ESCUELA SUPERIOR POLITCNICA DE CHIMBORAZO FACULTAD DE ADMINISTRACIN DE EMPRESAS UNIDAD DE EDUCACIN A DISTANCIA

LICENCIATURA EN CONTABILIDAD Y AUDITORA

AUDITORA INFORMTICA

AUDITORA INFORMTICA

Contenido
INTRODUCCIN .............................................................................................................................. 3 UNIDAD I: AUDITORIA INFORMATICA ....................................................................................... 4 DEFINICIONES ............................................................................................................................ 4 UNIDAD II: EL CONTROL .............................................................................................................. 7 Concepto general de Control ...................................................................................................... 7 ELEMENTOS DEL SISTEMA DE CONTROL ......................................................................... 7 CONTROL INTERNO .................................................................................................................. 8 COMPONENTES DEL CONTROL INTERNO ......................................................................... 9 OBJETIVOS DEL CONTROL INTERNO EN SISTEMAS DEINFORMACION AUTOMATICA............................................................................................................................. 11 UBICACION TIPICA DE LA AUDITORIA DE SISTEMAS DEINFORMACION AUTOMATICA............................................................................................................................. 11 UNIDAD III: AUDITOR INFORMTICO ...................................................................................... 12 PRINCIPALES ACTIVIDADES DEL AUDITOR EN INFORMATICA.................................. 12 CONOCIMIENTOS REQUERIDOS POR EL AUDITOR DE SISTEMAS .......................... 13 FORMACION DEL AUDITOR INTERNO EN MATERIA DE INFORMATICA ................... 15 RESPONSABILIDAD DEL AUDITOR ..................................................................................... 17 HABILIDADES DEL AUDITOR DE SISTEMAS..................................................................... 18 EL AUDITOR DE SISTEMAS Y EL CONTROL..................................................................... 19 CAMPO DE LA AUDITORIA EN INFORMATICA ................................................................. 20 UNIDAD IV: PLAN DE TRABAJO PARA UNA AUDITORIA INFORMATICA ....................... 22

AUDITORA INFORMTICA

INTRODUCCIN

La proliferacin de la tecnologa de informacin ha incrementado la demanda de control de los sistemas de informacin, como el control sobre la privacidad de la informacin y su integridad, y sobre los cambios de los sistemas,. Adems hay una preocupacin sobre la cada de los sistemas y sobre la seguridad de la continuidad del procesamiento de la informacin, en caso de que los sistemas se caigan. Otra rea de preocupacin es la proliferacin de subsistemas incompatibles y el ineficiente uso de los recursos de sistemas. La informtica ha sido un rea que ha cambiado drsticamente en los ltimos aos. En una generacin, la tecnologa ha cambiado tanto que lo que sorprendi hace algunos aos, hoy vemos como algo muy familiar. No basta conocer una parte o fase del sistema, como pueden ser los equipos de cmputo, que tan slo vienen a ser una herramienta dentro de un sistema total de informacin. Es conveniente precisar y aclarar que la funcin de la auditora en informtica se ubica dentro del contexto de la organizacin, dependiendo de su tamao y caractersticas. La profundidad con la que se realice, depender tambin de las caractersticas y del nmero de equipos de cmputo con que se cuente.

AUDITORA INFORMTICA

UNIDAD I: AUDITORIA INFORMTICA

Los auditores dependen de la existencia y conservacin de un trayecto de la auditora; la naturaleza de la cual ha cambiado con el advenimiento del computador para procesar datos financieros. Para conservar su efectividad, los auditores han desarrollado tcnicas de auditora a travs de sistemas computarizados (Software).Estos sistemas, ayudan a determinar si los programas y procedimientos aprobados se usan y observan los principios y normas legales, y si los resultados son consistentes con la informacin fuente reflejada en los asientos contables. Para sustentar sus opiniones y recomendaciones los contadores tienen que planear cuidadosamente su trabajo, organizar y documentar la evidencia de sus hallazgos.

DEFINICIONES

Auditoria Es el examen crtico, sistemtico y detallado del sistema de informacin de una empresa o parte de ella, realizado con independencia y utilizando tcnicas determinadas, con el propsito de emitir una opinin profesional sobre la misma, para la toma de decisiones. Auditora Financiera Tiene como objetivo la revisin o examen de los estados financieros por parte de un Auditor distinto del que prepar la informacin contable y del usuario, con la finalidad de establecer su razonabilidad, dando a conocer los resultados de su examen, a fin de aumentar la utilidad que la informacin posee. El informe o dictamen que presente el 4

AUDITORA INFORMTICA

Auditor independiente otorga fe pblica a la confiabilidad de los estados financieros y por consiguiente, de la credibilidad de la gerencia que los prepar. Auditora de Gestin, Administrativa u Operacional Es el examen crtico, sistemtico y detallado de las reas y controles operacionales de un ente, realizado con independencia y utilizando tcnicas especficas, con el propsito de emitir un informe profesional sobre la eficacia, eficiencia y economicidad en el manejo de los recursos para la toma de decisiones que permitan la mejora de la productividad del mismo. La Auditoria operacional consiste en el examen Auditoria Integral Es el examen crtico, sistemtico y detallado de los sistemas de informacin financiera, de gestin y legal de una organizacin, realizado con independencia y utilizando tcnicas especficas con el propsito de emitir un informe profesional sobre la razonabilidad de la informacin financiera, la eficacia, eficiencia y economicidad en el manejo de los recursos y el apego de las operaciones econmicas a las normas contables, administrativas y legales que le son aplicables, para la toma de decisiones que permitan la mejora de la productividad de la organizacin. Auditoria de Sistemas de Informacin Automtica (Auditora en Informtica) Es la revisin y evaluacin de los controles, sistemas y procedimientos de informtica; de los equipos de computo, su utilizacin, eficiencia y seguridad, de la organizacin que participa en el procesamiento de la informacin, del recurso humano a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones, y se logre de manera integrada una organizacin gil, dinmica, controlada y segura. Es el examen crtico y sistemtico que hace un Auditor Profesional, para evaluar el sistema de Procesamiento Electrnico de Datos (PED), y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo ms selectivo y de mayor

