Documentos de Académico
Documentos de Profesional
Documentos de Cultura
F.R.C.
Auditora de Explotacin y Aplicaciones
INTRODUCCIN
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms
poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier
organizacin empresarial, los Sistemas de Informacin de la empresa.
La Informtica hoy, est integrada en la gestin integral de la misma, y por eso las normas y
estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la
empresa. En consecuencia, las organizaciones informticas forman parte de lo que se ha
denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona
propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende,
debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica.
sta, realizada peridicamente es uno de los instrumentos ms eficaces con que cuentan las
empresas para asegurar su existencia y superar a los competidores.
A continuacin, desarrollaremos algunos conceptos sobre un mbito de la Auditora
Informtica, como lo son la Auditora de Explotacin y de Aplicaciones. Tambin se determinarn
los objetivos de las mismas y los controles a realizar en una Auditora de ese tipo.
Curso 5K3
Auditoria de Explotacin
La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo: listados
impresos, archivos soportados magnticamente, rdenes automatizadas para lanzar o modificar
procesos industriales, etc. Para realizar la Explotacin informtica se dispone de una materia prima,
los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y
calidad. Explotacin debe recepcionar solamente programas fuente, los cuales hayan sido aprobados
por Desarrollo.
Qu es la Auditora de Explotacin ?
La Auditoria de explotacin es el control que se realiza sobre las funciones del Sistema de
Informacin para asegurar que las mismas se efecten de forma regular, ordenada y que satisfagan
los requisitos empresariales.
Curso 5K3
Verificar los procedimientos segn los cuales se incorporan nuevos programas a las libreras
productivas.
Examinar los lugares en donde se almacenan cintas y discos, as como la perfecta y visible
identificacin de estos medios.
Verificar los planes de mantenimiento preventivo de la instalacin.
Comprobar que existen normas escritas que regulen perfectamente todo lo relativo a copias de
seguridad: manejo, autorizacin de obtencin de datos, destruccin, etc.
permitan la eficacia y la eficiencia de la empresa; que los datos elaborados por su sistema de
informacin muestren una imagen fiel de la misma y que la empresa cumpla la legislacin vigente.
Procedimiento de la Auditora
Carta de Encargo
En este documento debe quedar reflejado de la forma mas clara posible, entre otros aspectos, cual
ser el alcance del trabajo del auditor.
Planificacin Estratgica
Es una revisin global que permite conocer la empresa, el sistema de informacin y su control
interno con la intencin de hacer una primera evaluacin de riesgos. Segn los resultados de esa
evaluacin se establecern los objetivos de la auditora y se podr determinar su alcance y las
pruebas que hayan de aplicarse, as como el momento de realizarla. Para llevar a cabo esta tarea es
necesario conocer entre otros aspectos los siguientes:
Las caractersticas de los equipos informticos
El sistema o los sistemas operativos
Curso 5K3
FUNCION DE
PROCESAMIENTO
Anlisis y Diseo de Sistemas
Analista de Sistemas
Programacin
Programador
Operador
Curso 5K3
PUESTO
Control
El control interno estar fortalecido si estas cuatro funciones quedan separadas. Esta separacin
tambin puede dar por resultado mayor eficiencia en la operacin debido a que las cuatro requieren
diferentes niveles de habilidad y entrenamiento.
En la mayora de los casos no es deseable combinar actividades de preparacin de programas con la
operacin, an cuando solamente esto ocurre en organizaciones muy pequeas.
Un plan de organizacin adecuado con la consiguiente divisin de labores es importante en vista e
la concentracin de la actividad de procesamiento de informacin en un menor nmero de personas
del que requiere en un sistema manual.
El menor nmero de empleados y el alto grado de informatizacin exponen al sistema a
manipulaciones y fraudes si una sola persona tiene tanto el conocimiento operacional como acceso
fcil a los procedimientos.
Controles de las conciliaciones entre los datos fuente y los datos informticos.
Capacidad para restaurar ficheros perdidos, deteriorados o incorrectos.
2) Controles de aplicaciones
Control de Entrada de Datos:
Se analizar la captura de la informacin en soporte compatible con los Sistemas, el
cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta
transmisin de datos entre entornos diferentes. Se verificar que los controles de
integridad y calidad de datos se realizan de acuerdo a las Normas.
Controles sobre la captura de Datos
Altas de movimientos
Modificaciones de movimientos.
Consultas de movimientos
Mantenimiento de ficheros
Controles de Proceso
Normalmente se incluyen en los programas. Se disean para detectar o prevenir los
siguientes tipos de errores.
