manual-auditoria de sistemas i

UNIVERSIDAD DEL ISTMO

MANUAL DE AUDITORIA DE SISTEMAS I

1

PROGRAMA ANALTICO

CARRERA LICENCIATURA EN CONTABILIDAD POR SISTEMAS

ASIGNATURA: AUDITORIA DE SISTEMAS I

CDIGO

PRERREQUISITOS: AUDITORIA FINANCIERA

PREPARADO POR: MGTRA. MAYURI GALINDO

CAMPO DE FORMACIN

ESPECIALIDAD

AGOSTO 2011



2

INDICE 1. Introduccin. 5

2. Presentacin... 6

3. Carta al Participante.. 7

4. Objetivos de la Asignatura. 8

4.1. Objetivos Generales 8

4.2. Objetivos especficos. 8

5. Perfil del docente 9

6. Programa.. 10

7. Esquema Conceptual de la Materia.. 11

8.1. Contenido del Mdulo.. 12

8.2. Objetivos Especficos del Mdulo.. 12

8.3. Esquema conceptual del mdulo 13

8.4. LECTURAS.. 14

8.4.1. Lectura 1 Introduccin a conceptos de control 14

8.4.2. Lectura 2 Normas de comportamiento. 19

8.5.Trabajo colaborativo 39

8.5.1Trabajo Individual.

8.5.2 Trabajo Grupal..

39

39

9. MDULO 2. . 40

9.1. Contenido del Mdulo.. 40

9.2. Objetivos Especficos del Mdulo.. 40

9.3. Esquema conceptual del mdulo 41

9.4. LECTURAS 42

9.4.1. Lectura 1 Administracin de un Departamento de Tecnologa. 42

9.4.2. Lectura 2 Accesos lgicos y fsicos 51

9.5. Trabajo colaborativo.... 69

9.5.1. Trabajo Individual.

9.5.2. Trabajo Grupal

69

69

10. MDULO 3. 70

10.1. Contenido del Mdulo 70

10.2. Objetivos Especficos del Mdulo 70

10.3. Esquema conceptual del mdulo. 71

10.4. LECTURAS 72

10.4.1. Lectura 1 Soporte Tcnico. 72



3

10.4.2. Lectura 2 Adquisicin y mantenimiento de los programas

10.4.3. Lectura 3 Planes de Contingencia para los casos de emergencia

92

98

10.5. Trabajo colaborativo. 112

10.5.1. Trabajo Individual.. 112

10.5.2. Trabajo Grupal.... 112

11. MDULO 4. 113

11.1Contenido del Mdulo.. 113

11.2. Objetivos Especficos del Mdulo 113

11.3. Esquema conceptual del mdulo. 114

11.4. LECTURAS 115

11.4.1. Lectura 1 Respaldo y recuperacin de la informacin.. 115

11.4.2. Lectura 2 Documentacin de Informe de Auditora.. 133

11.4.3. Lectura 3 Tcnica de organizacin y papeles de trabajo

11.4.4. Lectura 4 Opinin de los auditores.

136

142

11.5. Trabajo colaborativo 150

11.5.1. Trabajo Individual. 150

11.5.2. Trabajo Grupal 150



4

Bibliografa

Auditora en Informtica. Jos Antonio Echenique Garca. McGraw-Hill



5

1. Introduccin

La creciente utilizacin del computador como herramienta de trabajo en las empresas ha influido en los procedimientos empleados para el logro de los objetivos de control contable y administrativo. De la misma manera puede influir en los procedimientos empleados por el Auditor en el estudio y evaluacin del Control Contable, para determinar la naturaleza, oportunidad y extensin de los procedimientos de auditora aplicables al examen de los estudios financieros.

En las empresas que utilizan el procedimiento electrnico de datos (PED) en aplicaciones simples o complejas, el Auditor necesita entender el sistema en todas sus fases para poder identificar y evaluar sus caractersticas esenciales de control. De aqu nace la necesidad de formar profesionales conscientes de los controles requeridos en una organizacin que utiliza el PED para el logro de sus objetivos.



6

2. Presentacin

La profesin de la contabilidad abarca muchas reas, por tal razn en esta seccin vamos a conocer una de las auditoras ms aplicadas en reas de tecnologa que es la Auditora de Sistemas I, la cual tiene como objetivo principal el estudio y evaluacin de herramientas sistematizadas en procesadores de datos.

En la Auditora de Sistemas I se desarrollan temas importantes que hablan de la auditora informtica, control interno, las normas de conducta de los auditores, organizacin de un departamentos de tecnologa entre otros. Para esto, debe cumplir con las siguientes actividades y tiempo de realizacin distribuidos a continuacin:

ACTIVIDAD H/SEM. H/CUATRIMESTRE CRDITOS

TELE CLASES 2 8

TRABAJOS 2 8

TUTOR ON LINE 5 20

AUTO APRENDIZAJE 27 108

Total 36 144 3



7

3. Carta al Participante

Estimados y estimadas participantes:

Les doy la cordial bienvenida al curso de Auditoria de Sistemas I.

Esta asignatura est orientada a aplicar los conocimientos adquiridos en cuanto a los procedimientos que se llevan a cabo en las secciones de auditora de procesos de datos, controles internos, acceso de seguridad entre otras actividades.

Les exhorto a que lean este manual y puedan enriquecer sus conocimientos en cuanto a auditora en sistemas, ya que es muy importante conocer cmo se debe auditar una empresa y la responsabilidad que conlleva seguir paso a paso las guas y entrevistas con cada una de las partes involucradas evitando reducir los riesgos de desastres ya sean por casos fortuitos o intencionados.

Bienvenidos,



8

4. Objetivos de la Asignatura

Capacitar los estudiantes para realizar auditora en cada rea de tecnologa. Desarrollar con la ayuda de cuestionarios de control interno las labores de auditora de sistemas.

Documentar las tareas de auditora que ser el reflejo de una correcta sustentacin del trabajo para as realizar las discusiones con el responsable de rea y brindar el seguimiento adecuado.

a. Objetivos Generales Conocer las reas correspondientes al departamento de tecnologa, donde los

auditores de sistemas auditan los controlan y evalan los riesgos involucrados, para realizar las auditoras y as minimizar las contingencias.

Garantizar que el uso que hace la organizacin de Tecnologa sea de costo beneficio, que refleje el plan de negocio, que se provea dentro de una estructura que est consciente del control y reacciones al cambio.

b. Objetivos Especficos

Conocer la estrategia de tecnologa, as como los trminos tcnicos del rea de sistemas de informacin.

Garantiza que los usuarios no puedan obtener acceso a datos o programas confidenciales sin previa autorizacin.

Garantizar que el ambiente en el que los sistemas funcionan protege su confidencialidad, integridad.

Explicar la forma que obtenga el mejor uso de la computacin de usuarios sin introducir costos, duplicaciones o riesgos innecesarios.

Que el estudiante tenga la capacidad de describir cual es la informacin vital para que la empresa reanude sus operaciones con efectividad (dentro de un perodo razonable de tiempo).



9

5. Perfil del Docente

Mgtra. MAYURI CECIBELL GALINDO ALABARCA

Contadora Pblica Autorizada

FORMACIN ACADEMICA

Maestra en Auditoria Forense- Universidad Especializada del Contador Pblico Maestra en Docencia Superior con Especializacin en Investigacin- Universidad del Istmo Postgrado en Auditoria Universidad Especializada del Contador Posgrado en Docencia Universidad del Istmo Licenciada en Contabilidad- Universidad de Panam

EXPERIENCIA LABORAL

Socia De La Empresa Grupo Galva International, dedicada a la formacin del capital humano, consultoras especiales, Auditoras para empresas locales, Peritajes, Asesoras financieras, Asesoras Fiscales.

Profesora de la Universidad Tecnolgica de Panam de las Ctedras de Contabilidad General, Contabilidad Bsica, Sistemas Contables.

Profesora de la Universidad Americana de Panam de las Ctedras de Auditora Ambiental, Auditora en Sistemas, Auditoria Financiera, Contabilidad para Empresas Tursticas, Contabilidad Avanzada, Contabilidad Intermedia, Contabilidad I y II.

Profesora de la Universidad del Istmo de las Ctedras de Contabilidad de Costo, Contabilidad bancaria, Contabilidad Sistematizada, Auditoria por Sistemas, Contabilidad Gubernamental.

Miembro activo del Colegio de Contadores Pblicos Autorizados de Panam

Miembro activo del Instituto de Auditores Internos Captulo Panam IIA



10

6. Programa

A continuacin describo el programa de la asignatura Auditoria de Sistemas I presentada en mdulos y unidades de estudio

Mdulo 1. Conceptos Generales de Sistemas UNIDAD 1. Introduccin a conceptos de control interno, auditora de sistemas y trminos de informtica. UNIDAD 2. Explicar las Normas de Comportamiento de los Auditores de Sistemas (Cdigo de tica Profesional).

