2011 ii cap 08 - auditoria de la explotacion
TRANSCRIPT
Auditoria de la
Explotación
Facultad de Ingeniería de Sistemas
Generalidades
La competencia obliga a sus directivos a tomar decisiones rápidas y
acertadas. • Es necesario que el sistema que suministre la información funcione
adecuadamente.
Sistema de Información
Normas
Control
Proceso
Personal Datos
SalidaEntradas
Sistema de Información
Según COBIT: • Datos
Datos tanto los estructurado s como los no estructurados, las imágenes, los sonidos, etc.
• Aplicaciones Se incluyen las aplicaciones manuales y las informáticas.
• Infraestructura Tecnologías y las instalaciones que permiten que se procesen las
aplicaciones. • Personal
Los conocimientos específicos del personal de los sistemas de información para planificarlos, organizarlos, administrarlos y gestionados.
Sistema de Información
Adoptar las normas de ISACA (Information Systems Audit and Control
Association - Asociación de Auditoría y Control de Sistemas de
Información), así como otras Normas de Auditoría de Sistemas de
Información Aplicables y Generalmente Aceptadas (NASIAG).
Normas Técnicas de Auditoría de S.I.
La auditoría de los Sistemas de Informacion abarcan la revisión y
evaluación de los recursos y actividades de los sistemas de
información automatizados incluidos los procedimientos no
automáticos relacionados con estos sistemas y las interfaces
correspondientes. • Se requieren que se desarrollen y se promulguen Normas Generales de
Auditoría de Sistemas de Información.
• Se tiene la consideración de Normas de Auditoría de Sistemas de
Información Generalmente Aceptadas (NASIGA).
Normas Técnicas de Auditoría de S.I.
Organismos que promulgan normas : • ISACA (Information System Audit and Control Association) • ICAC (Instituto de Contabilidad y Auditoría de Cuentas) • AICP A (American lnstitute of chartered Public Accountants) • HA (Institute of Internal Audit) • REA (Registro de Economistas Auditores) • ISO (Agencia internacional de normalización) • BS (British Institute).
Las Normas Técnicas de Auditoría de Sistemas de Informacion constituyen
los requisitos que el auditor debe cumplir en el ejercicio de sus funciones para expresar su opinión técnica y responsable.
Normas Técnicas de Auditoría de S.I.
Las Normas Técnicas de Auditoría de Sistemas de Información se
pueden clasificar: • Principios
Requisitos de obligado cumplimiento que el auditor de Sistemas de
Información ha de seguir para hacer las auditorías
• Directivas Guía para aplicar los principios de auditoría. Para aplicarlas, el auditor debe
basarse en su juicio profesional. De no seguir las directivas, el auditor deberá
justificarlo.
• Procedimientos Proporcionan información de cómo cumplir los principios y las directivas a la
hora de realizar el trabajo de auditoría de sistemas de Información. No son
de obligado cumplimiento.
Principios de Auditoría
Formalidad • Responsabilidad, atribuciones y obligaciones
Deben documentarse de manera apropiada (forma]) en unos estatutos de
auditoría en el caso de la auditoría interna, o en una carta de encargo o
contrato en el caso de la auditoría externa.
Independencia
• Independencia profesional El auditor de sistemas de información debe ser independiente de la
organización auditada tanto en actitud como en apariencia.
• Relación con la organización La función de auditoría de los sistemas de información debe ser lo
suficientemente independiente del área que se esté auditando para permitir
realizar de manera objetiva la auditoría.
Principios de Auditoría
Ética y normas profesionales • Código de ética profesional
Distintos organismos han publicado unos códigos de conducta o normas
deontológicas que el auditor de sistemas de información ha de cumplir.
• Diligencia profesional
Debe ejercer la atención profesional correspondiente y el cumplimiento de las
normas aplicables de auditoría profesional.
Principios de Auditoría
Idoneidad • Habilidades y conocimientos
El auditor debe ser técnicamente idóneo y tener la experiencia y los
conocimientos necesarios para realizar el trabajo de auditor.
• Formación profesional continua El auditor de sistemas de información debe mantener la idoneidad técnica
mediante su formación profesional continua.
Planificación
• Planificación de la auditoría El auditor debe planificar el trabajo de auditoría para satisfacer los objetivos
de la auditoría y para cumplir con las normas de auditoría aplicables a la
profesión.
Principios de Auditoría
Ejecución de la auditoría • Evidencia
El auditor debe obtener evidencia adecuada (fiable, relevante y útil) y
suficiente para lograr los objetivos de la auditoría. Los hallazgos y
conclusiones de la auditoría se deben basar en el análisis e interpretación
apropiados de dicha evidencia.
• Documentación El proceso de auditoría deberá documentarse, describiendo las labores de
auditoría realizadas y la evidencia de auditoría que respalda los hallazgos y
conclusiones del auditor.
• Supervisión El personal de auditoría de SI debe ser supervisado para brindar una
garantía razonable de que se lograrán los objetivos de la auditoría y que se
cumplirán las normas profesionales de auditoría aplicables.