Entradas de datos repetidos.
Procesamiento y actualizacin de fichero o ficheros equivocados.
Entrada de datos ilgicos
Prdida o distorsin de datos durante el proceso.
Controles de salida y distribucin
Los controles de salida se disean para asegurarse de que el resultado del proceso es
exacto y que los informes y dems salidas los reciben slo las personas que estn
autorizadas.
Evaluacin de los controles internos:
Para hacer el seguimiento y comprobar que el sistema de informacin est actuando como
es preceptivo, ste habr de disponer de un control int3erno que prevenga los eventos no
deseados o en su defecto los detecte y los corrija.
Es funcin del auditor evaluar el nivel de control interno; tambin es de responsabilidad
juzgar si los procedimientos establecidos son los adecuados para salvaguardar el sistema
de informacin.
Para evaluar los controles es necesario buscar evidencia sobre:
La terminacin completa de todos los procesos.
La separacin fsica y lgica de los programas fuentes y objetos de las bibliotecas
de desarrollo, de pruebas y de produccin.
Las estadsticas de funcionamiento, donde al menos se incluya:
Capacidad y utilizacin del equipo central y de los perifricos.
Utilizacin de la memoria.
Curso 5K3
Planificacin Administrativa
En esta fase se asignan los recursos de personal, tiempo y se determina la documentacin que se
utilizara.
Planificacin Tcnica
En esta fase se indican los mtodos, los procedimiento, las herramientas y las tcnicas que se
utilizaran para alcanzar los objetivos de la auditoria.
Pruebas Sustantivas
Este tipo de pruebas se realizan cuando no existen normas o manuales, por lo cual es necesario
realizar clculos y utilizar tcnicas para comprender y evaluar los riesgos.
El objetivo de las pruebas sustantivas consiste en realizar las pruebas necesarias sobre los datos para
que proporcionen la suficiente seguridad a la direccin sobre si se ha alcanzado su objetivo
empresarial.
Habr que realizar el mximo numero de pruebas sustantivas si:
No existen instrumentos de medida de los controles.
Los instrumentos de medida que existen se considera que no son los adecuados.
Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han
aplicado de manera consistente y continua.
Curso 5K3
Auditoria de Aplicaciones
Que es la Auditoria de Aplicaciones ?
El objetivo de la Auditoria de aplicaciones es analizar y evaluar la eficacia de los controles
existentes, estos controles deben asegurar que solo se ingresan y actualizan datos completos,
exactos y vlidos en un sistema, que el procesamiento de estos datos sea el correcto, que los
resultados del procesamiento cumplen las expectativas; y que los datos se mantengan seguros.
En resumen podemos enunciar que el objetivo de la auditora de aplicaciones es :
Evaluar la efectividad de los controles existentes y sugerir nuevos controles con el fin de minimizar
riesgos y fortalecer el control de dichas aplicaciones.
Curso 5K3
Curso 5K3
Programa de Revisin
1. Identificar el rea a revisar (por ejemplo a partir del calendario de revisiones) notificar al
responsable del rea y prepararse utilizando papeles de trabajo de auditorias anteriores.
2. Identificar y obtener informacin necesaria para la auditoria y para las pruebas. En esta
etapa, se definen los objetivos y el alcance de la auditoria y se identifican los usuarios
especficos que estaran afectados por la auditoria (plan de entrevistas).
3. Identificar los puntos de control crticos del sistema, esto se realiza mediante entrevistas con
los usuarios. El auditor debe identificar los peligros y los riesgos que podran aparecer en
cada punto. Los puntos de control critico son aquellos en donde el riesgo es mas grave, es
decir, donde la necesidad de un control es mas importante.
4. Ejecucin de pruebas en los puntos crticos de control. Estas pruebas pueden ser:
a. Pruebas de Conformidad: Estas pruebas son orientada especficamente a comprobar
que determinados procedimientos, normas o controles internos se cumplen o
funcionan de acuerdo con lo previsto y esperado, segn lo descrito en la
documentacin oportuna.
b. Pruebas substantivas o de Validacin: Orientadas a detectar la presencia o ausencia
de errores o irregularidades en procesos, actividades, transacciones o controles
internos. Estn especialmente indicadas en situaciones en las que no hay evidencia
de que existan controles internos relevantes, suficientes como para garantizar el
correcto funcionamiento del proceso o elemento considerado.
Curso 5K3
10
Control de lmite: Se verifican los lmites de valores que puede asumir una variable de entrada y
que se rechazara o advertir en caso no cumpla con los lmites establecidos.
