2011 ii cap 08 - auditoria de la explotacion

Auditoria de la

Explotación

Facultad de Ingeniería de Sistemas

Generalidades

La competencia obliga a sus directivos a tomar decisiones rápidas y

acertadas. • Es necesario que el sistema que suministre la información funcione

adecuadamente.

Sistema de Información

Normas

Control

Proceso

Personal Datos

SalidaEntradas


Según COBIT: • Datos

Datos tanto los estructurado s como los no estructurados, las imágenes, los sonidos, etc.

• Aplicaciones Se incluyen las aplicaciones manuales y las informáticas.

• Infraestructura Tecnologías y las instalaciones que permiten que se procesen las

aplicaciones. • Personal

Los conocimientos específicos del personal de los sistemas de información para planificarlos, organizarlos, administrarlos y gestionados.


Adoptar las normas de ISACA (Information Systems Audit and Control

Association - Asociación de Auditoría y Control de Sistemas de

Información), así como otras Normas de Auditoría de Sistemas de

Información Aplicables y Generalmente Aceptadas (NASIAG).

Normas Técnicas de Auditoría de S.I.

La auditoría de los Sistemas de Informacion abarcan la revisión y

evaluación de los recursos y actividades de los sistemas de

información automatizados incluidos los procedimientos no

automáticos relacionados con estos sistemas y las interfaces

correspondientes. • Se requieren que se desarrollen y se promulguen Normas Generales de

Auditoría de Sistemas de Información.

• Se tiene la consideración de Normas de Auditoría de Sistemas de

Información Generalmente Aceptadas (NASIGA).


Organismos que promulgan normas : • ISACA (Information System Audit and Control Association) • ICAC (Instituto de Contabilidad y Auditoría de Cuentas) • AICP A (American lnstitute of chartered Public Accountants) • HA (Institute of Internal Audit) • REA (Registro de Economistas Auditores) • ISO (Agencia internacional de normalización) • BS (British Institute).

Las Normas Técnicas de Auditoría de Sistemas de Informacion constituyen

los requisitos que el auditor debe cumplir en el ejercicio de sus funciones para expresar su opinión técnica y responsable.


Las Normas Técnicas de Auditoría de Sistemas de Información se

pueden clasificar: • Principios

Requisitos de obligado cumplimiento que el auditor de Sistemas de

Información ha de seguir para hacer las auditorías

• Directivas Guía para aplicar los principios de auditoría. Para aplicarlas, el auditor debe

basarse en su juicio profesional. De no seguir las directivas, el auditor deberá

justificarlo.

• Procedimientos Proporcionan información de cómo cumplir los principios y las directivas a la

hora de realizar el trabajo de auditoría de sistemas de Información. No son

de obligado cumplimiento.

Principios de Auditoría

Formalidad • Responsabilidad, atribuciones y obligaciones

Deben documentarse de manera apropiada (forma]) en unos estatutos de

auditoría en el caso de la auditoría interna, o en una carta de encargo o

contrato en el caso de la auditoría externa.

Independencia

• Independencia profesional El auditor de sistemas de información debe ser independiente de la

organización auditada tanto en actitud como en apariencia.

• Relación con la organización La función de auditoría de los sistemas de información debe ser lo

suficientemente independiente del área que se esté auditando para permitir

realizar de manera objetiva la auditoría.


Ética y normas profesionales • Código de ética profesional

Distintos organismos han publicado unos códigos de conducta o normas

deontológicas que el auditor de sistemas de información ha de cumplir.

• Diligencia profesional

Debe ejercer la atención profesional correspondiente y el cumplimiento de las

normas aplicables de auditoría profesional.


Idoneidad • Habilidades y conocimientos

El auditor debe ser técnicamente idóneo y tener la experiencia y los

conocimientos necesarios para realizar el trabajo de auditor.

• Formación profesional continua El auditor de sistemas de información debe mantener la idoneidad técnica

mediante su formación profesional continua.

Planificación

• Planificación de la auditoría El auditor debe planificar el trabajo de auditoría para satisfacer los objetivos

de la auditoría y para cumplir con las normas de auditoría aplicables a la

profesión.


Ejecución de la auditoría • Evidencia

El auditor debe obtener evidencia adecuada (fiable, relevante y útil) y

suficiente para lograr los objetivos de la auditoría. Los hallazgos y

conclusiones de la auditoría se deben basar en el análisis e interpretación

apropiados de dicha evidencia.

• Documentación El proceso de auditoría deberá documentarse, describiendo las labores de

auditoría realizadas y la evidencia de auditoría que respalda los hallazgos y

conclusiones del auditor.

• Supervisión El personal de auditoría de SI debe ser supervisado para brindar una

garantía razonable de que se lograrán los objetivos de la auditoría y que se

cumplirán las normas profesionales de auditoría aplicables.


