CONCEPTO DE AUDITORIA EN INFORMATICA Y DIVERSOS TIPOS DE AUDITORIAS.

PLANEACION DE LA AUDITORIA EN INFORMATICA.

AUDITORIA DE LA FUNCION DE INFORMATICA.

EVALUACION DE LOS SISTEMAS.

MATERIAL PARA USOS DIDÁCTICOS.

Lic. Francisco Escobar

1 CONCEPTO DE AUDITORIA EN INFORMATICA Y DIVERSOS TIPOS DE

AUDITORIAS.

1.1 Concepto de Auditoria y Concepto de Informática

AUDITORIA es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado, que puede ser una persona, organización, sistema, proceso, proyecto o producto.

Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la «auditoría externa de estados financieros», que es una auditoría realizada por un profesional experto en contabilidad, de los libros y registros contables de una entidad, para opinar sobre la razonabilidad de la información contenida en ellos y sobre el cumplimiento de las normas contables.

Auditoría es un término que puede hacer referencia a tres cosas diferentes pero conectadas entre sí: puede referirse al trabajo que realiza un auditor, a la tarea de estudiar la economía de una empresa, o a la oficina donde se realizan estas tareas (donde trabaja el auditor). La actividad de auditar consiste en realizar un examen de los procesos y de la actividad económica de una organización para confirmar si se ajustan a lo fijado por las leyes o los buenos criterios.

INFORMATICA también llamada computación en| América,1 es una ciencia que estudia métodos, técnicas, procesos, con el fin de almacenar, procesar y transmitir información y datos en formato digital. La informática se ha desarrollado rápidamente a partir de la segunda mitad del siglo XX, con la aparición de tecnologías tales como el circuito integrado, el Internet, y el teléfono móvil. Se define como la rama de la tecnología que estudia el tratamiento automático de la información.

1.2 Diversos tipos de Auditoria y su relación con la informática

Es importante conocer que la auditoría de sistemas tiene algunos de sus fundamentos en otras auditorías y que toma diferentes herramientas de ellas para conformarse. A continuación se presenta una clasificación de diferentes tipos de auditorías, las cuales se encuentran clasificadas por diferentes factores. Por el origen de quien hace su aplicación: Externa Interna Por el área en donde se hacen Auditoría Financiera Auditoría Administrativa Auditoría Operacional Auditoría Gubernamental Auditoría Integral Auditoría de Sistemas Por área de especialidad Auditoría Fiscal Auditoría Laboral Auditoría Ambiental Auditoría Médica Auditoría a Inventario Auditoría a Caja Chica Auditoría en Sistemas Especializadas en Sistemas Computacionales Auditoría Informática Auditoría con la Computadora Auditoría sin la Computadora Auditoría a la Gestión Informática Auditoría alrededor de la computadora Auditoría en seguridad de sistemas Auditoría a sistemas de redes

El concepto de auditoria es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. La Informática hoy, está dentro de la gestión integral de la empresa, y por eso, las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, desde el momento en que es una herramienta adecuada de colaboración. En este sentido y debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

Los principales objetivos que constituyen a la auditoria Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Información. Claro está, que para la realización de una auditoria informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministro o un Hospital son tan empresas como una sociedad anónima o empresa pública. Todos utilizan la informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios económicos y de coste.

Los Sistemas Informáticos están sometidos al control correspondientes. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz herramienta de colaboración en el sistema de información.Por eso, al igual que los demás órganos de la los Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no se debe olvidar . La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos que pasamos a citar:

- Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.

- Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.

- Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, de ahí, la necesidad de la Auditoría de Sistemas.

1.2.1 Auditoria Interna y Externa.

Auditoría Interna

Es un elemento importante del control, independiente y objetiva está destinada para

incrementar valor y mejorar todas las operaciones de una organización, todo ello se

realiza a través de un análisis profesional, sistemático, objetivo y disciplinado en las

operaciones financieras y administrativas después de que han sido ejecutadas.

Su finalidad es ayudar a cumplir las metas, mejorando la eficiencia de los procesos de

gestión y sus riesgos, mediante las evaluaciones llegando al control y gobierno de las

mismas.

En ese entendido diremos que el objetivo de la auditoría interna, es comprobar el

cumplimiento de los planes y programas y evaluar los controles internos.

Los usuarios que necesitan de esta información de manera oportuna son la gerencia y sus

colaboradores

Los campos que cubre este tipo de auditoría, son todas las áreas de la organización de

forma selectiva, que estén de acuerdo a prioridades.

