UNIVERSIDAD NACIONAL
“PEDRO RUIZ GALLO”
FACULTAD DE CIENCIAS FÍSICAS Y MATEMÁTICA ESCUELA
PROFESIONAL DE COMPUTACION E INFORMÁTICA
“AUDITORIA DE LOS SISTEMAS INFORMÁTICOS DE LA ESCUELA DE
POSTGRADO DE LA UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO”
TESIS
presentado para optar el titulo profesional
INGENIERO EN COMPUTACION E INFORMATICA
AUTOR
BACHILLER VICTOR CARLOS QUIÑONES RADO.
ASESOR
ING. Mg. SC. PEDRO FIESTAS RODRIGUEZ.
LAMBAYEQUE – PERÚ
2008
INTRODUCCION
Mediante la presente investigación he intentado determinar los diferentes problemas que se presentan en la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo", ese trabajo lo he realizado aplicando una Auditoria Informática.
La importancia de nuestro trabajo estriba en que al haber observado que la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" ha ido incrementado sus Sistemas informáticos, lo cual es una necesidad y exigencia de los tiempos de Globalización, para conseguir más eficiencia y eficacia en los procesos de Gestión.
Al hacer el estudio se ha detectado una serie de problemas por falta de control en los Sistemas Informáticos, así tenemos:
1. Existencia de pérdida de información confidencial existente en la Escuela de Postgrado por falta de control de acceso a la Unidad de Informática de la Escuela de Postgrado.
2. Se producen deterioros de los equipos informáticos a manos de los usuarios, debido a que desconocen el reglamento de uso de equipo informáticos dentro de la Unidad de Informática de la Escuela de Postgrado.
3. No existen medidas de prevención de catástrofes, dentro de la Unidad de Informática de la Escuela de Postgrado, por ejemplo, faltan equipos contra incendios
4. He constatado la desactualización del personal encargado de la conducción de la Unidad de Informática de la Escuela de Postgrado;
acarreando un deficiente servicio y no detectar a tiempo fallas producidas en los equipos informáticos.
5. El MOF (Manual de Organización y Funciones) no contempla en forma detallada las responsabilidades del personal que labora en la Unidad de Informática de la Escuela de Postgrado, ello genera irresponsabilidad en la conducción de la Unidad de Informática, como dar acceso a la información a personas ajenas a la Unidad de Informática.
6. Retrazo en la gestión de soluciones que ocasionan pérdidas económicas por transacciones inconclusas, pérdida o deterioro de los archivos de inventario o de otra información.
Frente a esta problemática es que planteamos algunas recomendaciones como las siguientes:
1. Establecer en el Manual de Organización y Funciones de la Escuela de Postgrado las funciones que le compete a la Unidad de Informática y que se instruya adecuadamente al personal a cargo de esta Unidad de Informática.
2. Hacer convenio con la Escuela de Ing. Computación e Informática y la Escuela de Ing. Sistemas de la Universidad Nacional Pedro Ruiz Gallo para la capacitación y actualización permanente del personal y mejorar el servicio que brinda la Unidad de Informática de la Escuela de Postgrado.
3. La Escuela de Postgrado debe invertir en mejorar su sistema informático y utilizarlo en toda su capacidad ofreciendo mejores servicios a sus alumnos.
4. Implementar un plan de medidas de contingencia ante posibles desastres en su Sistema Informático y respaldarlos con la adquisición de seguros contra todo riesgo (incendios, robos, etc.).
5. Realización de un inventario de la totalidad del Hardware y Software existentes en la Unidad de Informática y organizándolo por necesidades.
6. Adquirir las licencias de uso de Software.
7. Elaborar, con participación activa de los involucrados en el manejo de la Unidad de Informática, de un Plan Estratégico para el funcionamiento y uso eficiente y eficaz del Sistema Informático de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.
II. PLAN DE INVESTIGACION
2.0. SITUACION PROBLEMATICA
2.1. PLANTEAMIENTO DEL PROBLEMA
Al inicio de la década de los 90, comienza a difundirse de manera persistente la versión actual de un mundo global. Los cambios ocurridos en la estructura y las sociedades mundiales durante esa década, impactadas por los avances tecnológicos y los nuevos materiales, obliga a revisar los paradigmas imperantes del papel de la educación en general y de la educación superior en particular, en el progreso de las naciones. Dentro de este contexto el gran desafío que debe enfrentar nuestro país es cómo insertarse de manera competitiva en un mundo cada vez más globalizado, se trata de una nueva etapa del desarrollo, sustentado en el conocimiento y hacia dónde deben orientarse nuestros esfuerzos académicos e investigativos en el campo de la Informática.
El enfoque y el impacto de la globalización han trastocado la visión del mundo, han obligado a entrar en un inusual espiral de cambios, los cuales se refieren sobre todo al ritmo del uso adecuado del conocimiento acelerado a partir de la Revolución Industrial del siglo XVII, la Revolución de la Productividad del siglo XIX y la Revolución de la Administración del conocimiento. Aceptamos el cambio en nombre del desarrollo del progreso, pero no podemos evitar un sentimiento de temor
(Flores, 1998).
La globalización ha afectado para bien o para mal a las culturas dependientes que lenta pero sostenidamente van perdiendo su identidad, al asumir patrones de comportamiento socio cultural a imagen y semejanza de las naciones más
Como reflexión podemos decir, que la globalización no es de lejos la panacea de los males que aquejan al mundo contemporáneo, pero tampoco es la causa única de los mismos, no es más que una etapa en el largo proceso de la internacionalización cultural (Romero,2001).
La informática es, hoy por hoy, un elemento imprescindible en la acumulación de conocimiento, la cual ya no sólo es cerebral, obviamente, sino a través del computador. Está tan penetrada en la actividad productiva y social de los habitantes de las regiones más pobladas de la tierra, es decir, en las grandes ciudades, que se ha constituido en una nueva cultura en el mundo modernamente tecnificado de hoy.