AUDITORA INFORMTICA

penetracin sobre las actividades, procedimientos que involucran un gran nmero de transacciones.1 La auditoria informtica comprende: Evaluacin de los centros de cmputo Evaluacin de las aplicaciones Evaluacin de los procedimientos especficos Evaluacin de los sistemas de informacin, entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.

Auditoria de Calidad Es realizar las auditorias anteriormente descritas, con un convencimiento total de que las actividades profesionales del auditor son siempre de calidad. Y qu es calidad en auditora? Es saber llegar a la gente para que sea nuestro colaborador y no nuestro enemigo. Es decir las cosas en el justo momento y no cuando ya es tarde. Es tener fundamento y evidencia suficiente antes de pronunciarse. Es ser honesto consigo mismo para poder serlo con los dems. Es evaluar las obras y no las personas. Es ser justo y equilibrado. Es realizar las pruebas sobre muestras tcnicamente seleccionadas. Es utilizar el computador como herramienta gil. Es aplicar el conocimiento y mantener una actualizacin del mismo.

Auditora de Procesos Revisa y evala la eficacia y eficiencia del sistema de control de un proceso y asesora a la gerencia de manera independiente en el establecimiento y mejoramiento del sistema de control para que el proceso alcance los resultados esperados. La gerencia recibe
1

RIOS, Wellington. Auditoria Informtica. Corporacin EDI ABACO, Quito Ecuador, 2000

AUDITORA INFORMTICA

informacin sobre dnde hay debilidades de control, sus causas y efectos en los costos del proceso o en producto.2 La tendencia actual es el control, entonces empezaremos hablar de control informtico o de sistemas informticos, control financiero, control operacional, control interno, control externo, control ambiental, control de gestin, control fiscal, control global, control internacional y control de calidad. El Auditor debe dar un vuelco total para prestar asesoras dinmicas que faciliten a la administracin la implementacin del control y no la bsqueda de culpables del fraude o de la ineficiencia o el listado de errores o fallas.

UNIDAD II: EL CONTROL

Concepto general de Control Todo sistema que se encuentre operando requiere que su funcionamiento sea regulado para de esta manera cumplir con los objetivos que el mismo se propone. La regulacin consiste en medir el desempeo del sistema para efectuar las correcciones necesarias que permitan el logro de las metas y objetivos propuestos. Al conjunto de acciones, procedimientos, normas o tcnicas que aseguran la regulacin de un sistema es lo que se denomina Control.3 Para que exista controles necesario que se establezcan primero normas o estndares que indiquen la ruta ideal a seguir por el sistema para cumplir con los objetivos, luego se debe medir el desempeo del sistema y compararlo con los estndares anteriormente determinados y por ltimo se debe ejecutar las acciones necesarias para corregir las desviaciones de la operacin del sistema con relacin a la ruta ideal para el cumplimiento de los fines.

ELEMENTOS DEL SISTEMA DE CONTROL

IBID, 1 AGUIRRE, Juan. Auditoria: Control Interno, reas especificas de implantacin, procedimientos y control. Didctica multimedia.Madrid Espaa. 1999
3

AUDITORA INFORMTICA

La clasificacin ms aceptada es la Johansen Bertoglio4, la cual se ha adicionado con terminologa diferente y aumentando un elemento ms as: Un conjunto de normas o estndares que determinan los objetivos a lograr por el sistema o Variables a controlar, Un mecanismo que suministre energa o informacin al sistema o Fuente de Energa, Un mecanismo de medicin del desempeo del sistema o Mecanismo Sensor, Un mecanismo que compare lo medido con los estndares establecidos o Mecanismo Comparador, Un mecanismo que comunique lo medido con relacin a los estndares o Mecanismo Retroalimentado, Un mecanismo que realice la accin de correccin de las desviaciones con respecto a los estndares o Mecanismo Efecto o Motor.

CONTROL INTERNO

Durante el ao de 1989 se realiz un estudio tendiente a establecer un nuevo concepto de Control Interno, el cual fue dado a conocer en el mes de octubre de1992, en el seno del XIV Congreso Mundial de Contadores celebrado en Washington. Este estudio titulado Control INTERNO Un Marco de Trabajo Integrado (INTERNAL CONTROL INTEGRATED FRAMEWORK emitido por COMMITEE OF SPONNSORING ORGANIZATIONS OF THE TREADWAYCOMMISSION COSO), fue adoptado plenamente por el Consejo tcnico de Contadura Pblica de Colombia, el cual realiz un detallado anlisis del mismo siendo plasmado en el pronunciamiento No. 7 establecindose la siguiente definicin del nuevo concepto de control interno: Es un proceso, ejercido por la junta directiva o consejo de administracin, por la gerencia y por el resto del personal de una entidad, diseado especficamente para proporcionarles seguridad razonable de conseguir en la empresa las tres siguientes categoras de objetivos: a) Efectividad y eficiencia en las operaciones (control de gestin)
4

JOHANSEN BERTOGLIO, Oscar. Introduccin a la Teora General de Sistemas. Limusa; Mxico 2000.