La auditoría interna para cumplir con su objetivo, responde a procedimientos específicos

como: previa identificación de áreas y planeación de trabajo, se aplican los programas de

auditoría interna a áreas específicas, ejecución de pruebas sobre transacciones e

informes de realización.

Esta auditoría es realizada por un el departamento de auditoría interna con un personal

vinculado a la empresa de tiempo completo, que deberá depender jerárquicamente de la

gerencia a nivel Staff.

Auditoría Externa

Es el examen realizado para expresar un criterio profesional sobre el funcionamiento y

eficiencia que tiene una organización en el desarrollo de una determinada gestión, este

trabajo lo elabora personal independiente, ya sea que trabaje en forma lucrativa o no, las

entidades dedicadas a estas evaluaciones son independientes sin importar su tamaño o

forma legal.

En ese entendido diremos que el objetivo de la auditoría externa, es emitir una opinión

sobre la razonabilidad de la información financiera, dando confianza a los usuarios de

dicha información

Los usuarios que hacen uso de la información que contiene el dictamen de auditoría

externa son, los propietarios y cualquier otro que tenga interés en el desarrollo de

actividades de la empresa como: Bancos, inversionistas, etc.

Los campos que cubre una auditoría externa son los estudios y evaluación de los

controles existentes. Variación de aspectos importantes del sistema de información

contable, evaluación de controles en el procesamiento electrónico de datos.

La auditoría externa para cumplir con su objetivo debe de seguir los siguientes

procedimientos específicos como: planeación, evaluación de controles y aplicación de

pruebas sustantivas y de cumplimiento. Mediante programas de trabajo y papeles de

trabajo como: Soportes y aplicación de muestreo.

1.2.2 Auditoria Contable y Financiera.

Auditoría Contable

La auditoría contable o auditoría de estados contables consiste en el examen de la información contenida en estos por parte de un auditor independiente al ente emisor. El propósito de este examen es determinar si los mismos fueron preparados de acuerdo a las normas contables vigentes en cada país o región. Originalmente surge de la necesidad de las empresas de validar su información económica, por parte de un servicio o empresa independiente. En las empresas grandes es habitual la existencia de un departamento de auditoría interna, pero también existen numerosas empresas dedicadas a la auditoría.

Una vez realizados los procedimientos que el auditor considere oportunos, debe emitir una opinión sobre si los Estados Contables reflejan razonablemente la realidad patrimonial y financiera del ente auditado. En cada caso emitirá una opinión favorable o desfavorable por parte de un Auditor.

Auditoría Financiera

Una auditoria financiera, o más exactamente, una auditoria de estados financieros, es la

revisión de los estados financieros de una empresa o cualquier otra persona jurídica

(incluyendo gobiernos) en base a una serie de normas previamente establecidas, dando

como resultado la publicación de una opinión independiente sobre si los estados

financieros son relevantes, precisa, completa y presentada con justicia. Las auditorias

financieras, se suelen llevar a cabo por las empresas, debido al especial conocimiento de

información financiera que necesitan. Para llevarse a cabo, y como hemos enunciado

previamente, existen una serie de normas o principios que regulan las auditorias que

emiten las autoridades de los países conforme a una principios enunciados

internacionales.

Además, la auditoria financiera es uno de las muchas funciones proporcionadas por las

firmas de contabilidad y auditoria, según el cual la empresa puede emitir una opinión

independiente sobre la información publicada. Muchas organizaciones por separado

emplean o contratan auditores internos, que no dan fe de los informes financieros, pero se

centran principalmente en los controles internos de la organización. Los auditores

externos pueden optar por depositar una confianza limitada en la labor de los auditores

internos y realizar de nuevo pruebas basadas en las normas anteriormente mencionadas

o confiar en la labor de los auditores internos.

1.2.3 Auditoria Administrativa y Operacional

Auditoria Operativa

Es el análisis a los procesos operativos de cualquier departamento, área, etc., con la

finalidad de verificar que estos sean adecuados, eficaces, como también cumplan con

las políticas y procedimientos establecidos para alcanzar sus objetivos,

proporcionando comentarios y recomendaciones que tiendan a mejorar el buen

funcionamiento de la entidad. Este tipo de auditoría se puede aplicar a cualquier ente

económico.

Auditoria Administrativa

Es elexamen completo o parcial de una organización, desde la planeación,

organización, ejecución y control administrativo, con el propósito de especificar el nivel

de desempeño y señalar debilidades que quieren atención por parte de las personas

que toman decisiones.

