarse los comi-tés, de informática y de usuarios, así como los puntos claves o críticos de control, como parte del proceso de planificación.

Estudios administrativos previos

Debe establecerse como política, que antes de iniciar el diseño y desa-rrollo de cualquier aplicación, se realice un estudio administrativo/opera-tivo del sistema, con el fin de detectar, antes de computadorizarlo, cual-quier problema, anomalía, deficiencia o situación que recual-quiera atención, para no trasladar estas situaciones a la aplicación una vez automati-zada.

Este estudio servirá, a la vez, para revisar los procesos, procedimientos, funciones, tareas, tiempos, movimientos, etc., que de alguna manera se utilicen también, para realizar reingeniería; además, será de gran ayuda, como "entrada" al estudio de factibilidad.

Es importante que este estudio se efectúe totalmente antes de iniciar cualquier proceso relacionado con el desarrollo del siste-ma, y que las recomendaciones, disposiciones, y normativa que emanen de él, se pongan a funcionar antes de iniciar el di-seño de la aplicación bajo estudio.

Estudio de factibilidad

(8)

evalua-4

Fascículo No. 3

das, que comprenda al menos tres factibilidades: tecnológica, operacio-nal y económico/financiera.

Factibilidad tecnológica

 Que la tecnología seleccionada funcionará de manera correcta y

adecuada, y sin menoscabo del sistema, una vez puesto en opera-ción y por la vida del mismo.

 Que la aplicación soportará cambios sustanciales en la tecnología

sin tener que realizar modificaciones importantes en él.

Factibilidad operacional

Que el sistema, una vez puesto en operación, funcionará de acuerdo con los criterios bajo los cuales se diseñó y que no ofrecerá problemas de carácter técnico ni administrativo.

Factibilidad económico/financiera

Que los beneficios (tangibles e intangibles) y ahorros superen a los cos-tos; que los índices financieros que se calculen sean aceptables, de acuerdo con políticas y estándares generales y específicos; que el pro-yecto tenga contenido económico y esté contemplado en el presupuse-to respectivo. Como mínimo deben calcularse las siguientes razones:

 Tasa interna de retorno

 Valor neto presente

 Período de recuperación

 Total de los beneficios netos

(9)

5

Auditoría de sistemas Fascículo No. 3 CVDS: ciclo de vida del sistema.

Productos terminados

Los proyectos computacionales de desarrollo deben cumplir con todos los productos finales de cada una de las etapas en que se divide el CVDS, cualquiera que sea la metodología que se haya empleado. Ade-más, estos productos finales deben estar revisados, probados y aproba-dos por los usuarios.

Administración de proyectos

El diseño y desarrollo de un sistema, así como el mantenimiento mayor, debe manejarse como un verdadero proyecto; como tal deben

estable-cerse los procedimientos y medios para lograrlo. Los aspectos que

de-ben ser tomados en cuenta, entre otros, son:

 Definición del grupo de trabajo (Comité de Usuarios)

 Designación del Administrador del Proyecto (representante de la Alta

Dirección)

 Establecimiento de las actividades a realizar, en detalle

 Definición del cronograma de actividades

 Establecimiento de fechas de reuniones de seguimiento

 Cálculos y redacción de presupuestos en horas y dinero

 Redacción de minutas

 Forma de contabilizar los costos

 Asignación de tareas adicionales

3.2

(10)

6

Fascículo No. 3

Planeación de la auditoría

En esencia consiste en definir un conjunto de proyectos de evaluación y verificación de políticas, controles y procedimientos inherentes a las áreas administrativas, financieras, operativas, etc. del negocio, con obje-to de asegurar el buen manejo y administración de los recursos de la or-ganización.

En los negocios, diferentes responsables suelen implantar los proyectos emanados del plan de Auditoría y en diferentes plazos, de acuerdo con

los requerimientosy características del negocio.

Es importante considerar que los negocios deben contener un conjunto de políticas emanadas de la alta dirección que manifiesten la necesidad de poseer una función externa o interna del negocio que asegurara la congruencia de los estados financieros y contables con las operaciones y transacciones que se realizan en la empresa; por ejemplo, las transac-ciones relacionadas con las ventas, compras y la contabilización de las mismas.

Esta función ha de ser un área de control y aseguramiento, es decir, una entidad independiente y profesional, capacitada para ejercer las tareas de evaluación y seguimiento sobre las actividades u operaciones que afecten de manera directa o indirecta los estados financieros, contables y administrativos.