Mdulo 2. Conceptos Generales de Sistemas UNIDAD 1. Explicacin de la Administracin de un departamento de Tecnologa. UNIDAD 2. Explicacin del control de los accesos lgicos y fsicos

Mdulo 3. Soportes Tcnicos UNIDAD 1. Soporte Tcnico UNIDAD 2. Adquisicin y Mantenimiento de los programas UNIDAD 3. Planes de Contingencia para los casos de emergencias

Mdulo 4. Soportes Tcnicos UNIDAD 1. Respaldos y Recuperacin de Informacin UNIDAD 2. Documentacin de Informe de Auditora UNIDAD 3. Tcnicas de Organizacin y Auditora de los papeles de trabajo. UNIDAD 4. Opinin de los auditores ante terceros.



11

7. Esquema Conceptual de la Materia



12

8.1. Mdulo 1. Conceptos Generales de Sistemas

UNIDAD 1. Introduccin a conceptos de control interno, auditora de sistemas y trminos de informtica.

UNIDAD 2. Explicar las Normas de Comportamiento de los Auditores de Sistemas (Cdigo de tica Profesional.

8.2. Objetivos Especficos del Mdulo


Garantizar que los usuarios no puedan obtener acceso a datos o programas confidenciales sin previa autorizacin.




13

8.3. Esquema Conceptual del Mdulo

CONCEPTOS

GENERALES DE

SISTEMAS

INTRODUCCIN A

CONCEPTOS Y

NORMAS DE

COMPORTAMIENTO

CONCEPTOS:

AUDITORA INTERNA

AUDITORA

INFORMTICA

CONTROL INTERNO

NORMAS DE

COMPORTAMIENTO:

NORMAS DE

AUDITORA

CDIGO DE TICA

COCEPTOS

GENERALES DE

SISTEMAS



14

8.4. LECTURAS

8.4.1. Lectura 1: Introduccin a conceptos de control interno, auditora de sistemas y trminos de

informtica.

Auditora Interna/Externa y Auditora Contable/Financiera

El estudio y evaluacin del control interno se efecta con el objeto de cumplir con la norma de ejecucin del trabajo que requiere que: el auditor debe efectuar un estudio y evaluacin adecuados del control interno existente, que le sirvan de base para determinar el grado de confianza que va a depositar en l, as mismo, que le permitan determinar la naturaleza, extensin y oportunidad que va a dar a los procedimientos de auditora.

El control interno comprende el plan de organizacin y todos los mtodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su informacin financiera, promover la eficiencia operacional y provocar la adherencia a las polticas prescritas por la administracin.

Objetivos bsicos del control interno. De lo anterior se desprende que los cuatro objetivos bsicos del control interno son:

La proteccin de los activos de la empresa. La obtencin de informacin financiera veraz, confiable y oportuna. La promocin de la eficiencia en la operacin del negocio. Lograr que en la ejecucin de las operaciones se cumplan las polticas establecidas por

los administradores de la empresa.



15

Se ha establecido que los dos primeros objetivos abarcan el aspecto de controles internos contables y los dos ltimos se refieren a controles internos administrativos.

Objetivos generales del control interno. El control interno contable comprende el plan de organizacin y los procedimientos y registros que se refieren a la proteccin de los activos y a la confiabilidad de los registros financieros. Por tanto, est diseado en funcin de los objetivos de la organizacin para ofrecer seguridad razonable de que las operaciones se realizan de acuerdo con las normas y polticas sealadas por la administracin.

Cuando hablamos de los objetivos de los controles contables internos podemos identificar dos niveles:

A) Objetivos generales de control interno aplicables a todos los sistemas B) Objetivos de control interno aplicables a ciclos de transacciones

Los objetivos generales de control aplicables a todos los sistemas se desarrollan a partir de los objetivos bsicos enumerados anteriormente, y son ms especficos, para facilitar su aplicacin. Los objetivos de control de ciclos se desarrollan a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transacciones agrupadas en un ciclo.

Los objetivos generales de control interno de sistemas pueden resumirse a continuacin.



16

Objetivos de autorizacin

Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o especificaciones de la administracin.

Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administracin.

Las transacciones deben ser vlidas para conocerse y ser sometidas oportunamente a su aceptacin. Todas aquellas que renan los requisitos establecidos por la administracin deben reconocerse como tales y procesarse a tiempo.

Los resultados del procesamiento de transacciones deben comunicarse oportunamente y estar respaldados por archivos adecuados.

Objetivos del procesamiento y clasificacin de transacciones

Todas las operaciones deben registrarse para permitir la preparacin de estados financieros en conformidad con los principios de contabilidad generalmente aceptados, o con cualquier otro criterio aplicable a los estados y para mantener en archivos apropiados los datos relativos a los activos sujetos a custodia.

Las transacciones deben clasificarse en forma tal que permitan la preparacin de estados financieros en conformidad con los principios de contabilidad generalmente aceptadas segn el criterio de la administracin.

Las transacciones deben quedar registradas en el mismo periodo contable, cuidando de manera especfica que se registren aquellas que afectan ms de un ciclo.



17

Objetivo de salvaguarda fsica

El acceso a los activos slo debe permitirse de acuerdo con autorizaciones de la administracin.

Objetivo de verificacin y evaluacin

Los datos registrados relativos a los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonables, y se deben tomar las medidas apropiadas respecto a las diferencias que existan.

Asimismo, deben existir controles relativos a la verificacin y evaluacin peridica de los saldos que se incluyen en los estados financieros, ya que este objetivo complementa en forma importante los mencionados anteriormente.

Estos objetivos generales de control interno de sistemas son aplicables a todos los ciclos. No se trata de que se usen directamente para evaluar las tcnicas de control interno de una organizacin, pero representan una base para desarrollar objetivos especficos de control interno por ciclos de transacciones que sean aplicables a una empresa individual.

El rea de informtica puede interactuar de dos maneras en el control interno. La primera es servir de herramienta para llevar a cabo un adecuado control interno, y la segunda es tener un control interno del rea y del departamento de informtica.



18

En el primer caso se lleva control interno por medio de la evaluacin de una organizacin, utilizando la computadora como herramienta que auxiliar en el logro de los objetivos, lo cual se puede hacer por medio de paquetes de auditora. Esto debe ser considerado como parte del control interno con informtica. En el segundo caso se lleva a cabo el control interno de informtica. Es decir cmo se seala en los objetivos del control interno, se deben proteger adecuadamente los activos de la organizacin por medio del control interno, para que se obtenga la informacin de forma veraz, oportuna y confiable, para que se mejore la eficiencia de la operacin de la organizacin mediante la informtica y para que en la ejecucin de las operaciones de informtica se cumplan las polticas establecidas por la administracin: todo ello debe ser considerado como control interno de informtica.

Al estudiar los objetivos del control interno podemos ver en primer lugar que, aunque en auditora en informtica el objetivo es ms amplio, se deben tener en cuenta los objetivos generales del control interno aplicables a todo ciclo de transacciones.

La auditora en informtica debe tener presentes los objetivos de autorizacin, procesamiento y clasificacin de transacciones, as como los de salvaguardar fsica, verificacin y evaluacin de los equipos y de la informacin. La diferencia entre los objetivos de control interno desde un punto de vista contable financiero es que, mientras stos estn enfocados a la evaluacin de una organizacin mediante la revisin contable financiera y de otras operaciones, los objetivos del control interno en informtica estn orientados a todos los sistemas en general, al equipo de cmputo y al departamento de informtica, para lo cual se requieren conocimientos de contabilidad, finanzas, recursos humanos, administracin, etc., as como de experiencia y un saber profundo en informtica.

La auditora interna debe estar presente en todas y cada una de las partes de la organizacin. Ahora bien, la pregunta que normalmente se plantea es: cul debe ser su participacin dentro del rea de informtica?

La informtica es en primer lugar una herramienta muy valiosa que debe tener un adecuado control y es un auxiliar de la auditora interna. Pero, segn este concepto, la auditora interna puede considerarse como un usuario del rea de informtica.



19

Se ha estudiado que los objetivos generales del control interno son:

Autorizacin Procesamiento y clasificacin de las transacciones Salvaguarda fsica Verificacin y evaluacin

Con base en los objetivos y responsabilidades del control interno podemos hacer otras dos preguntas: De qu manera puede participar el personal de control interno en el diseo de los sistemas? Qu conocimientos debe tener el personal de control interno para poder cumplir adecuadamente sus funciones dentro del rea de informtica?

Las respuestas a estas preguntas dependern del nivel que tenga el control interno dentro de la organizacin. Sin embargo, en el diseo general y detallado de los sistemas se debe incluir a personal de la contralora interna, que habr de tener conocimientos de informtica, aunque no se requerir que sean especialistas, ya que slo intervendrn en el diseo general del sistema, en el diseo de controles, en los sistemas de seguridad, en el respaldo y confidencialidad del sistema y en los sistemas de verificacin. Se habrn de comprobar las frmulas de obtencin del impuesto sobre el producto del trabajo, el clculo del pago del seguro social, etc., pero no debern intervenir en la elaboracin de los sistemas, bases de datos o programacin. Tendrn que comprobar que lo sealado en el

Diseo general sea igual a lo obtenido en el momento de implantacin, para que puedan dar su autorizacin a la corrida en paralelo.



20

El auditor interno, en el momento en que estn elaborando los sistemas, debe participar en estas etapas:

Asegurarse de verificar que los requerimientos de seguridad y de auditora sean incorporados, y participar en la revisin de puntos de verificacin.

Revisar la aplicacin de los sistemas y de control tanto con el usuario como en el centro de informtica.