Según lo manifiesta Lara Figueroa: “La informática, a través de las supercarreteras de información y de Internet, homologan el sentir del hombre, lo de culturan. Pero si el hombre utiliza estos mismos canales para dar a conocer sus propios logros culturales, como hombre y sociedad, logrará reafirmar su identidad social y cultural y le permitirá compartir con otros hombres de cualquier parte del orbe y del planeta, sus especificidades culturales y su capacidad creadora”. De tal manera, que en estos momentos finales del siglo XX, las tradiciones populares y la cultura popular heredada por el proceso histórico, es la única fuente confiable de identidad social e identidad individual; la que cohesiona a individuos alrededor de logros comunes. Utilizar la informática, pues, en el afán de afianzar la identidad social de un país como Perú, es válido y necesario, pues es el vehículo que permite afianzar las raíces de nacionalidad y pertenencia.
El concepto de información es muy reciente y además sumamente sencillo. Fue desarrollado en la década de los 40's por el matemático norteamericano Claude Shannon, para
referirse a todo aquello que está presente en un mensaje o señal cuando se establece un proceso de comunicación entre un emisor y un receptor. Así, cuando dos personas hablan, intercambian información; cuando ves una película, recibes información; es más, al probar una galleta tu sentido del gusto recaba información sobre el sabor y la consistencia del bocado. La información puede entonces encontrarse y enviarse en muchas formas, a condición de que quien la reciba pueda interpretarla.
Procesar información implica el almacenamiento, la organización y, muy importante, la transmisión de la misma. Para ello, en la informática intervienen varias tecnologías; en términos generales, podemos decir que son dos sus pilares: la computación y la comunicación; es decir, en lo que hoy conocemos como informática confluyen muchas de las técnicas y de las máquinas que el hombre ha desarrollado a lo largo de la historia para apoyar y potenciar sus capacidades de memoria, de pensamiento y de comunicación.
Sintetizando, la informática es el producto del encuentro de dos líneas tecnológicas: el de las máquinas de comunicar y el de las computadoras. Si bien el término Informática surgió hace poco más de medio siglo, cuando el propio Shannon desarrolló la Teoría de la Información, apostado en los terrenos de la lógica matemática y los albores de la computación moderna. Más adelante veremos como sus orígenes se remontan a los de la humanidad.
A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.
El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase “Tiene Auditoria” como sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas.
El concepto de auditoria es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, “En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia”.
Si consultamos el Boletín de Normas de auditoria del Instituto mexicano de contadores nos dice: “La auditoria no es una actividad meramente mecánica que implique la aplicación
de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable”.
De todo esto sacamos como deducción que la auditoria es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.
Los principales objetivos que constituyen a la auditoria Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoria informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.
2.2. FORMULACION Y DELIMITACION DEL PROBLEMA
2.2.1 FORMULACIÓN:
¿En qué medida una Auditoria de los Sistemas Informáticos instalados en la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo mejorará el uso de estos Sistemas Informáticos en beneficio de sus usuarios y de la institución?
2.2.2 DELIMITACIÓN DEL PROBLEMA:
¿En qué medida la aplicación de una Auditoria Informática de los Sistemas Informáticos de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional “Pedro Ruiz Gallo” mejorará el servicio que dan a sus alumnos?
2.3. JUSTIFICACION E IMPORTANCIA DEL ESTUDIO
Al haber observado que la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo ha ido incrementando sus Sistemas Informáticos, que es una necesidad y exigencia de los tiempos de globalización, para conseguir mas Eficiencia y Eficacia en los procesos de Gestión; pero para ello se tiene que tener en cuenta el uso adecuado y en toda su capacidad de estos sistemas.
2.4 OBJETIVOS
2.4.1 OBJETIVO GENERAL
Aplicación de una Auditoria Informática de los Sistemas Informáticos de la Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional “Pedro Ruiz Gallo”
2.4.2. OBJETIVOS ESPECIFICOS
El presente proyecto de investigación persigue los siguientes objetivos:
Determinar la capacidad de los Sistemas Informáticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.
Delinear los elementos de la Auditoria de los Sistemas Informáticos.
Aplicar los lineamientos de Auditoria a los Sistemas Informáticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.
Elaborar la propuesta para el mejor uso de la capacidad instalada de los Sistemas Informáticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.
III. MARCO DE REFERENCIA DEL PROBLEMA
3.1 MARCO TEÓRICO
3.1.1 SISTEMA INFORMÁTICO
En términos genéricos se puede afirmar que el sistema informático es un conjunto de elementos interrelacionados entre sí y relacionados a su vez con el sistema global en que se encuentra, que pretende conseguir unos fines determinados. Los elementos constitutivos de un sistema informático serán físicos, lógicos y humanos.
Estructuralmente un sistema se puede dividir en partes pero, funcionalmente es indivisible, ya que si se dividiera perdería alguna de sus propiedades esenciales. Así, un sistema informático sin alguno de sus componentes, no funcionaría. Como características globales de un sistema informático podríamos señalar las siguientes:
Las propiedades o comportamiento de cada uno de los elementos del sistema influyen en las propiedades y funcionamiento del sistema completo.
El tipo de influencia que ejerce cada elemento del sistema depende, al menos, del comportamiento de otro elemento.
Cada sistema informático se compone, a su vez, de subsistemas que son sistemas informáticos por sí mismo. Al final de la descomposición se llegará al sistema informático elemental (un ordenador y su equipo lógico). Habrá que determinar en que sentido y nivel de descomposición estamos hablando cuando nos referimos a un sistema informático.
Normalmente, el rendimiento de un sistema informático depende más de la relación y coordinación entre sus componentes que del funcionamiento de cada uno de ellos individualmente. Por eso, a veces, el funcionamiento de un sistema informático no se mejora usando los mejores componentes físicos, lógicos y humanos sino armonizando y coordinando efectivamente sus relaciones.