Principios de Auditoría
Información • Contenido y formato de los informes
En el momento de completar el trabajo de auditoría, el auditor de Sistemas
de Información debe proporcionar un informe con un formato apropiado a los
destinatarios.
El informe debe enunciar el alcance, los objetivos, el período de cobertura y
la naturaleza y amplitud del trabajo de auditoría realizado.
El informe debe identificar al auditario (cliente), los destinatarios en cuestión
y cualquier restricción con respecto a su circulación.
El informe debe enunciar los hallazgos, las conclusiones y las
recomendaciones, y cualquier reserva o consideración que tuviera el auditor
con respecto a la auditoría.
Alcance de la Auditoría
El auditor debe determinar el alcance de su trabajo de acuerdo con
las NASIGA. • El auditor debe requerir del auditario (cliente) cuanta información precise
para realizar los trabajos de auditoría.
• Cualquier limitación al trabajo impuesta por el auditario o sobrevenida a
lo largo del trabajo que impida la aplicación de lo dispuesto en las
Normas Técnicas (NASIGA) debe ser considerada en el informe de
auditoría como una limitación al alcance.
Alcance de la Auditoría
Para planificar y organizar la actividad de auditoría de sistemas de
información, el auditor debe incluir en el alcance de la auditoría los
procesos relevantes y los procesos para supervisar esa actividad así
como todos los recursos relacionados con el Sistema de Información.
Servicios que puede Prestar el Auditor
Auditoría
Revisión limitada
Hechos concretos (o procedimientos acordados)
Auditoría y Revisión • La auditoría proporciona un nivel alto, pero no absoluto, de seguridad
sobre la eficiencia de los procedimientos de control.
• La revisión limitada proporciona un nivel moderado de seguridad sobre
la efectividad de los procedimientos de control.
Servicios que puede Prestar el Auditor
• Tanto la auditoría como la revisión limitada de los procedimientos de
Control entrañan: Planificar el encargo.
Evaluar la efectividad del diseño de los procedimientos de control.
Realizar pruebas sobre la efectividad operativa de los procedimientos de
control.
Formarse una opinión e informar sobre el diseño y la efectividad operativa de
los procedimientos de control basándose en los criterios identificados: – La conclusión de una auditoría se expresa con una opinión positiva y proporciona
un nivel alto de seguridad.
– La conclusión de una revisión limitada se expresa con una declaración de
seguridad negativa y sólo proporciona un nivel moderado de seguridad.
Servicios que puede Prestar el Auditor
Hechos concretos o procedimientos acordados • El auditor no concluye con ninguna expresión de seguridad, se le
encarga realizar procedimientos específicos para cubrir las necesidades
de información de las partes que han acordado los procedimientos que
hay que realizar.
• El auditor emite un informe de esos hechos concretos para esas partes.
Los receptores del informe extraen sus propias conclusiones.
• El uso del informe queda restringido a las partes que acordaron los
procedimientos.
Ciclo de Vida
Para realizar este trabajo se utilizan una serie de métodos y
herramientas. • En los métodos se indica la secuencia en la que se deben realizar los
distintos pasos de la auditoría. A esta secuencia de pasos se le llama ciclo de vida o metodología.
Ciclo de Vida
Inicio
Fin
Entrevista inicialInventario de recursos
Contrato o carta de encargo
Planificación estratégicaPlanificación administrativa
Planificación técnica
Realizar pruebas de cumplimientoRealizar pruebas sustarltivas
Elaborar informesDistribuir informes
Reorganizar y archivar papeles de trabajo
Revisar los papeles de trabajo
Planificar
CorregirEjecutar el
trabajo
Revisar
Ciclo de Vida
• Entrevista inicial En esta reunión se le presenta al auditorio el equipo de auditores y el plan de
trabajo.
• Inventario de recursos memoria
El auditorio (cliente) debe entregar al auditor una lista en la que se incluya
una descripción muy breve de los recursos que integran el sistema de
información objeto de la auditoria.
• Carta de encargo
Antes de comenzar el trabajo de auditoría deben quedar claras las
responsabilidades, la autoridad y las obligaciones del auditor y deben
recogerse en un documento, contrato o carta de encargo, según el principio
de formalidad expuesto.
Ciclo de Vida - Planificación estratégica
Planificación • Planificación estratégica.
Revisión global que permite conocer la empresa, el SI y su control interno
con la intención de hacer una primera evaluación de riesgos.
Según los resultados de esa evaluación establecerán los objetivos de la
auditoría y se podrá determinar su alcance y las pruebas que hayan de
aplicarse, así como el momento de realizadas.
Ciclo de Vida - Planificación estratégica
Las características de los equipos informáticos.
El sistema o los sistemas operativos.
Características de los ficheros o de las bases de datos.
La organización de la empresa.
La organización del servicio de explotación.
Las aplicaciones del SI del "auditario" (cliente) que estén en explotación.
El sector donde opera la empresa.
Información comercial.
La información puede obtenerse
• Mediante entrevistas y confirmaciones: con los responsables de explotación.
con los responsables del plan de contingencias.
con los usuarios.
con los proveedores de software y hardware.