Información • Contenido y formato de los informes

En el momento de completar el trabajo de auditoría, el auditor de Sistemas

de Información debe proporcionar un informe con un formato apropiado a los

destinatarios.

El informe debe enunciar el alcance, los objetivos, el período de cobertura y

la naturaleza y amplitud del trabajo de auditoría realizado.

El informe debe identificar al auditario (cliente), los destinatarios en cuestión

y cualquier restricción con respecto a su circulación.

El informe debe enunciar los hallazgos, las conclusiones y las

recomendaciones, y cualquier reserva o consideración que tuviera el auditor

con respecto a la auditoría.

Alcance de la Auditoría

El auditor debe determinar el alcance de su trabajo de acuerdo con

las NASIGA. • El auditor debe requerir del auditario (cliente) cuanta información precise

para realizar los trabajos de auditoría.

• Cualquier limitación al trabajo impuesta por el auditario o sobrevenida a

lo largo del trabajo que impida la aplicación de lo dispuesto en las

Normas Técnicas (NASIGA) debe ser considerada en el informe de

auditoría como una limitación al alcance.

Alcance de la Auditoría

Para planificar y organizar la actividad de auditoría de sistemas de

información, el auditor debe incluir en el alcance de la auditoría los

procesos relevantes y los procesos para supervisar esa actividad así

como todos los recursos relacionados con el Sistema de Información.

Servicios que puede Prestar el Auditor

Auditoría

Revisión limitada

Hechos concretos (o procedimientos acordados)

Auditoría y Revisión • La auditoría proporciona un nivel alto, pero no absoluto, de seguridad

sobre la eficiencia de los procedimientos de control.

• La revisión limitada proporciona un nivel moderado de seguridad sobre

la efectividad de los procedimientos de control.


• Tanto la auditoría como la revisión limitada de los procedimientos de

Control entrañan: Planificar el encargo.

Evaluar la efectividad del diseño de los procedimientos de control.

Realizar pruebas sobre la efectividad operativa de los procedimientos de

control.

Formarse una opinión e informar sobre el diseño y la efectividad operativa de

los procedimientos de control basándose en los criterios identificados: – La conclusión de una auditoría se expresa con una opinión positiva y proporciona

un nivel alto de seguridad.

– La conclusión de una revisión limitada se expresa con una declaración de

seguridad negativa y sólo proporciona un nivel moderado de seguridad.


Hechos concretos o procedimientos acordados • El auditor no concluye con ninguna expresión de seguridad, se le

encarga realizar procedimientos específicos para cubrir las necesidades

de información de las partes que han acordado los procedimientos que

hay que realizar.

• El auditor emite un informe de esos hechos concretos para esas partes.

Los receptores del informe extraen sus propias conclusiones.

• El uso del informe queda restringido a las partes que acordaron los

procedimientos.

Ciclo de Vida

Para realizar este trabajo se utilizan una serie de métodos y

herramientas. • En los métodos se indica la secuencia en la que se deben realizar los

distintos pasos de la auditoría. A esta secuencia de pasos se le llama ciclo de vida o metodología.

Ciclo de Vida

Inicio

Fin

Entrevista inicialInventario de recursos

Contrato o carta de encargo

Planificación estratégicaPlanificación administrativa

Planificación técnica

Realizar pruebas de cumplimientoRealizar pruebas sustarltivas

Elaborar informesDistribuir informes

Reorganizar y archivar papeles de trabajo

Revisar los papeles de trabajo

Planificar

CorregirEjecutar el

trabajo

Revisar

Ciclo de Vida

• Entrevista inicial En esta reunión se le presenta al auditorio el equipo de auditores y el plan de

trabajo.

• Inventario de recursos memoria

El auditorio (cliente) debe entregar al auditor una lista en la que se incluya

una descripción muy breve de los recursos que integran el sistema de

información objeto de la auditoria.

• Carta de encargo

Antes de comenzar el trabajo de auditoría deben quedar claras las

responsabilidades, la autoridad y las obligaciones del auditor y deben

recogerse en un documento, contrato o carta de encargo, según el principio

de formalidad expuesto.

Ciclo de Vida - Planificación estratégica

Planificación • Planificación estratégica.

Revisión global que permite conocer la empresa, el SI y su control interno

con la intención de hacer una primera evaluación de riesgos.

Según los resultados de esa evaluación establecerán los objetivos de la

auditoría y se podrá determinar su alcance y las pruebas que hayan de

aplicarse, así como el momento de realizadas.


Las características de los equipos informáticos.

El sistema o los sistemas operativos.

Características de los ficheros o de las bases de datos.

La organización de la empresa.

La organización del servicio de explotación.

Las aplicaciones del SI del "auditario" (cliente) que estén en explotación.

El sector donde opera la empresa.

Información comercial.