3.1.1.1 COMPONENTES Y FUNCIONAMIENTO GENERAL DE UN SISTEMA INFORMÁTICO.
Un sistema informático está compuesto por:
a) Componente físico: que constituye el hardware del sistema informático que lo conforman, básicamente, los ordenadores, los periféricos y el sistema de comunicaciones. Los componentes físicos proporcionan la capacidad y la potencia de cálculo del sistema informático.
b) Componente lógico: que constituye el software del sistema informático y lo conforman, básicamente, tos programas, las estructuras de datos y la documentación asociada El software se encuentra distribuido en el hardware y lleva a cabo el proceso lógico que requieren los datos.
c) Componente humano: constituido por todas las personas participantes en todas las fases de la vida de un sistema informático (diseño, desarrollo, implantación, explotación). Este componente humano es sumamente importante ya que los sistemas informáticos están desarrollados por humanos y para
Veamos, gráficamente. la estructura de un sistema informático genérico:
El sistema informático ha evolucionado desde una primera situación en que todos los componentes del sistema (físicos, lógicos y humanos) se encontraban centralizados en una sala de ordenadores a la situación actual en que los componentes del sistema se encuentran, normalmente, ampliamente distribuidos en diferentes lugares físicos.
Este camino hacia la implantación progresiva de sistemas distribuidos ha pasado por diferentes fases y se puede considerar que aún no ha finalizado. Veamos estas fases más detenidamente:
En una primera fase, al inicio de la informatización de las organizaciones, los recursos están totalmente centralizados.
En una segunda fase, se distribuyen los componentes físicos (y, en ocasiones, los humanos) del sistema. La capacidad de proceso y almacenamiento sigue estando centralizada pero las entradas y salidas de datos se han distribuido físicamente (terminales "tontos" conectados a un equipo central).
En una tercera fase se distribuyen, además, los componentes lógicos del sistema Las capacidades de proceso también se empiezan a distribuir pero no totalmente (terminales con cierta capacidad de proceso conectados a un equipo central).
Por último, se llega al modelo más avanzado de informática distribuida en que tanto la capacidad de proceso como la capacidad de almacenamiento sé encuentran distribuidas en diferentes lugares.
Los sistemas distribuidos pueden organizarse de forma vertical o jerárquica y de forma horizontal.
En una organización horizontal todos los equipos tienen la misma "categoría", es decir, no existe un equipo central sino un conjunto de equipos interconectados que cooperan entre sí.
Por contra, en una organización vertical nos encontramos con varios niveles jerárquicos, entre los que podemos destacar:
- El nivel más alto de la jerarquía lo forman tos equipos más potentes, del tipo de los mainframes y realiza los trabajos de la organización que necesiten mayores recursos. Este es el nivel de la Informática Corporativa, que soporta el Sistema General de Información de la organización.
- El segundo nivel en importancia es el de la Informática Departamental, en el que nos encontramos con ordenadores menos potentes, del tipo de los
del nivel superior y con los ordenadores del nivel inferior. Actualmente, los miniordenadores de este nivel son sustituidos, cada vez con más frecuencia, por redes locales de ordenadores.
- El último nivel de la jerarquía es el de la informática Personal, constituido por los microordenadores o estaciones de trabajo que interactúan con los ordenadores de los niveles superiores a través de redes de comunicaciones. Los ordenadores de este nivel suelen disponer de herramientas especializadas para el trabajo personal.
3.1.1.2. TIPOS DE ARQUITECTURAS DE LOS SISTEMAS INFORMÁTICOS
Es un conjunto determinado de reglas, normas y procedimientos que especifican las interrelaciones que deben existir entre los componentes de un sistema informático y las características que deben cumplir cada uno de estos componentes.
No se tratarán las distintas arquitecturas de un ordenador sino sólo cómo los distintos tipos de ordenadores que pueden existir en un sistema informático pueden ser dispuestos para satisfacer las necesidades de una organización.
En la década de los 80 aparecieron los conceptos de máquina departamental y de ordenador personal y se desarrolló el concepto de proceso distribuido con una arquitectura en tres niveles:
- Mainframes: ordenadores centrales donde se
encontraban las aplicaciones corporativas.
- Máquinas departamentales: donde se desarrollaban
aplicaciones técnicas o científicas y, frecuentemente, la entrada de datos.
- Puestos de trabajo: conectados a los anteriores a
través de una red (terminales inteligentes o tontos).
A finales de los 80 se avanza en tomo al concepto de proceso cooperativo, que trata de aprovechar el poder potencial de las estaciones de trabajo y de los PC sin
por ello sustituir los mainframes. Se pretende hacerlos actuar no exclusivamente como terminales sino soportar parte del proceso que hasta ese momento era realizado por los ordenadores centrales y aprovechar de esa forma facilidades de edición y presentación de las herramientas de la estación de trabajo.
A partir de este momento el mainframe aparece más como un nodo dentro de la red empresarial de información que como el núcleo central de todos los catos y aplicaciones y surge un nuevo concepto dé arquitectura que es el modelo cliente- servidor, en el que los elementos antes descritos trabajan como servidores, es decir, realizan funciones que pueden ser complejas, tales como servidores de bases de datos o simples como servidores de impresión. Los equipos son conectados a través de una red por la que circulan procesos proporcionando la arquitectura las reglas por las que estos procesos son distribuidos. Cada proceso esta formado por una pareja (petición y respuesta) donde la petición es el cliente y el servidor la respuesta.
3.1.1.3 CLASIFICACIONES DE LOS SISTEMAS INFORMÁTICOS.
Atendiendo al criterio de las prestaciones que proporcionan los sistemas informáticos, éstos se pueden clasificar en:
- Supercomputadores: equipos con gran capacidad
de cálculo. Suelen ser de tipo vectorial con varias CPU trabajando en paralelo. Se utilizan frecuentemente en el entorno técnico científico y en
la realización de simulaciones. Se llega a elevadísimas prestaciones en la velocidad de proceso.
- Sistemas grandes o mainframes: equipos caracterizados por dar soporte a grandes redes de comunicaciones con multitud de usuarios.
- Sistemas medios o miniordenadores: equipos con
capacidad para soportar cientos de usuarios pero a un coste inferior al de tos sistemas grandes.
- Estaciones de trabajo: equipos monousuarios muy
potentes con gran velocidad y elevadas prestaciones. Las estaciones de trabajo más modernas suelen ser de tecnología RISC.
- Microordenadores: equipos monousuario con, cada
vez; mayores prestaciones. En este grupo podemos encontrar.
- Ordenadores profesionales. - Ordenadores personales. - Ordenadores domésticos.