Ciclo de Vida - Planificación estratégica
• Inspeccionando la siguiente documentación: Informes y papeles de trabajo de auditorias anteriores.
Las normas y procedimientos de la empresa relacionados con la explotación
del sistema de información.
Los planes de contingencias.
Agenda de trabajo.
Instrucciones sobre el encendido y apagado de los equipos.
Contratos de mantenimiento con otras empresas.
Procedimientos de emergencia.
Instrucciones sobre seguridad física y lógica.
Instrucciones sobre la separación de las bibliotecas de desarrollo y
producción.
Ciclo de Vida - Planificación estratégica
Clasificación de los controles internos. • Los Controles Generales son una parte del entorno general de control y
son aquellos que afectan, en un centro de proceso electrónico de datos,
a toda la información por igual y a la continuidad de este servicio en la
entidad. La debilidad o ausencia de estos controles pueden tener un impacto
significativo en la integridad y exactitud de los datos. También se consideran
controles generales aquellos relacionados con la protección de los activos: la
información resultante, los elementos físicos del hardware y el software
(programas y sistemas operativos).
Los Controles de las Aplicaciones son aquellos relacionados con la captura,
entrada y registro de datos en un sistema informático, así como los
relacionados con su procesamiento, cálculo y salida de la información y su
distribución
Ciclo de Vida - Planificación estratégica
Controles generales • Controles Operativos y de Organización:
Segregación de Funciones entre el Servicio de Información y los usuarios.
Existencia de Autorización general en lo que respecta a la ejecución y a las
transacciones del Departamento (por ejemplo: prohibir al Servicio de
Información que inicie o autorice transacciones).
Segregación de funciones en el seno del Servicio de Información.
• Controles sobre el desarrollo de programas y su documentación: Realización de revisiones, pruebas y aprobación de los nuevos sistemas.
Controles de las modificaciones de los programas.
Procedimientos de documentación.
Ciclo de Vida - Planificación estratégica
• Controles sobre los Programas y los Equipos: Características para detectar, de manera automática, errores.
Hacer mantenimientos preventivos periódicos.
Procedimientos para salir de los errores de los equipos (hardware).
Control y autorización adecuados en la implementación de sistemas y en las
modificaciones de los mismos.
• Controles de acceso:
Sirven para detectar y/o prevenir errores accidentales o deliberados,
causados por el uso o la manipulación inadecuada de los ficheros de datos y
por el uso incorrecto o no autorizado de los programas.
Ciclo de Vida - Planificación estratégica
• Controles sobre los procedimientos y los datos: Manuales escritos como soporte de los procedimientos y los sistemas de
aplicación.
Controles de las conciliaciones entre los datos fuente y los datos
informáticos.
Capacidad para restaurar ficheros perdidos, deteriorados o incorrectos.
Ciclo de Vida - Planificación estratégica
Controles de las aplicaciones • Los controles de las aplicaciones están relacionados con las propias
aplicaciones informatizadas.
• Controles sobre la captura de datos:
Altas de movimientos.
Modificaciones de movimientos.
Consultas de movimientos.
Mantenimiento de los ficheros.
• Controles de proceso.
Se incluyen en los programas. Diseñados para detectar/prevenir los
siguientes errores: – Entrada de datos repetidos.
– Procesamiento y actualización de fichero o ficheros equivocados.
– Entrada de datos ilógicos.
– Pérdida o distorsión de datos durante el proceso.
Ciclo de Vida - Planificación estratégica
• Controles de salida y distribución. Se diseñan para asegurarse de que el resultado del proceso es exacto y que
los informes y demás salidas los reciben sólo las personas que estén
autorizadas
Ciclo de Vida - Planificación estratégica
En COBIT se establece que existen tres niveles en las T.I. a la hora
de considerar la gestión sus recursos. • Actividades y tareas.
Las actividades suponen un concepto cíclico mientras que las tareas implican
un concepto algo más discreto.
• Procesos. Se definen como una serie de actividades o tareas unidas por interrupciones
naturales.
• Dominios. Dominios de responsabilidad en las estructuras organizativas de las
empresas y están en línea con el ciclo de gestión aplicable a los procesos de
las Tecnologías de la Información.
Ciclo de Vida - Planificación estratégica
La Guía de Auditoría de COBlT recoge 34 procesos de los Sistemas
de Información donde se sugieren los objetivos de control. Esos
procesos están agrupados en cuatro dominios. • Dominios y procesos de las tecnologías de la información:
• Planificación y Organización Definir el plan estratégico de las Tecnologías de Información (TTI).
Definir la arquitectura de la información.
Determinar la dirección tecnológica.
Definir la organización y las relaciones.
Gestión de las inversiones.
Comunicar a la dirección las tendencias.
Gestión de recursos humanos.
Asegurarse del cumplimiento de los requisitos externos.
Evaluación del riego.
Gestión de proyectos.
Gestión de la calidad.