La información puede obtenerse

• Mediante entrevistas y confirmaciones: con los responsables de explotación.

con los responsables del plan de contingencias.

con los usuarios.

con los proveedores de software y hardware.


• Inspeccionando la siguiente documentación: Informes y papeles de trabajo de auditorias anteriores.

Las normas y procedimientos de la empresa relacionados con la explotación

del sistema de información.

Los planes de contingencias.

Agenda de trabajo.

Instrucciones sobre el encendido y apagado de los equipos.

Contratos de mantenimiento con otras empresas.

Procedimientos de emergencia.

Instrucciones sobre seguridad física y lógica.

Instrucciones sobre la separación de las bibliotecas de desarrollo y

producción.


Clasificación de los controles internos. • Los Controles Generales son una parte del entorno general de control y

son aquellos que afectan, en un centro de proceso electrónico de datos,

a toda la información por igual y a la continuidad de este servicio en la

entidad. La debilidad o ausencia de estos controles pueden tener un impacto

significativo en la integridad y exactitud de los datos. También se consideran

controles generales aquellos relacionados con la protección de los activos: la

información resultante, los elementos físicos del hardware y el software

(programas y sistemas operativos).

Los Controles de las Aplicaciones son aquellos relacionados con la captura,

entrada y registro de datos en un sistema informático, así como los

relacionados con su procesamiento, cálculo y salida de la información y su

distribución


Controles generales • Controles Operativos y de Organización:

Segregación de Funciones entre el Servicio de Información y los usuarios.

Existencia de Autorización general en lo que respecta a la ejecución y a las

transacciones del Departamento (por ejemplo: prohibir al Servicio de

Información que inicie o autorice transacciones).

Segregación de funciones en el seno del Servicio de Información.

• Controles sobre el desarrollo de programas y su documentación: Realización de revisiones, pruebas y aprobación de los nuevos sistemas.

Controles de las modificaciones de los programas.

Procedimientos de documentación.


• Controles sobre los Programas y los Equipos: Características para detectar, de manera automática, errores.

Hacer mantenimientos preventivos periódicos.

Procedimientos para salir de los errores de los equipos (hardware).

Control y autorización adecuados en la implementación de sistemas y en las

modificaciones de los mismos.

• Controles de acceso:

Sirven para detectar y/o prevenir errores accidentales o deliberados,

causados por el uso o la manipulación inadecuada de los ficheros de datos y

por el uso incorrecto o no autorizado de los programas.


• Controles sobre los procedimientos y los datos: Manuales escritos como soporte de los procedimientos y los sistemas de

aplicación.

Controles de las conciliaciones entre los datos fuente y los datos

informáticos.

Capacidad para restaurar ficheros perdidos, deteriorados o incorrectos.


Controles de las aplicaciones • Los controles de las aplicaciones están relacionados con las propias

aplicaciones informatizadas.

• Controles sobre la captura de datos:

Altas de movimientos.

Modificaciones de movimientos.

Consultas de movimientos.

Mantenimiento de los ficheros.

• Controles de proceso.

Se incluyen en los programas. Diseñados para detectar/prevenir los

siguientes errores: – Entrada de datos repetidos.

– Procesamiento y actualización de fichero o ficheros equivocados.

– Entrada de datos ilógicos.

– Pérdida o distorsión de datos durante el proceso.


• Controles de salida y distribución. Se diseñan para asegurarse de que el resultado del proceso es exacto y que

los informes y demás salidas los reciben sólo las personas que estén

autorizadas


En COBIT se establece que existen tres niveles en las T.I. a la hora

de considerar la gestión sus recursos. • Actividades y tareas.

Las actividades suponen un concepto cíclico mientras que las tareas implican

un concepto algo más discreto.

• Procesos. Se definen como una serie de actividades o tareas unidas por interrupciones

naturales.

• Dominios. Dominios de responsabilidad en las estructuras organizativas de las

empresas y están en línea con el ciclo de gestión aplicable a los procesos de

las Tecnologías de la Información.


La Guía de Auditoría de COBlT recoge 34 procesos de los Sistemas

de Información donde se sugieren los objetivos de control. Esos

procesos están agrupados en cuatro dominios. • Dominios y procesos de las tecnologías de la información:

• Planificación y Organización Definir el plan estratégico de las Tecnologías de Información (TTI).

Definir la arquitectura de la información.

Determinar la dirección tecnológica.

Definir la organización y las relaciones.

Gestión de las inversiones.

Comunicar a la dirección las tendencias.

Gestión de recursos humanos.

Asegurarse del cumplimiento de los requisitos externos.

Evaluación del riego.

Gestión de proyectos.

Gestión de la calidad.


• Adquisición e Implementación Identificar las soluciones automatizadas. Adquirir y mantener el software. Adquirir y mantener la arquitectura tecnológica. Desarrollar y mantener procedimientos. Instalar y acreditar los sistemas. Gestión de los cambios.