1.2.4 Auditoria con Informática

La auditoría informática es un proceso llevado a cabo por profesionales

especialmente capacitados para el efecto, y que consiste en recoger, agrupar y

evaluar evidencias para determinar si un sistema de información salvaguarda el activo

empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de

la organización, utiliza eficientemente los recursos, y cumple con las leyes y

regulaciones establecidas. Permiten detectar de forma sistemática el uso de los

recursos y los flujos de información dentro de una organización y determinar qué

información es crítica para el cumplimiento de su misión y objetivos, identificando

necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de

información eficientes.

1.7 Definición de Auditoria en Informática

La Auditoría en informática se refiere a la revisión práctica que se realiza sobre los

recursos informáticos con que cuenta una entidad con el fin de emitir un informe o

dictamen sobre la situación en que se desarrollan y se utilizan esos recursos.

Disciplina incluida en el campo de la auditoría que se refiere al análisis de las condiciones de una instalación informática por un auditor externo e independiente que realiza un dictamen sobre diferentes aspectos.

Conjunto de procedimientos y técnicas para evaluar y controlar, total o parcialmente, un sistema informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.

La Auditoría Informática es de reciente desarrollo y su aparición se debe a la creciente

automatización de la información en todos los niveles de las organizaciones.

1.8 Concepto de Auditoria en Informática

La Auditoría Informática ha sido erróneamente denominada Auditoría de Sistemas, por el hecho que vulgarmente se considera la palabra "sistemas" como sinónimo de "computador". Pero a lo largo de lo desarrollado hasta el momento, ha quedado claro que toda Auditoría es de sistemas, pues su objeto son los sistemas de información.

José Antonio Echenique conceptualiza así la Auditoría en Informática:

Auditoría en Informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones

Es el examen crítico y sistemático que hace un Contador Público para evaluar el sistema de procesamiento electrónico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo más selectivo y de mayor penetración sobre las actividades, procedimientos que involucran un gran número de transacciones.

El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar. Mediante una revisión

adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente. Recreando programas de auditoría por computador, el auditor cubre una actividad más grande de la utilidad mercantil tanto financiera como operacional; y puede utilizar recursos para analizar y evaluar campos de problemas de evaluación en las operaciones del cliente. Tal método incrementa su aptitud para remitir óptimos servicios a los mismos. La evaluación de un sistema informático, estriba primero en la revisión del mismo para obtener un conocimiento de como se dice que funciona, y ponerlo a prueba para acumular evidencias que demuestren como es el funcionamiento en la realidad.

Al evaluar la información automática, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programación, para lograr un mejor entendimiento del sistema y los controles que se diseñaron en él. En el sistema de procesamiento electrónico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatización del proceso, y algunos que sustituyen aquellos que en los métodos manuales se basaron en juicios humanos y la división de labores. Muchos de los controles en ambientes informáticos, pueden combinarse en los programas de computadoras con en el proceso manual.

Para ayudar en la revisión de los sistemas de procesamiento de datos y los controles internos, en ocasiones de suma utilidad los cuestionarios para obtener información respecto al sistema. Una vez obtenida la información, el auditor debe proceder a obtener evidencias de la existencia y efectividad de los procedimientos para él.

Una parte significativa del sistema de control interno está comprendida en el programa de la computadora.

Existen baches en la ruta de auditoría, haciendo difícil e poco práctico obtener resultados o verificar cálculos. Esta situación es posible tanto en aplicaciones sencillas, como en sistemas integrados complejos.

-El volumen de registros que quizás sea más económico y efectivo usar métodos de datos de prueba, en vez de métodos de prueba manual.

1.9 Campo de la Auditoria en Informática

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

Gobierno corporativo. Administración del Ciclo de vida de los sistemas. Servicios de Entrega y Soporte. Protección y Seguridad. Planes de continuidad y Recuperación de desastres.

1.10 Auditoria de Programas

La Auditoría de Software es un término general que se refiere a la investigación y al proceso de entrevistas que determina cómo se adquiere, distribuye y usa el software en la organización.

Conducir la auditoría es una de las partes más críticas de un Programa de Administración de Software, porque la auditoría ayuda a la organización a tomar decisiones que optimicen sus activos de software.

Un estudio de Print UK Limited, firma de Administración de auditoría, descubrió que una organización típica con más de 500 PCs muchas veces tiene un 20% más de computadoras de lo que cree. El Gartner Group también descubrió que más de un 90% de las organizaciones han incrementado su base de activos de TI sin haber hecho ningún proceso para su seguimiento.

