• No se han encontrado resultados

AUDITORIA DE SISTEMAS I

N/A
N/A
Protected

Academic year: 2018

Share "AUDITORIA DE SISTEMAS I"

Copied!
43
0
0

Texto completo

(1)

ESCUELA DE CIENCIAS EMPRESARIALES

NÚCLEO DE FORMACIÓN ESPECÍFICA

CARTILLA DE TRABAJO

PRIMERA SESIÓN

AUDITORÍA DE SISTEMAS

Elaborada por

JORGE RODRIGUEZ

INGENIERO DE SISTEMAS

(2)
(3)

CUADRO 1. CONTROL DEL DOCUMENTO CARTILLA DIDÁCTICA

PARTICIPANTE

S

NOMBRE

CARGO

DEPENDENCIA

FECHA

Autor

Jorge

Rodríguez

Docente

Sistemas

10/11/2013

Revisión

Franky

Carrillo

Coordinador

Sistemas

11/11/2013

Aprobación

Luis

Eduardo

Rodríguez

(4)

CUADRO 2. CONTROL DE ESTADO DE PREPARACIÓN DE LA CARTILLA

EDUCACIÓN A DISTANCIA

VERSIÓN

No.

FECHA DE

FINALIZACIÓN

DE SU

ELABORACIÓN

DESCRIPCIÓN DEL

CAMBIO

SOLICITADO

POR:

01

20/10/2013

Construcción de las

cartillas de Auditoría de

Sistemas en

la

Corporación

Iberoamericana

de

Estudios CIES en

función a su cadena de

valor con el fin de

asegurar la calidad de

sus servicios.

(5)

NOMBRE: ____________________________________________________

C.C. : ____________________________________________________

CARRERA: ___________________________________________________

JORNADA: MARTES Y MIERCOLES ( ) A.M. _____ P.M. _____

JUEVES Y VIERNES ( ) A.M. _____ P.M. _____

SÁBADOS ( ) A.M. _____ P.M. _____

DOMINGOS ( )

NOMBRE DEL PROFESOR: __________________________________

FECHA : __________________________________

CALIFICACIÓN : __________________________________

___________________________

Firma Docente

Sr. Docente: No firme la cartilla sino está debidamente diligenciada en

todos sus campos.

DERECHOS DEL ESTUDIANTE EN EL AULA DE CLASE

Exigir el uso de la cartilla

Exigir firma y sello de la cartilla por parte del docente.

Exigir sus notas al final del módulo.

NINGUNA RECLAMACIÓN SERA ACEPTADA SI SU CARTILLA NO ESTÁ

DILIGENCIADA EN TODOS SUS CAMPOS, CON FIRMA Y SELLO DEL

(6)

TABLA DE CONTENIDO

AUDITORÍA DE SISTEMAS

¿QUÉ ES LA AUDITORÍA DE SISTEMAS?

PRUEBA INICIAL

EJERCICIO

OBJETIVOS GENERALES DE LA AUDITORÍA DE SISTEMAS TIPOS DE AUDITORÍA

ENFOQUES DE AUDITORÍA

AUTOEVALUACIÓN DEL CONTROL

PRINCIPALES OBJETIVOS DE LA AUDITORÍA DE SISTEMAS

EJERCICIO DE APRENDIZAJE

LA FUNCIÓN DE LA AUDITORÍA EN LA ORGANIZACIÓN

EJERCICIO DE APRENDIZAJE

LA AUDITORÍA DE SISTEMAS

PRUEBA INICIAL

AUDITORÍA A LAS APLICACIONES EN PRODUCCIÓN

AUDITORÍA AL DESARROLLO DE SOFTWARE

AUDITORÍA A SISTEMAS DE BASE DE DATOS

AUDITORÍA A SISTEMAS DE BODEGAS DE DATOS

AUDITORÍA A REDES DE COMPUTADORES

AUDITORÍA A SISTEMAS EN AMBIENTES INTERNET

AUDITORÍA A SISTEMAS OPERATIVOS

PLANEACIÓN DE UNA AUDITORÍA DE SISTEMAS

LOS CONTROLES DE UNA AUDITORÍA

CLASIFICACIÓN DE LOS CONTROLES

METODOLOGÍA DE UNA AUDITORÍA

(7)

AUDITORÍA DE SISTEMAS

PROPÓSITO GENERAL DEL MÓDULO

Con este módulo de trabajo se pretende hacer una introducción a los estudiantes hacia el concepto de “auditorías” en el campo de los diferentes sistemas, y que a través de las ejemplificaciones expuestas, los educandos pueden tener una idea general de cómo se evalúan a las organizaciones en el departamento de sistemas.