• Suministro y Mantenimiento Definir el nivel de servicios. Gestionar los servicios de las terceras partes. Gestionar la capacidad y e/funcionamiento. Asegurase del servicio continuo. Asegurase de la seguridad de los sistemas. Identificar y localizar los costes. Formación teórica y práctica de los usuarios. Asistir y asesorar a los clientes. Manejo de la configuración. Gestión de los problemas y de los incidentes. Gestión de los datos. Gestión de las instalaciones. Gestión de la explotación.


• Supervisión Supervisar los procesos.

Garantizar la independencia.

Evaluar el control interno.

Auditoría independiente.


Evaluación de Controles Internos • El informe COSO define el CONTROL como "las normas, los procedimientos,

las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de las empresas se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán ". Para evaluar los controles es necesario buscar evidencia sobre:

– La terminación completa de todos los procesos. – La separación física y lógica de los programas, fuentes y objetos y de las bibliotecas de

desarrollo, de pruebas y de producción. – La existencia de normas y procedimientos para pasar los programas de una biblioteca a otra. – Las estadísticas de funcionamiento, donde al menos se incluya:

» Capacidad y utilización del equipo central y de los periféricos. » Utilización de la memoria. » Utilización de las telecomunicaciones.

– Las normas del nivel de servicios de los proveedores. – Los estándares de funcionamiento interno. – El mantenimiento y revisión de los diarios de explotación (Operations Logs). – La realización del mantenimiento periódico de todos los equipos. – La evidencia de la rotación de los turnos de los operadores y de las vacaciones tomadas


DS13/CCI/367

Preparado por:

Realizado

FechaPor

ReferenciaCliente Nombre de la empresa

Fecha 31/08/09

Dominio Suministro y Mantenimiento

Proceso Gestión de la explotación (DS13 Manage Operations)

Titulo Cuestionario de Control Interno Si No N/A Observaciones

Cuestionario sobre los controles para la Gestión de la

explotación de Información

¿Existen normas y procedimientos escritos sobre el

funcionamiento del Servicio de Información?

¿Está separado el Servicio de Información del resto de los

departamentos?

¿Es adecuada la segregación de funciones en el seno del

Servicio de Información?

¿Es cierto que el personal de explotación no participa nunca

en funciones de análisis?

¿Es cierto que el personal de explotación no participa nunca

en funciones de desarrollo de aplicaciones?



¿Existe organigrama del funcionamiento del Servicio de

Información?

¿Están descritas con detalle las funciones y responsabilidades

del personal?

El personal de explotación, ¿conoce perfectamente cuáles son

sus funciones y sus responsabilidades?

¿Tienen manuales todas las aplicaciones?

¿Se rotan las asignaciones de trabajo de los operadores?

¿Es imposible que los operadores accedan a programas y

datos no necesarios para su trabajo?

¿Se aprueban por personal autorizado las solicitudes de

nuevas aplicaciones?

¿Existen normas sobre cómo deben de hacerse los cambios de

turno para que haya seguridad de que las aplicaciones

continúan su proceso?

¿Personal con conocimientos y experiencia suficiente

organizan el trabajo para que resulte lo más eficaz posible?

¿Existen procedimientos de salvaguarda fuera de la instalación

que permitan reconstruir las operaciones que sean necesarias?



¿Personal con autoridad suficiente es el que aprueba los

cambios de unas aplicaciones por otras?

¿Existen procedimientos adecuados para mantener la

documentación al día?

¿Existen controles que garanticen el uso adecuado de los

soportes de la información como discos y cintas?

¿Existen procedimientos adecuados para conectarse y

desconectarse de los equipos remotos?

¿Se aprueban los programas nuevos y los que se revisan antes

de ponerlos en funcionamiento?

¿Se comprueban los resultados con datos reales?

¿Participan los departamentos de usuarios en la evaluación de

los datos de prueba?

¿Personal de los departamentos de usuarios revisan y evalúan

los resultados de las pruebas finales, dando su aprobación

antes de poner en funcionamiento las aplicaciones?

Al poner en funcionamiento nuevas aplicaciones, o versiones

actualizadas, ¿funcionan en paralelo las existentes durante un

cierto tiempo?



¿Personal con conocimientos y experiencia adecuada revisa

con periodicidad los componentes físicos de los equipos

siguiendo las instrucciones de los fabricantes?

¿Se cumplen las condiciones ambientales: temperatura,

humedad, etc., que recomienda el fabricante para el equipo,

cintas, etc.?

¿Existen controles apropiados para que sólo las personas

autorizadas tengan acceso a los equipos, cintas, discos,

documentación de programas, etc.?

¿Existen normas sobre las horas extras y se controlan las

entradas y salidas del personal fuera de su horario de trabajo?