Ciclo de Vida - Planificación estratégica
• Adquisición e Implementación Identificar las soluciones automatizadas. Adquirir y mantener el software. Adquirir y mantener la arquitectura tecnológica. Desarrollar y mantener procedimientos. Instalar y acreditar los sistemas. Gestión de los cambios.
• Suministro y Mantenimiento Definir el nivel de servicios. Gestionar los servicios de las terceras partes. Gestionar la capacidad y e/funcionamiento. Asegurase del servicio continuo. Asegurase de la seguridad de los sistemas. Identificar y localizar los costes. Formación teórica y práctica de los usuarios. Asistir y asesorar a los clientes. Manejo de la configuración. Gestión de los problemas y de los incidentes. Gestión de los datos. Gestión de las instalaciones. Gestión de la explotación.
Ciclo de Vida - Planificación estratégica
• Supervisión Supervisar los procesos.
Garantizar la independencia.
Evaluar el control interno.
Auditoría independiente.
Ciclo de Vida - Planificación estratégica
Evaluación de Controles Internos • El informe COSO define el CONTROL como "las normas, los procedimientos,
las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de las empresas se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán ". Para evaluar los controles es necesario buscar evidencia sobre:
– La terminación completa de todos los procesos. – La separación física y lógica de los programas, fuentes y objetos y de las bibliotecas de
desarrollo, de pruebas y de producción. – La existencia de normas y procedimientos para pasar los programas de una biblioteca a otra. – Las estadísticas de funcionamiento, donde al menos se incluya:
» Capacidad y utilización del equipo central y de los periféricos. » Utilización de la memoria. » Utilización de las telecomunicaciones.
– Las normas del nivel de servicios de los proveedores. – Los estándares de funcionamiento interno. – El mantenimiento y revisión de los diarios de explotación (Operations Logs). – La realización del mantenimiento periódico de todos los equipos. – La evidencia de la rotación de los turnos de los operadores y de las vacaciones tomadas
Ciclo de Vida - Planificación estratégica
DS13/CCI/367
Preparado por:
Realizado
FechaPor
ReferenciaCliente Nombre de la empresa
Fecha 31/08/09
Dominio Suministro y Mantenimiento
Proceso Gestión de la explotación (DS13 Manage Operations)
Titulo Cuestionario de Control Interno Si No N/A Observaciones
Cuestionario sobre los controles para la Gestión de la
explotación de Información
¿Existen normas y procedimientos escritos sobre el
funcionamiento del Servicio de Información?
¿Está separado el Servicio de Información del resto de los
departamentos?
¿Es adecuada la segregación de funciones en el seno del
Servicio de Información?
¿Es cierto que el personal de explotación no participa nunca
en funciones de análisis?
¿Es cierto que el personal de explotación no participa nunca
en funciones de desarrollo de aplicaciones?
Ciclo de Vida - Planificación estratégica
Titulo Cuestionario de Control Interno Si No N/A Observaciones
¿Existe organigrama del funcionamiento del Servicio de
Información?
¿Están descritas con detalle las funciones y responsabilidades
del personal?
El personal de explotación, ¿conoce perfectamente cuáles son
sus funciones y sus responsabilidades?
¿Tienen manuales todas las aplicaciones?
¿Se rotan las asignaciones de trabajo de los operadores?
¿Es imposible que los operadores accedan a programas y
datos no necesarios para su trabajo?
¿Se aprueban por personal autorizado las solicitudes de
nuevas aplicaciones?
¿Existen normas sobre cómo deben de hacerse los cambios de
turno para que haya seguridad de que las aplicaciones
continúan su proceso?
¿Personal con conocimientos y experiencia suficiente
organizan el trabajo para que resulte lo más eficaz posible?
¿Existen procedimientos de salvaguarda fuera de la instalación
que permitan reconstruir las operaciones que sean necesarias?
Ciclo de Vida - Planificación estratégica
Titulo Cuestionario de Control Interno Si No N/A Observaciones
¿Personal con autoridad suficiente es el que aprueba los
cambios de unas aplicaciones por otras?
¿Existen procedimientos adecuados para mantener la
documentación al día?
¿Existen controles que garanticen el uso adecuado de los
soportes de la información como discos y cintas?
¿Existen procedimientos adecuados para conectarse y
desconectarse de los equipos remotos?
¿Se aprueban los programas nuevos y los que se revisan antes
de ponerlos en funcionamiento?
¿Se comprueban los resultados con datos reales?
¿Participan los departamentos de usuarios en la evaluación de
los datos de prueba?
¿Personal de los departamentos de usuarios revisan y evalúan
los resultados de las pruebas finales, dando su aprobación
antes de poner en funcionamiento las aplicaciones?
Al poner en funcionamiento nuevas aplicaciones, o versiones
actualizadas, ¿funcionan en paralelo las existentes durante un
cierto tiempo?
Ciclo de Vida - Planificación estratégica
Titulo Cuestionario de Control Interno Si No N/A Observaciones
¿Personal con conocimientos y experiencia adecuada revisa
con periodicidad los componentes físicos de los equipos
siguiendo las instrucciones de los fabricantes?