AUDITORA INFORMTICA

b) Suficiencia y confiabilidad de informacin financiera (control financiero auditoria integral) c) Cumplimiento de las leyes y regulaciones aplicables (control de legalidad)5

COMPONENTES DEL CONTROL INTERNO

De acuerdo al pronunciamiento No. 7, derivado como se dijo del COSO, el nuevo concepto de Control Interno est constituido por los siguientes componentes interrelacionados y derivados de la forma de gestionar la organizacin:

Consejo Tcnico de Contadura Pblica. Pronunciamiento sobre Revisora Fiscal No. 7, Roesga, Bogot, 1994

AUDITORA INFORMTICA

10

AUDITORA INFORMTICA

OBJETIVOS DEL CONTROL INTERNO EN SISTEMAS DEINFORMACION AUTOMATICA

Los objetivos generales del control interno en sistemas informticos son: Integracin controlada de informacin a travs de las bases de datos. Transferencia electrnica de informacin encriptada. Auditabilidad de las transacciones Programas amigables controlables (de fcil manejo para el usuario) Compatibilidad del control interno con los objetivos de la administracin Cambio continuo en la modalidad del control de acuerdo con las nuevas tecnologas. Costos del control frente a la productividad, efectividad y funcionalidad del mismo(relacin costo/beneficio) Segregacin de funciones de los procesos de proyectos, produccin y soporte tcnico; y dentro de cada uno de ellos a nivel de etapas o reas de actividad.

UBICACION TIPICA DE LA AUDITORIA DE SISTEMAS DEINFORMACION AUTOMATICA

La mejor ubicacin de la funcin de auditora en informtica en una empresa es la divisin de Auditora Interna, porque se trabaja de manera ms independiente. Algunos opinan que si depende de la Gerencia de Sistemas el flujo de informacin y las comunicaciones van a ser mejores, pero se pierde en cierto grado, esa independencia de criterio que es fundamental para el auditor. Se comenta adems que es mejor depender directamente de la Gerencia General porque permite adoptar acciones correctivas ms rpidas y evitar distorsiones en el contenido de las recomendaciones. De todas maneras el auditor de sistemas informticos debe trabajar con el gerente de sistemas informticos, con el gerente administrativo y con el auditor interno general, para conocer las reas sobre las cuales va a desarrollar sus funciones y hacer que sus sugerencias lleguen a feliz trmino en un perodo de tiempo ms corto. Adems es bastante til y adecuado que la gerencia de sistemas informticos forme parte de todo proceso administrativo donde se coordinan las actividades, los esfuerzos, se distribuyen las responsabilidades, para que se vean los 11

AUDITORA INFORMTICA

resultados de manera integral en todo el contexto organizacional empresarial de acuerdo con los objetivos y polticas planeadas por la gerencia general. Finalmente la funcin de auditora en informtica tambin puede ser desarrollada en las empresas a nivel de un trabajo de consultora.

UNIDAD III: AUDITOR INFORMTICO

PRINCIPALES ACTIVIDADES DEL AUDITOR EN INFORMATICA

1. Intervencin en el diseo de sistemas de informacin automtica.- La participacin del auditor en los diseos de sistemas informticos se refiere a asesorar sobre la implementacin de controles para prevenir la ocurrencia de riesgos. Cuando se disean los nuevos sistemas informticos es el mejor momento para establecer los controles de dichos sistemas informticos. El papel del auditor debe ser de asesor y no de critico, de colaborador y no de ordenador, adems se deben crear las pistas de auditora para facilitar el ejercicio o la prctica de la misma posteriormente. 2. Auditoria de Aplicaciones.- La participacin en las auditoras de las aplicaciones se refiere a evaluar los controles de las aplicaciones en funcionamiento. Cuando la Auditora Interna de Sistemas no est establecida en la empresa contratan a una persona natural o jurdica para que a travs de un proceso metodolgico realice su trabajo, determine los puntos crticos, las reas reales de riesgo, lleve a cabo las pruebas de cumplimiento y sustantivas del caso y de sus sugerencias y recomendaciones. 3. Revisin de la integridad de la informacin.- Evaluar que la informacin sea completa, exacta, autorizada, consistente y relevante (importante). Es preciso verificar si los procedimientos de control interno y las pistas administrativas, de procesos y de auditora aseguran el control administrativo y la evidencia de auditora de que la informacin cumple con los requisitos anotados. 4. Revisin del mantenimiento a sistemas y programas.- Los sistemas informticos necesitan mantenerse, la informacin almacenada en discos duros durante el proceso necesita bajarse a cintas o cartuchos, las copias de seguridad deben efectuarse oportunamente, no debe permitirse subir informacin de terminales al disco duro del 12

AUDITORA INFORMTICA

servidor, en general estos son algunos de los aspectos del mantenimiento al sistema. Particularmente cuando se realiza un cambio a un programa, se constituye en un momento bastante vulnerable para cometer fraude, el conocimiento del lenguaje de programacin es bastante til, adems que el conteo de las instrucciones y la verificacin del listado de compilacin anterior y el nuevo. El procedimiento de controlar la ejecucin de un cambio a un programa debe incluir autorizacin, documentacin, fechas, justificacin, copias y pruebas. 5. Revisin de procedimientos generales de operacin.- Es muy tpico del auditor de sistemas informticos externo, verificar todos los procedimientos de produccin de todas las aplicaciones, evaluando los puntos de control de cada procedimiento (evitar posibles riesgos). 6. Revisin del sistema operacional.- Para lograrlo hay que tener un conocimiento del funcionamiento del sistema operacional desde su configuracin inicial, sus usos, sus procesos, sus seguridades y los usuarios. Este campo forma parte de la auditoria informtica especializada. 7. Revisin administrativa.- Su objetivo es evaluar la gestin del administrador no el administrador, es bastante difcil lograrlo, pero es importante involucrar los conceptos de eficiencia, eficacia y costos vs beneficios. CONOCIMIENTOS REQUERIDOS POR EL AUDITOR DE SISTEMAS