Verificar que las polticas de seguridad y los procedimientos estn incorporados al plan en caso desastre.

Incorporar tcnicas avanzadas de auditora en los sistemas de cmputo.

Los sistemas de seguridad no pueden llevarse a cabo a menos que existan procedimientos de control y un adecuado plan en caso de desastre, elaborados desde el momento en el que se disea el sistema.

El auditor interno desempea una importante funcin al participar en los planes a largo plazo y en el diseo detallado de los sistemas y su implantacin, de tal manera que se asegure que los procedimientos de auditora y de seguridad sean incorporados a todas y cada una de las fases del sistema.



21

AUDITORA CON INFORMTICA

Concepto de auditora con informtica

Los procedimientos de auditora con informtica varan de acuerdo con la filosofa y tcnica de cada organizacin y departamento de auditora en particular. Sin embargo, existe ciertas tcnicas y / o procedimientos que son compatibles en la mayora de los ambientes de informtica. Estas tcnicas caen en dos categoras: mtodos manuales y mtodos asistidos por computadora.

Utilizacin de las tcnicas de auditoras asistidas por computadora

En general, el auditor debe utilizar la computadora en la ejecucin de la auditora, ya que esta herramienta permitir ampliar la cobertura del examen, reduciendo el tiempo/ costo de las pruebas y procedimientos de muestreo, que de otra manera tendran que efectuarse manualmente. Existen paquetes de computadora (software) que permiten elaborar auditoras a sistemas financieros y contables que se encuentran en medios informticos. Adems, el empleo de la computadora por el auditor le permite familiarizarse con la operacin del equipo en el centro de cmputo de la institucin. Una computadora puede ser empleada por el auditor en:

Transmisin de informacin de la contabilidad de la organizacin a la computadora del auditor, para ser trabajada por ste, o bien acceso al sistema en red para que el auditor elabore las pruebas.

Verificacin de cifras totales y clculos para comprobar la exactitud de los reportes de salida producidos por el departamento de informtica, de la informacin enviada por medios de comunicacin y de la informacin almacenada.

Pruebas de los registros de los archivos para verificar la consistencia lgica, la validacin de condiciones y la razonabilidad de los montos de las operaciones.



22

Clasificacin de datos y anlisis de la ejecucin de procedimientos. Seleccin e impresin de datos mediante tcnicas de muestreo y confirmaciones. Llevar a cabo en forma independiente una simulacin del proceso de transacciones

para verificar la conexin y consistencia de los programas de computadora.

Con fines de auditora, el auditor interno puede emplear la computadora para:

Utilizacin de paquetes para auditora; por ejemplo, paquetes provenientes del fabricante de equipos, firmas de contadores pblicos o compaas de software.

Supervisar la elaboracin de programas que permitan el desarrollo de la auditora interna.

Utilizacin de programas de auditora desarrollados por proveedores de equipo, que bsicamente verifican la eficiencia en el empleo del computar o miden la eficiencia de los programas, su operacin o ambas cosas.

Todos los programas o paquetes empleados en la auditora deben permanecer bajo estricto control del departamento de auditora. Por esto, toda la documentacin, material de pruebas, listados fuente, programas fuente y objeto, adems de los cambios que se les hagan, sern responsabilidad del auditor.

En aquellas instalaciones que cuentan con bibliotecas de programas catalogados, los programas de auditora pueden ser guardados utilizando contraseas de proteccin, situacin que sera aceptable en tanto se tenga el control de instrucciones necesarias para la recuperacin y ejecucin de los programas desde la biblioteca donde estn almacenados. Los programas desarrollados con objeto de hacer auditora deben estar cuidadosamente documentados para definir sus propsitos y objetivos y asegurar una ejecucin continua.



23

Cuando los programas de auditora estn siendo procesados, los auditores internos debern asegurarse de la integridad del procesamiento mediante controles adecuados como:

Mantener el control bsico sobre los programas que se encuentren catalogados en el sistema y llevar a cabo protecciones apropiadas.

Observar directamente el procesamiento de la aplicacin de auditora. Desarrollar programas independientes de control que monitoreen el procesamiento

del programa de auditora. Mantener el control sobre especificaciones de los programas, documentacin y

comandos de control. Controlar la integridad de los archivos que se estn procesando y las salidas

generadas.

Tcnicas avanzadas de auditora informtica

Pruebas integrales. Consisten en el procesamiento de datos de un departamento ficticio, comparando estos resultados con resultados predeterminados. En otras palabras, las transacciones iniciadas por el auditor son independientes de la aplicacin normal, pero son procesadas al mismo tiempo. Se debe tener especial cuidado con las particiones que se estn utilizando en el sistema para prueba de la contabilidad o balances, a fin de evitar situaciones anormales.

Simulacin. Consiste en desarrollar programas de aplicacin para determinar prueba y comparar los resultados de la simulacin con la aplicacin real.

Revisiones de acceso. Se conserva un registro computarizado de todos los accesos a determinados archivos; por ejemplo, informacin de la identificacin tanto de la terminal como del usuario.



24

Operaciones en paralelo. Consiste en verificar la exactitud de la informacin sobre los resultados que produce un sistema nuevo que sustituye a uno ya auditado.

Evaluacin de un sistema con datos de prueba.

Esta verificacin consiste en probar resultados producidos en la aplicacin con datos de prueba contra los resultados que fueron obtenidos inicialmente en las pruebas del programa (solamente aplicable cuando hacen modificaciones a un sistema).

Registros extendidos. Consisten en agregar un campo de control a un registro determinado, como un campo especial a un registro extra, que pueda incluir datos de todos los programas de aplicacin que forman parte del procesamiento de determinada transaccin, como en los siguientes casos.

Totales aleatorios de ciertos programas. Se consiguen totales en algunas partes del sistema para ir verificando su exactitud en forma parcial.

Seleccin de determinado tipo de transacciones como auxiliar en el anlisis de un archivo histrico.

Por medio de este mtodo podemos analizar en forma parcial el archivo histrico de un sistema, el cual sera casi imposible de verificar en forma total.

Resultados de ciertos clculos para comparaciones posteriores. Con ellos podemos comparar en el futuro los totales en diferentes fechas.



25

Las tcnicas anteriormente descritas ayudan al auditor interno a establecer una metodologa para la revisin de los sistemas de aplicacin de una institucin, empleando como herramienta el mismo equipo de cmputo. Sin embargo, actualmente se han desarrollado programas y sistemas de auditora que eliminan los problemas de responsabilidad del departamento de auditora, al intervenir en las actividades e informacin cuyo control corresponde estrictamente al departamento de informtica, lo cual proporciona una verdadera independencia al auditor en la revisin de los datos del sistema. En la actualidad, el auditor puede estar desarrollando algunas de sus funciones al intervenir en las redes de comunicacin interna.

El empleo de la microcomputadora en la auditora constituye una herramienta que facilita la realizacin de actividades de revisin como:

Trasladar los datos del sistema a un ambiente de control del auditor. Llevar a cabo la seleccin de datos. Verificar la exactitud de los clculos: muestreo estadstico. Visualizacin de datos. Ordenamiento de la informacin. Produccin de reportes e histogramas.

El auditor interno debe participar en el diseo general y especfico de los sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo con las polticas internas antes de que se comience la programacin del sistema. A continuacin se muestran ejemplos de formas tradicionales de evidencia que existen en un proceso manual y las maneras en que la computadora puede cambiarlas:



26

Transacciones originadas por personas y accesadas a un sistema para su proceso. En las aplicaciones computarizadas, pueden generarse automticamente. Por ejemplo, el sistema puede emitir automticamente una orden de reposicin cuando el inventario est a un nivel por debajo del punto de reordene. Sin la computadora se requera que una persona estuviera revisando y elaborara la orden de reposicin cuando el inventario estuviera abajo del mnimo ya establecido.

El registro manual de la informacin necesaria para originar una transaccin. En las aplicaciones computarizadas no se producen documentos impresos cuando la informacin es accesadas. Por ejemplo, un cambio hecho a las tarifas de nmina puede ser accesado a un archivo maestro de nminas computarizadas a travs de la red interna, sin dejar registro impreso del cambio, aunque se debe tener una clave de seguridad para poder accesarlo y llevar un registro histrico en el que se tenga la informacin sobre la persona y terminal en la que se acceso la informacin.

La revisin de transacciones por el personal, que deja constancia con sus firmas, iniciales o sellos en

los documentos para indicar la autorizacin del proceso. En las aplicaciones computarizadas la autorizacin puede ser automtica. Por ejemplo, una venta a crdito puede ser automticamente aprobada si el lmite de crdito previamente determinado no est excedido. Otros mtodos de autorizacin electrnica incluyen el acceso mediante claves de seguridad. Anteriormente se tenan firmas en donde ahora slo se tiene una clave o llave de acceso, que es equivalente a la autorizacin, dejando nicamente un registro (en el mejor de los casos) de la llave de acceso utilizada, el lugar donde se tuvo acceso y la hora y da en que fue autorizada.



27

Transporte de documentos de una estacin de trabajo a otra por personas, correos o servicios

similares de un lugar del negocio a otro sitio completamente distinto. Por estos medios se moviliza un documento fsicamente. En aplicaciones computarizadas, los datos pueden ser enviados electrnicamente. La informacin es transcrita, codificada, frecuentemente condensada y entonces enviada electrnicamente por lneas de comunicaciones, y al final queda un registro de cundo recibi la informacin el receptor.