Nota: El cuestionario se ha preparado con la intencionalidad de que las respuestas positivas sean

indicativo de fortaleza, mientras que las negativas lo sean de debilidad.


Establecimiento de objetivos • Se considera que el riesgo es la presentación negativa de un objetivo de

auditoría. Si la oración negativa se transforma en oración afirmativa, se

tiene como resultado un objetivo de control.

• ¿Tiene su empresa normas escritas de cómo deben hacerse los

trasvases de programas en desarrollo a programas en producción? La debilidad sería la siguiente:

– La empresa no tiene normas escritas de cómo deben hacerse los trasvaces de

programas en desarrollo a programas en producción.

El objetivo de control sería: – Comprobar que la empresa tiene normas escritas de cómo deben hacerse los

trasvases de programas en desarrollo a programas en producción.


Establecimiento de objetivos • Pruebas de cumplimiento

Si se confirma que realmente no existen manuales, no se pueden hacer

pruebas de cumplimiento

Comprobar que las normas para pasar un programa de desarrollo a

explotación son adecuadas y que la empresa las está cumpliendo.

• Pruebas sustantivas Revisar las aplicaciones que se han pasado de desarrollo a explotación y

revisar que antes de pasarlas han sido sometidas a un lote de pruebas y las

han superado satisfactoriamente.

Que esas pruebas cumplen los requisitos y estándares del sector. Que el

traspaso ha sido autorizado por una persona con la suficiente autoridad.

Ciclo de Vida - Planificación Administrativa

No se debe hacer hasta haber concluido la planificación estratégica. • En esta fase de la planificación pueden surgir ciertos problemas por

coincidir las fechas de trabajo del personal de la empresa auditora con

otros clientes. Evidencia.

– Se podrá hacer una relación con la documentación disponible en la etapa anterior,

documentación que se utilizará indicando el lugar donde se encuentra para que

esté a disposición del equipo de auditoría.

Personal. – Personal disponible, conocimientos y experiencia ideales y si va a ser necesario o

no contar con expertos, tanto personal de la empresa auditora como expertos

externos.

Calendario. – Fecha de comienzo y finalización de la auditoría. Determinar donde se realiza las

tareas: dependencias cliente u oficinas auditor.

Coordinación y cooperación. – Nivel de cooperación sin que deje de cumplirse el principio de independencia y

que se defina con claridad el interlocutor del cliente.

Ciclo de Vida - Planificación Técnica

En esta última fase se ha de elaborar el programa de trabajo. • En la fase de planificación estratégica se han establecido los objetivos

de la auditoría.

• En la fase de planificación administrativa se han asignados los

recursos de personal, tiempo, etc.

En esta fase de planificación técnica se indican: • Los métodos, el método de auditoría que se va a seguir

Si se va a seguir un método que se base en los controles, o por el contrario

la auditoría se basará en pruebas sustantivas

• Los procedimientos

• Las herramientas y las técnicas que se utilizarán para alcanzar los

objetivos de la auditoría.

Ciclo de Vida - Planificación Técnica

El programa de auditoría debe ser flexible y abierto, de tal forma que

se puedan ir introduciendo cambios a medida que se vaya

conociendo mejor el sistema. • El programa, y el resto de los papeles de trabajo, son propiedad del

auditor. Este no tiene la obligación de mostrárselos a la empresa que se

audita ("auditario"), debiendo custodiarlos durante el tiempo que marque

la ley.

Realización del Trabajo (Procedimientos)

Objetivo General • Asegurarse de que las funciones que sirven de apoyo a las Tecnologías

de la Información se realizan con regularidad, de forma ordenada y

satisfacen los requisitos empresariales.


Objetivos específicos • Comprender las tareas, las actividades del proceso que se está

auditando. Si fuera necesario ampliaríamos las entrevistas que hemos realizado en la

fase de planificación estratégica.

• Determinar si son o no apropiados los controles que están instalados. Si fuera necesario ampliaríamos las pruebas que hemos realizado en la fase

de planificación estratégica.

• Hacer pruebas de cumplimiento para determinar si los controles que

están instalados funcionan según lo establecido, de manera consistente

y continua. El objetivo de las pruebas de cumplimiento consiste en analizar el nivel de

cumplimiento de las normas de control que tiene establecida el "auditorio ".

Se supone que esas normas de control establecidas son eficientes y

efectivas.


Objetivos específicos • Hacer pruebas de cumplimiento para determinar si los controles que

están instalados funcionan según lo establecido, de manera consistente

y continua. El objetivo de las pruebas de cumplimiento consiste en analizar el nivel de

cumplimiento de las normas de control que tiene establecida el "auditorio ".

Se supone que esas normas de control establecidas son eficientes y

efectivas.