(11)

7

Auditoría de sistemas Fascículo No. 3 Riesgos en auditoría:

riesgos de que la infor-mación pueda tener errores materiales o que el auditor no pueda de-tectar cuando ocurre el error.

El periodo de elaboración o actualización del plan de Auditoría depende de las prioridades del negocio o necesidades externas (por ejemplo gubernamentales) que tengan dicho proceso en cada organización.

Como se ha expresado anteriormente, se recomienda la ejecu-ción oportuna y formal del plan, luego de que la direcejecu-ción lo ha-ya aprobado. Asimismo, resulta conveniente actualizarlo para realizarlo según las estrategias y metas del negocio.

Riesgo y materialidad de auditoría

Se pueden definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de siste-mas no pueda detectar un error que ha ocurrido. Los riesgos en audi-toría pueden clasificarse de la siguiente manera:

 Riesgo inherente: cuando un error material no se puede evitar que

suceda porque no existen controles compensatorios relacionados que se puedan establecer.

 Riesgo de control: cuando un error material no puede ser evitado o

detectado en forma oportuna por el sistema de control interno.

 Riesgo de detección: es el riesgo de que el auditor realice pruebas

exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay.

(12)

siste-8

Fascículo No. 3

mas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficiente-mente grande, o se utilizan procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera si-milar, al evaluar los controles internos, el auditor de sistemas debe per-cibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertirse en un error material para todo el sistema. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario.

3.3

¿Por qué considera que los planes de la auditoría afectan la planea-ción de la auditoria informática?

Planeación de la auditoría informática

Consta de la definición y formalización de proyectos. Abarca las activi-dades desarrolladas por el auditor en informática que tiene como objeti-vo principal elaborar y presentar un conjunto de proyectos inherentes a la función de auditoría en informática a la alta dirección, los que estarán orientados, primordialmente, al aseguramiento de la calidad y control de los diferentes elementos que se encuentran relacionados con los recur-sos de informática.

(13)

9

 Sistema de información en operación.

 Administración de hardware y software.

 Soporte a usuarios (capacitación, asesoría, entre otros).

 Administración de telecomunicaciones.

 Investigación y desarrollo tecnológico.

 Otros.

El auditor deberá utilizar todos los parámetros de medición y evaluación posibles, sin caer en un análisis detallado, para detectar la problemática

principal de cada área.Si este proceso mostrara anomalías de

conside-rable importancia en alguno de los elementos evaluados, se tomarán acciones inmediatas orientadas a minimizarlas o eliminarlas.

Determinar el nivel de riesgo que existe en cada una de las áreas de la función de informática, producto o servicio de informática es susceptible de evaluación y control para asegurar que se desarrolle de acuerdo con los estándares, políticas y procedimientos específicos que han sido asignados según su función.

Las anteriores consideraciones se deben tomar en cuenta al diagnosti-car la situación actual para la obtención de la matriz de riesgos: el audi-tor en informática debe conocer de manera competente los aspectos re-lativos a auditoría e informática que debe tener cada una de las áreas revisadas.

(14)

10

Fascículo No. 3

Dado que los sistemas de información en operación representan un ele-mento primordial en el funcionamiento formal de cualquier negocio (aquí se manejan los datos de las áreas financieras, productivas y admi-nistrativas para la toma de decisiones), conviene recalcar las considera-ciones y criterios más importantes que debe tomar en cuenta el auditor en informática.

Investigación preliminar

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

La investigación preliminar se debe hacer solicitando y revisando la in-formación de cada una de las áreas basándose en los siguientes pun-tos: administración, sistemas y personal participante.

Administración

Se recopila la información para obtener una visión general del departa-mento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departa-mento. Para analizar y dimensionar la estructura por auditar se debe so-licitar:

A nivel del área de informática: objetivos a corto y largo plazo.

Recursos materiales y técnicos: solicitar documentos sobre los equi-pos, número de ellos, localización y características.

 Estudios de viabilidad.

 Número de equipos, localización y las características (de los equipos

instalados y por instalar y programados).

 Fechas de instalación de los equipos y planes de instalación.

(15)

11

 Contratos de seguros.

 Convenios que se tienen con otras instalaciones.

 Configuración de los equipos y capacidades actuales y máximas.

 Planes de expansión.

 Ubicación general de los equipos.

 Políticas de operación.

 Políticas de uso de los equipos.

Sistemas

Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.

 Manual de formas.

 Manual de procedimientos de los sistemas.

 Descripción genérica.