OBJETIVO GENERAL

Introducir a los estudiantes en el contexto de un sistema, y que comprenda el concepto de valoración de las fortalezas y debilidades del mismo y que sea capaz del diseño de controles que eviten posibles errores, preservando el correcto alcance de los objetivos del sistema.

OBJETIVOS ESPECÍFICOS

Conocer los instrumentos básicos que permitan la detección de debilidades y posibles riesgos en los diferentes Sistemas de una organización.

Comprender cómo se lleva a cabo una auditoría de acuerdo con las directrices de las Auditorias de Sistemas generalmente aceptadas para que la tecnología de información de la organización y los sistemas empresariales sean adecuadamente controlados, vigilados y evaluados.

Evaluar las directrices para una auditoría de sistemas, además de su aplicabilidad en una organización

METODOLOGÍA

El modulo de Auditoría de Sistemas será desarrollado en cuatro (4) sesiones; cada sesión tendrá una duración de cuatro (4) horas; todas ellas dirigidas por el profesor de la asignatura quien orientará en conceptos y despejará inquietudes a los estudiantes; el alumno deberá consultar e investigar permanentemente, desarrollar las practicas y organizar el portafolio virtual.

Con esta metodología el estudiante tendrá la oportunidad de practicar el 100% los conocimientos aprendidos en clase y poder desarrollar con destreza, además de las prácticas y actividades de la guía en cualquier aplicación.

La responsabilidad y el cumplimientos del estudiante es básico en el proceso de aprendizaje de la asignatura, con ello cubriría un 50% la evolución del aprendizaje, y el restante 50% está apoyada por la orientación del docente.

Consulte el sitio repositorio respectivo de este módulo, para consultar sobre teoría, talleres, manuales, cartillas, software y manuales:

(8)

GUIAS DE TRABAJO

Las guías de trabajo están orientadas a desarrollar gestión en las organizaciones con enfoque de sistemas.

SESIÓN 1.

Qué es la auditoría de sistemas – Desarrollo conceptual – .

SESIÓN 2.

Objetivos generales de la auditoría de sistemas – Desarrollo conceptual – .

SESIÓN 3.

Desarrollo de la auditoría de sistemas. Software para auditoría de sistemas.

SESIÓN 4.

(9)

SESION No. 1

1. ¿QUÉ ES LA AUDITORÍA DE SISTEMAS?

OBJETIVO GENERAL

Conocer los instrumentos básicos que permitan la detección de debilidades y posibles riesgos en los diferentes Sistemas de una organización.

OBJETIVOS ESPECÍFICOS

Introducir a los estudiantes al concepto general de la auditoría de sistemas.

Plantear los conceptos generales de una auditoría de sistemas para contextualizar a los estudiantes en dicho campo.

Presentar el papel o rol principal de un auditor de sistemas en los procesos de auditorías.

PRUEBA INICIAL

Resuelve el siguiente acertijo, El acertijo dice así:

Tenemos 5 casas de cinco colores diferentes y en cada una de ellas vive una persona de una nacionalidad diferente.

Cada uno de los dueños bebe una bebida diferente, fuma una marca de cigarrillos diferente y tiene una mascota diferente.

Tenemos las siguientes claves:

 El británico vive en la casa roja.

 El sueco tiene un perro.

 El danés toma té.

 La casa verde está a la izquierda de la blanca.

 El dueño de la casa verde toma café.

 La persona que fuma Pall Mall tiene un pájaro.

 El dueño de la casa amarilla fuma Dunhill.

 El que vive en la casa del centro toma leche.

 El noruego vive en la primera casa.

 La persona que fuma Brends vive junto a la que tiene un gato.

 La persona que tiene un caballo vive junto a la que fuma Dunhill.

 El que fuma Bluemasters bebe cerveza.

 El alemán fuma prince.necesidades del proceso a controlar.

 El noruego vive junto a la casa azul.

 El que fuma Brends tiene un vecino que toma agua.

Y por último la pregunta: ¿Quién es el dueño del pececito?