Hay que tener presente que la diferencia entre los mainframes, miniordenadores y microordenadores es difícil de establecer, así por ejemplo un microordenador muy potente trabajando en un entorno multiusuario puede convertirse en miniordenador. Además, no existen límites claros entre los miniordenadores más potentes y los mainframes más pequeños y los criterios para clasificar un sistema en uno u otro tipo varían con
3.1.2 AUDITORIA
En la teoría administrativa, el concepto de eficiencia ha sido heredado de la economía y se considera como un principio rector. La evaluación del desempeño organizacional es importante pues permite establecer en qué grado se han alcanzado los objetivos, que casi siempre se identifican con los de la dirección, además se valora la capacidad y lo pertinente a la practica administrativa. Sin embargo al llevar a cabo una evaluación simplemente a partir de los criterios de eficiencia clásico, se reduce el alcance y se sectoriza la concepción de la empresa, así como la potencialidad de la acción participativa humana, pues la evaluación se reduce a ser un instrumento de control coercitivo de la dirección para el resto de los integrantes de la organización y solo mide los fines que para aquélla son relevantes. Por tanto se hace necesario una recuperación crítica de perspectivas y técnica que permiten una evaluación integral, es decir, que involucre los distintos procesos y propósitos que están presentes en las organizaciones, ello se logra con la auditoria.
3.1.2.1. Antecedentes
La auditoria es una de las aplicaciones de los principios científicos de la contabilidad, basada en la verificación de los registros patrimoniales de las haciendas, para observar su exactitud; no obstante, este no es su único objetivo.
Su importancia es reconocida desde los tiempos más remotos, teniéndose conocimientos de su existencia ya en las lejanas épocas de la civilización sumeria.
Acreditase, todavía, que el termino auditor evidenciando el titulo del que practica esta técnica, apareció a finales del siglo XVIII, en Inglaterra durante el reinado de Eduardo I.
En diversos países de Europa, durante la edad media, muchas eran las asociaciones profesionales, que se encargaban de ejecuta funciones de auditorias, destacándose entre ellas los consejos Londinenses (Inglaterra), en 1.310, el Colegio de Contadores, de Venecia (Italia), 1.581.
La revolución industrial llevada a cabo en la segunda mitad del siglo XVIII, imprimió nuevas direcciones a las técnicas contables, especialmente a la auditoria, pasando a atender las necesidades creadas por la aparición de las grandes empresas (donde la naturaleza es el servicio es prácticamente obligatorio).
Se preanuncio en 1.845 o sea, poco después de penetrar la contabilidad de los dominios científicos y ya el "Railway Companies Consolidation Act" obligada la verificación anual de los balances que debían hacer los auditores.
También en los Estados Unidos de Norteamérica, una importante asociación cuida las normas de auditoria, la cual publicó diversos reglamentos, de los cuales el primero que conocemos data de octubre de 1.939, en tanto otros consolidaron las diversas normas en diciembre de 1.939, marzo de 1.941, junio de 1942 y diciembre de 1.943.
El futuro de nuestro país se prevé para la profesión contable en el sector auditoria es realmente muy grande, razón por la cual deben crearse, en nuestro circulo de enseñanza cátedra para el estudio de la materia, incentivando el aprendizaje y asimismo organizarse cursos similares a los que en otros países se realizan.
3.1.2.2. Definiciones
Inicialmente, la auditoria se limitó a las verificaciones de los registros contables, dedicándose a observar si los mismos eran exactos.
Y, por lo tanto, esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros.
Con el tiempo, el campo de acción de la auditoria ha continuado extendiéndose; no obstante son muchos los que todavía la juzgan como portadora exclusiva de aquel objeto remoto, o sea, observar la veracidad y exactitud de los registros.
En forma sencilla y clara, escribe Holmes:
"... la auditoria es el examen de las demostraciones y registros administrativos".
El auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos.
Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la corrección contable de las cifras de los estados financieros; Es la revisión misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos.
3.1.2.3 Objetivo
El objetivo de la Auditoria consiste en apoyar a los miembros de la empresa en el desempeño de sus actividades. Para eilo la Auditoria les proporciona análisis, evaluaciones, recomendaciones, asesoría e información concerniente a las actividades revisadas.
3.1.2.4. Finalidad
Los fines de la auditoria son los aspectos bajo los cuales su objeto es observado. Podemos escribir los siguientes:
1. lndagaciones y determinaciones sobre el estado patrimonial.
2. lndagaciones y determinaciones sobre los estados financieros.
3. lndagaciones y determinaciones sobre el estado reditual. 4. Descubrir errores y fraudes.
5. Prevenir los errores y fraudes.
6. Estudios generales sobre casos especiales, tales como:
a. Exámenes de aspectos fiscales y legales.
b. Examen para compra de una empresa (cesión patrimonial).
c. Examen para la determinación de bases de criterios de prorrateo, entre otros.
Los variadísimos fines de la auditoria muestran, por si solos, la utilidad de esta técnica.
3.1.2.5 Clasificación de la Auditoria
a. Auditoria Externa
Aplicando el concepto general, se puede decir que la auditoria Externa es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un Contador Público sin vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinión independiente tiene trascendencia a los terceros, pues da plena validez a la información generada por el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos a tener plena credibilidad en la información examinada.
La Auditoria Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos, pero las empresas generalmente requieren de la evaluación de su sistema de información financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el término Auditoria Externa a Auditoria de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditoria Externa del Sistema de Información Tributario, Auditoria Externa del Sistema de Información Administrativo, Auditoria Externa del Sistema de Información Automático etc.
La Auditoria Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella información producida por los sistemas de la organización.
Una Auditoria Externa se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de información examinado con el fin de acompañar al mismo una opinión independiente que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando en las declaraciones del Auditor.
Una auditoria debe hacerla una persona o firma independiente de capacidad profesional reconocidas.
Esta persona o firma debe ser capaz de ofrecer una opinión imparcial y profesionalmente experta a cerca de los resultados de auditoria, basándose en el hecho de que su opinión ha de acompañar el informe presentado al término del examen y concediendo que pueda expresarse una opinión basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigación.
Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una combinación de un conocimiento completo de los principios y procedimientos contables, juicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable.
b. Auditoria Interna
La auditoria Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulación interna y no tienen trascendencia a los terceros
Las auditorias internas son realizadas por personal de la institución. Un auditor interno tiene a su cargo el control permanente de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los métodos y procedimientos de control interno que redunden en una operación más eficiente y eficaz.