Control de validez: Consiste en considerar como vlidos aquellos campos codificados con
valores predeterminados
Bsquedas en tablas: Se valida un campo con el contenido de una tabla de datos, por ejemplo
una tabla de cdigos de pases y los nombres de pases se utiliza para validar el campo pas de
una pantalla de ingreso de datos.
Control de integridad: consiste en que un campo siempre debe contener datos, no puede estar
vaco, etc. Dgito de control: Consiste en agregar al dato ingresado un dgito, el que se calcula
matemticamente por un algoritmo sobre los dgitos del dato ingresado, los ms comunes son el
mdulo 10 o mdulo 11.
Verificar que las aprobaciones corresponden al personal responsable y autorizados.
Verificar que se registra la estacin y el operador que ingresa los datos.
Comprobar que una persona no realice mas de una de estas tareas:
Generacin de datos.
Entrada de datos.
Procesamiento de datos.
Distribucin de datos.
Determinar que las terminales asignadas al Ingreso de datos sean perfectamente identificables y
supervisados.
Efectuar un control sobre todas las claves asignadas.
Validacin de cdigos.
Rango.
Cotejo de registros.
Revisar la documentacin relacionada con los procedimientos de identificacin , correccin y
entrada de datos rechazados y determinar si los errores son listados inmediatamente despus de
detectados y registrados en el archivo de asuntos pendientes.
Determinar si los supervisores revisan y aprueban las correcciones antes de su reentrada.
Realizar un control estadstico de los errores de entrada.
Curso 5K3
11
Curso 5K3
12
Revisar la justificacin de informes, que existe una peticin escrita para cada uno y que se
utilizan realmente, as como que esta autorizada la peticin.
Revisar los procedimientos de correccin de datos de salida.
Controles de Documentacin
Verificar que dentro de las actividades de desarrollo y mantenimiento de aplicaciones se
produce la documentacin de sistemas, programas, operaciones, funciones y procedimientos de
usuario.
Existencia de una persona especifica encargada de la documentacin y que mantiene un archivo
de documentos ya distribuidos y a quienes.
Comprobar que los jefes de ara se informen de faltas de documentacin adecuada para sus
empleados.
Destruccin de toda la documentacin de antiguos sistemas.
Que los usuarios no acepten una nueva aplicacin sin su documentacin correcta.
Actualizacin en la documentacin al mismo tiempo que los cambios y modificaciones en los
sistemas.
La existencia de documentacin de sistemas, programas, de operacin y de usuario por cada
aplicacin ya implantada.
Curso 5K3
13
Resulta necesario estudiar medidas para salvar circunstancia de tipo accidental o intencional que
impida la continuidad de la operatoria.
Backup de equipos : se trata de abarcar todas las posibilidades que podran presentarse en un
centro de cmputos. Las variantes frente a esta situacin son:
Tener equipo de repuesto : El equipo de repuesto puede ser total (lo que implica duplicar el
hardware) o limitarse a ciertas unidades en funcin de un anlisis previo, elementos que
deberan situarse en un lugar no muy prximo al centro de procesamiento.
Errores en la programacin
Errores de procedimientos.
Acontecimientos naturales.
Curso 5K3
14
Con la ayuda de este software o tcnica asistida por computador, se realizan pruebas de auditora,
estas pruebas incluyen por ejemplo:
Pruebas de rangos, se usan para probar que los datos en prueba son vlidos porque estn en
un rango de valores adecuado.
Curso 5K3
15
Curso 5K3
16
CONCLUSION
La situacin de haber investigado sobre todo lo referente a Auditora de Explotacin y de
Aplicaciones, nos ha permitido conocer y tomar an ms conciencia de la necesidad de efectuar
controles a los Sistemas de Informacin y a las Aplicaciones. Esta necesidad surge de la creciente
importancia asignada a los mismos como ayuda imprescindible en el desarrollo de los procesos de
negocio aportando conocimiento que apoye la correcta toma de decisiones. Debido a sto tiene
gran importancia la Auditora (desarrollada en este trabajo) como garante del correcto cumplimiento
de las funciones desarrolladas por los Sistemas y aplicaciones.
Podemos
Curso 5K3
17
concluir diciendo que la labor del auditor informtico es esencial para garantizar la adecuacin de
los sistemas informticos: para ello el auditor debe realizar su trabajo atenindose a las Normas de
Auditora aceptadas y aplicables como requisito necesario que asegure la calidad del trabajo
realizado.
Curso 5K3
18
BIBLIOGRAFIA
Curso 5K3
19