(10)

Antes de comenzar, veamos el siguiente video como introducción al módulo:

Fuente: http://www.youtube.com/watch?v=IgN3hrS5rJ4

1.1. ¿QUÉ ES LA AUDITORÍA DE SISTEMAS?

a. DEFINICIÓN:

Si entráramos a definir el concepto de auditoría, comenzaríamos por definirlo desde su raíz, así, la palabra “auditoría”, proviene del latín auditor, -ōris y así mismo ésta nos trae a colación la palabra “auditor”, que es aquella persona que se encarga de hacer las auditorías haciendo uso de una de las mayores virtudes que éste debe tener y es: “oir”, pues así podrá realizar su trabajo de revisión de acuerdo a un objetivo específico que debe ir incluido en todo proceso de auditoría y es el de evaluar la eficiencia y la eficacia con la que se está realizando cualquiera procedimiento y así la organización pueda tomar las decisiones pertinentes que permitan corregir los errores, en caso de que existieran, o así también mejorar el desarrollo de dicho procedimiento.

(11)

b. CONCEPTOS DE LA AUDITORÍA DE SISTEMAS

Comencemos por definir algunos conceptos que se deben tener en cuenta para el entendimiento de las auditorias de sistemas.

SISTEMA: entendido como el conjunto de elementos, o reglas de una materia en específico que están enlazadas entre sí de una manera lógica- racional. Algunos ejemplos podrían ser: Sistema nervioso, Sistema Numérico, Sistema de Información.

INFORMACIÓN: la información en general podríamos definirla como un conjunto de datos organizado que conlleva un mensaje.

No puede confundirse la información con los Datos, pues estos son realmente una simple representación simbólica de una entidad cualquiera, pero que por sí sólo no representa un mensaje.

Consideremos los siguientes ejemplos:

Datos: Ana, Restrepo/ 15 años/ Bogotana

Información: Ana Restrepo tiene 15 años y su ciudad de procedencia es Bogotá.

PROCESO: Entendido como un conjunto de actividades coordinados entre sí, que suceden de acuerdo a un fin común.

Ejemplo: Proceso de Selección de Personal

PROCEDIMIENTO: este concepto podríamos definirlo como el “modo o la manera” de ejecutarse las diferentes acciones o actividades de un proceso. Desde el campo de la computación podríamos llamarlo como una “subrutina”.

Ejemplo: Registro de la documentación en la oficina de reclutamiento de personal.

EVALUACIÓN: consideremos ésta como aquella acción encargada de darle la estimación o grado de valor a algo.

Consideremos también que no todo es medible desde el campo numérico, pero si desde lo cualitativito puede darse una estimación a lo evaluado.

Ejemplos: Numérica el 80% del personal está a gusto con el servicio recibido. Cualitativa El servicio fue evaluado como “muy bien prestado”.

VERIFICACIÓN: es entendida como aquella acción que permite examinar y comprobar la verdad o validez de algo.

Ejemplo: Se considera un número par, a todo aquel que puede ser divisible por dos (2) y su resultado es una división exacta. Luego el número 10 es par. Verificación 10/2=5.

c. ROL DEL AUDITOR DE SISTEMAS:

(12)

Es indispensable que este auditor de sistemas tenga formación en los siguientes aspectos: Analizar cuando y como los medios de la organización auditada pueden conseguir su máxima eficacia. Por ende debe presentar por escrito sus propias recomendaciones del estudio realizado, además de las posibles soluciones, de acuerdo a los problemas detectados en dicho sistema informático.

Luego de esto, el auditor debe establecer aquellos requisitos mínimos, para poder que se puedan adecuar y por ende permitir las funciones para las cuales fue diseñado dicho sistema y éste pueda cumplir con lo requerido.

Cabe anotar que el auditor debe abstenerse de dar recomendaciones a la organización, que sean de carácter innecesario o que puedan ser riesgosas o que carezcan de todo tipo de soporte.

El auditor además debe prestar su servicio de auditoría haciendo uso de las posibilidades a su alcance (medios), pero que siempre pueda asegurar que su trabajo puede ser ejercido con toda idoneidad. Si existe el caso que los medios no le permitan hacer su trabajo con total libertad, es necesario entonces que el auditor no realice dicha función de auditoría y sugiera un cambio de fecha para dicha auditoría hasta que la organización le garantice las condiciones mínimas necesarias para dicha actividad.