Una de las razones por las que las organizaciones no maximizan su inversión en activos de software es que no hay información exacta disponible. La recopilación de toda la información necesaria es un proceso intenso, especialmente cuando se hace por primera vez. Otro problema es que la perspectiva de una auditoría puede ser vista con algunas reservas por algunos directivos de la organización, preocupados porque pueda interrumpir el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar sus programas o procedimientos favoritos.

Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar cuidadosamente la Auditoría de Software y comunicar su valor por adelantado.

Los siguientes factores favorecerán la colaboración entre la gerencia y el personal a través del proceso de planificación, el cual es una llave para el éxito de cualquier auditoría de software.

Establecer y acordar una serie clara de objetivos y comunicarla a todos los empleados asociados con la auditoría.

Focalizarse en los resultados que se requieran de la auditoría y discutir las áreas donde se crea pueda haber problemas.

Identificar las áreas simples pero muchas veces olvidadas que necesitan ser consideradas, tales como:

o Acceso a sitios y creación de mapas de esas locaciones o Conocer con anticipación los log-on scripts de seguridad o claves. o Horario de la auditoría (durante el día, noche o fin de semana).

Diseñar el plan y el cronograma de la auditoría, así como también las herramientas de auditoría que serán usadas.

Asignar recursos para cada elemento específico de la auditoría.

2 PLANEACION DE LA AUDITORIA EN INFORMATICA

2.1 Fases de la Auditoria

La práctica de la Auditoria se divide en tres fases:

1. Planeación y programación 2. Ejecución de la Auditoría 3. Informe y Plan de Acción

Planeación y programación

En esta fase se establecen las relaciones entre auditores y la entidad, es el conocimiento global de la empresa por parte del auditor en donde se determina el alcance y objetivos. Se hace un bosquejo de la situación de la entidad, acerca de su organización, sistema contable, controles internos, estrategias, metodologías y demás elementos que le permitan al auditor elaborar el programa de auditoria que se llevará a efecto.

Ejecución de la Auditoría

El objetivo de esta etapa es obtener y analizar toda la información del proceso que se audita, con la finalidad de obtener evidencia suficiente, competente y relevante, es decir, contar con todos los elementos que le aseguren al auditor el establecimiento de conclusiones fundadas en el informe acerca de las situaciones analizadas en terreno, que entre otras incluyan: el nivel efectivo de exposición al riesgo; las causas que lo originan; los efectos o impactos que se podrían ocasionar al materializarse un riesgo y, en base a estos análisis, generar y fundamentar las recomendaciones que debería acoger la Administración.

Informe y Plan de Acción

Es el resultado de la información, estudios, investigación y análisis efectuados por los auditores durante la realización de una auditoría, que de forma normalizada expresa por escrito su opinión sobre el área o actividad auditada en relación con los objetivos fijados, señalan las debilidades de control interno, si las ha habido, y formula recomendaciones pertinentes para eliminar las causas de tales deficiencias y establecer las medidas correctoras adecuadas.

2.1.1 Planeación de la Auditoría en Informática

Planificación Es el proceso consciente de selección y desarrollo del mejor curso de acción para lograr el objetivo .L a p l a n i f i c a c i ó n d e l a a u d i t o r í a : e s u n con jun to de p r oc ed im ien tos doc umentados y diseñados para alcanzar los objetivos de auditoría planificados. En la Planificación se identif ica los recursos, procedimientos y acciones que se necesitan para realizar el trabajo Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. 2.1.2 Revisión Preliminar

En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas), herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. La revisión preliminar significa la recolección de evidencias por medio de entrevistas con el personal de la instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar. El primero paso en el desarrollo de la auditoria, después de la planeación, es la revisión preliminar del área de informática. el objetivo de la revisión preliminar es el de obtener la información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoria.

La revisión preliminar elaborada por un audito interno difiere de la realizada por un auditor externo en tres aspectos. en primero lugar, el auditor interno normalmente requiere de menos remisiones y trabajos, especialmente en la parte gerencia y de organización, ya que él es parte de la organización y está familiarizado con la misma. en segundo, el auditor externo se enfoca más en las causas de las perdidas y en los controles necesarios para justificar su decisiones; el auditor interno tiene una amplia perspectiva, la cual incorpora en sus consideraciones sobre la eficiencia y eficacia con la que se trabaja.

2.1.3 Revisión Detallada

El auditor debe decidir si se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a la revisión con los usuarios (pruebas compensatorias), o a las pruebas sustantivas. en la fase de evaluación detallada es importante para el auditor identificar las causas de las pérdidas y los efectos causados por estas. al terminar la revisión detallada el auditor debe evaluar en que momento los controles establecidos reducen las perdidas esperadas a un nivel aceptable.