Procesamiento manual. Generalmente, los documentos de las transacciones contienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones computarizadas, el proceso se efecta electrnicamente dentro de la memoria del computador mediante procedimientos programados y siguiendo reglas predeterminadas.

Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabilidad de error. En las aplicaciones computarizadas, el proceso puede ser extremadamente complejo debido a la velocidad y exactitud del computador. Por ejemplo, una compaa puede utilizar su computadora para calcular la efectividad de cientos de posibles horarios o cdula de produccin a fin de seleccionar el ms adecuado, mientras que en los mtodos manuales esto sera casi imposible.

Mantenimiento en manuales de informacin de naturaleza fija que es necesaria para el proceso,

como tarifas de nminas o precios de productos. En las aplicaciones computarizadas, esta informacin se almacena en medios computarizados o bien por medio de catlogos; en los mtodos manuales es difcil tener catlogos muy amplios y con actualizacin inmediata.



28

Listado de los resultados del proceso en documentos impresos, como cheques y reportes.

Frecuentemente, estos documentos contienen resultados de procesos intermedios. En las aplicaciones computarizadas el proceso puede no dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser transferidos electrnicamente. En algunos sistemas, la informacin rutinaria es retenida de manera que slo se recibe noticia de aquellas partidas que requieren accin.

Almacenamiento de documentos de entrada, proceso y salida en registro de archivo o similares.

Cuando la informacin es necesaria, puede localizarse y recobrarse manualmente del rea de almacenamiento fsico. En las aplicaciones computarizadas, la mayora de los archivos estn en medio magnticos. Deben utilizarse programas extractivos para recobrar la informacin de tales medios, los cuales son normalmente muy rpidos y exactos, por ejemplo, en el caso de bases de datos.

Uso de documentos impresos para construir el proceso. En los procesos manuales estos documentos contienen informacin fuente, firmas de autorizacin, mtodos de proceso y resultados de salida. Esta informacin usualmente es suficiente para construir la transaccin y rastrearla hacia totales de control o, a partir de stos, hasta el documento fuente. En las aplicaciones computarizadas, las pistas de auditora pueden verse fragmentadas, como frecuentemente ocurre en un ambiente de base de datos. Adems, gran parte de la informacin que servira de pista de auditora puede estar almacenada en medios computarizados. Las pistas de auditora computarizadas a menudo requieren entender las reglas de proceso del sistema y no siempre es obvio cules pasos del proceso se ejecutaron, en especial cuando el proceso computacional es complejo.



29

Uno o ms manuales de procedimientos que contienen informacin relativa a las transacciones del

sistema. Estos manuales guan a la gente en la circulacin y proceso de las transacciones. En las aplicaciones computarizadas, pueden ser incluidos en los sistemas mediante ayudas (help).

Revisin de procesos por personas, generalmente supervisores, para determinar su razonabilidad,

exactitud, totalidad y autorizacin. En las aplicaciones computarizadas, gran parte de este monitoreo es ejecutado automticamente mediante una lgica de programa predeterminada. Cada vez es ms difcil para la gente monitorear los procesos, conforme los sistemas computacionales estn ms integrados y son ms complejos y el ciclo del proceso acorta; al mismo tiempo, el nmero de usuarios y responsables de la informacin es mayor.

La divisin de tareas entre los empleados. En las aplicaciones computarizadas, la distribucin de deberes implica no slo la divisin de tareas entre los empleados, sino tambin la divisin de tareas entre los pasos del proceso automatizado. Por ejemplo, los programas computarizados pueden procesar diferentes partes de una transaccin en diversos lugares, y en ocasiones se requiere que tengan sistemas de seguridad de acceso a nivel sistema, dato o programa, como en el caso de los sistemas bancarios.

Proceso de grandes cantidades de datos que pueden requerir la repeticin o cruzamiento de

diversos elementos de la informacin. Esto es frecuentemente difcil y costoso en un sistema manual y slo se realiza cuando es necesario. En las aplicaciones computarizadas, grandes cantidades de datos pueden ser almacenadas en una base de datos. La velocidad y capacidades de proceso del computador hacen que esta informacin est disponible en el formato deseado. En un ambiente computarizado, son posibles los ms complejos anlisis y los usos secundarios de los datos.



30

8.4.2. Lectura 2. Normas y Comportamientos de los auditores de sistemas (Cdigo de tica

Profesional).

Normas de Auditora Generalmente Aceptadas

La existencia de las normas de auditora generalmente aceptadas (Generally Accepted Auditing Standars, GAAS) es evidencia de que los auditores estn muy interesados en el mantenimiento de una alta y uniforme calidad del trabajo de auditora por parte de todos los contadores pblicos independientes. Si cada contador pblico certificado posee un entrenamiento tcnico adecuado y realiza auditorias con habilidad, cuidado y juicio profesional, el prestigio de la profesin aumentar y el pblico le atribuir una creciente importancia a la opinin de los auditores que acompaa los estados financieros.

Aplicacin de las normas de auditora

Las 10 normas expuestas por el Instituto Americano de Contadores Pblicos Certificados, incluyen trminos de medicin tan subjetivos como planeacin adecuada, suficiente compresin del control interno, evidencia competente y suficiente y revelacin adecuada. Para decidir bajo las circunstancias de cada contrato de auditora lo que es adecuado, suficiente y competente se requiere el ejercicio del juicio por parte del auditor es vital en las diversas etapas de cada contrato. Sin embargo la formulacin y publicacin de las normas de auditora cuidadosamente redactadas son de inmensa ayuda para elevar la calidad del trabajo de auditora, aunque su aplicacin requiere el juicio profesional.



31

Capacitacin e idoneidad

Cmo logra el auditor independiente la capacitacin tcnica e idoneidad adecuada requerido por la primera norma general? Este requisito se interpreta generalmente como la educacin universitaria en contabilidad y auditora, la participacin en programas de educacin continuada y una experiencia sustancial en contadura pblica. El conocimiento tcnico de la industria en la cual opera el cliente hace parte tambin de las cualidades personales del auditor. De aqu concluye que la firma de CPA no debe aceptar un contrato de auditora sin determinar primero si los miembros de su personal profesional tienen idoneidad requerida para desempearse en forma efectiva en una industria particular.

Independencia

Una opinin dada por un contador pblico independiente sobre la razonabilidad de los estados financieros de una compaa es de valor cuestionable, a menos que el contador sea verdaderamente independiente. Consecuentemente la norma de auditora que establece que, en todos los asuntos relacionados con el trabajo, el auditor debe mantener una actitud mental de independencia es posiblemente el factor ms esencial en la existencia de la profesin de contadura pblica.

Si los auditores poseen acciones de capital en una compaa que ellos auditan, o si son miembros de la junta directiva, podran, inconscientemente, estar sesgados en el desempeo de los deberes de auditora.



32

Por consiguiente, el auditor debe evitar tener una relacin con un cliente que haga que una persona externa que tenga conocimiento de los hechos dude de la independencia del CPA. No es suficiente que los auditores independientes; ellos deben comportarse de tal manera que las personas informadas del pblico no tengan razn para dudar de su independencia.

Debido cuidado profesional

La tercera norma general exige un debido cuidado profesional al planificar y realizar la auditora, y en la preparacin del informe de auditora. Esta norma exige que los auditores planifiquen y cumplan cada paso del contrato de auditora en forma de alerta y diligente.

El cumplimiento total de esta norma descartara cualquier acto de negligencia u omisin importante por parte de los auditores. Por supuesto que es inevitable que los auditores, al igual que los miembros de otras profesiones, cometan errores de juicios ocasionales.

Normas sobre el trabajo de campo: acumulacin y evaluacin de evidencia

Las tres normas sobre el trabajo de campo se relacionan con la acumulacin y la evaluacin de evidencias suficientes que permitan a los auditores expresar una opinin sobre los estados financieros. Un tipo importante de evidencia es el conocimiento sobre el control interno del cliente. Al comprender y probar el control interno, los auditores pueden evaluar si ste ofrece la confiabilidad de que los estados financieros estarn libres de errores sustanciales y de fraude. Un segundo tipo importante de evidencia consiste en la informacin que respalda las cifras que aparecen en los estados financieros auditados. Dentro de los ejemplos de esa evidencia se incluyen confirmaciones escritas de personas externas e inspeccin fsica de los activos por parte de los auditores. La reunin y evaluacin de la evidencia se encuentra en el centro mismo del proceso de auditora y es un tema permanente a lo largo de este libro.



33

Planificacin y supervisin adecuada

La planificacin adecuada es esencial para una auditora satisfactoria. Algunas partes de la auditora pueden realizarse con anterioridad al final del ao objeto de la auditora; alguna informacin puede ser reunida por el personal del cliente y ponerse a disposicin de los auditores para su anlisis. El nmero de personas de auditora apropiado en los diversos niveles depende del tiempo de experiencia que posea cada persona y debe determinarse antes del trabajo de campo. Estos son apenas algunos de los elementos de la planeacin de la auditora.