Si el auditor encontrara un caso de auditoría en el cual él considere que sus conocimientos no son los suficientes para la materia en evaluación, éste deberá buscar un experto en la materia y remitir su informe para poder analizarlo en condiciones idóneas y así poder reforzar la calidad de la auditoría.

El auditor debe facilitar e incentivarla confianza con el/los auditados basándose en una actuación enteramente transparente, y manejando un perfil humilde que le permita al auditado mostrar sus resultados sin ningún temor, y así asegurar un proceso de auditoría con calidad.

(13)

1.2. OBJETIVOS GENERALES DE LA AUDITORÍA DE SISTEMAS

OBJETIVOS GENERALES DE LA AUDITORÍA DE SISTEMAS

Veamos algunos de los objetivos que la auditoría de sistemas debe plantearse siempre. Cabe aclarar que estos son los objetivos generales de la auditoría, los específicos ya van estrictamente ligados al proceso específico a evaluar/auditar:

 Evaluar las políticas generales acerca del ambiente laboral, desempeño, planeación,

 capacitación y cualificación, motivación y remuneración del personal de la organización.

 Evaluar las políticas que tiene la organización con respecto al software, hardware, desarrollo y mantenimiento de los sistemas de información.

 Evaluar las políticas de la organización que tienen con respecto a la seguridad tanto de la planta física, como de respaldo de la información.

 Evaluar los recursos tecnológicos e informáticos de la organización.

 Analizar cómo se concibe dentro de la organización la implementación y funcionalidad del sistema de aseguramiento de la información.

Objetivos Generales de la Auditoría

(14)

ENFOQUES DE AUDITORÍA

ENFOQUE ESTÁTICO

ENFOQUE DINÁMICO. R.B.A. (AUDITORÍA BASADA EN RIESGOS)

(15)

PRINCIPALES OBJETIVOS DE LA AUDITORÍA DE SISTEMAS

EJERCICIO DE APRENDIZAJE

(16)

1.3. LA FUNCIÓN DE LA AUDITORÍA EN LA ORGANIZACIÓN

LA FUNCIÓN DE LA AUDITORÍA EN LA ORGANIZACIÓN

 Para definir la función que tienen las auditorías en la organización, recordemos entonces que la auditoría tiene como fin evaluar y tratar de controlar los sistemas informáticos para poder protegerlos, además de verificar que las actividades de dichos sistemas si se desarrollen bajo las normas informáticas generales existentes y así poder asegurar la eficacia que la organización espera, pues no podemos aislar los sistemas de información del control respectivo al que se someten los demás procesos de la organización.

Entendamos entonces porqué es importante la auditoría de sistemas dentro de la organización, a partir de la contemplación de los siguientes aspectos:

 Los equipos de cómputo y centros de procesamiento de datos pueden ser bastante buscados bien sea para funciones de espías o para delinquir. Estos equipos al procesar y transmitir información podrían enviar paquetes de datos con errores tales como virus o archivos dañados. He ahí entonces una actividad que la auditoría puede ayudar a controlar y mejorar.

 Ahora, un sistema de información que esté mal diseñado e implementado puede ser una herramienta muy peligrosa para cualquier persona, ya que no podemos olvidar que las máquinas sólo reciben órdenes de una persona, y ya estos equipos (computadores) generan el material informático de cada organización. Por esto una organización no puede en ningún caso depender total o parcialmente de un programa (software) mal diseñado, o bien de equipos malos (hardware).

 De la misma manera que la tecnología va avanzando día a día, así mismo, las organizaciones deben ir avanzando y por ello es que se deben evaluar constantemente los controles aplicados a los sistemas y así haya una consolidación y coherencia con los cambios que se vivan dentro de la organización.

 El desarrollo de la auditoría de sistemas es bastante básico, ya que no cuenta con todos los recursos necesarios para ella, han hecho entonces que los controles ejercidos se vean solamente enfocados a los procesos donde el Software y el Hardware se vean involucrados.

Veamos en el siguiente gráfico los aspectos principales que ayudaría la auditoría en cualquier organización.

Función Auditoría en la Organización

EJERCICIO DE APRENDIZAJE

(17)

2. LA AUDITORÍA DE SISTEMAS

OBJETIVO GENERAL

Comprender cómo se lleva a cabo una auditoría de acuerdo con las directrices de las Auditorias de Sistemas generalmente aceptadas para que la tecnología de información de la organización y los sistemas empresariales sean adecuadamente controlados, vigilados y evaluados.