ADMINISTRACION.- Conocer la factibilidad administrativa para la implementacin de sus soluciones propuestas y de sus recomendaciones. AUDITORIA.- Teora general del control, normas internacionales de auditora, pronunciamientos del Consejo Tcnico de la Contadura, evidencias magnticas, tcnicas de auditora con ayuda del computador, ejecucin de pruebas en el computador. CONTABILIDAD.- Adquirir un criterio sistemtico sobre el diseo y manejo de los sistemas de informacin contable de registro y gerencial. Normas Internacionales de Contabilidad (NIC), estatuto orgnico de la contabilidad.

13

AUDITORA INFORMTICA

PROCESAMIENTO ELECTONICO DE DATOS (PED).- Modalidades de procesamiento en redes, en ambientes de bases de datos, utilizacin de sistemas operacionales, transferencias de archivos. ESTADISTICA.- Mtodos de muestreo estadsticos: a) Muestreo por proporcin: nos permite estimar el porcentaje de elementos del universo que posee una determinada caracterstica o atributo, se utiliza para las pruebas de cumplimiento. b) Muestreo de valor: busca estimar el valor de una poblacin, se utiliza en las pruebas sustantivas. c) Muestreo de estimacin de atributos: pretende medir la proporcin real de elementos del universo que tiene una caracterstica dada. Este mtodo se puede utilizar de dos maneras, as: Para estimar el porcentaje de error en una actividad Previo al muestreo de estimacin de valor para estimar un aspecto del universo. d) Muestreo de aceptacin: el mtodo consiste en tomar una muestra de lotes, y contar el nmero de elementos errneos de la muestra. Si el nmero de estas unidades excede una cifra dada, se rechaza el lote, si no excede se acepta. Es til para el auditor interno que desea establecer un control continuo sobre la calidad del trabajo administrativo. e) Muestreo de descubrimiento: aqu se selecciona un tamao determinado demuestra y sin ninguno de los elementos de la muestra contiene un error, se supone que la verdadera proporcin de errores es menor que la proporcin del mnimo de error inaceptable con un nivel de confianza determinado. Se llama tambin muestreo exploratorio y es adecuado para que el auditor interno lo utilice en comprobaciones finales y el auditor externo como instrumento de investigacin preliminar. f) Muestreo de estimacin de valores: se le conoce tambin con el nombre de muestreo de variables, su uso principal es en la prueba sustantiva, para la aplicacin es necesario conocer el tamao del universo y el grado de homogeneidad de la variable que se investiga, lo que implica el valor de la desviacin estndar. g) Muestreo de unidad monetaria: como en todos los sistemas de muestreo estadstico, el enfoque bsico consiste en calcular un tamao de muestra, seleccionar aleatoriamente la muestra y estimar el valor del error en la poblacin a 14

AUDITORA INFORMTICA

partir de la muestra. Sin embargo no es necesario conocer el nmero de unidades en el universo, ni la desviacin estndar del mismo. CONOCIMIENTO DE LA EMPRESA.- El auditor debe conocer ntegramente a la empresa, principalmente los siguientes aspectos: Polticas y planes estratgicos administrativos. Estructura organizacional, de capital, corporativa, etc. Administracin de sistemas de informacin. Naturaleza del negocio Manejo de inventarios

CONOCIMIENTO DEL ENTORNO ECONMICO DONDE SE MUEVE LAEMPRESA.- Es necesario conocer: Polticas del gobierno Posicin de la actividad econmica a la cual pertenece Riesgo pas.

CALIDAD.- El auditor debe conocer: Control de calidad aplicado al entorno contable (la calidad cuesta) Costos de calidad para cuantificar su impacto en los negocios (como competir) Auditoria de calidad (procesos de produccin)

FORMACION DEL AUDITOR INTERNO EN MATERIA DE INFORMATICA

Si bien el auditor no debe ser un tcnico en computacin, en la actualidad requiere tener conocimiento general sobre ciertos aspectos de esta tcnica moderna, debido a que la mayor parte de las aplicaciones de una empresa son automatizadas, y en segundo lugar se hace cada vez mas imperiosa la necesidad de evaluar los procedimientos computacionales a fin de establecer su eficiencia y efectividad y dar recomendaciones practicas a la administracin. Con este antecedente considero que los aspectos que debe conocer son: 15

AUDITORA INFORMTICA

Estructura y funcionamiento del hardware del sistema: unidades de entrada, unidades de salida, procesador, memoria real, posibilidad de ampliacin, etc. Conocimiento acerca del software: clases, usos, aplicaciones. Lenguajes de programacin, sin exigir que el profesional auditor sea experto programador, debe tener conocimientos generales sobre los lenguajes utilizados en su empresa, a fin de que pueda comprender los resultados obtenidos.

Formas de procesamiento de datos, en batch, en lnea, interactivos, en tiempo real, y en tiempo compartido (multiusuario). Archivos magnticos, medios de almacenamiento, organizacin, formas de acceso. Base de datos: caractersticas, clases, administracin, ventajas, utilizacin, software para su manejo. Redes de computadores, hardware y software para su funcionamiento. Teora de anlisis y desarrollo de sistemas de informacin administrativa (SIA), sobre todo dominio de la metodologa utilizada en las instituciones y uso de software para documentacin (CASE).