2.1.4 Examen y evaluación de la información.

Es el examen crítico y sistemático que hace un Contador Público para evaluar el sistema de procesamiento electrónico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo más selectivo y de mayor penetración sobre las actividades, procedimientos que involucran un gran número de transacciones.mayor penetración sobre las actividades, procedimientos que involucran un gran número de transacciones.

El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar. Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.

Para ayudar en la revisión de los sistemas de procesamiento de datos y los controles internos, en ocasiones de suma utilidad los cuestionarios para obtener información respecto al sistema. Una vez obtenida la información, el auditor debe proceder a obtener evidencias de la existencia y efectividad de los procedimientos para él

Una parte significativa del sistema de control interno está comprendida en el programa de la computadora. Existen baches en la ruta de auditoría, haciendo difícil e poco práctico obtener resultados o verificar cálculos. Esta situación es posible tanto en aplicaciones sencillas, como en sistemas integrados complejos

2.1.5 Pruebas de Consentimiento.

El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben de hacer, es decir, que los controles que se suponía que existían, existen realmente y funcionan bien. Las técnicas utilizadas, además de la recogida manual de evidencias ya descrita, contemplan el uso del ordenador para verificar los controles.

2.1.6 Pruebas de Controles del Usuario.

El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos controles del usuario puede resultar más costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia.

2.1.7 Pruebas Sustantivas

El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir perdidas materiales durante el proceso de la información.

se pueden identificar 8 diferentes pruebas sustantivas:

1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad.

2 prueba para asegurar la calidad de los datos.

3 pruebas para identificar la inconsistencia de datos.

4 prueba para comparar con los datos o contadores físicos.

5 confirmación de datos con fuentes externas

6 pruebas para confirmar la adecuada comunicación.

7 prueba para determinar falta de seguridad

8 pruebas para determinar problemas de legalidad.

3 AUDITORIA DELA FUNCION DE INFORMATICA

3.1 Recopilación de la información organizacional.

Una vez elaborada la planeación de la auditoría, la cual servirá como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditoría, se debe empezar la recolección de la información.

Se procederá a efectuar la revisión sistematizada del área a través dela observación y entrevistas de fondo en cuanto a: A) Estructura Orgánica B) Se deberá revisar la situación de los recursos humanos. C) Entrevistas con el personal de procesos electrónicos. D) Se deberá conocer la situación presupuestal y financiera. E) Se hará un levantamiento del censo de recursos humanos y análisis de situación. F) Por último, se deberá revisar el grado de cumplimiento de los documentos administrativos. 3.1.1 Principales planes que se requieren dentro de la organización de informática

Estudio de viabilidad Investiga los costos y beneficios de los usos a largo plazo de las computadoras, y recomienda cuando debe o no usarse. en caso de requerirse el uso de la computación, sirve para definir el tipo de hardware, software y el quipo periférico y de comunicación necesarios para lograr los objetivos de organización.

Planeación de cambios, modificaciones y actualización Especifica las metas y las actividades que se deban realizar para lograr los cambios y modificaciones, su independencia, tiempos, responsables y restricciones, cuando la organización toma la decisión de hacer cambios sustanciales de software, hardware , comunicación o equipos periféricos.

Plan maestro El plan maestro de una instalación informática define los objetivos a largo plazo y las metas necesarias para lograrlo. puede comprender cuatro subplanes:

1. el plan estratégico de la organización. 2. el plan estratégico de sistemas de información. 3. el plan de requerimientos. 4. el plan de aplicación es de sistemas.

Plan de proyectos Es el plan básico para desarrollar determinado sistema y para asegurarse que el proyecto es consistente con las metas y objetivos de la organización y con aquellos señalados en el plan maestro.

Plan de seguridad: seguros, contingencias y recuperación encaso de siniestro.

Se debe contar con una adecuada planeación sobre los seguros que se deben tener en caso de desastre, así mismo se debe tener un plan de recuperación para la instalación s encuentre en funcionamiento en el menor tiempo posible.

3.2 Evaluación de la estructura orgánica.

Organigrama con jerarquías Funciones Objetivos y políticas Análisis, descripción y evaluación de puestos Manual de procedimientos Manual de normas Objetivos de la dirección Políticas y normas de la dirección

3.2.1 Estructura Orgánica

Los auditores deben contar con:

Independencia funcional. Libertad de acción. Facultad para la toma de decisiones. Negociación con los niveles gerenciales. Involucramiento en proyectos de alto impacto en el negocio.