Cuando la auditoria está dirigida por Contadores Públicos profesionales independientes, la opinión de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garantía de protección para los intereses de los accionistas, los acreedores y el Público. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administración, y aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para así obtener la confianza del Público.
La auditoria interna es un servicio que reporta al más alto nivel de la dirección de la organización y tiene características de función asesora de control, por tanto no puede ni debe tener autoridad de línea sobre ningún funcionario de la empresa, a excepción de los que forman parte de la plana de la oficina de auditoria interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su función es evaluar y opinar sobre los mismos, para que la alta dirección torna las medidas necesarias para su mejor funcionamiento. La auditoria interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de la organización a la cual
presta sus servicios, pues corno se dijo es una función asesora.
c. Diferencias entre auditoria interna y externa:
Existen diferencias substanciales entre la Auditoria Interna y la Auditoria Externa, algunas de las cuales se pueden detallar así:
En la Auditoria Interna existe un vínculo laboral entre el auditor y la empresa, mientras que en la Auditoria Externa la relación es de tipo civil.
En la Auditoria Interna el diagnóstico del auditor, esta destinado para la empresa; en el caso de la Auditoria Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa.
La Auditoria Interna está inhabilitada para dar Fe Pública, debido a su vinculación contractual laboral, mientras la Auditoria Externa tiene la facultad legal de dar Fe Pública.
3.1.3 EL AUDITOR
3.1.3.1 Definición
Es aquella persona profesional, que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupación técnica.
3.1.3.2. Funciones generales
Para ordenar e imprimir cohesión a su labor, el auditor cuenta con un una serie de funciones tendientes a estudiar, analizar y diagnosticar la estructura y funcionamiento general de una organización.
Las funciones tipo del auditor son:
Estudiar la normatividad, misión, objetivos, políticas, estrategias, planes y programas de trabajo.
Desarrollar el programa de trabajo de una auditoria.
Definir los objetivos, alcance y metodología para instrumentar una auditoria.
Captar la información necesaria para evaluar la funcionalidad y efectividad de los procesos, funciones y sistemas utilizados.
Recabar y revisar estadísticas sobre volúmenes y cargas de trabajo.
Diagnosticar sobre los métodos de operación y los sistemas de información.
Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.
Respetar las normas de actuación dictadas por los grupos de filiación, corporativos, sectoriales e instancias normativas y, en su caso, globalizadoras.
Proponer los sistemas administrativos y/o las modificaciones que permitan elevar la efectividad de la organización.
Analizar la estructura y funcionamiento de la organización en todos sus ámbitos y niveles.
Revisar el flujo de datos y formas.
Considerar las variables ambientales y económicas que inciden en el funcionamiento de la organización.
Analizar la distribución del espacio y el empleo de equipos de oficina.
Evaluar los registros contables e información financiera. Mantener el nivel de actuación a través de una interacción
y revisión continua de avances.
Proponer los elementos de tecnología de punta requeridos para impulsar el cambio organizacional.
Diseñar y preparar los reportes de avance e informes de una auditoria.
3.1.3.3. Conocimientos que debe poseer
Es conveniente que el equipo auditor tenga una preparación acorde 'con los requerimientos de una auditoria administrativa, ya que eso le permitirá interactuar de manera natural y congruente con los mecanismos de estudio que de una u otra manera se emplearán durante su desarrollo.
Atendiendo a éstas necesidades es recomendable apreciar los siguientes niveles de formación:
a. Académica
Estudios a nivel técnico, licenciatura o postgrado en administración, informática, comunicación, ciencias políticas, administración pública, relaciones industriales, ingeniería industrial, psicología, pedagogía, ingeniería en sistemas, contabilidad, derecho, relaciones internacionales y diseño gráfico.
Otras especialidades como actuaría, matemáticas, ingeniería y arquitectura, pueden contemplarse siempre y cuando hayan recibido una capacitación que les permita intervenir en el estudio.
b. Complementaria
Instrucción en la materia, obtenida a lo largo de la vida profesional- por medio de diplomados, seminarios, foros y cursos, entre otros.
c. Empírica
Conocimiento resultante de la implementación de auditorias en diferentes instituciones sin contar con un grado académico.
Adicionalmente, deberá saber operar equipos de cómputo y de oficina, y dominar él ó los idiomas que sean parte de la dinámica de trabajo de la organización bajo examen.
También tendrán que tener en cuenta y comprender el comportamiento organizacional cifrado en su cultura.
Una actualización continua de los conocimientos permitirá al auditor adquirir la madurez de juicio necesaria para él ejercicio de su función en forma prudente y justa.
3.1.3.4 Habilidades y destrezas
En forma complementaria a la formación profesional, teórica y/o práctica, el equipo auditor demanda de otro tipo de cualidades que son determinantes en su trabajo, referidas a recursos personales producto de su desenvolvimiento y dones intrínsecos a su carácter.
La expresión de estos atributos puede variar de acuerdo con el modo de ser y el deber ser de cada caso en particular; sin embargo es conveniente que, quien se dé a la tarea de cumplir con el papel de auditor, sea poseedor de las siguientes características: Actitud positiva. Estabilidad emocional. Objetividad. Sentido institucional. Saber escuchar. Creatividad.
Respeto a las ideas de los demás. Mente analítica.
Conciencia de los valores propios y de su entorno. Capacidad de negociación.
Imaginación.
Claridad de expresión verbal y escrita. Capacidad de observación.
Discreción.
Facilidad para trabajar en grupo. Comportamiento ético.
3.1.3.5. Experiencia
Uno de los elementos fundamentales que se tiene que considerar en las características del equipo, es el relativo a su experiencia personal de sus integrantes, ya que de ello depende en gran medida el cuidado y diligencia profesionales que se emplean para determinar el nivel de sus observaciones y sugerencias.
Por la naturaleza de la función a desempeñar existen varios campos que se tienen que dominar:
oConocimiento de. las áreas sustantivas de la organización.
oConocimiento de las áreas adjetivas de la organización.
oConocimiento de esfuerzos anteriores · Conocimiento de casos prácticos.
oConocimiento derivado de la implementación de estudios organizacionales de otra naturaleza.
oConocimiento personal basado en elementos diversos.