Con esta formacin el auditor puede incursionar en el rea de informtica en forma progresiva, siguiendo tres fases en este proceso: 1) Realizar auditoras computarizadas: mediante la utilizacin de ciertos paquetes o programas utilitarios, como hojas electrnicas, procesadores de palabras, bases de datos, graficadores, software de auditora, etc. Para facilitar la labor del auditor en auditoras financieras, exmenes especiales e inclusive en auditorias operacionales. 2) Participar en el diseo de sistema, sin descuidar la independencia que debe guardar con relacin a la responsabilidad de implantacin de controles, es decir limitndose a: a) Conocer sobre las diferentes fases del desarrollo de los sistemas, lo que facilitara su evaluacin posterior, si consideramos sobre todo, que existen marcadas diferencias entre un sistema y otro. b) Asesorar en materia de control interno, en lo cual los analistas tienen sus limitaciones, y c) Lograr que se incluyan rutinas, campos, registros, archivos, programas, etc., que sern utilizados posteriormente en la funcin de control. 16

AUDITORA INFORMTICA

3) Finalmente, con esta formacin estar en capacidad de realizar auditoras al rea de PED, siguiendo los procedimientos y metodologa, motivos de este estudio.

RESPONSABILIDAD DEL AUDITOR

El estndar de auditora (SAS) No. 3 Revisin preliminar de los controles contables en el sistema informtico por parte del auditor, establece que es responsabilidad del auditor determinar si sus cliente utiliza el PED, para el proceso de su informacin contable; si es as, deber considerar los efectos de este en el control interno y estudiar las aplicaciones del sistema para establecer la funcin individual de los mismos. El inters del auditor en el control interno permanece igual ya sea en un ambiente manual o informatizado. Sin embargo en sistemas informatizados se requieren controles adicionales debido a la exposicin de estos riesgos o debilidades, lo que hace necesario que el auditor entienda completamente la estructura del sistema de control a establecerse cuando el PED es clave en el sistema de informacin del cliente. El inters del auditor en conocer los tipos de control en el entorno PED y en el sistema general de control interno, consiste en determinar los controles en que puede confiar y el alcance de estos a fin de establecer o poner un lmite a la auditoria y con especial referencia al monto de las pruebas necesarias. Como resultado de lo que el pronunciamiento No. 3 se refiere a la fase preliminar de la revisin del auditor, este deber obtener: Un conocimiento del flujo de transacciones tanto de la parte manual como de la parte automtica del sistema contable. Conocimiento del alcance del uso de aplicaciones contable automticas. Conocimiento de la estructura fundamental del control contable.

A partir de ello, el auditor podr determinar los controles (automticos y no automticos) en que puede confiar en el proceso de auditora para poder evaluarlos y probarlos. Adems de las responsabilidades bsicas descritas en el SAS No. 3, el auditor tienen un gran inters en el entorno PED del cliente, ya que las empresas hacen cada vez ms usos de los computadores hacindose dicho recurso ms importante tanto en el mbito financiero como operacional. En este aspecto, el auditor deber interesarse en el impacto 17

AUDITORA INFORMTICA

de estos en los estados financieros desde el punto de vista inversin y de las consecuencias que trae la interrupcin del servicio en las operaciones corrientes de la empresa.

HABILIDADES DEL AUDITOR DE SISTEMAS

PRESPECTIVA ADMINISTRATIVA Tener un punto de vista macro de las actividades. ANALITICO Capacidad para hacer anlisis de situaciones, riesgos y controles. RELACIONES INTERPERSONALES Mantener buenas relaciones interpersonales a todo nivel. FACIL COMUNICACION Capaz de vender ideas sobre controles y alternativas de solucin, adaptable fcilmente al trabajo en grupo. CREATIVO Generar nuevas ideas (agente de cambio) CONSTRUCTIVO Evaluar las cosas en su justa dimensin y con objetividad (critico constructivo) POSITIVO Asesor, solucionador de problemas. TACTO Saber decir las cosas. (La situacin tal como lo encontramos) JUICIO

18

AUDITORA INFORMTICA

Tener criterios propios. INQUISIDOR Emprendedor agresivo en la bsqueda de informacin PERCEPCION Tener olfato, experiencia. TRABAJO EN EQUIPO Desarrollo de habilidades para integrarse rpidamente a un grupo sin conflictos. Perseguir el mismo objetivo. HONESTIDAD Y ETICA PROFESIONAL Ejecutar su trabajo de acuerdo con los principios morales adecuados y el cdigode tica profesional. EL AUDITOR DE SISTEMAS Y EL CONTROL

La mayor responsabilidad por el control no es del auditor. La mayor responsabilidad es de la administracin. El control previene, detecta y corrige el riesgo. El computador cambia la naturaleza del control. Los problemas y/o prdidas crea la conciencia del control. En procesamiento se requieren controles mejorados. La auditora es un control administrativo esencial. Los auditores deben participar en el desarrollo de sistemas informticos. Los auditores deben verificar los controles antes y despus de la instalacin de un sistema.

1. Controles Preventivos.- Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo. Permiten cierto margen de violaciones. Ejemplo: instructivo para llenar un formulario, rotulo de No Fumar, sistemas de claves de acceso (password) 19

AUDITORA INFORMTICA

R=CXF Riesgo = Causa x Frecuencia 2. Controles Detectivos.- Son aquellos que no evitan que ocurran las causas del riesgo, sino que los detecta luego de ocurridos, son los ms importantes para el auditor. En cierta forma sirven para evaluar los controles preventivos. Ejemplo: Archivos y procesos para disponer de informacin que sirva como pistas de auditoria, procedimientos de validacin de la informacin ingresada.