La mayora del trabajo de campo de una auditora la realizan los miembros del personal profesional con experiencia limitada. La clave para utilizar exitosamente los miembros del personal profesional relativamente nuevos en una estrecha supervisin en cada nivel. Este concepto comprende desde la provisin de un especfico programa de auditora escrito para los miembros del personal profesional hasta la revisin global del trabajo por parte del socio encargado del contrato.

Compresin suficiente del control interno

El control interno efectivo brinda la seguridad de que puede confiarse en los registros del cliente y que sus activos estn protegidos. Cuando los auditores encuentran este tipo de control interno, la cantidad de evidencia requerida es mucho menor que si los controles son dbiles. Por tanto, la evaluacin que los auditores hagan del control interno tiene un gran impacto sobre el alcance y naturaleza del proceso de auditora.



34

Asuntos relacionados con la evidencia competente o vlida

La tercera norma del trabajo de campo exige que los auditores renan suficiente evidencia competente para tener una base y poder expresar una opinin sobre los estados financieros. El trmino competente se refiere a la calidad de la evidencia; algunas formas de evidencia son ms fuertes y convincentes que otras.

Normas sobre presentacin de informes

Las cuatro normas sobre presentacin de informes establecen algunas instituciones especficas para la preparacin del informe de los auditores. El informe debe establecer especficamente si los estados financieros concuerdan con los principios de contabilidad generalmente aceptados. El informe debe contener una opinin sobre los estados financieros como un todo, o debe abstenerse de dar una opinin. Debe suponerse consistencia en la aplicacin de los principios de contabilidad generalmente aceptados y la revelacin de informacin adecuada en los estados financieros, al menos que el informe de auditora establezca lo contrario.

Naturaleza de la tica

La tica se ha definido como el estudio del juicio moral y de las normas de conducta. Aunque la tica personal vara de un individuo a otro, en cualquier momento muchos ciudadanos dentro de una sociedad pueden llegar a un acuerdo sobre lo que se consideran los comportamientos tico y no tico. De hecho, una sociedad aprueba leyes que definen lo que los ciudadanos consideran como las formas ms extremas de un comportamiento carente de tica.

Pero gran parte de lo que se considera carente de tica en una sociedad particular, no est prohibido especficamente. Entonces, Cmo se sabe si se est actuando o no ticamente? Quin decide cules normas de conducta de conductas son apropiadas? Es tico cualquier tipo de conducta siempre que sta no viole una ley o regla de la profesin que se tiene?



35

Un buen punto de partida para considerar la tica es examinar el contexto en el cual surgen la mayora de las preguntas de tica: las relaciones interpersonales. Cualquier relacin entre dos o ms individuos trae consigo expectativas por parte de cada uno de los individuos involucrados. Ciertamente, la relacin entre un CPA y un cliente ofrece una diversidad de retos interesantes.

Marco de referencia para tomar decisiones ticas

Como punto de partida, considere la forma como la gente toma decisiones en general. Ciertamente, muchas decisiones requieren poca reflexin consciente. El cordn del calzado suelto es amarrado rpidamente. El bolgrafo desechable que escribe mal, se descarta y reemplaza rpidamente. Sin embargo, cuando los resultados de la decisin tienen consecuencias ms significativas, generalmente se utiliza un proceso de decisin formal. Los pasos involucrados al tomar cualquier decisin incluyen:

1. Identificar el problema 2. Identificar cursos de accin posible 3. Identificar las relacionadas con la decisin 4. Analizar los efectos probables de los cursos de accin posibles 5. Seleccionar el mejor curso de accin

Diversos marcos de referencia han sido propuestos para considerar los dilemas ticos. Sin embargo dado que casi cualquier decisin a la que se enfrenta un CPA tiene una dimensin tica, parecera apropiado analizar los dilemas ticos utilizando el marco de referencia general para la toma de decisiones descrito antes.



36

Necesidad de la tica Profesional

Todas las profesiones reconocidas tienen diversas caractersticas comunes. Las caractersticas ms importantes son: a) la responsabilidad de servir al pblico, b) un complejo conjunto de conocimientos, c) normas para la admisin en la profesin y d) la necesidad de la confianza pblica. Analicemos brevemente estas caractersticas, en la medida en que se aplican a la contadura pblica.

Responsabilidad del servir al pblico

El contador pblico certificado es un representante del pblico de acreedores, accionistas, consumidores, empleados y otros en el proceso de informes financieros. El papel del auditor independiente es asegurar que los estados financieros son razonables para todas las partes y no estn sesgados para beneficiar a un grupo a costa de otro. Esta responsabilidad de servicio del inters pblico debe ser una motivacin bsica para el profesional. Los contadores pblicos deben conserva un alto grado de independencia de sus clientes, si han de servir a la comunidad ms grande. La independencia es posiblemente el concepto ms importante involucrado en el Cdigo de Conducta Profesional en la contadura pblica.

Complejo conjunto de conocimientos

Cualquier profesional o estudiante de contadura solamente tiene que mirar la abundancia de pronunciamientos autorizados que rigen los informes financieros para darse cuenta de que la contabilidad es un complejo conjunto de conocimientos. Una razn por la cual esos pronunciamientos continan proliferando es que en un entorno cada vez ms complejo.



37

El crecimiento continuo en el conjunto de conocimientos comn de la prctica de los contadores ha llevado al AICPA a reglamentar requisitos de educacin continuada para los CPA. La necesidad de una competencia tcnica y de la familiaridad con las normas actuales de la prctica est contenida en el Cdigo de Conducta Profesional.

Normas para la admisin en la profesin

La obtencin de una licencia para ejercer como contador pblico certificado exige que el individuo satisfaga estndares mnimos de educacin y experiencia. El individuo debe aprobar tambin el examen uniforme para los CPA, que muestra el dominio del conjunto de conocimientos descrito arriba. Una vez licenciados, los contadores pblicos certificados deben adherirse a la tica de la profesin o arriesgarse a recibir una accin disciplinaria.

Necesidad de la confianza pblica

Los mdicos, abogados, contadores pblicos certificados y todos los dems profesionales deben tener la confianza del pblico para ser exitosos. Sin embargo, para el CPA la confianza del pblico es muy importante. El producto del CPA es la credibilidad. Sin la confianza del pblico en el atestado, la funcin de atestar no cumple un propsito til.

RESPONSABILIDAD DE LOS AUDITORES ANTE SUS CLIENTES BAJO LA LEY COMN

Cuando los CPA aceptan cualquier tipo de contrato, estn obligados a prestar debido cuidado profesional. Esta obligacin existe aunque sta haya sido expresada o no en el contrato por escrito con el cliente, que ordinariamente es la compaa misma, en contraste con los accionistas. La responsabilidad de los CPA frente a los clientes puede ser basada en a) incumplimiento del contrato, b) una accin por responsabilidad extracontractual por negligencia, o c) ambos. Aunque existen diferencias legales entre el incumplimiento del contrato y las acciones de responsabilidad extracontractual, en general para establecer las responsabilidades de un CPA, un cliente debe demostrar:



38

1. Deber: el CPA acept el deber de cuidar el ejercicio de su labor con habilidad, prudencia y diligencia

2. Quebrantamiento del deber: el CPA quebrant su deber de cuidado mediante desempeo negligente.

3. Prdida: el cliente sufri prdida 4. Causa prxima: la prdida fue el resultado del desempeo negligente del CPA

La responsabilidad de los auditores con los clientes surge con frecuencia de una incapacidad de descubrir una malversacin o desfalco perpetuado contra el cliente por sus empleados. Un cliente que ha sufrido prdidas puede acusar a los auditores de negligencia, al no descubrir el plan engaoso o ardid, y demandar a los auditores por la cuanta de la prdida. El factor clave al determinar si los auditores fueron incapaces de descubrir el fraude. Si esta incapacidad origin en la negligencia de los auditores.



39

8.5. AUTOEVALUACION

8.5.1. Trabajo Grupal Preguntas de Repaso

1. En qu consiste la aplicacin de las normas de auditora? 2. En qu consiste la compresin suficiente del control interno? 3. Defina la naturaleza de la tica? 4. Mencione los pasos involucrados al momento de tomar cualquier decisin? 5. Cules son las caractersticas ms comunes en la tica profesional? 6. En qu consiste la responsabilidad del servir al pblico? 7. Qu debe demostrar un cliente ante la responsabilidad de un CPA? 8. En qu consiste los asuntos relacionados con la evidencia competente o

vlida? 9. Qu debe contener el informe segn las normas sobre presentacin de

informes?

10. Qu significa el trmino consistencia?

8.5.2. Trabajo Individual Defina los siguientes trminos:

1. tica

2. Planeacin

3. Evidencia

4. Independencia

5. Capacitacin

6. Idoneidad

7. Cumplimiento

8. Normas

9. Planificacin

10. Supervisin



40

9. Mdulo 2. Conceptos Generales de Sistemas

9.1 Contenido del Mdulo

UNIDAD 1. Explicacin de la Administracin de un departamento de tecnologa. UNIDAD 2. Explicacin del control de los accesos lgicos y fsicos

9.2 Objetivos Especficos del Mdulo


Garantizar que los usuarios no puedan obtener acceso a datos o programas confidenciales sin previa autorizacin.