OBJETIVOS ESPECÍFICOS

 Introducir a los estudiantes en la planeación general y adecuada de una auditoría de

 Sistemas.

 Analizar los respectivos controles que maneja toda auditoría de sistemas.

 Conocer la metodología que debe tenerse en cuenta para que una auditoría de sistemas sea exitosa.

PRUEBA INICIAL

En el anterior capítulo se describió lo que es una auditoría de Sistemas, escribe 5 actividades, que usted como auditor haría previamente a la realización de una auditoría.

Actividad 1: __________________________________________________

Actividad 2: __________________________________________________

Actividad 3: __________________________________________________

Actividad 4: __________________________________________________

(18)

AUDITORÍA A LAS APLICACIONES EN PRODUCCIÓN

AUDITORÍA AL DESARROLLO DE SOFTWARE

AUDITORÍA A SISTEMAS DE BASE DE DATOS

(19)
(20)
(21)

AUDITORÍA A SISTEMAS EN AMBIENTES INTERNET

Consúltalos en:

http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/und_2/

Consúltalos en:

(22)
(23)
(24)
(25)
(26)
(27)

2.1. PLANEACIÓN DE UNA AUDITORÍA DE SISTEMAS

Visualizar el siguiente video de introducción a este capítulo:

http://www.youtube.com/watch?v=9WMu6d-py2A

Recuerde que la auditoría de sistemas es la encargada de revisar y evaluar los sistemas, controles y procedimientos de los diferentes sistemas de la organización, además de los anteriores, también se incluye la inspección de los diferentes equipos de cómputo, su uso y la seguridad de los mismos, esto todo con el fin de buscar un uso más eficiente y seguro de toda la información que es la base para las decisiones de la organización.

Miremos entonces como se podría hacer una adecuada planeación de una auditoría de sistemas, y para esto es absolutamente necesario seguir una serie de pasos que vienen previos a la auditoría en sí, con el fin de lograr dimensionar las diferentes características del área a auditar dentro de la organización o ente auditado.

Veamos entonces, a través de la siguiente gráfica los primeros pasos que se debe tener en cuenta antes de una auditoría:

(28)

Desglosemos el mapa anterior a partir de la “Investigación Preliminar”, la cual consiste en explorar el estado general de área a auditar y su estado frente a la organización.

Además se debe hacerla investigación preliminar solicitando información de las diferentes áreas de la organización, y revisándola teniendo en cuenta aspectos como: este capítulo, y así obtener un resultado integral del área.

Investigación Preliminar

Ahora veamos que se necesita para Dimensionar la estructura a Auditar:

1. En el Área de Sistemas:

a. Objetivos a Largo plazo b. Objetivos a Corto Plazo

2. Recursos materiales: pedir documentos que evidencien información como:

a. Número de equipos y sus características b. Información de instalación de los equipos

c. Contratos de los equipos (comprar, alquiler, mantenimiento). d. Políticas para el uso de los equipos

e. Información de los Seguros

f. Información de Ubicación de los equipos g. Convenios existente con otras entidades h. Planes de expansión

3. Información de la descripción general de los Sistemas

Que existen instalados en la organización y también la de aquellos que están en lista de espera para ser instalados y que contengan información en ellos. Pare ello se debe solicitar documentación o soporte de información como:

a. Manual de Procedimiento de los Sistemas b. Diagramas de entrada y salida (I/O) c. Fechas de instalaciones

d. Planes de instalación a futuro

Muy bien, luego de solicitar esta información para el dimensionamiento de la Organización, podemos encontrar varios casos:

CASO 1: La información solicitada No la tiene la Organización, y ésta se necesita

(29)

CASO 3: La Organización cuenta con la información, pero ésta está incompleta, desactualizada, inadecuada, no se usa.

CASO 4: La información con la que se cuenta es la requerida, está actualizada, y es necesaria.

En el CASO 1, se debe analizar el POR QUÉ NO SE NECESITA.

En el CASO 2, se debe recomendar a la Organización la elaboración de ésta teniendo en cuenta las necesidades y el uso que se le daría a ésta.

En el CASO 3, al igual que en el caso 2, se deben hacer las recomendaciones necesarias para completar dicha información, o actualizarla, u orientar su uso.