3. Controles Correctivos.- Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin e controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en s una actividad altamente propensa a errores.

CAMPO DE LA AUDITORIA EN INFORMATICA

El campo de accin de la auditora en informtica es: La evaluacin administrativa del rea de informtica. La evaluacin de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la informacin. La evaluacin de la eficiencia con la que se trabaja. La evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo (software, hardware, redes, bases de datos, comunicaciones). Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas y de la informacin.

Para lograr los puntos antes sealados se necesita: a) Evaluacin administrativa del departamento de informtica, esto comprende la evaluacin de: Los objetivos del departamento, direccin o gerencia.

20

AUDITORA INFORMTICA

Metas, planes, polticas y procedimientos de procesos electrnicos estndares. Organizacin del rea y su estructura orgnica. Funciones y niveles de autoridad y responsabilidad del rea de procesos electrnicos. Integracin de los recursos materiales y tcnicos. Direccin Costos y controles presupustales Controles administrativos del rea de procesos electrnicos

b) Evaluacin de los sistemas y procedimientos y de la eficiencia y eficacia que se tienen en el uso de la informacin, lo cual comprende: Evaluacin del anlisis de los sistemas y sus diferentes etapas. Evaluacin del diseo lgico del sistema Evaluacin del desarrollo fsico del sistema Facilidades para la elaboracin de los sistemas. Control de proyectos Control de sistemas y programacin Instructivos y documentacin Formas de implantacin Seguridad fsica y lgica de los sistemas. Confidencialidad de los sistemas Controles de mantenimiento y formas de respaldo de los sistemas Utilizacin de los sistemas Prevencin de factores que puedan causar contingencias; seguros y recuperacin en caso de desastre Productividad Derechos de autor y secretos industriales. c) Seguridad Seguridad fsica y lgica Confidencialidad Respaldos 21

AUDITORA INFORMTICA

Seguridad del personal Seguros Seguridad en la utilizacin de los equipos Plan de contingencias y procedimientos de respaldo para casos de desastre. Restauracin de equipo y de sistema Los principales objetivos de la auditora en informtica son los siguientes: Salvaguardar los activos. Se refiere a la proteccin del hardware, software y recursos humanos. Integridad de datos. Los datos deben mantener consistencia y no duplicarse Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la organizacin Eficiencia de sistemas. Que se cumplan los objetivos con los menores recursos. Seguridad y confidencialidad.

Para que sea eficiente la auditora en informtica, sta se debe realizar tambin durante el proceso de diseo de sistema. Los diseadores de sistemas tienen la difcil tarea de asegurarse que interpretan las necesidades de los usuarios, que disean los controles requeridos por los auditores y que aceptan y entienden los diseos propuestos.

UNIDAD IV: PLAN DE TRABAJO PARA UNA AUDITORIA INFORMATICA

I. ANTECEDENTES. (Anotar los antecedentes especficos del proyecto de auditora) I. OBJETIVOS DE LA AUDITORIA EN INFORMATICA. (Anotar el objetivo especfico de la auditoria) II. ALCANCES DEL PROYECTO. El alcance del proyecto comprende: 22

AUDITORA INFORMTICA

1. Evaluacin de la direccin de informtica en lo que corresponde a: Su organizacin. Funciones. Objetivos. Estructura Recursos Humanos Normas y polticas Capacitacin Planes de trabajo Controles Estndares Condiciones de trabajo Situacin presupuestal y financiera.

2. Evaluacin de los sistemas. Evaluacin de los diferentes sistemas en operacin (flujo, procedimientos, documentacin, organizacin de archivos, estndares de programacin, controles, utilizacin de los sistemas, opiniones de los usuarios). Evaluacin de avances de los sistemas en desarrollo y congruencia con el diseo general, control de proyectos, modularidad de los sistemas. Seguridad lgica de los sistemas, confidencialidad y respaldos. Derechos de autor y secretos industriales, de los sistemas propios y los utilizados por la organizacin. Evaluacin de las bases de datos.

3. Evaluacin de los equipos. Adquisicin Estandarizacin Controles Nuevos proyectos de adquisicin Almacenamiento Comunicacin. Redes 23

AUDITORA INFORMTICA

Equipos adicionales

4. Evaluacin de la seguridad. Seguridad lgica y confidencialidad Seguridad en el personal. Seguridad fsica. Seguros Seguridad contra virus Seguridad en la utilizacin de los equipos Seguridad en la restauracin de los equipos y de los sistemas Plan de contingencias y procedimientos en caso de desastre.

IV. METODOLOGA. La metodologa de investigacin a utilizar en el proyecto se presenta a continuacin: 1. Para la evaluacin de la direccin de informtica se llevar a cabo las siguientes actividades: Solicitud de los manuales administrativos, organizacin, funciones, planes, polticas, estndares utilizados y programas de trabajo. Solicitud de costos y presupuestos de informtica. Elaboracin de un cuestionario para la evaluacin de la direccin Entrevista a lderes de proyectos y a usuarios ms relevantes de ladireccin de informtica Anlisis y evaluacin de la informacin Elaboracin del informe.

2.