3.1.3.6. Responsabilidad profesional
El equipo auditor debe realizar su trabajo utilizando toda su capacidad, inteligencia y criterio para determinar el alcance, estrategia y técnicas que habrá de aplicar en una auditoria, así como evaluar los resultados y presentar los informes correspondientes.
Para éste efecto, debe de poner especial cuidado en:
Realizar su trabajo sobre la base de conocimiento y capacidad profesional adquiridos.
Cumplir con las normas o criterios que se le señalen.
Capacitarse en forma continua
También es necesario que se mantenga libre de impedimentos que resten credibilidad a sus juicios, por que debe preservar su autonomía e imparcialidad al participar en una auditoria.
Es conveniente señalar, que los impedimentos a los que normalmente se puede enfrentar son: personales y externos.
Los primeros, corresponden a circunstancias que recaen específicamente en el auditor y que por su naturaleza pueden afectar su desempeño, destacando las siguientes:
Vínculos personales, profesionales, financieros u oficiales con la organización que se va a auditar.
Interés económico personal en la auditoria.
Corresponsabilidad en condiciones de funcionamiento incorrectas.
Relación con instituciones que interactúan con la organización.
Ventajas previas obtenidas en forma ilícita o antiética.
Los segundos están relacionados con factores que limitan al auditor a llevar a cabo su función de manera puntual y objetiva como son:
Ingerencia externa en la selección o aplicación de técnicas o metodología para la ejecución de la auditoria.
Recursos limitados para desvirtuar el alcance de la auditoria.
Presión injustificada para propiciar errores inducidos.
En estos casos, tiene el deber de informar a la organización para que se tomen las providencias necesarias.
Finalmente, el equipo auditor no debe olvidar que la fortaleza de su función está sujeta a la medida en que afronte su compromiso con respeto y en apego a normas profesionales tales como:
1. Objetividad.- Mantener una visión independiente de los hechos, evitando formular juicios o caer en omisiones, que alteren de alguna manera los resultados que obtenga.
2. Responsabilidad.- Observar una conducta profesional, cumpliendo con sus encargos oportuna y eficientemente.
3. Integridad.- Preservar sus valores por encima de las presiones.
4. Confidencialidad.- Conservar en secreto la información y no utilizarla en beneficio propio o de intereses ajenos.
5. Compromiso.- Tener presente sus obligaciones para consigo mismo y la organización para la que presta sus servicios.
6. Equilibrio.- No perder la dimensión de la realidad y el significado de los hechos.
7. Honestidad.- Aceptar su condición y tratar de dar su mejor esfuerzo 'con sus propios recursos, evitando aceptar compromisos o tratos de cualquier tipo.
8. Institucionalidad.- No olvidar que su ética profesional lo
obliga a respetar y obedecer a la organización a la que pertenece.
9. Criterio.- Emplear su capacidad de discernimiento en forma equilibrada.
10. Iniciativa.- Asumir una actitud y capacidad de respuesta ágil y efectiva.
11. Imparcialidad.- No involucrarse en forma personal en los hechos, conservando su objetividad al margen de preferencias personales.
12. Creatividad.- Ser propositivo e innovador en el desarrollo de su trabajo.
3.1.4 AUDITORIA DE SISTEMAS DE INFORMACIÓN
3.1.4.1 Definición de Auditoria
Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente, evidencias sobre las afirmaciones relativas a los actos y eventos de carácter económico, administrativo, operacional o de sistemas;
con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.
3.1.4.2 Clasificación de Auditoria
3.1.4.2.1 Auditoria Financiera
La Auditoria Financiera efectúa un examen sistemático de los estados financieros, los registros y las operaciones correspondientes, para determinar la observancia de los principios de contabilidad generalmente aceptados, de las políticas de la administración y de la planificación.
3.1.4.2.2 Auditoria operativa"
"Un examen sistemático de las actividades de una
organización (ó de un segmento estipulado de las mismas) en relación con objetivos específicos, a fin de evaluar el comportamiento, señalar oportunidades de mejorar y generar recomendaciones para el mejoramiento o para potenciar el logro de objetivos ".
3.1.4.2.3 Auditoria de Sistemas Informáticos
Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una institución para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas informáticos. La auditoria de sistemas Informáticos es una rama especializada de la auditoria que promueve y aplica conceptos de auditoria en el área de sistemas de información.
La auditoria de los sistemas informáticos se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas informáticos es dar recomendaciones a la Dirección para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.
3.1.4.2.3.1 Objetivos Específicos de la Auditoria de Sistemas Informáticos.
1. Participación en el desarrollo de nuevos sistemas:
Evaluación de controles.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
Respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
Resguardo y protección de activos. 5. Control de modificación a las aplicaciones
existentes.
Fraudes.
Control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
Utilitarios.
Control sobre la utilización de los sistemas operativos.
8. Auditoria de la base de datos.
Estructura sobre la cual se desarrollan las aplicaciones.
9. Auditoria de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
3.1.4.2.3.2 Fines de la Auditoria de Sistemas Informáticos
1. Fundamentar la opinión del auditor interno y/o externos sobre la confiabilidad de los sistemas de información.
2. Expresar la opinión sobre la eficiencia de las operaciones en el área de las Tecnologías de la Información.
3.1.4.2.3.3 Similitudes y diferencias con la auditoría tradicional
A. Similitudes:
Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones.
Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría.
B. Diferencias:
Se establecen algunos nuevos procedimientos de auditoría.
Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable.
Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas.
El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.
3.1.4.2.3.4 Aspectos del Medio Ambiente Informático que afectan el enfoque Procedimientos de la Auditoria y sus Complejidad de los Sistemas.
Uso de lenguajes.
Metodologías, son aquellos procesos que realizan las personas de acuerdo a su experiencias.
Centralización.
Departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.
Controles del computador.
3.1.4.2.3.5 La Automatización de los Controles Manuales
Confiabilidad electrónica.
Debilidades de las máquinas y tecnología.
Transmisión y registro de la información en medios magnéticos, óptico y otros.