3.2.2 Funciones

Evaluación, verificación e implantación oportuna de los controles y procedimientos que se

requieren para el aseguramiento del buen uso y aprovechamiento de la función de

informática.

Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la

alta dirección del negocio.

Elaborar un plan de auditoría en informática en los plazos determinados por el

responsable de la función.

3.2.3 Objetivos

Asegurar que la función de auditoría cubra y proteja los mayores riesgos y exposiciones existentes en el medio informático en el negocio.

Asegurar que los recursos de informática (hardware, software, telecomunicaciones, servicios, personal, etc.) sean orientados al logro de los objetivos y las estrategias de las organizaciones.

Asegurar la formulación, elaboración y difusión formal de las políticas, controles y procedimientos inherentes a la auditoría en informática que garanticen el uso y aprovechamiento óptimo y eficiente de cada uno de los recursos de informática en el negocio.

Asegurar el cumplimiento formal de las políticas, controles y procedimientos definidos en cada proyecto de auditoría en informática mediante un seguimiento oportuno.

Agrupar funciones similares y relacionarlas entre sí. Agrupar funciones que sean compatibles. Localizar la actividad cerca de la función a la que sirva. Localizar la actividad cerca o dentro de la función mejor preparada para realizarla.

No asignar la misma función a dos personas o entidades diferentes. Separar las funciones de control y aquellas que serán objeto del mismo. Ningún puesto debe tener dos o más líneas de dependencia jerárquica .El tramo de control no debe ser exagerado, ni muy numerosos los niveles jerárquicos.

3.3 Evaluación de los Recursos Humanos

Patrones de evaluación y control en recursos humanos

La auditoria de recursos humanos puede definirse como el análisis de las políticas y

prácticas de personal de una empresa y la evaluación de su funcionamiento actual,

seguida de sugerencias para mejorar. El propósito principal de la auditoria de recursos

humanos es mostrar como está funcionado el programa, localizando prácticas y

condiciones que son perjudiciales par la empresa o que no están justificando su costo, o

prácticas y condiciones que deben incrementarse.

La auditoria es un sistema de revisión y control para informar a la administración sobre la

eficiencia y la eficacia del programa que lleva a cabo.

El sistema de administración de recursos humanos necesita patrones capaces de permitir

una continua evaluación y control sistemático de su funcionamiento.

Patrón en in criterio o un modelo que se establece previamente para permitir la comparación con los resultados o con los objetivos alcanzados. Por medio de la comparación con el patrón pueden evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione mejor.

Se utilizan varios patrones, esto pueden ser:

1) Patrones de cantidad: son los que se expresan en números o en cantidades, como número de empleados, porcentaje de rotación de empleados, numero de admisiones, índice de accidentes, etc.

2) Patrones de calidad: son los que se relacionan con aspectos no cuantificables, como métodos de selección de empleados, resultados de entrenamiento, funcionamiento de la evaluación del desempeño. Etc., 3) Patrones de tiempo: consisten en la rapidez con que se integra e personal recién admitido, la permanencia promedio del empleado en la empresa, el tiempo de procesamiento de las requisiciones de personal, etc. 4) Patrones de costo: son los costos, directos e indirectos, de la rotación de personal, de los accidentes en el trabajo, de los beneficios sociales, de las obligaciones sociales, de la relación costo-beneficio del entrenamiento. Los patrones permiten la evaluación y el control por medio de la comparación con: 1) Resultados finales: cuando la comparación entra el patrón y la variable se hace después de realizada la operación. La medición se realiza en términos de algo rápido y acabado, en el fin de la línea, lo cual presenta el inconveniente de mostrar los aciertos y las fallas de una operación ya terminada, una especie de partida de defunción de algo que ya sucedió. 2) Desempeño: cuando la comparación entre el patrón y la variable se hace simultáneamente con la operación, es decir, cuando la comparación acompaña ala ejecución de la operación. La medición es concomitante con el procesamiento de operación. A pesar de que se realiza en forma simultanea, lo que quiere decir es que es actual, la medición se realiza sobre una operación en proceso y no terminada aún. La comparación es la función de verificar el grado de concordancia entra una variable u su patrón. La ARH se encarga de planear, organizar y controlar las actividades relacionadas con la vida del personal en la empresa. Parte de la ejecución de estas actividades al realizan los organismos de recursos humanos, en tantos que alguna parte de ella la realizan diversos organismos de línea. De este modo las actividades de recursos humanos planeadas y organizadas con antelación muestran durante su ejecución y control algunas dificultades y distorsiones que requieren ser diagnosticadas y superadas, con el fin de evitar mayores problemas. La rapidez con que esto se haga depende de una revisión y auditoria permanentes, capaces de suministrar una adecuada retroalimentación para que los aspectos positivos puedan mejorarse y los negativos, corregirse y ajustarse.