41

9.3 Esquema Conceptual del Mdulo

CONCEPTOS

GENERALES DE

Estrategias de

Administracin y

Accesos lgicos a los

sistemas

Accesos fsicos a los

equipos de tecnologa



42

9.4 LECTURAS

9.4.1. Lectura 1. Explicacin de la administracin de un departamento de tecnologa.

Recopilacin de la Informacin Organizacional

Una vez elaborada la planeacin de la auditora, la cual servir como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditora, se debe empezar la recoleccin de la informacin. Para ellos se proceder a efectuar la revisin sistematizada del rea, a travs de los siguientes elementos:

A) Revisin de la estructura orgnica:

Jerarquas (definicin de la autoridad lineal, funcional y de asesora). Estructura orgnica. Funciones

Objetivos.

B) Se deber revisar la situacin de los recursos humanos. C) Entrevistas con el personal de procesos electrnicos:

Jefatura Anlisis Programadores Operadores Personal de bases de datos Personal de comunicacin y redes Personal de mantenimiento



43

Personal administrativo Responsable de comunicaciones Responsable de Internet e Intranet Responsable de redes locales o nacionales Responsables de sala de usuarios. Responsables de capacitacin.

D) Se deber conocer la situacin en cuanto a:

Presupuesto Recursos financieros Recursos materiales

Mobiliario y equipo Costos

E) Se har un levantamiento del censo de recursos humanos y anlisis de situacin en cuanto a:

Nmero de personas y distribucin por reas. Denominacin de puestos y personal de confianza y de base (sindicalizado y no

sindicalizado). Salario y conformacin del mismo (prestaciones y adiciones) Movimientos salariales.

Capacitacin (actual y programa de capacitacin) Conocimientos Escolaridad Experiencia profesional Antigedad (en la organizacin, en el puesto y en puestos similares fuera de la

organizacin) Historial de trabajo



44

ndice de rotacin del personal Programa de capacitacin (vigente y capacitacin otorgada en el ltimo ao)

F) Por ltimo, se deber revisar el grado de cumplimiento de los documentos administrativos:

Organizacin Normas Polticas Planes de trabajo Controles Estndares Procedimientos.

La informacin nos servir para determinar:

Si las responsabilidades en la organizacin estn definidas adecuadamente. Si la estructura organizacional est adecuada a las necesidades. Si el control organizacional es el adecuado Si se tienen objetivos y polticas adecuadas, si se encuentran vigentes y si estn

bien definidas. Si existe la documentacin de las actividades, funciones y responsabilidades. Si los puestos se encuentran definidos y sealadas sus responsabilidades. Si el anlisis y descripcin de puestos est de acuerdo con el personal que los

ocupa. Si se cumplen los lineamientos organizacionales. Si el nivel de salarios est de acuerdo con el mercado de trabajo Si se tiene un programa de capacitacin adecuado y si cumple con l. Si los planes de trabajo concuerdan con los objetivos de la empresa.



45

Si se cuentan con los recursos humanos necesarios que garanticen la continuidad de la operacin o si se cuenta con los indispensables.

Si se evalan los planes y se determinan las desviaciones. Si se cumple con los procedimientos y controles administrativos.

La organizacin debe estar estructurada de tal forma que permita lograr eficiente y eficazmente los objetivos, y que esto se logre a travs de una adecuada toma de decisiones.

Una forma de evaluar la forma en que la gerencia de informtica se est desempeando es mediante la evaluacin de las funciones que la alta gerencia debe realizar:

Planeacin. Determinar los objetivos del rea y la forma en que se van a lograr estos objetivos.

Organizacin. Proveer de las facilidades, estructura, divisin del trabajo, responsabilidades, actividades de grupo y personal necesario para realizar las metas.

Recursos humanos. Seleccionando, capacitando y entrenando al personal requerido para realizar metas.

Direccin. Coordinando las actividades, proveyendo liderazgo y gua, y motivando al personal.

Control. Comparando lo real contra lo planeado, como base para realizar los ajustes necesarios.



46

Principales planes que se requieren dentro de la organizacin de informtica

Estudio de viabilidad

Investiga los costos y beneficios de los usos a largo plazo de las computadoras, y recomienda cundo debe o no usarse. En caso de requerirse el uso de la computacin, sirve para definir el tipo de hardware, el software y el equipo perifrico y de comunicacin necesarios para lograr los objetivos de la organizacin.

El estudio de la viabilidad consiste en la evaluacin para determinar, primero, si la computadora puede resolver o mejorar un determinado procedimiento, y, segundo, cul es la mejor alternativa. Para lograr esto se deben de contestar una serie de preguntas, entre las cuales estn las siguientes:

La computadora resolver o mejorar los procedimientos, funciones o actividades que se realizan?

La computadora mejorar la informacin para lograr una adecuada toma de decisiones?

El costo de la informtica proporcionar una adecuada tasa de retorno?(En este caso, uno de los mayores problemas es el de evaluar los intangibles)

Cul es el periodo de recuperacin de la inversin? Cul es la relacin costo-beneficio que se obtendr? Se debe desarrollar un nuevo sistema o adquirir una nueva computadora, o

bien hacer cambios al sistema actual o actualizar el sistema de cmputo? Se debe comprar o elaborar internamente los nuevos sistemas o las

adecuaciones? Se deben comprar los equipos, rentar o rentar con opcin a compra? Se deben hacer cambios estructurales en la organizacin para lograr el

incremento en las capacidades de procesamiento? Qu prioridad tiene el proyecto y para cundo debe ser realizado?



47

Qu caractersticas tiene el sistema actual? Cules son las reas potenciales en que se usar el nuevo sistema? Cules son las fortalezas y debilidades del sistema actual? Cules son los recursos adicionales que se requerirn? Cul es el impacto a informtica a largo plazo? Cules son las restricciones que deben considerar? Cul es el proyecto (PERT) que tiene para su implementacin?

Despus de contestar estas preguntas, se debe elaborar un manual de especificaciones para ser distribuido al personal de informtica, a los vendedores o asesores, para que les sirva de base para la contratacin, elaboracin o compra, y como gua de referencia y control del proyecto.

Planeacin de cambios, modificaciones y actualizacin

Especifica las metas y actividades que se deben realizar para lograr los cambios y modificaciones, su independencia, tiempos, responsables y restricciones, cuando la organizacin toma la decisin de hacer cambios sustanciales de software, hardware, comunicacin o equipos perifricos.

Algunas de las actividades tpicas en este plan son: Especificacin completa de hardware, software, comunicacin, equipos perifricos. Evaluacin y seleccin. Planeacin fsica y preparacin del lugar. Pruebas finales de aceptacin. Envo e instalacin. Participacin del auditor interno y de los usuarios. Diseo de la estructura organizacional en caso de que se vea afectada.



48

Plan maestro

El plan maestro o plan estratgico de una instalacin informtica define los objetivos a largo plazo y las metas necesarias para lograrlo. Una de las principales obligaciones del rea de gerencia en informtica es la construccin de un plan maestro. El plan maestro debe contener los objetivos, metas y actividades generales a realizar durante los siguientes aos, incluyendo los nuevos sistemas que se pretenden implementar. Puede comprender un periodo corto o largo, dependiendo de las caractersticas y necesidades de la organizacin, y de lo cambiante de los sistemas. Una organizacin consolidada posiblemente requiera un plan maestro o ms largo plazo que una organizacin de reciente creacin.

El plan maestro puede comprender cuatro subplanes:

A) El plan estratgico de organizacin. Incluye objetivos de la organizacin a largo plazo, el medio ambiente, los factores organizacionales que sern afectados, as como sus prioridades, el personal requerido, su actualizacin, desarrollo y capacitacin.

B) El plan estratgico de sistemas de informacin. Se debe elaborar el plan estratgico y los objetivos planteados a largo plazo dentro de un plan estratgico de informacin, y las implicaciones que tendr dentro de la organizacin en general y en la organizacin de informtica.

C) El plan de requerimientos. Define la arquitectura necesaria para lograr los objetivos planteados.



49

D) El plan de aplicaciones de sistemas de informacin. Define los sistemas de aplicaciones que se desarrollarn, asociados con las prioridades y con el periodo en que sern implantados:

Adquisicin o desarrollo de sistemas y su programa de trabajo. Planeacin de desarrollo y capacitacin del personal necesario, o bien su

contratacin. Recursos financieros que se necesitarn. Requerimientos de facilidades. Requerimientos de cambios en la organizacin.

Plan de proyectos

Consiste en el plan bsico para desarrollar determinado sistema y para asegurarse que el proyecto es consistente con las metas y objetivos de la organizacin y con aquellos sealados en el plan maestro. Es importante que este plan no slo contemple los sistemas, sino tambin las prioridades y el momento en el cual se desarrollarn los sistemas.

Un plan de proyectos debe contener las actividades bsicas para poder lograr un determinado proyecto. Las principales tareas que deben estar especificadas dentro de un plan de proyecto son:

Identificar las tareas a realizar. Identificar las relaciones entre tareas. Determinar las restricciones de tiempo de cada tarea del proyecto. Determinar los recursos necesarios para cada tarea. Determinar cualquier otra restriccin que se tenga. Determinar la secuencia de actividades.