¿Se cumplen las condiciones ambientales: temperatura,
humedad, etc., que recomienda el fabricante para el equipo,
cintas, etc.?
¿Existen controles apropiados para que sólo las personas
autorizadas tengan acceso a los equipos, cintas, discos,
documentación de programas, etc.?
¿Existen normas sobre las horas extras y se controlan las
entradas y salidas del personal fuera de su horario de trabajo?
Nota: El cuestionario se ha preparado con la intencionalidad de que las respuestas positivas sean
indicativo de fortaleza, mientras que las negativas lo sean de debilidad.
Ciclo de Vida - Planificación estratégica
Establecimiento de objetivos • Se considera que el riesgo es la presentación negativa de un objetivo de
auditoría. Si la oración negativa se transforma en oración afirmativa, se
tiene como resultado un objetivo de control.
• ¿Tiene su empresa normas escritas de cómo deben hacerse los
trasvases de programas en desarrollo a programas en producción? La debilidad sería la siguiente:
– La empresa no tiene normas escritas de cómo deben hacerse los trasvaces de
programas en desarrollo a programas en producción.
El objetivo de control sería: – Comprobar que la empresa tiene normas escritas de cómo deben hacerse los
trasvases de programas en desarrollo a programas en producción.
Ciclo de Vida - Planificación estratégica
Establecimiento de objetivos • Pruebas de cumplimiento
Si se confirma que realmente no existen manuales, no se pueden hacer
pruebas de cumplimiento
Comprobar que las normas para pasar un programa de desarrollo a
explotación son adecuadas y que la empresa las está cumpliendo.
• Pruebas sustantivas Revisar las aplicaciones que se han pasado de desarrollo a explotación y
revisar que antes de pasarlas han sido sometidas a un lote de pruebas y las
han superado satisfactoriamente.
Que esas pruebas cumplen los requisitos y estándares del sector. Que el
traspaso ha sido autorizado por una persona con la suficiente autoridad.
Ciclo de Vida - Planificación Administrativa
No se debe hacer hasta haber concluido la planificación estratégica. • En esta fase de la planificación pueden surgir ciertos problemas por
coincidir las fechas de trabajo del personal de la empresa auditora con
otros clientes. Evidencia.
– Se podrá hacer una relación con la documentación disponible en la etapa anterior,
documentación que se utilizará indicando el lugar donde se encuentra para que
esté a disposición del equipo de auditoría.
Personal. – Personal disponible, conocimientos y experiencia ideales y si va a ser necesario o
no contar con expertos, tanto personal de la empresa auditora como expertos
externos.
Calendario. – Fecha de comienzo y finalización de la auditoría. Determinar donde se realiza las
tareas: dependencias cliente u oficinas auditor.
Coordinación y cooperación. – Nivel de cooperación sin que deje de cumplirse el principio de independencia y
que se defina con claridad el interlocutor del cliente.
Ciclo de Vida - Planificación Técnica
En esta última fase se ha de elaborar el programa de trabajo. • En la fase de planificación estratégica se han establecido los objetivos
de la auditoría.
• En la fase de planificación administrativa se han asignados los
recursos de personal, tiempo, etc.
En esta fase de planificación técnica se indican: • Los métodos, el método de auditoría que se va a seguir
Si se va a seguir un método que se base en los controles, o por el contrario
la auditoría se basará en pruebas sustantivas
• Los procedimientos
• Las herramientas y las técnicas que se utilizarán para alcanzar los
objetivos de la auditoría.
Ciclo de Vida - Planificación Técnica
El programa de auditoría debe ser flexible y abierto, de tal forma que
se puedan ir introduciendo cambios a medida que se vaya
conociendo mejor el sistema. • El programa, y el resto de los papeles de trabajo, son propiedad del
auditor. Este no tiene la obligación de mostrárselos a la empresa que se
audita ("auditario"), debiendo custodiarlos durante el tiempo que marque
la ley.
Realización del Trabajo (Procedimientos)
Objetivo General • Asegurarse de que las funciones que sirven de apoyo a las Tecnologías
de la Información se realizan con regularidad, de forma ordenada y
satisfacen los requisitos empresariales.
Realización del Trabajo (Procedimientos)
Objetivos específicos • Comprender las tareas, las actividades del proceso que se está
auditando. Si fuera necesario ampliaríamos las entrevistas que hemos realizado en la
fase de planificación estratégica.
• Determinar si son o no apropiados los controles que están instalados. Si fuera necesario ampliaríamos las pruebas que hemos realizado en la fase
de planificación estratégica.
• Hacer pruebas de cumplimiento para determinar si los controles que
están instalados funcionan según lo establecido, de manera consistente
y continua. El objetivo de las pruebas de cumplimiento consiste en analizar el nivel de
cumplimiento de las normas de control que tiene establecida el "auditorio ".
Se supone que esas normas de control establecidas son eficientes y
efectivas.