Almacenamiento en medios que deben acceder a través del computador mismo.
Centros externos de procesamiento de datos.
3.1.4.2.3.6 Razones para la existencia de la Auditoria de Sistemas Informáticos.
1. La información es un recurso clave en la empresa para:
Planear el futuro, controlar el presente y evaluar el pasado.
2. Las operaciones de la empresa dependen cada vez más de la sistematización informática.
3. Los riesgos tienden a aumentar, debido a:
Pérdida de información.
Pérdida de activos.
Pérdida de servicios/ventas.
4. La sistematización representa un costo significativo para
La empresa en cuanto a: hardware, software y personal.
5. Los problemas se identifican sólo al final.
3.1.4.2.3.7 Requerimientos del Auditor de Sistemas Informáticos
1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.
2. Entendimiento del efecto de los sistemas en la organización.
3. Entendimiento de los objetivos de la auditoría.
4. Conocimiento de los recursos de computación de la empresa.
5. Conocimiento de los proyectos de sistemas.
3.1.4.2.3.8 Riesgos asociados al área de los Sistemas Informáticos
Hardware
Descuido o falta de protección: Condiciones inapropiadas, mal manejo, no observancia de las normas.
Destrucción.
Software:
Uso o acceso.
La Auditoria sobre el Software incide en evaluar lo concerniente al adecuado uso o acceso de los programas, la destrucción del Software ya sea por distintas causas' (golpe, incendio, etc.), Copias piratas, Modificaciones, el hurto de programas por personas ajenas a la Unidad de Informática, errores que podría presentar el software.
Archivos:
Usos o accesos.
Copia, Modificación, Destrucción, Hurto.
Organización:
Inadecuada: no funcional, sin división de funciones.
Falta de seguridad.
Falta de políticas y planes.
Personal:
Deshonesto, Incompetente y descontento.
Usuarios:
Enmascaramiento, falta de autorización. Falta de conocimiento de su función.
3.1.5 NORMAS GENERALES PARA LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
La naturaleza especializada de la auditoría a los sistemas de información (SI), así como las destrezas necesarias para llevar a cabo tales auditorias, requiere de estándares que aplican específicamente a la auditoría de Sistema de Información. Uno de los objetivos de la
Asociación de Auditoría y Control de los Sistemas de Información (Information. Systems Audit and Control Association, www.isaca.org) es promover estándares aplicables internacionalmente para cumplir con su visión. El desarrollo y difusión de los Estándares de Auditoría de Sistemas Informáticos son una piedra angular de la contribución profesional de ISACA a la comunidad de auditoría. La estructura para los Estándares de Auditoría de Sistemas de Información brinda múltiples niveles de asesoramiento:
Los Estándares definen requisitos obligatorios para la auditoría y el reporte de Sistemas Informáticos Informan a:
1. Los auditores de Sistemas de Información respecto al nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA.
2. La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales.
3. Los poseedores de la designación de Auditor Certificado de
Sistemas de Información (Certified Information Systems Auditor, CISA) respecto a los requisitos que deben cumplir. El
incumplimiento de estos estándares puede resultar en una investigación de la conducta del poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comité
apropiado de ISACA y, en última instancia, en sanciones disciplinarias.
Las Directrices proporcionan asesoramiento en la aplicación de los Estándares de Auditoría de Sistemas de Información. El auditor de Sistemas de Información debe considerarlas al determinar cómo lograr la implementación de los estándares, utilizar un buen juicio profesional en su aplicación y estar dispuesto a justificar cualquier desviación de las mismas. El objetivo de las Directrices de Auditoría de Sistemas de Información es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoria de Sistemas de Información.
Los Procedimientos proporcionan ejemplos de procedimientos que podría seguir un auditor de Sistemas de Información en el curso de un contrato de auditoría. Los documentos sobre procedimientos proporcionan información sobre cómo cumplir con los estándares al realizar trabajos de auditoría de SI, pero no establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de Sistemas de Información.
COBIT (Control Objectives for Information and related Technology / Objetivos de Control para tecnología de la información y relacionada), es el modelo para el Gobierno de la
Tecnología de la Información (TI) desarrollado por la Information
Systems Audit and Control Association (ISACA) y el
Information and related Technology Governance Information and related Technology.
Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios:
a. El plan y Organiza.
b. Adquiere y Pone en práctica
c. Entrega y Apoya 1
d. Supervisa y Evalúa.
Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de las Tecnologías de Información, apoya el alineamiento con el negocio y simplifica la implantación del COBIT. La misión COBIT es " para investigar, desarrollar, hacer público y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnología de información generalmente aceptados para el empleo cotidiano por directores comerciales e interventores. " Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas de Tecnologías de la Información y decidir el nivel de seguridad (valor) y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernación de Tecnologías de la Información.
Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en las Tecnologías de Información que son necesarias para alinear las Tecnologías de la Información con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño,
el cumplimiento de metas y el nivel de madurez de los procesos de la organización.
Los recursos de COBIT deben utilizarse como fuente de asesoramiento con respecto a las mejores prácticas. El Marco Referencial de COBIT establece que: "Es responsabilidad de la gerencia salvaguardar todos los activos de la empresa. Para descargar esta responsabilidad, así como para lograr sus expectativas, la gerencia debe establecer un adecuado sistema de control interno. "COBIT proporciona un conjunto detallado de controles y de técnicas de control para el entorno de administración/gestión de o sistemas de información. La selección del material más relevante en COBIT aplicable al alcance de la auditoria en particular se basa en la selección de procesos específicos de COBIT para Tecnologías de la Información, considerando además los criterios de información de COBIT.
Tal como se define en el Marco Referencial de COBIT, cada uno de los siguientes elementos está organizado de acuerdo con el proceso de administración/gestión de Tecnologías de la Información. COBIT está destinado para ser utilizado por la gerencia de la empresa y por la gerencia de Tecnologías de la Información, así como por los auditores de SI; por 10 tanto, su utilización permite la comprensión de los objetivos del negocio, la comunicación de las mejores prácticas y las recomendaciones que deben hacerse, basándose en una referencia de estándares comúnmente comprendida y bien respetada. COBIT incluye Objetivos de Control-Declaraciones genéricas tanto de alto nivel como detallado de un nivel mínimo de buen control.