• Hacer pruebas sustantivas para aquellos objetivos de control con los que

no se haya podido quedar satisfecho de su buen funcionamiento con las

pruebas de cumplimiento. El objetivo de las pruebas sustantivas consiste en realizar las pruebas

necesarias , sobre los datos para que proporcionen la suficiente seguridad a

la dirección sobre si se ha alcanzado su objetivo empresarial.


Habrá que realizar el máximo número de pruebas sustantivas si: • No existen instrumentos de medida de los controles.

• Los instrumentos de medida que existen se consideran que no son los

adecuados.

• Las pruebas de cumplimiento indican que los instrumentos de medida de

los controles no se han aplicado de manera consistente y continua.


DS13

Preparado por:

Realizado

FechaPor

ReferenciaCliente Nombre de la empresa

Fecha 31/12/09

Dominio Suministro y Mantenimiento

Proceso Gestión de la explotación (DS13 Manage Operations)

OBJETIVO GENERAL

Las funciones que sirven de apoyo a las Tecnologías de la Información se realizan con

regularidad, deforma ordenada y satisfacen los requisitos empresariales.

OBJETIVOS ESPECÍFICOS

2.1. 0bjetivo de control sobre los manuales de las instrucciones y sobre los procedimientos de

explotación.

El servicio de información ha establecido y ha documentado procedimientos normalizados para la

explotación de las Tecnologías de la Información. Todas las soluciones y las plataformas de las tecnologías

de la Información instaladas son operativas utilizando esos procedimientos. Los procedimientos se revisan

de manera periódica para asegurarse de que son efectivos y que se ajustan a lo establecido.


OBJETIVOS ESPECÍFICOS

2.2. Objetivo de control sobre el inicio de los procesos y otra documentación de funcionamiento

La dirección del servicio de información se ha asegurado de que el personal de explotación: – Está familiarizado suficientemente con los procesos que están funcionando,

– Que estos están documentados adecuadamente,

– Y que periódicamente se realizan pruebas y se ajustan si procede.

2.3. Objetivo de control sobre la agenda de trabajo

La dirección del servicio de información se ha asegurado que la agenda de trabajo, los procesos y las

distintas tareas están organizados con la secuencia más efectiva posible, maximizando su utilización, y se

alcanzan los objetivos establecidos. Tanto la agenda inicial como las modificaciones que se han producido

han sido autorizadas al nivel de responsabilidad apropiado.

2.4. Objetivo de control sobre salidas fuera del horario normal de trabajo

Los procedimientos implantados identifican, aclaran y aprueban las salidas fuera del horario normal.

2.5. 0bjetivo de control sobre la continuidad en el proceso

En los cambios de turno de los operadores los procesos mantienen su continuidad, siguiendo los

protocolos establecidos para el relevo de la actividad.

2.6. Objetivo de control sobre los diarios de explotación (Operations Logs)

Los controles de la dirección garantizan que se está guardando, en los diarios de explotación, información

cronológica suficiente como para poder reconstruir, revisar en el momento oportuno y examinar las

secuencias del proceso y cualquier otra actividad relacionada y que sirva de soporte al proceso en

cuestión.

2.7. Objetivo de control sobre la explotación remota

Para el caso de explotaciones remotas, se han definido y se han implantado procedimientos concretos que

dan seguridad de que las conexiones y desconexiones con los equipos remotos se realizan

adecuadamente.

3. Procedimientos (Trabajo a realizar)

a) Pruebas de cumplimiento

Referencia

PT*

Realizado

Por

1. Comprobar que el personal de explotación conoce y comprende.

Los procedimientos de explotación de los que es responsable.

– Las expectativas de funcionamiento las normas de los proveedores, las normas y los

procedimientos de la empresa, y el nivel de servicio acordado que se vaya a suministrar a

los usuarios.

– Los planes de emergencia.

– Requisitos de los diarios de explotación y su revisión por parte de la dirección.

– Procedimientos para la solución de problemas.

– Las comunicaciones en los cambios de turno y las responsabilidades de cada uno de los

turnos.

– La interacción de los equipos de proceso remoto con los equipos de proceso central.


a) Pruebas sustantivas Referencia

PT*

Realizado

Por

2. Revisar las estadísticas de explotación personal para determinar si su uso es el

adecuado; comparar con otras empresas similares, con las normas de los

proveedores, con normas internacionales apropiadas y con las prácticas y las ratios

de las mejores industrias.

3. Revisar una muestra representativa de los manuales del servicio de información y

determinar si cumplen con las normas y los procedimientos.

4. Examinar la documentación terminación de los procesos para confirmar que los

procedimientos se someten actualizan con periodicidad.

5. Examinar el horario de proceso para asegurarse de su adecuación y suficiencia de

funcionamiento con el programa.

6. Seleccionar una muestra de terminaciones anormales de los trabajos y determinar

la solución de los problemas que ocurrieron.