El éxito para los análisis de la información requerida, depende de las siguientes recomendaciones que debemos tener en cuenta como auditores:

Recomendaciones para el auditor

EL PERSONAL PARTCIPANTE

Este es otro aspecto que es fundamental dentro de la planeación de una auditoría de sistemas, pues es el personal con sus características de quienes participan en estos procesos los que aseguran en gran parte el éxito de las auditorías.

En este caso, la mayoría del personal que se busca para la realización de los procesos de auditorías debe ser personal altamente capacitado, con valores éticos para ejercer su trabajo con rectitud y así mismo podérsele retribuir justamente por su trabajo.

(30)

No se puede olvidar que las organizaciones cuentan con muy buen talento humano que puede llevar a cabo los procesos de auditorías y poder proporcionar y programar las reuniones o las actividades necesarias o requeridas. Además que la alta gerencia debe garantizar al auditor, todo el apoyo necesario a través del uso de todo el personal multidisciplinario con el que cuente la organización para asistir en la actividades programas y poder garantizar la obtención de la información en el momento indicado.

También se debe contar con algún personal que sea discriminado por los diferentes usuarios del sistema, pues es necesario que cuando el auditor solicite diferentes tipos de información para el análisis de algunas de las premisas planteadas para dicha evaluación, se pueda contar con no sólo el punto de vista del área de sistemas, sino también de los mismos usuarios de estos sistemas.

Ahora veamos un ejemplo de personal con algunas de las características requeridas, que se sugiere para dicho trabajo:

 Un técnico en sistemas/Informática, con experiencia en dicha área, además de conocimiento y experiencia en el análisis de sistemas. Pero sobre todo conocimiento de los sistemas claves de la organización.

Ahora, si se viera involucrado el auditor en un caso de sistemas con alta complejidad, es indispensable contar con un experto bien sea den Telemática, Bases de Datos, u otras áreas afines.

EJERCICIO DE APRENDIZAJE

1. Mencione y explique al menos 2 de los casos posibles que se pueden presentar en la solicitud de información en una auditoría.

2. Escriba 4 recomendaciones para un buen auditor.

2.2. LOS CONTROLES DE UNA AUDITORÍA

2.2.1. DEFINICIÓN DE CONTROLES

Podríamos definir los controles como todo aquel conjunto de técnicas, procedimientos que están interrelacionados con los sistemas de una organización entre sí permiten hacer una evaluación y corrección oportuna de aquellas actividades que no se estén ejecutando con tal eficiencia que se puedan alcanzar los objetivos del mismo.

(31)

Algunas de las características que deben tener los controles son:

 Éste debe ser ejecutado constantemente para poder encontrar los errores muy a tiempo y actuar o corregir oportunamente.

 Éste debe ser económico, es decir, sus resultados deben ser muchos mejores que los costos en los que pueda incurrir la institución al implementar estos sistemas de control.

 La información obtenida por los controles debe ser muy verídica, para que las correcciones no sean implementadas con base en ideas subjetivas.

 El control debe provenir de un sistema de planeación tan bien planeado que deje muy claro el alcance necesario para las acciones correctivas.

 El control no debe interferir en el desarrollo normal de la organización.

2.2.2. CLASIFICACIÓN DE LOS CONTROLES

CONTROLES PREVENTIVOS

Estos consisten en aquellas herramientas que permiten disminuir la frecuencia con la que ocurren las fallas.

Ejemplo: las copias de seguridad o back up de la información.

CONTROLES DETECTIVOS

Estos controles tienen una característica especial y es que no evitan las fallas, sólo las detectan.

Estos son una gran herramienta para el auditor puesto que le permite la evaluación de los controles preventivos.

Ejemplo: El archivo o documento de las revisiones periódicas de los diferentes equipos de la organización, con el reporte de fecha de la copia de seguridad del mismo.

CONTROLES CORRECTIVOS

Estos ayudan a la corrección e investigación de las causas de las fallas. La corrección en sí puede ser difícil e ineficiente en sí misma, pues la corrección de errores es una actividad con un porcentaje alto de errores en sí, por esto, es necesario en muchos casos aplicar controles detectivos en los mismos controles correctivos.

