Download - 1 - T-UTC-1045(1)
-
- 1 -
INTRODUCCIN
A finales del siglo XX, los Sistemas Informticos se han constituido en las
herramientas ms poderosas para materializar uno de los conceptos ms vitales y
necesarios para cualquier organizacin tanto pblica como privada.
Consecuentemente con lo mencionado el ejercicio de nuestra profesin, no puede
ser una excepcin en cuanto a utilizar la Auditora Informtica para evaluar y
controlar la eficiencia y la eficacia de los sistemas computarizados y el adecuado
uso de los recursos informticos en una institucin.
La Auditora Informtica vela por la correcta utilizacin de los amplios recursos
que la organizacin pone en juego para disponer de un eficiente y eficaz Sistema
de Informacin. Claro est, que para la realizacin de una Auditora informtica
efectiva, se debe entender a la entidad en su ms amplio sentido, ya que una
Universidad, un Ministerio o un Hospital son instituciones que deben funcionar y
prestar servicios como una Sociedad Annima o empresa Pblica. Todas estas
utilizan la informtica para gestionar sus "actividades" de forma rpida y
eficiente, con el fin de que las instituciones puedan obtener beneficios econmicos
y reduccin de costes, de igual manera las entidades brindar un servicio que
realmente este acorde a las exigencias y necesidades de los pueblos.
El resultado del presente trabajo es la aplicacin de una metodologa para realizar
una auditora informtica en los departamentos que cuentan con equipos
informticos de la Universidad Tcnica de Cotopaxi Edificio Matriz y Ceypsa
mediante la utilizacin de la Metodologa Cobit.
-
- 2 -
El trabajo propuesto est estructurado de la siguiente manera: El captulo I da a
conocer los conceptos de Auditora, Informtica, Control Interno y Metodologa
Cobit lo que permite tener un conocimiento cientfico para fundamentar
adecuadamente la propuesta de investigacin.
El captulo II expone el trabajo de campo realizado en la Universidad Tcnica de
Cotopaxi, contiene el levantamiento de informacin que permite tener un
conocimiento del espacio de estudio, en este captulo se presenta informacin
referente a: Entorno de la Universidad, Estructura Organizacional General,
Conocimiento de la Organizacin y aplicacin de los instrumentos dirigidas a
todos los involucrados de la presente investigacin, cuya informacin permiti la
comprobacin y verificacin de la hiptesis.
En el captulo III se presenta el Informe de Auditora Informtica, el mismo que
contiene los resultados que son entregados a la Universidad como un aporte del
grupo investigador. En cambio en el Captulo IV se indica las conclusiones y
recomendaciones finales del presente trabajo investigativo y finalmente se incluye
algunos Anexos que contiene informacin referente a normas, reglamentos,
modelos de encuestas, papeles de trabajo, detalle de los procesos de la
Metodologa Cobit y otros que han permitido fundamentar y desarrollar de mejor
manera el trabajo realizado.
-
- 3 -
Este trabajo de investigacin representa la conclusin de los estudios realizados
en el campo de la Auditora Informtica la misma que constituye una herramienta
que permite detectar las falencias en la administracin de recursos informticos.
La Universidad debe asumir este tipo de procesos en beneficio de todos los entes
que conforman esta institucin y as, aprovechar los recursos y avances
tecnolgicos con los que cuenta. Por sta y muchas razones nuestra preocupacin
como estudiantes de la Universidad Tcnica Cotopaxi ponemos a consideracin
este trabajo de investigacin para que en un futuro no muy lejano se ponga en
prctica y se aproveche el presente documento.
-
- 4 -
CAPITULO I
FUNDAMENTACIN TERICA
1.1 GENERALIDADES
1.1.1 INTRODUCCIN A LA AUDITORA
La informacin ocupa cada vez ms un lugar preponderante en la escala de
valores institucionales. Sobre todo, a medida que crece la organizacin y se
dividen y especializan sus funciones. Entendemos por informacin el conjunto de
datos que sirven para tomar una decisin.
En consecuencia, su necesidad es evidente tanto en la planificacin estratgica a
largo plazo como en la fijacin de estndares para la planificacin a corto plazo.