7. Identificar los cursos de formación práctica de los operadores, los cambios de

turnos y lo ocurrido con las vacaciones.

8. Identificar a los usuarios para determinar si el nivel deservicio es satisfactorio.

9. Seleccionar una muestra de los diarios de la consola para comprobar la exactitud

tendencias funcionamiento y la revisión por parte de la directiva de la resolución de

problemas - evaluar el esquema de solución de problemas donde sea aplicable -

10. Identificar los procedimientos de preventivo que se han realizado en todos los

equipos por sugerencia de los proveedores.


Informes

Tipos de informes • Las opiniones pueden clasificarse por el tipo de trabajo y por los

resultados del trabajo. Favorable

– En nuestra opinión el servicio de explotación y las funciones que sirven de apoyo

a las Tecnologías de la Información se realizan con regularidad, de forma

ordenada y satisfacen los requisitos empresariales.

Desfavorable – En nuestra opinión. Dada la importancia de los efectos de las salvedades

comentadas en los puntos X, X1... de este informe, el servicio de explotación y las

funciones que sirven de apoyo a las Tecnologías de la Información NO se realizan

con regularidad, NI de forma ordenada y NO satisfacen los requisitos

empresariales.

Informes

Con salvedades – En nuestra opinión, excepto por los efectos de las salvedades que se comentan

en el punto X de este informe. (se indicarán las salvedades y se harán

recomendaciones oportunas para mejorar el sistema; en la siguiente auditoría el

auditor comprobará la implementación de las recomendaciones).

• Denegación de opinión – En el caso de que las salvedades impidan al auditor formarse una opinión del

servicio de explotación, ya sea por falta de información, o por no haber tenido

acceso a ella por los motivos que fueren, pero siempre ajenos a la voluntad del

auditor, y no obstante, haber intentado hacer pruebas alternativas, el auditor

denegará su opinión.

Informes

Recomendaciones • Cuando el auditor, durante la realización de la auditoría, detecte

debilidades, debe comunicadas al auditorio con la mayor prontitud

posible.

• Un esquema, generalmente aceptado, de cómo presentar las

debilidades es el siguiente: Describir la debilidad.

Indicar el criterio o instrumento de medida que se ha utilizado.

Indicar los efectos que puede tener en el sistema de información.

Describir la recomendación con la que esa debilidad se podría eliminar.

Respuesta de los directivos.

Informes - Normas

El informe es el instrumento que se utiliza para comunicar los

objetivos de la auditoría, el alcance que vaya a tener, las debilidades

que se detecten y las conclusiones a las que se lleguen. • A la hora de preparar el informe, el auditor debe tener en cuenta las

necesidades y características de los que se suponen serán sus

destinatarios. El informe debe contener un párrafo en el que se indiquen los objetivos que

se pretenden cumplir. Si, según la opinión del auditor, alguno de estos

objetivos no se pudiera alcanzar, se debe indicar en el informe.

Informes - Normas

En el informe de auditoría se debe hacer mención de cuáles son las

NASIGA que se han seguido para realizar el trabajo de auditoría. • En el informe de auditoría se ha de hacer mención al alcance de la

auditoría, se debe describir la naturaleza y la extensión del trabajo de

auditoría.

Informes – Normas – G20 ISACA

Informe de auditoría Independiente de la Gestión de la explotación • A los accionistas de la Sociedad XYZ, S.A.

1. Hemos auditado la Gestión de la explotación de la Información (GEl) de la

Sociedad XYZ, S.A., cuyo inventario de recursos y memoria del sistema,

preparados por los administradores de Sociedad XYZ, S.A., se adjunta. – El período de auditoría está comprendido entre el 1 de enero de 2004 y el 31 de

diciembre de 2006.

2. La GEl es una parte del sistema de información de gestión de la Sociedad

XYZ, S.A. y se diseña para asegurar, adecuar y proporcionar controles de

seguridad que protejan adecuadamente los activos de información y

proporcionen confidencialidad a los clientes y a otras partes interesadas.


3. Es responsabilidad de los administradores de la empresa mantener una

estructura efectiva de control interno. – Nuestra responsabilidad es expresar una opinión sobre la citada gestión en su

conjunto, basada en el trabajo realizado de acuerdo con las normas de auditoría

de ISACA e ICAC y las normas de Auditoría de Sistemas de Información

Generalmente Aceptadas (NASIGA).

4. El trabajo realizado no es una auditoría propiamente dicha, si no una

revisión limitada a la GEI La revisión limitada proporciona un nivel moderado

de seguridad sobre la efectividad del procedimiento de control. – El nivel de seguridad que proporciona es menor que el que proporciona una

auditoría, debido a que el alcance del trabajo es de menor extensión que el de la

auditoría; y la naturaleza, momento y extensión de los procedimientos realizados

no proporcionan evidencia suficiente y adecuada que capacite al auditor para

expresar una opinión positiva.