(32)

Observemos el siguiente gráfico que resume los diferentes tipos de controles:

Tipos de Controles

EJERCICIO DE APRENDIZAJE

1. Defina en sus propias palabras lo que es un “control”. 2. Escriba 2 ejemplos de alguno de los tipos de controles.

2.3. METODOLOGÍA DE UNA AUDITORÍA

Los diferentes errores en los diferentes sistemas de información de las organizaciones han causado conflictos entre las diferentes personas miembros de una organización o sección en específico de la misma, pues cuando estos sistemas se vuelven difíciles de operar, éstos hacen que así mismo se vuelvan muy complicado su desarrollo a futuro, haciendo que la organización no pueda gozar de los beneficios de un sistema de información.

De ahí entonces la necesidad de las auditorías de cada uno de los procesos de dichos sistemas de información. Pero para la consecución de este objetivo es totalmente necesaria una adecuada planeación y esto implica un trabajo riguroso y eficiente para evitar que se olviden aspectos fundamentales en la realización de dicho trabajo, además que se debe tratar de buscar la optimización de los recursos de todo orden (técnicos, humanos, económicos y logísticos).

 Ir comparando las actividades que se van ejecutando con aquellas que se planearon, pero esto se hace al tiempo que se va analizando si hay retrasos y se determinan las causas de los mismos además de posibles correcciones.

 Comprometer al cuerpo administrativo de la organización con la realización y puesta en marcha del proceso de auditorías.

(33)

proceso de auditoría.

 Evitar a toda costa la improvisación

Veamos el siguiente gráfico que nos resume los objetivos de la planeación de la auditoría de sistema.

OBJETIVOS PLANEACIÓN DE LA AUDITORÍA

No hay un lineamiento específico que oriente el desarrollo de un proceso de auditoría de sistemas, pues cada proyecto es diferente y por ende debe manejarse con una estrategia diferente teniendo en cuenta el alcance de la misma, los riesgos y su dimensión.

La falta de planeación es el principal factor de los errores y retrasos, costos elevados y la baja calidad del proceso de auditoría; por ello se hace necesario una buena y dedicada planeación y que el auditor conozca la organización, el auditado y mientras más profundo este conocimiento, mucho mejor serán los resultados.

Aunque la experiencia ha mostrado que así los auditores conozcan mucho la organización auditada, este conocimiento no es suficiente en comparación con los empleados de la organización que llevan largos períodos de tiempo en ésta; pero en sí, lo importante es tener el conocimiento necesario que le permita al auditor identificar todos los factores que puedan verse involucrados en la planeación de la auditoría.

Pero además de lo anterior, es necesario que el auditor tenga algún nivel de conocimiento de la razón o sector industria de la organización, del negocio en sí, de sus clientes y de todo aquello que se considere vaya a tener algún efecto sobre la información a evaluar. En esta etapa de planeación, se deben enfocar los esfuerzos en la recopilación de la mayor cantidad de información posible sobre la Organización, para que esta le sirva para formular el plan de auditorías y obviamente para la ejecución posterior de la auditoría.

Algunos aspectos a tener en cuenta sobre el tipo de información a recolectar sobre la organización, podrían ser:

 Características Generales de la empresa (sector industria, qué hacen, organigrama).

 Recursos informáticos relacionados a cada área (descripción de Hardware y Software).

 Conceptos relacionados con la auditoría

(34)

encuestas.

Estos método son muy efectivos, pero todo depende de que tanta habilidad se posea para la acción de entrevistar y obtener la mayor cantidad de datos que de ésta se pueda obtener.

Una buena forma de tener éxito con las entrevistas, es planear el esquema de la entrevista, haciendo el formulario de esta.

Un ejemplo de este formulario o derrotero de preguntas para llevar a cabo la entrevista podría ser:

 ¿Cómo está constituida esta empresa? (Organigrama).

 ¿Con qué tipo de quipos cuenta la empresa (hardware), y cómo están distribuidos?

 ¿Con qué tipo de programas o aplicaciones (Software) cuenta la empresa?

 ¿Qué otro tipo de programas o aplicaciones la empresa ha identificado como que hacen falta por implementar?

 ¿Alguien del personal de la organización ha estado involucrado en el desarrollo de las

 aplicaciones de la organización? (si sí, cómo participó).

 ¿Las aplicaciones que están en uso en la organización, incluyen algunos conceptos de auditoría de sistemas? (Si sí, cuáles).

 ¿En la empresa existe un Manual de Funciones?

 ¿Existe un Manual de Procedimientos?

 Existe un manual de usuario para las aplicaciones?