La función de auditoría no es solo señalar las fallas y los problemas, sino también presentar sugerencias y soluciones. En este sentido, el papel de la auditoria de recursos humanos es fundamentalmente educativo.

3.4 Entrevistas con el Personal de Informática

Puede entrevistarse a un grupo de personas elegidas, sus opiniones deben ser debidamente fundamentadas. Las opiniones determinan:

1. Grado de cumplimiento de la estructura organizacional administrativa. 2. Grado de cumplimiento de las políticas y 3. los procesos administrativos 4. Satisfacción e insatisfacción 5. Capacitación 6. Observaciones generales

3.5 Situación Presupuestal y Financiera

Consiste en medir los resultados de la gestión presupuestaria y financiera y la posibilidad de aplicar las medidas correctivas que permitan alcanzar las metas establecidas.

3.6 Presupuestos

Costos del departamento, desglosado por áreas y controles. Presupuesto del departamento, desglosado por áreas. Características de los equipos, numero de ellos y contratos.

3.7 Recursos Financieros

Se evalúa la situación actual de los recursos financieros que la empresa u organización tiene disponible en el momento.

3.8 Recursos Materiales

La administración de recursos materiales consiste en:

Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo, y en la cantidad y calidad requerida, los bienes y servicios para cada unidad orgánica de la empresa de que se trate, con el propósito de que se ejecuten las tareas y de elevar la eficiencia en las operaciones.

4 EVALUACION DE LOS SISTEMAS

4.1 Evaluación de Sistemas.

La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos. Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.

La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo.

Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.

En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el estudio de factibilidad

Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.

Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.

Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.

4.2 Evaluación del Análisis.

En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el análisis.

Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:

La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el momento de la planeación.

Los requerimientos de los usuarios.

El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron.

La situación de una aplicación en dicho inventario puede ser alguna de las siguientes:

Planeada para ser desarrollada en el futuro.

En desarrollo.

En proceso, pero con modificaciones en desarrollo.

En proceso con problemas detectados.

En proceso sin problemas.

En proceso esporádicamente.

4.2.1 Análisis y Diseño Estructurado.

El mayor objetivo del análisis y diseño estructurado es determinar los requerimientos exactos, de tal forma que se diseñe el sistema correcto. El diseño estructurado emplea una serie de herramientas gráficas y técnicas que permiten el análisis de tal forma que sea posible conocer errores antes de que ocurran.

4.3 Evaluación del Diseño Lógico del Sistema.

En esta etapa se deberán analizar las especificaciones del sistema.

¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida de reportes?

Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la determinación de los procedimientos de operación y decisión.

Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está obteniendo.

Los puntos a evaluar son:

Entradas. Salidas. Procesos. Especificaciones de datos. Especificaciones de proceso. Métodos de acceso. Operaciones. Manipulación de datos (antes y después del proceso electrónico de datos). Proceso lógico necesario para producir informes. Identificación de archivos, tamaño de los campos y registros. Proceso en línea o lote y su justificación. Frecuencia y volúmenes de operación. Sistemas de seguridad. Sistemas de control. Responsables. Número de usuarios.

4.3.1 Programas de Desarrollo.

Los programas de desarrollo incluyen software que sólo puede ser usado por el personal que ha tenido entrenamiento y experiencia; este software incluye:

A) Lenguajes de programación: •Lenguaje de máquina. . •Ensambladores. •De tercera generación. . •De cuarta generación: • 4GLS. . • Query lenguajes. •Generadores de reportes. . • Lenguajes naturales. . • Generadores de aplicaciones. . B) CASE computer aided software engineering) C) Programación orientada a objetos. .

4.3.2 Base de Datos.

El banco de datos es el conjunto de datos que guardan entre sí una coherencia temática independiente del medio de almacenamiento. .

Se considera que una base de datos es la organización sistemática de archivos de datos para facilitar su acceso, recuperación y actualización, los cuales están relacionados unos con otros y son tratados como una entidad. Puede decirse que una base de datos es un banco de datos organizado como un tipo estructurado de datos. En las bases de datos se debe evaluar:

• La independencia de los datos. Muchos de los programas elaborados internamente eran dependientes de los archivos creados por ellos mismos, o sea que carecían de independencia.

• Redundancia de los datos. Se deben evitar las redundancias en las bases de datos .