Para la evaluacin de los sistemas tanto en operacin como en desarrollo se llevarn a cabo las siguientes actividades. Estudios de viabilidad y costo/beneficio. Solicitud del anlisis y diseo de los sistemas en operacin y en desarrollo Solicitud de documentacin de los sistemas en operacin (manual tcnico, de operacin, de usuario, diseo). 24

AUDITORA INFORMTICA

Solicitud del plan de trabajo Solicitud de contratos de compra o renta de software. Solicitud de licencias y derechos de autor Plan de contingencias y recuperacin en casos de desastre Recopilacin y anlisis de los procedimientos administrativos de cada sistema Anlisis de bases de datos Anlisis de seguridad lgica y confidencialidad Evaluacin de los proyectos en desarrollo, prioridades y personal asignado. Evaluacin de la participacin de auditora interna. Evaluacin de controles Evaluacin de las licencias, la obtencin de derechos de autor y de la confidencialidad de la informacin. Entrevista con usuarios de los sistemas Evaluacin directa de la informacin obtenida contra las necesidades y requerimiento de los usuarios Anlisis objetivo de la estructuracin y flujo de los programas. Anlisis y evaluacin de la informacin compilada Elaboracin de informes.

3. Para la evaluacin de los equipos se llevarn a cabo las siguientes actividades: Solicitud de los equipos de viabilidad, costo/beneficio y caractersticas de los equipos actuales, proyectos sobre adquisicin o ampliacin de equipo y su actualizacin. Solicitud de contratos de compra o renta de los equipos Solicitud de contratos de mantenimiento de los equipos. Solicitud de contratos y convenios de respaldo. Solicitud de contratos de seguros Bitcora de los equipos Elaboracin de cuestionarios sobre la utilizacin de equipos, archivos, unidades de entrada/salida, equipos perifricos y su seguridad Visita de las instalaciones y a los lugares de almacenamiento de archivos magnticos

25

AUDITORA INFORMTICA

Visita tcnica de comprobacin de seguridad fsica y lgica de las instalaciones. Evaluacin tcnica del sistema elctrico y ambiental de los equipos del local utilizado y en general de las instalaciones. Evaluacin de los sistemas de seguridad de acceso Evaluacin de la informacin recopilada, obtencin de grficas, porcentajes de utilizacin de los equipos y su justificacin. Elaboracin de informes.

4. Elaboracin del informe final, presentacin y discusin del mismo y presentacin de conclusiones y recomendaciones.

26

AUDITORA INFORMTICA

27

AUDITORA INFORMTICA

COMUNICACIN DEL INICIO DE EXAMEN

Cmpleme comunicarle que la Direccin de Auditora Interna dio inicio a la Auditoria Operativa al rea de Informtica del Instituto de Investigacin y tecnologas, el 1 de mayo del presente ao, por el perodo comprendido entre el 1de enero del 2000 y hasta la presente fecha. Con esta oportunidad agradecer remitir a la Direccin de Auditora Interna, ubicada en la calle de la Ronda N 1321, cuarto piso, cualquier documentacin que tenga relacin con el examen mencionado y prestar toda colaboracin necesaria a fin de que los resultados logrados sean de beneficio para la institucin.

Ing. Mara Isabel Uvidia F. AUDITOR GENERAL DEL INSTITUTO DE INVESTIGACIN Y TECNOLOGAS

28

AUDITORA INFORMTICA

29

AUDITORA INFORMTICA

FORMULARIO DE VISITA PREVIA 1.- DATOS GENERALESDENOMINACION DE LA UNIDAD: Divisin de Informtica del Instituto de Investigacin y Tecnologa. OBJETIVOS DE LA UNIDAD: Procesamiento Automtico de la Informacin. FECHA DE LA CREACIN DE LA UNIDAD: 30 de Abril 1999. FUNCIONARIO RESPONSABLE: Ing. NN UBICACIN: Av. 12 de octubre N 55 Patria. 2.- ORGANIZACIN ESTRUCTURAL La divisin de Personal est organizada en tres reas: Programacin, Organizacin y Mtodos y Produccin. 3.- RECURSOS HUMANOS Nmero total de empleados: 60 Distribucin y preparacin acadmica.

Capacitacin: Existe un plan de capacitacin elaborado y aprobado al inicio del ao, pero no ha podido cumplirse en un 15% debido a la falta de recursos econmicos.

30

AUDITORA INFORMTICA

4.- SISTEMA DE INFORMACIN No se desarrolla sistemas propiamente dichos, sino ms bien aplicaciones aisladasque solucionen aspectos puntuales sistemas existentes. 5.- HARDWARE En equipamiento informtico dispone de:1 Computador Pentium I de 300 MHZ1 Computador Pentium II de 800 MHZ1 Computador Pentium IIII de !800 MHZ1 Impresora EPSON LQ- 10701 HP 800 6.- SOFTWARE Base de datos en forma por base Nombres Contabilidad Nmina Inventarios Activos Fijos Fecha de Implantacin 25-05-2000 30-06-20001 15-08-2001 30-09-2002 Usuario Contabilidad Personal Inventarios Inventarios

Utilizados: Word, Excel Sistemas Operativos: Windows 95.98,2000

7.- PLANIFICACIN DE ACTIVIDADES Existe un plan anual de actividades el cual es aprobado por el H. Consejo Politcnico, no existe Evaluacin del cumplimiento del mismo.

31

AUDITORA INFORMTICA

32

AUDITORA INFORMTICA

33

AUDITORA INFORMTICA

HOJA DE APUNTES N 1

TITULO DE HALLAZGO: MANUAL DE FUNCIONES

Condicin El manual de funciones desarrollado por la unidad no es debidamente legalizado para su ejecucin, pero esta estructura es la que se viene aplicando en la prctica. Criterio El manual debe estar aprobado por los funcionarios establecidos en el reglamento administrativo interno segn normar 234 del Ley de carrera civil. Causa El manual no ha sido aprobado por el Honorable Consejo Politcnico por falta de gestin del jefe de Personal. Efecto La organizacin estructural de la divisin, aprobada no es la adecuada. Los niveles jerrquicos no estn claramente definidos.

