TEMA 6 AUDITORIA DE LA EXPLOTACION

6.1. Introduccin En la competencia existente hoy en da es importante el funcionamiento adecuado de los sistemas informticos y su continua actualizacin. La auditoria informtica peridica es uno de los instrumentos ms eficaces con que cuentan las empresas para asegurar su existencia y superar a sus competidores. La deteccin oportuna de las debilidades del sistema permite mejorarlo racionalizando los recursos. 6.2. Sistemas de Informacin En este sentido amplio se puede considerar un sistema de informacin (SI) como un conjunto de componentes que interactan para que la empresa pueda alcanzar sus objetivos satisfactoriamente. Segn el proyecto COBIT los componentes de un SI son los siguientes: Datos. En general se considerarn datos tanto los estructurados como los no estructurados. Aplicaciones. Se incluyen las especificaciones manuales y las informticas Tecnologa. El software y el hardware; los sistemas operativos, los sistemas de gestin de BD, etc. Instalaciones. En ellas se ubican y se mantienen los sistemas de informacin Personal. Los conocimientos especficos que ha de tener el personal de los sistemas de informacin para planificarlos, organizarlos, administrarlos y gestionarlos. Para hacer el seguimiento y comprobar que el sistema de informacin sta actuando como es preceptivo, ste habr de disponer de un control interno que prevenga los eventos no deseados en su defecto los detecte y los corrija. Es conveniente recordar que el resultado de la auditoria parcial de un sistema de informacin no se puede extrapolar al conjunto del sistema. el funcionamiento inadecuado de alguno de los procesos y recursos que intervienen en otras partes del sistema puede invalidar el sistema de informacin A continuacin se presentar un procedimiento para auditar la explotacin del sistema, adoptando la norma ISACA: 6.3. Carta de encargo Las responsabilidades de un trabajo de auditora deben quedar recogidas en un contrato o carta de encargo antes de comenzar su realizacin. En este documento debe quedar de la forma ms clara posible cul ser el alcance del trabajo. En este documento debe quedar reflejado en lo ms posible, cual es ser el alcance del trabajo del auditor. 6.4. Planificacin En la planificacin de la auditoria vamos a considerar tres fases: Planificacin Estratgica

Planificacin Administrativa Planificacin Tcnica

6.4.1 Planificacin Estratgica Es una revisin global que permite conocer la empresa, el SI y su control interno con la intencin de hacer una primera evaluacin de riesgos. Segn los resultados de esa evaluacin se establecern los objetivos de la auditoria y se podr determinar su alcance y las pruebas que hayan de aplicarse, as como el momento de realizarlas . Para llevar a cabo esta tarea es necesario conocer entre otros aspectos los siguientes: Las caractersticas de los equipos informticos El o los sistemas operativos Caracterstica de los ficheros o de las BD La organizacin de la empresa La organizacin del servicio de explotacin Las aplicaciones que el SI de la empresa que se est auditando o que se vaya a auditar estn en explotacin.

La informacin puede obtenerse: a) Mediante entrevistas y confirmaciones: Con los responsables de explotacin Con los responsables del plan de contingencia Con los usuarios Con los proveedores de hardware b) Inspeccionando la siguiente documentacin: Informes y papeles de trabajo de auditoras anteriores Las normas y procedimientos de la empresa Los planes de contingencia Agenda de trabajo Instrucciones sobre el encendido y apagado de los equipos Procedimientos de emergencia 6.4.1.1 Clasificacin de los controles Se clasifican en dos: generales y controles de aplicaciones a) Controles generales Los controles generales se pueden clasificar en las siguientes categoras: 1. Controles operativos y de organizacin Segregacin de funciones entre el servicio de informacin y los usuarios Existencia de autorizacin general en lo que respecta a la ejecucin y a las transacciones del departamento 2. Controles sobre el desarrollo de programas y su documentacin Realizacin de revisiones, pruebas y aprobacin de los nuevos sistemas

 Controles de las modificaciones de los programas 3. Controles sobre los programas y los equipos Caractersticas para detectar de manera automtica errores Hacer mantenimientos preventivos peridicos 4. Controles de acceso Sirven para detectar y/o prevenir errores accidentales o deliberados, causados por el uso o la manipulacin inadecuada de los ficheros de datos y por el uso incorrecto o no autorizado de los programas 5. Controles sobre los procedimientos y los datos Manuales escritos como soporte de los procedimientos y los sistemas de aplicacin Controles de las conciliaciones entre los datos fuente y los datos informticos b) Controles de las aplicaciones Estn relacionadas con las propias aplicaciones informatizadas 1. Controles sobre la captura de datos Altas de movimientos Modificaciones de movimientos Consultas de movimientos Mantenimiento de los ficheros 2. controles de proceso. Normalmente e incluyen en los programas. Se disean para prevenir o detectar los siguientes tipos de errores: Entrada de datos repetidos Procesamiento y actualizacin Entrada de datos lgicos 3. Controles de salida y distribucin Se disean para asegurarse de que el resultado del proceso es exacto y que los informes y dems salidas los reciben slo las personas que estn autorizadas 6.4.1.2 Evaluacin de los controles internos Es funcin del auditor evaluar el nivel de control interno; tambin es de su responsabilidad juzgar si los procedimientos establecidos son los adecuados para salvaguardar el sistema de informacin. Para evaluar los controles es necesario buscar informacin sobre: La terminacin competa de todos los procesos La separacin fsica y lgica de los programas fuente y objetos y de las bibliotecas de desarrollo, de pruebas y de produccin.

La existencia de normas y procedimiento para pasar los programas de una biblioteca a otra. Las estadsticas de funcionamiento, donde al menos se incluyan: Capacidad y utilizacin de equipo central y los perifricos Utilizacin de la memoria Los estndares de funcionamiento interno La realizacin de mantenimiento peridico de todos los equipos

6.4.1.3 Establecimiento de objetivos En funcin de la importancia de los riesgos que se hayan detectado, el auditor establecer los objetivos de la auditoria, cuya determinacin concreta permitir definir con claridad el alcance de las misma Se considera que el riesgo es la presentacin negativa de un objetivo de auditoria Para alcanzar ese objetivo habr que disear una serie de pruebas de cumplimiento y sustantivas. Cada una de estas pruebas es un procedimiento. a) Pruebas de cumplimiento Si se confirma que realmente no existen manuales, no se pueden hacer pruebas de cumplimiento, pues las pruebas de cumplimiento consisten en comprobar que se estn cumpliendo las normas establecidas. El procedimiento podra ser como sigue: Comprobar que las normas para pasar un programa de desarrollo a explotacin son adecuadas y que la empresa las est cumpliendo. b) Pruebas sustantivas Revisar las aplicaciones si son pocas aplicaciones se revisan todas; si son muchas se elige una muestra representativa que se han pasado de desarrollo a explotacin y revisar que antes de pasarlas han sido sometidas a un lote de pruebas y las han superado satisfactoriamente