 ¿Hay un plan de Mantenimiento?

 ¿Hay algún procedimiento para el respaldo de la información (back-ups)?

 ¿Existen los Planes de Contingencias en la organización?

 ¿Esta área o departamento ha sido auditado de alguna manera? Interna o externamente? (Si sí, cada cuanto se ha hecho estas auditorías).

 ¿A usted le gustaría sugerir algo para el manejo del flujo de la información que se maneja actualmente?

 ¿Considera que alguno de los informes que se manejan hoy en el departamento son redundantes?

 ¿Con la información que usted cuenta hoy, puede tomar decisiones?

 ¿Usted considera que necesita acceder de manera más rápida a su propia Base de Datos o a sus archivos de información?

 ¿Algunos de los procesos que ejecuta se bloquean durante su ejecución?

 ¿Le gustan los reportes generados por el computador?

Es muy importante hacer las observaciones pertinentes que van de la mano con las tareas que realizan los empleados, esto con el fin de complementar la información recibida haciendo uso del mecanismo de la entrevista y además que esta información sirva como punto para la verificación de la misma con los hechos observados durante la auditoría. Además, es necesario tener muy en cuenta que las observaciones deben hacerse muy discretamente para no entorpecer el curso normal de la actividad de la actividad en observación.

La encuesta es un método muy usado y puede aplicarse en un grupo grande, pero ésta debe ser muy bien planeada y diseñada, para que sus resultados si apunten a la consecución de la información esperada.

Teniendo en cuenta el tiempo del que se dispone para el trabajo con estas actividades de observación- entrevista, es necesario saber cuándo es posible hacerlas para toda la comunidad.

Esto es, cuando hay suficiente tiempo para ello, de lo contrario es necesario hacer uso de la técnica estadística del muestreo, y puedan hacerse observaciones con una población aleatoria y que la información seleccionada para dicha muestra si arroje los suficientes datos como para hacer un análisis valioso.

(35)

necesaria para el proceso de auditoría:

Fuentes para la Información

EJERCICIO DE APRENDIZAJE

(36)

ACTIVIDADES DE LA CARTILLA

ACTIVIDAD 1.

Realizar las pruebas iniciales y los ejercicios de aprendizaje, exponer esta

información en el blog de cada grupo y enviar su dirección al correo del

profesor encargado.

ACTIVIDAD 2.

Realizar un sitio en Sites de Google, donde se le hará seguimiento de

auditoría de sistemas a una empresa real o ficticia (empresa aprobada

por el docente). Exponer el enlace a éste y enviar su dirección al correo

del profesor encargado.

Puede

consultar

la

página

del

módulo:

(37)
(38)
(39)
(40)
(41)
(42)
(43)

Figure

CUADRO 1. CONTROL DEL DOCUMENTO  CARTILLA DIDÁCTICA
CUADRO 2. CONTROL DE ESTADO DE PREPARACIÓN DE LA CARTILLA EDUCACIÓN A DISTANCIA VERSIÓN No

Referencias

Documento similar

 Para recibir todos los números de referencia en un solo correo electrónico, es necesario que las solicitudes estén cumplimentadas y sean todos los datos válidos, incluido el

Sólo que aquí, de una manera bien drástica, aunque a la vez coherente con lo más tuétano de sí mismo, la conversión de la poesía en objeto -reconocida ya sin telarañas

1) La Dedicatoria a la dama culta, doña Escolástica Polyanthea de Calepino, señora de Trilingüe y Babilonia. 2) El Prólogo al lector de lenguaje culto: apenado por el avan- ce de

6 José Carlos Rovira, en su estudio Léxico y creación poética en Miguel Hernández, expone lo que para él simboliza la figura del rayo: “El poeta es rayo que no cesa,

6 Para la pervivencia de la tradición clásica y la mitología en la poesía machadiana, véase: Lasso de la Vega, José, “El mito clásico en la literatura española

D) El equipamiento constitucional para la recepción de las Comisiones Reguladoras: a) La estructura de la administración nacional, b) La su- prema autoridad administrativa

Fuente de emisión secundaria que afecta a la estación: Combustión en sector residencial y comercial Distancia a la primera vía de tráfico: 3 metros (15 m de ancho)..

d) que haya «identidad de órgano» (con identidad de Sala y Sección); e) que haya alteridad, es decir, que las sentencias aportadas sean de persona distinta a la recurrente, e) que