Realización del Trabajo (Procedimientos)
Objetivos específicos • Hacer pruebas de cumplimiento para determinar si los controles que
están instalados funcionan según lo establecido, de manera consistente
y continua. El objetivo de las pruebas de cumplimiento consiste en analizar el nivel de
cumplimiento de las normas de control que tiene establecida el "auditorio ".
Se supone que esas normas de control establecidas son eficientes y
efectivas.
• Hacer pruebas sustantivas para aquellos objetivos de control con los que
no se haya podido quedar satisfecho de su buen funcionamiento con las
pruebas de cumplimiento. El objetivo de las pruebas sustantivas consiste en realizar las pruebas
necesarias , sobre los datos para que proporcionen la suficiente seguridad a
la dirección sobre si se ha alcanzado su objetivo empresarial.
Realización del Trabajo (Procedimientos)
Habrá que realizar el máximo número de pruebas sustantivas si: • No existen instrumentos de medida de los controles.
• Los instrumentos de medida que existen se consideran que no son los
adecuados.
• Las pruebas de cumplimiento indican que los instrumentos de medida de
los controles no se han aplicado de manera consistente y continua.
Realización del Trabajo (Procedimientos)
DS13
Preparado por:
Realizado
FechaPor
ReferenciaCliente Nombre de la empresa
Fecha 31/12/09
Dominio Suministro y Mantenimiento
Proceso Gestión de la explotación (DS13 Manage Operations)
OBJETIVO GENERAL
Las funciones que sirven de apoyo a las Tecnologías de la Información se realizan con
regularidad, deforma ordenada y satisfacen los requisitos empresariales.
OBJETIVOS ESPECÍFICOS
2.1. 0bjetivo de control sobre los manuales de las instrucciones y sobre los procedimientos de
explotación.
El servicio de información ha establecido y ha documentado procedimientos normalizados para la
explotación de las Tecnologías de la Información. Todas las soluciones y las plataformas de las tecnologías
de la Información instaladas son operativas utilizando esos procedimientos. Los procedimientos se revisan
de manera periódica para asegurarse de que son efectivos y que se ajustan a lo establecido.
Realización del Trabajo (Procedimientos)
OBJETIVOS ESPECÍFICOS
2.2. Objetivo de control sobre el inicio de los procesos y otra documentación de funcionamiento
La dirección del servicio de información se ha asegurado de que el personal de explotación: – Está familiarizado suficientemente con los procesos que están funcionando,
– Que estos están documentados adecuadamente,
– Y que periódicamente se realizan pruebas y se ajustan si procede.
2.3. Objetivo de control sobre la agenda de trabajo
La dirección del servicio de información se ha asegurado que la agenda de trabajo, los procesos y las
distintas tareas están organizados con la secuencia más efectiva posible, maximizando su utilización, y se
alcanzan los objetivos establecidos. Tanto la agenda inicial como las modificaciones que se han producido
han sido autorizadas al nivel de responsabilidad apropiado.
2.4. Objetivo de control sobre salidas fuera del horario normal de trabajo
Los procedimientos implantados identifican, aclaran y aprueban las salidas fuera del horario normal.
2.5. 0bjetivo de control sobre la continuidad en el proceso
En los cambios de turno de los operadores los procesos mantienen su continuidad, siguiendo los
protocolos establecidos para el relevo de la actividad.
2.6. Objetivo de control sobre los diarios de explotación (Operations Logs)
Los controles de la dirección garantizan que se está guardando, en los diarios de explotación, información
cronológica suficiente como para poder reconstruir, revisar en el momento oportuno y examinar las
secuencias del proceso y cualquier otra actividad relacionada y que sirva de soporte al proceso en
cuestión.
2.7. Objetivo de control sobre la explotación remota
Para el caso de explotaciones remotas, se han definido y se han implantado procedimientos concretos que
dan seguridad de que las conexiones y desconexiones con los equipos remotos se realizan
adecuadamente.
3. Procedimientos (Trabajo a realizar)
a) Pruebas de cumplimiento
Referencia
PT*
Realizado
Por
1. Comprobar que el personal de explotación conoce y comprende.
Los procedimientos de explotación de los que es responsable.
– Las expectativas de funcionamiento las normas de los proveedores, las normas y los
procedimientos de la empresa, y el nivel de servicio acordado que se vaya a suministrar a
los usuarios.
– Los planes de emergencia.
– Requisitos de los diarios de explotación y su revisión por parte de la dirección.
– Procedimientos para la solución de problemas.
– Las comunicaciones en los cambios de turno y las responsabilidades de cada uno de los
turnos.
– La interacción de los equipos de proceso remoto con los equipos de proceso central.
Realización del Trabajo (Procedimientos)
a) Pruebas sustantivas Referencia
PT*
Realizado
Por
2. Revisar las estadísticas de explotación personal para determinar si su uso es el
adecuado; comparar con otras empresas similares, con las normas de los
proveedores, con normas internacionales apropiadas y con las prácticas y las ratios
de las mejores industrias.
3. Revisar una muestra representativa de los manuales del servicio de información y
determinar si cumplen con las normas y los procedimientos.
4. Examinar la documentación terminación de los procesos para confirmar que los
procedimientos se someten actualizan con periodicidad.