 Diagramas de entrada, archivos, salida.

 Salidas.

 Fecha de instalación de los sistemas.

 Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planeación de la auditoría o bien su realiza-ción, debemos evaluar que pueden presentarse las siguientes situacio-nes al solicitar la información:

 No se tiene y se necesita.

 No se tiene y no se necesita.

Se tiene la información pero:

 No se usa.

 Es incompleta.

(16)

12

Fascículo No. 3

 No es la adecuada.

 Se usa, está actualizada, es la adecuada y está completa.

En el caso de no se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de no se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar por qué no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.

El éxito del análisis crítico depende de las consideraciones siguientes:

 Estudiar hechos y no opiniones (no se toman en cuenta los

rumo-res ni la información sin fundamento)

 Investigar las causas, no los efectos.

 Atender razones, no excusas.

 No confiar en la memoria, preguntar constantemente.

 Criticar objetivamente y a fondo todos los informes y los datos recabados.

Personal participante

Una de las partes más importantes dentro de la planeación de la audito-ría en informática es el personal que deberá participar y sus característi-cas. Uno de los esquemas generalmente aceptados para tener un ade-cuado control es que el personal que intervengan esté debidamente ca-pacitado, con alto sentido de moralidad, al cual se le exija la optimiza-ción de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

(17)

13

intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén pre-sentes una o varias personas del área a auditar, sería casi imposible ob-tener información en el momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener personas con las siguientes característi-cas:

 Técnico en informática.

 Experiencia en el área de informática.

 Experiencia en operación y análisis de sistemas.

 Conocimientos de los sistemas más importantes.

(18)

14

Fascículo No. 3

Debilidades que pueden motivar la auditoría de

un sistema de información

 Primero: que el sistema no haya sido liberado formalmente, lo que

puede generar, como consecuencia, el desconocimiento real por parte de los usuarios y del personal de auditoría de las debilidades y fortalezas del mismo.

 Segundo: que el sistema nunca haya sido auditado. Esto sugiere la

alternativa de auditarlo de inmediato, sobre todo si es un sistema bá-sico para la alta dirección (un sistema de cheques en un banco, un sistema de ventas en una empresa comercial o un sistema de manu-factura en una empresa de giro industrial); en caso de no ser un sis-tema fundamental, se programa su revisión en los proyectos Interme-dios o finales de una Auditoría.

3.3

¿De qué depende el éxito en la planeación de la auditoría informáti-ca?

(19)

15

Planear resulta difícil para muchas empresas pero cuando esto forma parte de su rol diario los resultados son satisfactorios en el corto tiempo y de esta forma las empresas estarán preparadas para asumir cambios que les permitan mantenerse altamente competitivos en el mercado de los negocios.

La planeación del área de informática, a su vez, es el camino que debe seguir el área de tecnología en la organización, más aún cuando sabe-mos que este recurso se hace obsoleto muy rápidamente y las empre-sas deben contar con la última tecnología para enfrentar la competencia y ofrecer el mejor servicio a los clientes. Es de anotar que una adecuada planeación del área de Tecnología es la preparación de las empresas para aumentar sus operaciones sin que ello implique un crecimiento en el recurso humano que labora en las mismas.

La planeación de la auditoría general nos permite evaluar y revisar el es-tado de todas las operaciones que la organización desarrolla y el ópti-mo manejo de todos los recursos que son administrados por la empre-sa; dentro de estos recursos están los de tecnología y es allí donde la planeación de la auditoría informática cumple un papel decisivo, por cuanto le permite a las organizaciones evaluar no sólo el desarrollo in-formático, sino el adecuado y razonable uso de los recursos tecnológi-cos.

Hernández Hernández, Enrique.Auditoría en Informática. México:

Edito-rial CECSA, 2000.

Piettini, G., Emilio del Peso. Auditoría Informática, un enfoque práctico.

(20)

16

Fascículo No. 3

(21)

17

Auditoría de sistemas Fascículo No. 3 AAAuuutttoooeeevvvaaallluuuaaaccciiióóónnnfffooorrrmmmaaatttiiivvvaaa

Auditoría de sistemas - Fascículo No. 3

Nombre_____________________________________________________________________ Apellidos ________________________________________ Fecha ____________________ Ciudad _________________________________________ Semestre _________________

1. ¿Por qué considera que un auditor debe conocer la planeación de la

empresa antes de elaborar la planeación de su trabajo?

2. ¿Qué relación existe entre la planeación de una empresa y la pla-neación de la Auditoría?