50

Plan de seguridad: seguros, contingencias y recuperacin en caso de siniestro

Una instalacin de informtica est expuesta a sufrir un desastre por muchas razones: huracanes, fuego, inundaciones, terremotos, sabotaje, fraude, problemas del equipo. Se debe tener un plan que permita eliminar en lo posible la ocurrencia de un desastre o de prdida por causas internas o externa a la organizacin. Se debe contar con una adecuada planeacin sobre los seguros que se deben tener en caso de ocurra un desastre la instalacin s e encuentre en funcionamiento en el menor tiempo posible y con el menor impacto para la organizacin.



51

9.4.2. Lectura 2. Explicacin del Control de los accesos lgicos y fsicos.

Evaluacin del Diseo Lgico del Sistema

En esta etapa se debern analiza las especificaciones del sistema:

Qu deber hacer? Cmo lo deber hacer? Cul es la justificacin para que se haga de la manera sealada? Cul es la secuencia y ocurrencia de los datos? La definicin del proceso. Los archivos y bases de datos utilizados. Las salidas y reportes.

Una vez hemos analizado estas partes se deber estudiar la participacin que tuvo el usuario en la identificacin del nuevo sistema, la participacin de auditora interna en el diseo de los controles y la determinacin de los procedimientos de operacin y decisin.

Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo que realmente se est obteniendo: como en el caso de la administracin, en la cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se est obteniendo (lo real).

Programas de desarrollo.

Los programas de desarrollo incluyen software que slo puede ser usado por el personal que ha tenido entrenamiento y experiencia; este software incluye:



52

A) Lenguajes de programacin:

Lenguaje de mquina Ensambladores De tercera generacin De cuarta generacin:

o 4GLS. o Query languages. o Generadores de reportes o Lenguajes naturales o Generadores de aplicaciones

B) CASE (Computer aided software engineering) C) Programacin orientada a objetos.

Al utilizar un determinado software se debe evaluar lo siguiente:

Interfaces de usuario grfico, para poder disear pantallas y reportes agradables y visuales.

Enlace de objetos en los sistemas de informacin. Esto nos permite unir determinados objetos dentro de un documento, por ejemplo, unir un procesador de palabra con una hoja de clculo, o bien unir informacin de un programa o sistema a otro programa o sistema.

Capacidad de trabajar en multiplataforma. Capacidad de trabajar en redes. Licencias. Verificar el tipo de licencia que se puede contratar (individual,

mltiple, corporativa). Transportable Compatible con otro software. Compatible con perifricos.



53

Fcil de usar. Grado de sofisticacin Capacidad de utilizacin en red. De fcil instalacin. Demanda de hardware. Requerimientos de memoria. Costo Seguridad y confidencialidad.

Bases de datos

El banco de datos es el conjunto de datos que guardan entre s una coherencia temtica independiente del medio de almacenamiento. La cantidad de informacin que contiene un banco de datos suelen ser muy grande, del orden de millones de datos. Se considera que una base de datos es la organizacin sistemtica de archivos de datos para facilitar su acceso, recuperacin y actualizacin, los cuales estn relacionados unos con otros y son tratados como una entidad. Puede decirse que una base de datos es un banco de datos organizado como un tipo estructurado de datos.

El DBMS (sistema de administracin de bases de datos) es un conjunto de programas que permite manejar cmodamente una base de datos, o sea: El conjunto de facilidades y herramientas de actualizacin y recuperacin de informacin de una base de datos.

1

1 Antonio Vaquero y Luis Jopnes, Informtica: glosario de trminos y siglas, McGraw-Hill.



54

En las bases de datos se debe evaluar:

La independencia de los datos. Muchos de los programas elaborados internamente eran dependientes de los archivos creados por ellos mismos, o sea que carecan de independencia. La falta de independencia significa que cada vez que un archivo es cambiado, todo programa accesa a ese archivo debe ser cambiado.

Redundancia de los datos. Se deben evitar las redundancias en la base de los datos.

Si tuvisemos el nombre completo de los alumnos en cada una de las bases de datos en las que se acceso, la cantidad de datos redundantes sera muy alta.

Consistencia de los datos. El problema de redundancia en los datos no slo provoca que se ocupe demasiado espacio en los discos, sino que tambin puede causar el problema de inconsistencia en los datos, ya que se puede cambiar un archivo pero omitirse en algn otro de los archivos.

Un sistema de base de datos es un conjunto de programas que:

Almacena los datos en forma uniforme y de manera consistente.

Organiza los datos en archivos en forma uniforme y consistente.

Permite el acceso a la informacin en forma uniforme y consistente.

Elimina la redundancia innecesaria en los archivos.



55

Los componentes a evaluar dentro de una base de datos son:

Diccionario/ directorio de datos.

Lenguajes de datos( lenguajes de descripcin de datos: DDL; lenguajes de manipulacin de datos: DML)

Monitoreo de teleproceso.

Herramientas de desarrollo de aplicaciones.

Software de seguridad.

Sistemas de almacenamientos, respaldo y recuperacin.

Reporteadores.

Query languages (structured query language: SQL; natural language queries, query by example: QBE).

Base de datos de multiplataforma.

Web server software (World Wide Web: www).

El ADMINISTRADOR DE BASE DE DATOS

El desarrollo de las bases de datos ha creado la necesidad dentro de la organizacin de contar con un organismo encargado de administrar las bases de datos, cuyas funciones son las de plantear, disear, organizar, operar, entrenar, as como dar soporte a los usuarios, seguridad y mantenimiento.

Dentro de las funciones de este organismo estn las de tener relaciones con la alta administracin, los analistas de sistemas, los programadores de aplicaciones, los usuarios y los programadores de sistemas.



56

Los modelos de base de datos pueden ser:

Jerrquicos.

De redes.

Relacionales.

Orientados a objetos.

Entre las ventajas del sistema de base de datos se encuentras: Compartir datos.

Reduccin de la consistencia de los datos.

Independencia de datos.

Incrementa la productividad del programador de aplicaciones y de usuarios.

Mejora el control y la administracin de los datos. Incrementa el nfasis de los datos como un recurso. Aumenta la importancia de la

informacin como parte fundamental de la administracin.

Problemas de los sistemas De administracin de bases de datos

Cuando varios usuarios utilizan una base de datos, pueden existir problemas si no fue diseada para usuarios mltiples. Uno de estos problemas surge cuando no existe un control sobre la actualizacin inmediata. Esto significa que dos o ms usuarios pueden estar elaborando cambios al mismo archivo en el mismo momento, y no existe control sobre la actualizacin inmediata de los archivos. Este tipo de problemas existe principalmente en las bases de datos de computadoras personales, ya que los grandes sistemas tienen control sobre las actualizaciones inmediatas.



57

Tambin pueden existir problemas en el uso de recursos excesivos de cmputo, lo cual se agrava si no se tiene un mantenimiento constante sobre las bases de dato Problemas de seguridad. Las bases de datos debe de tener suficiente control para que se asegure que slo personal autorizado pueda acceder datos, y se debe definir el tipo de usuario que pueda adicionar, dar de baja, actualizar o acceder datos dependiendo de su llave, as como el usuario propietario de la base de datos.

COMUNICACIN

Se debe evaluar el modo de comunicacin y el cdigo empleado. Los diferentes modos de comunicacin varan dependiendo del tipo de informacin que transmitimos y el costo del medio empleado.

El medio de comunicacin es tambin un factor importante a evaluar, y ste depender de la velocidad y capacidad de transmisin, lo cual est directamente relacionado con el costo (cables trenzados, cable coaxial, fibra ptica, microondas, ondas de radio, infrarrojas).

Los componentes ms comunes dentro de un sistema de comunicacin son:

Servidor y husped.

Terminal o estacin de trabajo. Convertidores de protocolo.

Mdem.

Equipo de conexin de terminales.

Modo de comunicacin.

Medio de comunicacin.

Topologa de las redes.



58

De punto o estrella y topologa jerrquica. Mutidrop o bus y ring.

Mesh.

Sin cables (wireless). Tipo de Redes:

Local.

Wide area networks ( WAN). Enterprise.

Internacional.

En general las redes pueden ser caras y pueden crear complicaciones en el sistema de informacin, pero pueden ser justificables por alguna o varias de las siguientes razones:

Compartir perifricos.

Compartir archivos.

Compartir aplicaciones.

Reducir costos de adquisicin, instalacin y mantenimiento de software.

Conexin con otras redes.

Captura de datos en lugares que son de informacin

Aumentar productividad.

Permitir expansin.

Disminuir tiempo de comunicacin.

Aumentar control.

Seguridad.



59

Los puntos a revisar en las redes son:

Confiabilidad de las redes. Un sistema con redes que estn constantemente cadas , o que no sea confiable, provoca muchos problemas a la organizacin y cuestiona su funcionamiento.

Tiempo de repuesta. Una red que sea lenta en sus operaciones, provoca que los usuarios la eviten o no la utilicen. Entre los problemas que puede ocasionar esa lentitud estn:

La distancia que tiene que recorrer y la forma en que se transmite.

La cantidad de trfico en la red.

La capacidad de os canales de comunicacin.

Factores externos a la red, como puede ser la estructura de las bases de datos.

Costo de la red.

Compatibilidad con otras redes.

Seguridad en las redes.

Los puntos a evaluar en el diseo lgico del sistema son:

Entradas.