5. Examinar el horario de proceso para asegurarse de su adecuación y suficiencia de
funcionamiento con el programa.
6. Seleccionar una muestra de terminaciones anormales de los trabajos y determinar
la solución de los problemas que ocurrieron.
7. Identificar los cursos de formación práctica de los operadores, los cambios de
turnos y lo ocurrido con las vacaciones.
8. Identificar a los usuarios para determinar si el nivel deservicio es satisfactorio.
9. Seleccionar una muestra de los diarios de la consola para comprobar la exactitud
tendencias funcionamiento y la revisión por parte de la directiva de la resolución de
problemas - evaluar el esquema de solución de problemas donde sea aplicable -
10. Identificar los procedimientos de preventivo que se han realizado en todos los
equipos por sugerencia de los proveedores.
Realización del Trabajo (Procedimientos)
Informes
Tipos de informes • Las opiniones pueden clasificarse por el tipo de trabajo y por los
resultados del trabajo. Favorable
– En nuestra opinión el servicio de explotación y las funciones que sirven de apoyo
a las Tecnologías de la Información se realizan con regularidad, de forma
ordenada y satisfacen los requisitos empresariales.
Desfavorable – En nuestra opinión. Dada la importancia de los efectos de las salvedades
comentadas en los puntos X, X1... de este informe, el servicio de explotación y las
funciones que sirven de apoyo a las Tecnologías de la Información NO se realizan
con regularidad, NI de forma ordenada y NO satisfacen los requisitos
empresariales.
Informes
Con salvedades – En nuestra opinión, excepto por los efectos de las salvedades que se comentan
en el punto X de este informe. (se indicarán las salvedades y se harán
recomendaciones oportunas para mejorar el sistema; en la siguiente auditoría el
auditor comprobará la implementación de las recomendaciones).
• Denegación de opinión – En el caso de que las salvedades impidan al auditor formarse una opinión del
servicio de explotación, ya sea por falta de información, o por no haber tenido
acceso a ella por los motivos que fueren, pero siempre ajenos a la voluntad del
auditor, y no obstante, haber intentado hacer pruebas alternativas, el auditor
denegará su opinión.
Informes
Recomendaciones • Cuando el auditor, durante la realización de la auditoría, detecte
debilidades, debe comunicadas al auditorio con la mayor prontitud
posible.
• Un esquema, generalmente aceptado, de cómo presentar las
debilidades es el siguiente: Describir la debilidad.
Indicar el criterio o instrumento de medida que se ha utilizado.
Indicar los efectos que puede tener en el sistema de información.
Describir la recomendación con la que esa debilidad se podría eliminar.
Respuesta de los directivos.
Informes - Normas
El informe es el instrumento que se utiliza para comunicar los
objetivos de la auditoría, el alcance que vaya a tener, las debilidades
que se detecten y las conclusiones a las que se lleguen. • A la hora de preparar el informe, el auditor debe tener en cuenta las
necesidades y características de los que se suponen serán sus
destinatarios. El informe debe contener un párrafo en el que se indiquen los objetivos que
se pretenden cumplir. Si, según la opinión del auditor, alguno de estos
objetivos no se pudiera alcanzar, se debe indicar en el informe.
Informes - Normas
En el informe de auditoría se debe hacer mención de cuáles son las
NASIGA que se han seguido para realizar el trabajo de auditoría. • En el informe de auditoría se ha de hacer mención al alcance de la
auditoría, se debe describir la naturaleza y la extensión del trabajo de
auditoría.
Informes – Normas – G20 ISACA
Informe de auditoría Independiente de la Gestión de la explotación • A los accionistas de la Sociedad XYZ, S.A.
1. Hemos auditado la Gestión de la explotación de la Información (GEl) de la
Sociedad XYZ, S.A., cuyo inventario de recursos y memoria del sistema,
preparados por los administradores de Sociedad XYZ, S.A., se adjunta. – El período de auditoría está comprendido entre el 1 de enero de 2004 y el 31 de
diciembre de 2006.
2. La GEl es una parte del sistema de información de gestión de la Sociedad
XYZ, S.A. y se diseña para asegurar, adecuar y proporcionar controles de
seguridad que protejan adecuadamente los activos de información y
proporcionen confidencialidad a los clientes y a otras partes interesadas.
Informes – Normas – G20 ISACA
3. Es responsabilidad de los administradores de la empresa mantener una
estructura efectiva de control interno. – Nuestra responsabilidad es expresar una opinión sobre la citada gestión en su
conjunto, basada en el trabajo realizado de acuerdo con las normas de auditoría
de ISACA e ICAC y las normas de Auditoría de Sistemas de Información
Generalmente Aceptadas (NASIGA).
4. El trabajo realizado no es una auditoría propiamente dicha, si no una
revisión limitada a la GEI La revisión limitada proporciona un nivel moderado
de seguridad sobre la efectividad del procedimiento de control. – El nivel de seguridad que proporciona es menor que el que proporciona una
auditoría, debido a que el alcance del trabajo es de menor extensión que el de la
auditoría; y la naturaleza, momento y extensión de los procedimientos realizados
no proporcionan evidencia suficiente y adecuada que capacite al auditor para
expresar una opinión positiva.