• Si tuviésemos el nombre completo de los alumnos en cada una de las bases de datos en las que se acceso, la cantidad de datos redundantes sería muy alta..

• Consistencia de los datos. El problema de redundancia en los datos no sólo provoca que se ocupe demasiado espacio en los discos, sino que también puede causar el problema de inconsistencia en los datos, ya que se puede cambiar en un archivo pero omitirse en algún otro de los archivos. .

• Un sistema de bases de datos es un conjunto de programas que: .

• Almacena los datos en forma uniforme y de manera consistente, Organiza los datos en archivos en forma uniforme y consistente.

4.3.3 El Administrador de Base de Datos.

El desarrollo de las bases de datos ha creado la necesidad dentro de la organización de contar con un organismo encargado de administrar las bases de datos, cuyas funciones son las de planear, diseñar, organizar, operar, entrenar, así como dar soporte a los usuarios, seguridad y mantenimiento.

Problemas de los sistemas de administración de bases de datos

Cuando varios usuarios utilizan una base de datos, pueden existir problemas si no fue diseñada para usuarios múltiples. Uno de estos problemas surge cuando no existe un control sobre la actualización inmediata.

4.3.4 Comunicación.

El medio de comunicación es también un factor importante a evaluar, y éste dependerá de la velocidad y capacidad de transmisión, lo cual está directamente relacionado con el costo (cables trenzados, cable coaxial, fibra óptica, microondas, ondas de radio, infrarrojas).

4.3.5 Informes

Cuando se analiza un sistema de informática es muy común pensar exclusivamente en la parte relacionada con la informática, olvidándonos de que un sistema comprende desde el momento en que se genera un dato, así Como su semiento retroalimentación y salida.

4.3.6 Análisis de Informes

Una vez que se han estudiado los formatos de entrada debemos analizar los informes para posteriormente evaluarlos con la información proporcionada por la encuesta a los usuarios.

4.3.7 Ruido, Redundancia, Entropía.

En la auditoria de sistemas hay que estudiar la redundancia, el ruido y la entropía que tiene cada uno de los sistemas.

El ruido es todo aquello que interfiere en una adecuada comunicación; no solamente los sonidos sino todo aquello que impida la adecuada comunicación.

En el caso de un sistema computarizado, el error en una captura, tina pantalla de la terminal demasiado llena de información y poco entendible o un reporte inadecuado se deben considerar como ruido en el sistema, ya que impiden una buena comunicación de la información. En el caso de los sistemas se debe evaluar lo que se conoce como "sistema amigable".

Entropía

El diccionario la define como:

Cantidad de energía que por su degradación no puede aprovecharse.

La entraste en un sistema, por ejemplo de un motor, es el calor que genera, el cual es energía que por sus características no puede aprovecharse. En el caso del sistema llamado motor se utiliza esta entropía.

En la calefacción del automóvil o bien para calentar el aire y la gasolina que entra al motor (en el caso de motores turbo).

En un sistema computarizado debemos procurar reducir al máximo esta entraste, y una de las formas de reducirla es interconectar sistemas, de tal manera que esa cantidad de energía no usada en un sistema pueda ser utilizada en otro sistema.

Al capturar el catálogo de clientes para el sistema de cobranzas, con un poco de información adicional lo podemos utilizar en contabilidad.

BIBLIOGRAFIA

https://sites.google.com/site/aisadith/unidad-1

http://members.tripod.com/~Guillermo_Cuellar_M/informatica.html

http://www.microsoft.com/argentina/public/kit_base/licenciamiento/licsemgt/softaudt/intro.htm

http://definicion.de/auditoria/#ixzz3zd3ezHxv

https://prezi.com/pv1hyewqum7z/auditoria-administrativa-operacional-y-financiera-procedimientos-y-elementos-comunes/

https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

http://es.scribd.com/doc/22224605/2-Tipos-de-Auditoria#scribd

http://www.eumed.net/cursecon/libreria/rgl-genaud/1x.htm

http://sofia-loza.blogspot.com/2013/04/fases-de-auditoria-la-practica-de-la.html

http://es.scribd.com/doc/50062305/Planeacion-Auditoria-en-informatica#scribd

http://auditorsistematicoempresarial.blogspot.com/2015/03/evaluacion-de-la-estructura-organica.html

http://saralix.galeon.com/prac06.html#marca2

ANEXOS

ESTRUCTURA ORGANICA

FUNCIONES

OBJETIVOS

ANALISIS DE ORGANIZACIONES

ENTREVISTAS CON PERSONAL DE INFORMATICA