34

AUDITORA INFORMTICA

HOJA DE APUNTES N 2

TITULO DE HALLAZGO: DOCUMENTACIN DE SISTEMAS

Condicin No existe documentacin que sustente los sistemas desarrollados en la Unidad oen otros casos esta es incompleta o desactualizada. Criterio Conforme a las polticas de Control Interno sobre desarrollo de sistemas. Estos deben mantenerse adecuadamente documentadas. Causa Inobservancia de las polticas y falta de preocupacin por parte de analistas y programadores por cumplir con la normatividad interna. Efecto Se dificulta el proceso de mantenimiento de los sistemas y programas tornndose indispensable el concurso de sus autores.

35

AUDITORA INFORMTICA

36

AUDITORA INFORMTICA

CRONOGRAMA DE ACTIVIDADES DIAGRAMA DE GANTT

37

AUDITORA INFORMTICA

CONVOCATORIA A CONFERENCIA FINAL DE COMUNICACIN DE RESULTADOS AUDITORA INTERNA

CONVOCATORIA

De conformidad con lo dispuesto en el reglamento Interno de la Entidad se convoca a los funcionarios y ex - funcionarios del instituto de investigacin tecnolgica -a-la-conferencia final de Resultados que- se llevar a cabo el da jueves 27 de mayo del presente ao, a las 10HOO en las oficina de la Unidad de Auditora Interna, "ubicadas en el edificio laguna azul, cuarto piso entre !a calle la Primera Constituyente y Loja de la ciudad de Riobamba, en la que se dar a conocer en contenido, del Borrador del Informe de la Auditoria a la Divisin de Auditoria.

Ing. Mara Isabel Uvidia F. AUDITOR GENERAL

38

AUDITORA INFORMTICA

INFORME DE AUDITORIA AUDITORIA OPERAC1ONAL A LA DIVISIN DE INFORMTICA DEL INSTITUTO DE INVESTIGACIN Y TECNOLOGA. CAPITULO I INFORMACIN INTRODUCTORIA MOTIVO DE LA AUDITORIA La Auditoria Operacional a la Divisin de Informtica se llev a efecto en cumplimiento al Plan Anual de Auditoria, elaborado por la Direccin de Auditora Interna de! Instituto para e! perodo del 2003 y de conformidad a la Orden de Trabajo N AUD. OT 03.2003 de 2003.03.20. OBJETIVO DE LA AUDITORA Establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados implantados en el Instituto. Evaluar el sistema de control interno y las seguridades implantadas en el rea Determinar que el personal tcnico haya sido seleccionado adecuadamente. Determinar que los recursos informticos sean utilizados en forma conveniente, bajo una relacin de costo beneficio. ALCANCE DE LA AUDITORIA Esta Auditoria Operacional cubri el perodo comprendido entre enero del 2000 y la presente fecha y se examinaron, entre otros, los siguientes aspectos: sistemas en produccin y desarrollo, seguridades fsicas y lgicas, procedimiento documentacin y utilizacin del hardware y software. BASE LEGAL Ley Orgnica de Administracin Financiera y Control Cdigo de Trabajo Ley de Contratacin Pblica 39

AUDITORA INFORMTICA

Reglamento Orgnico Funcional del Instituto Reglamento General de Bienes del Sector Pblico Resoluciones de la Direccin Nacional de Informtica Reglamento Interno de Personal Normas y procedimientos para documentacin de sistemas ESTRUCTURA ORGNICA DE LA DIVISIN DE INFORMTICA. Mediante Acuerdo Ministerial No. 0 156 de 2000 03 20, publicado en Registro Oficial No. 367 de 2000 09.15 se cre y se aprob la organizacin interna de la Divisin de informtica del Instituto dependiendo jerrquicamente de la Subsecretara Administrativa.

FUNCIONES PRINCIPALES, Programacin, organizacin, direccin, coordinacin y control de las actividades relacionadas con el Desarrollo Informtico de la institucin.

CAPITULO II EVALUACIN DE CONTROL INTERNO ORGANIZACIN Y FUNCIONES DE LA DIVISIN DE INFORMTICA. Divisin de informtica elaboro un manual orgnico funcional del rea, el mismo que se viene observando en la prctica, pero que hasta la presente fecha no ha sido aprobada por las autoridades correspondientes, debido a la falta de gestin del jefe de la Divisin y de apoyo del instituto. CONCLUSIN. La divisin de Informtica funcional bajo una estructura orgnica - funcional informa que difiere significativamente de la aprobada legalmente por los niveles correspondientes. RECOMENDACIN No. 1 El Ministerio dispondr que e! Jefe de la Divisin de Informtica realice las acciones necesarias para el estudio y aprobacin de la estructura orgnica y. funcional del rea. 40

AUDITORA INFORMTICA

41

AUDITORA INFORMTICA

42

AUDITORA INFORMTICA

43

AUDITORA INFORMTICA

44

AUDITORA INFORMTICA

45

AUDITORA INFORMTICA

46

AUDITORA INFORMTICA

47

AUDITORA INFORMTICA

48

AUDITORA INFORMTICA

49

AUDITORA INFORMTICA

50

AUDITORA INFORMTICA

51

AUDITORA INFORMTICA

52

AUDITORA INFORMTICA

53

AUDITORA INFORMTICA

54

AUDITORA INFORMTICA

55

AUDITORA INFORMTICA

56