TEMA 6

AUDITORIA DE LA EXPLOTACION

6.1. Introducción
En la competencia existente hoy en día es importante el funcionamiento adecuado de los
sistemas informáticos y su continua actualización.

La auditoria informática periódica es uno de los instrumentos más eficaces con que cuentan
las empresas para asegurar su existencia y superar a sus competidores. La detección
oportuna de las debilidades del sistema permite mejorarlo racionalizando los recursos.

6.2. Sistemas de Información

En este sentido amplio se puede considerar un sistema de información (SI) como un
conjunto de componentes que interactúan para que la empresa pueda alcanzar sus objetivos
satisfactoriamente. Según el proyecto COBIT los componentes de un SI son los siguientes:
 Datos. En general se considerarán datos tanto los estructurados como los no
estructurados.
 Aplicaciones. Se incluyen las especificaciones manuales y las informáticas
 Tecnología. El software y el hardware; los sistemas operativos, los sistemas de
gestión de BD, etc.
 Instalaciones. En ellas se ubican y se mantienen los sistemas de información
 Personal. Los conocimientos específicos que ha de tener el personal de los sistemas
de información para planificarlos, organizarlos, administrarlos y gestionarlos.

Para hacer el seguimiento y comprobar que el sistema de información ésta actuando como
es preceptivo, éste habrá de disponer de un control interno que prevenga los eventos no
deseados en su defecto los detecte y los corrija.

Es conveniente recordar que el resultado de la auditoria parcial de un sistema de

información no se puede extrapolar al conjunto del sistema. el funcionamiento inadecuado
de alguno de los procesos y recursos que intervienen en otras partes del sistema puede
invalidar el sistema de información

A continuación se presentará un procedimiento para auditar la explotación del sistema,

adoptando la norma ISACA:

6.3. Carta de encargo

Las responsabilidades de un trabajo de auditoría deben quedar recogidas en un contrato o
carta de encargo antes de comenzar su realización. En este documento debe quedar de la
forma más clara posible cuál será el alcance del trabajo. En este documento debe quedar
reflejado en lo más posible, cual es será el alcance del trabajo del auditor.

6.4. Planificación
En la planificación de la auditoria vamos a considerar tres fases:
 Planificación Estratégica
  Planificación Administrativa
 Planificación Técnica

6.4.1 Planificación Estratégica

Es una revisión global que permite conocer la empresa, el SI y su control interno con la
intención de hacer una primera evaluación de riesgos. Según los resultados de esa
evaluación se establecerán los objetivos de la auditoria y se podrá determinar su alcance y
las pruebas que hayan de aplicarse, así como el momento de realizarlas . Para llevar a cabo
esta tarea es necesario conocer entre otros aspectos los siguientes:

 Las características de los equipos informáticos

 El o los sistemas operativos
 Característica de los ficheros o de las BD
 La organización de la empresa
 La organización del servicio de explotación
 Las aplicaciones que el SI de la empresa que se esté auditando o que se vaya a
auditar estén en explotación.

La información puede obtenerse:

a) Mediante entrevistas y confirmaciones:

 Con los responsables de explotación
 Con los responsables del plan de contingencia
 Con los usuarios
 Con los proveedores de hardware
b) Inspeccionando la siguiente documentación:
 Informes y papeles de trabajo de auditorías anteriores
 Las normas y procedimientos de la empresa
 Los planes de contingencia
 Agenda de trabajo
 Instrucciones sobre el encendido y apagado de los equipos
 Procedimientos de emergencia

6.4.1.1 Clasificación de los controles

Se clasifican en dos: generales y controles de aplicaciones

a) Controles generales
Los controles generales se pueden clasificar en las siguientes categorías:
1. Controles operativos y de organización
 Segregación de funciones entre el servicio de información y los usuarios
 Existencia de autorización general en lo que respecta a la ejecución y a las
transacciones del departamento
2. Controles sobre el desarrollo de programas y su documentación
 Realización de revisiones, pruebas y aprobación de los nuevos sistemas
  Controles de las modificaciones de los programas
3. Controles sobre los programas y los equipos
 Características para detectar de manera automática errores
 Hacer mantenimientos preventivos periódicos
4. Controles de acceso
 Sirven para detectar y/o prevenir errores accidentales o deliberados,
causados por el uso o la manipulación inadecuada de los ficheros de datos y
por el uso incorrecto o no autorizado de los programas
5. Controles sobre los procedimientos y los datos
 Manuales escritos como soporte de los procedimientos y los sistemas de
aplicación
 Controles de las conciliaciones entre los datos fuente y los datos
informáticos

b) Controles de las aplicaciones

Están relacionadas con las propias aplicaciones informatizadas

1. Controles sobre la captura de datos

 Altas de movimientos
 Modificaciones de movimientos
 Consultas de movimientos
 Mantenimiento de los ficheros

2. controles de proceso.

Normalmente e incluyen en los programas. Se diseñan para prevenir o detectar los

siguientes tipos de errores:
 Entrada de datos repetidos
 Procesamiento y actualización
 Entrada de datos lógicos

3. Controles de salida y distribución

Se diseñan para asegurarse de que el resultado del proceso es exacto y que los informes
y demás salidas los reciben sólo las personas que están autorizadas

6.4.1.2 Evaluación de los controles internos

Es función del auditor evaluar el nivel de control interno; también es de su responsabilidad

juzgar si los procedimientos establecidos son los adecuados para salvaguardar el sistema
de información.
Para evaluar los controles es necesario buscar información sobre:
 La terminación competa de todos los procesos
 La separación física y lógica de los programas fuente y objetos y de las bibliotecas
de desarrollo, de pruebas y de producción.
  La existencia de normas y procedimiento para pasar los programas de una biblioteca
a otra.
 Las estadísticas de funcionamiento, donde al menos se incluyan:
 Capacidad y utilización de equipo central y los periféricos
 Utilización de la memoria
 Los estándares de funcionamiento interno
 La realización de mantenimiento periódico de todos los equipos

6.4.1.3 Establecimiento de objetivos

En función de la importancia de los riesgos que se hayan detectado, el auditor establecerá

los objetivos de la auditoria, cuya determinación concreta permitirá definir con claridad el
alcance de las misma

Se considera que el riesgo es la presentación negativa de un objetivo de auditoria

Para alcanzar ese objetivo habrá que diseñar una serie de pruebas de cumplimiento y
sustantivas. Cada una de estas pruebas es un procedimiento.

a) Pruebas de cumplimiento
Si se confirma que realmente no existen manuales, no se pueden hacer pruebas de
cumplimiento, pues las pruebas de cumplimiento consisten en comprobar que se están
cumpliendo las normas establecidas. El procedimiento podría ser como sigue:
Comprobar que las normas para pasar un programa de desarrollo a explotación son
adecuadas y que la empresa las está cumpliendo.

b) Pruebas sustantivas
Revisar las aplicaciones si son pocas aplicaciones se revisan todas; si son muchas se
elige una muestra representativa que se han pasado de desarrollo a explotación y
revisar que antes de pasarlas han sido sometidas a un lote de pruebas y las han
superado satisfactoriamente