– El objetivo de la revisión limitada es capacitar al auditor para expresar si, en base
a los procedimientos, algo ha llegado a su atención que le haga creer que los
procedimientos de control no fueron efectivos en base a los criterios identificados.
Informes – Normas – G20 ISACA
5. El informe se ha preparado con el propósito de informar a los
administradores de la empresa sobre la efectividad de la GEI. – En consecuencia, este informe no podrá utilizarlo ninguna otra persona distinta a
las aquí referidas, ni con otro objetivo diferente del que se ha especificado
anteriormente.
6. Debido a las limitaciones inherentes de cualquier control interno, pueden
ocurrir inexactitudes, consecuencia de errores o fraudes, y que no se
detecten. – Las auditorias no se diseñan para detectar todas las debilidades de los
procedimientos de control ya que no se realizan de manera continua.
Informes – Normas – G20 ISACA
7. No ha llegado nada a nuestra atención que nos haga opinar que los
procedimientos de control de la GEl de la Sociedad XYZ, S.A. no fueron
efectivos en todos los aspectos significativos y basándonos en los criterios
especificados, durante el período comprendido entre el 1 de enero de 2006 y
el 31 de diciembre de 2006.
Nombre del auditor o de la sociedad de auditoría.
Firma del auditor o del socio responsable del Informe.
Fecha de emisión del Informe.
Documentación de la Auditoría
Papeles de trabajo • La documentación de la auditoría de los sistemas de información es el
registro del trabajo de auditoría realizado, y la evidencia que sirve de
soporte a las debilidades encontradas y las conclusiones a las que ha
llegado el auditor. Los papeles de trabajo se deben diseñar y organizar según las
circunstancias y las necesidades del auditor. – Recogen la evidencia obtenida a lo largo del trabajo.
– Ayudan al auditor en el desarrollo de su trabajo.
– Ofrecen un soporte del trabajo realizado para, así, poder utilizado en auditorias
sucesivas.
– Permiten que el trabajo pueda ser revisado por terceros.
Documentación de la Auditoría
Archivos • Los papeles de trabajo que el auditor va elaborando se pueden
organizar en dos archivos principales: Archivo permanente o continuo de auditoria
– El archivo permanente contiene todos aquellos papeles que tienen un interés
continuo, una validez plurianual. » Características de los equipos y de las aplicaciones.
» Manuales de los equipos y de las aplicaciones.
» Descripción del control interno.
» Organigramas de la empresa en general.
» Organigramas del Servicio de Información y división de funciones.
» Cuadro de planificación plurianual de auditoría.
» Escrituras y contratos.
» Consideraciones sobre el negocio.
» Consideraciones sobre el sector.
» En general toda aquella información que puede tener una importancia para auditorias
posteriores.
Documentación de la Auditoría
Archivos • Archivo corriente o de la auditoría en curso
Archivo general. – Los documentos que se suelen archivar aquí son aquellos que no tienen cabida
específica en alguna de las áreas/procesos en que hemos dividido el trabajo de
auditoría, tales como: » El Informe del Auditor.
» La Carta de recomendaciones.
» Los Acontecimientos posteriores.
» El Cuadro de planificación de la auditoría corriente.
» La Correspondencia que se ha mantenido con la dirección de la empresa.
» El tiempo que cada persona del equipo ha empleado en cada una de las áreas/procesos.
» La Correspondencia que se ha mantenido con la dirección de la empresa.
» El tiempo que cada persona del equipo ha empleado en cada una de las áreas/procesos.
Documentación de la Auditoría
Archivo por áreas/procesos. – Se debe preparar un archivo para cada una de las áreas o procesos en que
hayamos dividido el trabajo e incluir en cada archivo todos los documentos que
hayamos necesitado para realizar el trabajo de esa área/proceso concreto. Al
menos deberán incluirse los siguientes documentos: » Programa de auditoría de cada una de las áreas/procesos.
» Conclusiones del área/proceso en cuestión.
» Conclusiones del procedimiento en cuestión.
Conclusiones
Podemos concluir diciendo que la labor del auditor de sistemas de
información es esencial para garantizar la adecuación de los
sistemas de información. • Por ello el auditor debe realizar su trabajo ateniéndose a las Normas de
Auditoría de Sistemas de Información Generalmente Aceptadas
(NASIGA) como requisito necesario que garantice la calidad del trabajo
realizado y que la evidencia de este trabajo quede documentada.
Conclusiones
• Según esta sociedad se vaya informatizando y/o vayan surgiendo
problemas, será necesario actualizar las normas de auditoría o elaborar
otras nuevas para que la audiencia de la auditoría que es toda la
sociedad en su conjunto - tenga una seguridad razonable de que los
sistemas de información funcionan adecuadamente, sus datos se
mantienen con la debida confidencialidad, cumplen la legislación vigente
y los informes de los distintos auditores se pueden comparar.