Prácticas de Control-Motivaciones prácticas y asesoramiento sobre "cómo implementar" los objetivos de control.
Directrices de Auditoria-Asesoramiento para cada área de control sobre cómo obtener un entendimiento, evaluar cada control, evaluar el cumplimiento y sustanciar el riesgo de que los controles no se cumplan.
Directrices Gerenciales-Asesoramiento sobre cómo evaluar y mejorar el desempeño del proceso de Tecnologías de la Información, utilizando modelos de madurez, métricas y factores críticos de éxito. Proporcionan un marco de referencia administrativo orientado hacia una continua y proactiva autoevaluación del control, enfocada específicamente en:
a. Medición del desempeño
¿Qué tan adecuadamente está apoyando la función de Tecnologías de la Información los requisitos del negocio? Las directrices gerenciales se pueden utilizar para apoyar talleres de autoevaluación, y también se pueden utilizar para apoyar a la gerencia en la implementación de procedimientos de monitoreo y mejora continuos, como parte de un esquema de gobernabilidad de las Tecnologías de la Información.
b. Perfil del control de las Tecnologías de la Información
¿Cuáles procesos de las Tecnologías de la Información son importantes?
¿Cuáles son los factores críticos de éxito para el control?
c. Concientización
¿Cuáles son los riesgos de no lograr los objetivos?
d. Benchmarking
¿Qué hacen los demás? ¿Cómo pueden medirse y compararse los resultados?
Las directrices gerenciales proporcionan ejemplos de métricas que permiten la evaluación del desempeño de de las Tecnologías de la Información en términos del negocio. Los indicadores "claves de resultados identifican y miden los resultados de los procesos de las Tecnologías de la Información, y los indicadores claves de desempeño evalúan lo bien que están funcionando " los procesos, al medir los facilitadores del proceso. Los modelos y los atributos de madurez proporcionan evaluaciones de capacidad así corrió benchmarking, ayudando a que la gerencia pueda medir la capacidad de control y pueda identificar vacíos de control y determinar estrategias para su mejora.
ISACA ha definido este asesoramiento como el nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA. ISACA no hace declaración alguna de que el uso de este producto garantizará un resultado satisfactorio. La publicación no debe considerarse como incluyente de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estén dirigidos razonablemente para la obtención de los mismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba específicos, el profesional de control debe aplicar su buen juicio profesional a las circunstancias de control específicas presentadas por el entorno particular de sistemas o de la tecnología 'de información.
La Junta de Estándares de ISACA tiene el compromiso de realizar consultas extensas al preparar los Estándares, las Directrices y los Procedimientos de Auditoría de Sistemas de Informáticos. Antes de emitir cualquier documento, la Junta de Estándares emite borradores de los mismos y los expone a
nivel internacional para recibir comentarios del público en general. La Junta de Estándares también busca personas con pericia o interés especial en el tema bajo consideración para consultarlos, cuando esto sea necesario.
La Junta de Estándares tiene un programa de desarrollo permanente y agradece los comentarios de los miembros de ISACA y de otras partes interesadas para identificar temas emergentes que requieran estándares nuevos. Toda sugerencia se deberá enviar por correo electrónico a ([email protected]), por fax a (+1.847. 253.1443) o por correo (dirección al final del documento) a la Sede Internacional de ISACA, a la atención del director de investigación de estándares y relaciones académicas. Este material fue emitido el 15 de octubre de 2004.
Para la Auditoria de Sistemas Informáticos hay que tener en cuenta:
A. Planeación
a. Los Estándares de Auditoría de SI de ISACA contienen los principios básicos y procedimientos esenciales, identificados en letras en negrita, los cuales son obligatorios, junto con la documentación relacionada.
b. El propósito de esta Norma de Auditoria de SI es establecer normas y brindar asesoría sobre la planeación de una auditoría.
B. Estándar
a. El auditor de Sistemas Informáticos debe planear la cobertura de la auditoría de sistemas de información para cubrir los objetivos de la auditoria y cumplir con. las leyes aplicables y las normas profesionales de auditoría.
b. El auditor de SI debe desarrollar y documentar un enfoque de auditoría basado en riesgos.
c. El auditor de SI debe desarrollar y documentar un plan de auditoría que detalle la naturaleza y los objetivos de la auditoría, los plazos y alcance, así como los recursos requeridos.
d. El auditor de Sistemas Informáticos debe desarrollar un programa y/o plan de auditoría detallando la naturaleza, los plazos y el alcance de los procedimientos' requeridos para completar la auditoría.
C. Comentario
a. Para una función de auditoria interna, debe desarrollarse/actualizarse un plan, al menos una vez al año, para las actividades permanentes. El plan debe servir como marco de referencia para las actividades de auditoría y servir para abordar las responsabilidades establecidas por el estatuto de auditoría. El nuevo/actualizado plan debe ser aprobado por el comité de auditoría, en caso de que éste haya sido establecido.
b. Para el caso de una auditoría externa de Sistemas Información, normalmente debe prepararse un plan para cada una de las tareas, sean o no de auditoría. El plan debe documentar los objetivos de la auditoría.
c. El auditor de Sistemas Informáticos debe obtener un entendimiento de la actividad que está siendo auditada. El grado del conocimiento requerido debe ser determinado por la naturaleza de la organización, su entorno y riesgos, y por los objetivos de la auditoria.
d. El auditor de Sistemas Informáticos debe realizar una evaluación de riesgos para brindar una garaf1tía razonable de que todos los elementos materiales serán cubiertos adecuadamente durante la auditoría. En este momento, es posible establecer las estrategias de auditoría, los niveles de materialidad y los recursos necesarios.
e. El programa y/o plan de auditoría puede requerir ajustes durante el desarrollo de la auditoría para abordar las situaciones que surjan (nuevos riesgos, suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoria.
f. Debe consultarse la siguiente documentación para obtener más información sobre la preparación de un plan de auditoría.
D. Fecha operativa
a. Esta Norma de Auditoría de Sistemas Informáticos está en vigencia para todas las auditorias de sistemas de información que comiencen a partir del 1 de enero de 2005.