Salidas.

Procesos.

Especificaciones de datos.

Especificaciones de proceso.

Mtodo de acceso.

Operaciones

Manipulaciones de datos (antes y despus del proceso electrnico de datos). Proceso lgico (necesario para producir informes).



60

Identificacin de archivos, tamao de los campos y registros.

Proceso en lnea o lote y su justificacin. Frecuencia y volmenes de operacin.

Sistema de seguridad.

Sistema de control.

Responsables ( tipos de usuarios, identificando los usuarios propietarios de la informacin)

Nmero de usuarios.

Software necesario.

Base de satos requeridos

En caso de redes determinar su tipo y caractersticas.

INFORMES

Cuando se analiza un sistema de informtica es muy comn pensar exclusivamente en la parte relacionada con la informtica, olvidndonos de que un sistema comprende desde el momento que se genera un dato, as como su procesamiento, retroalimentacin y salida. Es muy comn que solamente se evalu el procesamiento de la informacin y su almacenamiento dejando fuera la evaluacin de aquello que es el inicio del sistema, el seguimiento administrativo y la obtencin de los reportes y salidas de informacin. Lo que debemos determinar en el sistema es:

En el procedimiento:

Quin hace la funcin, cundo y cmo? Qu forma se utilizan en el sistema? Son necesarios, se usan, estn duplicadas?

El nmero de copias es el adecuado?

Existen puntos de control o faltan?



61

En la grfica de flujo de informacin:

Es fcil de usar?

Es lgica?

Se encontraron lagunas?

Hay faltas de control?

En las formas de diseo:

Cmo est usada la forma en el sistema?

Qu tan bien se ajusta la forma al procedimiento? Cul es el propsito, por qu se usa?

Se usa y es necesaria?

El nmero de copias es el adecuado?

Quin lo usa?

Entre los elementos a revisar en el diseo de forma estn:

Numeracin. Est numerada la forma? Es necesaria su numeracin? Est situada en un solo lugar fcil de encontrar? Cmo se controlan las hojas numeradas y su utilizacin?

Ttulo. Da el ttulo de la forma va ser mecanografiada, hay suficiente espacio para escribir a mquina rpidamente, con exactitud y eficiencia? Si la forma llenar a mano, Hay el espacio adecuado para que se escriba en forma legible?



62

Tabulacin. Si la forma va sr mecanografiado, permite su tabulacin llenarla uniformemente? Es la tabulacin la mnima posible? Una excesiva tabulacin disminuye la velocidad y eficiencia para llenarla. Adems le da una apariencia desigual y confusa.

Zona. Estn juntos los datos relacionados entre s? Si los datos similares estn agrupados por zonas, todas las personas que usan la forma ahorran tiempo. La informacin similar reunida por zonas hace ms fcil su referencia, se mecanografa ms eficientemente y se revisa con ms rapidez. Posteriormente, se debe verificar que las zonas de las formas que sean utilizadas para capturar estn situadas de manera congruente con el diseo de las pantallas de captura.

Rayado. Da la forma una apariencia desordenada y difcil de entender por el uso confuso y excesivo de lneas delgadas, gruesas o de doble raya?

Instrucciones. Se le dice al usuario cmo debe llenar la forma? Formas auto instructivas o que suministran la informacin de cmo llenarlas permiten que el personal nuevo y los otros trabajen con supervisin y errores mnimos. De no ser as, existe un manual de llenado de formas, el cual se debe revisar para ver si las instrucciones son claras, si son congruentes con la forma y si son excesivas, ya que un diseo excesivo de instrucciones puede provocar confusin y hacer que esta sean poco claras.

Firmas. Existe suficiente espacio para una firma legible? Est el espacio debidamente identificado respecto a la firma que se solicita? La firma se utiliza como un mero trmite o realmente controla la persona que firma lo que se est firmando?

Nombres. Se usan los nombres de los puestos en lugar del nombre del individuo en la forma? No es conveniente imprimir nombres de personas debido a l rotacin de personal.

Encabezados ambiguos. Se indica con exactitud qu fechas, qu nmeros o qu firmas se requieren? Se deben evitar encabezados dudosos o ambiguos.



63

Rtulos. Son demasiados llamativos? Son demasiado discretos? Existe un adecuado contraste entre rtulos y los textos respecto a su tamao, color y ubicacin, par que los datos solicitados sean identificados fcilmente?

Ubicacin de los Rtulos. Estn los rtulos o encabezados debajo de la lnea en donde se debe mecanografiar? Esto causa prdida de tiempo, porqu la mecangrafa tiene que mover el carro para ver el rtulo y acomodarlo nuevamente para escribir la informacin deseada.

Casilleros. Se usan pequeos espacios enmarcados () para con una sola indicacin reducir escritos largos o repetitivos? Los espacios son suficientes o excesivos?

Tipo de papel. Son peso y calidad del papel apropiado para esa forma? Use papel ms pesado y de mejor calidad para aquellas formas que requieren un manejo excesivo. Use papel de menor peso con formas que se usen poco, para reducir costo y espacio e los archivos.

Tamao estndar. Tiene la forma un tamao estndar? El tamao estndar se ajusta a sobres y archivos estndar. Adems reduce existencia de papel, manejo, tiempo y costo de impresin. Se debe considerar que el costo del papel que no es de tamao estndar es considerablemente mayor que el de tamao estndar.

Color. Permite el contraste del color del papel una lectura eficiente? Las formas en colores, como el anaranjado, el verde, el azul, el gris, etc., en tonos oscuros, son difciles de leer porque no ofrecen suficiente contraste entre la impresin (negro) y el papel. Ciertos colores brillantes cansan la vista. Se deben tener cuidado tanto en el color de la tinta, las copias deben estar identificadas de acuerdo con el color.



64

ANLISIS DE INFORMES

Una vez se han estudiado los formatos de entrada debemos analizar los informes para posteriormente evaluarlos con la informacin proporcionada por la encuesta a los usuarios. Como ejemplo de la descripcin de los informes. Despees de describir el contenido de los informes se debe tener el anlisis de datos e informacin.

RUIDO, REDUNDANCIA, ENTROPA

En la auditora de sistemas hay que estudiar la redundancia, el ruido y la entropa que tiene cada uno de los sistemas. En primer lugar, debemos considerar como comunicacin:

La transferencia de informacin del emisor al receptor de manera que ste la comprenda.

El ruido es todo aquello que interfiere en una deuda adecuada comunicacin; no solamente, los sonidos sino todo aquello que impida la adecuada comunicacin Koontz/ O Donnel define el ruido como:

Cualquier cosa (sea en el emisor, en la transmisin o en el receptor) que obstaculiza la comunicacin.

As, por ejemplo, si una persona encuentra jugando, sin hacer necesariamente algn sonido, en el momento que otra est hablando se considera como tipo de ruido para el sistema.



65

En caso de un sistema computarizado, el error es una captura, una pantalla de la terminal demasiado llena de informacin y poco entendible o un reporte inadecuado se debe considerara como ruido en el sistema, ya que impiden una buena comunicacin de la informacin. En el caso de los sistemas se deben evaluar los que se conocen como sistema amigable, lo cual significa:

Que tenga la ayuda necesarias para el caso de alguna duda (help). Que contenga los catlogos necesarios para el caso de referencias. Que tenga las ligas con otros sistemas para obtener informacin o para consulta (conexin

automtica a otras bases de datos o redes). Que la informacin sea solicitada en forma secuencial y lgica. Que sea de fcil lectura y, en su caso, escritura. Que sea rpido, gil, y que contenga una limpieza que permita una fcil visualizacin.

La redundancia es toda aquella duplicada que tiene el sistema con la finalidad de que, en caso de que exista ruido, permita que la informacin llegue al receptor en forma adecuada. Podemos enviar un mensaje de la forma siguiente:

Lleg por avin el da martes 32 de octubre de 2000 del presente ao, a las 16:00 hrs. De la tarde a la ciudad de Cancn, Quintana Roo, Mxico. En el mensaje anterior tenemos excesiva redundancia debido a que el 31 de octubre de 2000 es martes y si estamos en 2000 es del presente ao. Las 16:00 hrs. Siempre sern de la tarde y la ciudad de Cancn est slo en el estado de Quintana Roo, Mxico. En cambio puede ser incompleta, ya que no se especifica la lnea area ni el vuelo en que llegar.



66

La redundancia puede ser conveniente en el caso de que haya que cerciorarse de que la informacin se recibe correctamente. Esto estar en funcin de lo delicada que sea la informacin y del riesgo que se corre en caso de una prdida total o parcial de la misma. Un ejemplo de redundancia dentro de las mquinas es el BIT de paridad, el cual permite que en caso de prdida de un BIT, se pueda recuperar la informacin que contiene el byte.

La redundancia es una forma de control que permite que, aunque exista ruido, la comunicacin pueda llevarse a cabo en forma eficiente; deber haber mayor redundancia entre ms arriesgada, costosa o peligrosa sea la prdida de informacin, aunque a la vez, debemos estar conscientes de que el exceso de redundancia puede provocar

manual-auditoria de sistemas i

Documents

trabajo grupal

trabajo colaborativo

trabajo individual

herramienta de trabajo

papeles de trabajo

objetivos especficos

istmo manual

esquema conceptual