– El objetivo de la revisión limitada es capacitar al auditor para expresar si, en base

a los procedimientos, algo ha llegado a su atención que le haga creer que los

procedimientos de control no fueron efectivos en base a los criterios identificados.


5. El informe se ha preparado con el propósito de informar a los

administradores de la empresa sobre la efectividad de la GEI. – En consecuencia, este informe no podrá utilizarlo ninguna otra persona distinta a

las aquí referidas, ni con otro objetivo diferente del que se ha especificado

anteriormente.

6. Debido a las limitaciones inherentes de cualquier control interno, pueden

ocurrir inexactitudes, consecuencia de errores o fraudes, y que no se

detecten. – Las auditorias no se diseñan para detectar todas las debilidades de los

procedimientos de control ya que no se realizan de manera continua.


7. No ha llegado nada a nuestra atención que nos haga opinar que los

procedimientos de control de la GEl de la Sociedad XYZ, S.A. no fueron

efectivos en todos los aspectos significativos y basándonos en los criterios

especificados, durante el período comprendido entre el 1 de enero de 2006 y

el 31 de diciembre de 2006.

Nombre del auditor o de la sociedad de auditoría.

Firma del auditor o del socio responsable del Informe.

Fecha de emisión del Informe.

Documentación de la Auditoría

Papeles de trabajo • La documentación de la auditoría de los sistemas de información es el

registro del trabajo de auditoría realizado, y la evidencia que sirve de

soporte a las debilidades encontradas y las conclusiones a las que ha

llegado el auditor. Los papeles de trabajo se deben diseñar y organizar según las

circunstancias y las necesidades del auditor. – Recogen la evidencia obtenida a lo largo del trabajo.

– Ayudan al auditor en el desarrollo de su trabajo.

– Ofrecen un soporte del trabajo realizado para, así, poder utilizado en auditorias

sucesivas.

– Permiten que el trabajo pueda ser revisado por terceros.


Archivos • Los papeles de trabajo que el auditor va elaborando se pueden

organizar en dos archivos principales: Archivo permanente o continuo de auditoria

– El archivo permanente contiene todos aquellos papeles que tienen un interés

continuo, una validez plurianual. » Características de los equipos y de las aplicaciones.

» Manuales de los equipos y de las aplicaciones.

» Descripción del control interno.

» Organigramas de la empresa en general.

» Organigramas del Servicio de Información y división de funciones.

» Cuadro de planificación plurianual de auditoría.

» Escrituras y contratos.

» Consideraciones sobre el negocio.

» Consideraciones sobre el sector.

» En general toda aquella información que puede tener una importancia para auditorias

posteriores.


Archivos • Archivo corriente o de la auditoría en curso

Archivo general. – Los documentos que se suelen archivar aquí son aquellos que no tienen cabida

específica en alguna de las áreas/procesos en que hemos dividido el trabajo de

auditoría, tales como: » El Informe del Auditor.

» La Carta de recomendaciones.

» Los Acontecimientos posteriores.

» El Cuadro de planificación de la auditoría corriente.

» La Correspondencia que se ha mantenido con la dirección de la empresa.

» El tiempo que cada persona del equipo ha empleado en cada una de las áreas/procesos.

» La Correspondencia que se ha mantenido con la dirección de la empresa.

» El tiempo que cada persona del equipo ha empleado en cada una de las áreas/procesos.


Archivo por áreas/procesos. – Se debe preparar un archivo para cada una de las áreas o procesos en que

hayamos dividido el trabajo e incluir en cada archivo todos los documentos que

hayamos necesitado para realizar el trabajo de esa área/proceso concreto. Al

menos deberán incluirse los siguientes documentos: » Programa de auditoría de cada una de las áreas/procesos.

» Conclusiones del área/proceso en cuestión.

» Conclusiones del procedimiento en cuestión.

Conclusiones

Podemos concluir diciendo que la labor del auditor de sistemas de

información es esencial para garantizar la adecuación de los

sistemas de información. • Por ello el auditor debe realizar su trabajo ateniéndose a las Normas de

Auditoría de Sistemas de Información Generalmente Aceptadas

(NASIGA) como requisito necesario que garantice la calidad del trabajo

realizado y que la evidencia de este trabajo quede documentada.

Conclusiones

• Según esta sociedad se vaya informatizando y/o vayan surgiendo

problemas, será necesario actualizar las normas de auditoría o elaborar

otras nuevas para que la audiencia de la auditoría que es toda la

sociedad en su conjunto - tenga una seguridad razonable de que los

sistemas de información funcionan adecuadamente, sus datos se

mantienen con la debida confidencialidad, cumplen la legislación vigente

y los informes de los distintos auditores se pueden comparar.

2011 ii cap 08 - auditoria de la explotacion

Documents