La informacin tambin es necesaria para el estudio de las desviaciones y de los
efectos de las acciones correctoras; es un componente vital para el Control.
Finalmente, la incorporacin de la informtica en la organizacin, al igual que en
los dems aspectos de la sociedad, va a introducir un enfoque nuevo del
tratamiento de los datos que cambiar en alto grado las funciones que actualmente
existen en las organizaciones. Cabe aclarar que la Informtica no gestiona
propiamente la organizacin, ayuda a la toma de decisiones, pero no decide por s
misma.
-
- 5 -
Por ende, debido a su importancia en el funcionamiento de una organizacin,
existe la Auditora Informtica.
1.1.2 FUNCIN DE AUDITORA
1. Estudiar y actualizar permanentemente las reas susceptibles de revisin.
2. Apegarse a las tareas que desempeen las normas, polticas, procedimientos
y tcnicas de auditora establecidas por los organismos generalmente
aceptados a nivel nacional e internacional.
3. Evaluacin y verificacin de las reas requeridas por la alta direccin o
responsables directos de la Universidad.
4. Elaboracin del informe de auditora (debilidades y recomendaciones).
5. Otras recomendaciones para el desempeo eficiente de la auditora.
1.1.3 AUDITORA INTERNA
En la pgina web:
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml nos dice que:
Constituye una funcin de evaluacin independiente. Sin embargo, existe en el
seno de una entidad y bajo la autorizacin de la direccin con el nimo de
examinar y evaluar las actividades de la entidad. La funcin principal del auditor
interno es ayudar a la direccin en la realizacin de sus funciones, asegurando:
-
- 6 -
La salvaguardia del inmovilizado material e inmaterial de la entidad.
La exactitud y fiabilidad de los registros contables.
El fomento de la eficiencia operativa.
La adhesin a las polticas de la entidad y el cumplimiento de sus
obligaciones legales.
OBJETIVOS AUDITORA INTERNA
Revisin y evaluacin de controles contables, financieros y operativos.
Determinacin de la utilidad de polticas, planes y procedimientos, as como
su nivel de cumplimiento.
Custodia y contabilizacin de activos.
Examen de la fiabilidad de los datos.
Divulgacin de polticas y procedimientos establecidos.
Informacin exacta a la gerencia.
1.1.4 AUDITORA EXTERNA
En la pgina web:
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml manifiesta que:
Constituye una funcin de evaluacin independiente y externa a la entidad que se
examina. En la mayora de las empresas, se contrata anualmente la realizacin de
una Auditora Externa para investigar el costo de un sistema para lo cual se debe
considerar con una exactitud razonable, el costo de los programas, el uso de los
-
- 7 -
equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y
operacin, cosa que en la prctica son costos directos, indirectos y de operacin
de los estados financieros por parte de un contador pblico independiente, bien
voluntariamente o bien por obligacin legal.
OBJETIVOS AUDITORA EXTERNA
Obtencin de elementos de juicio fundamentados en la naturaleza de los
hechos examinados.
Medicin de la magnitud de un error ya conocido, deteccin de errores
supuestos o confirmacin de la ausencia de errores.
Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia.
Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio.
Control de las actividades de investigacin y desarrollo.
1.1.5 NECESIDAD DE LA AUDITORA INFORMTICA
En la direccin electrnica: http://www.rociolopez.8m.com/ nos dice que: Las
organizaciones acuden a las auditoras externas cuando existen sntomas bien
perceptibles de debilidad. Estos sntomas pueden agruparse en clases:
Sntomas de descoordinacin y desorganizacin:
No coinciden los objetivos de la Informtica de la organizacin y de la
propia organizacin.
-
- 8 -
Los estndares de productividad se desvan sensiblemente de los promedios
conseguidos habitualmente.
Sntomas de mala imagen e insatisfaccin de los usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios
de Software en los terminales de usuario, variacin de los ficheros que
deben ponerse diariamente a su disposicin, etc.
No se reparan las averas de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes en
la actividad del usuario, en especial en los resultados de aplicaciones crticas
y sensibles.
Sntomas de debilidades econmico-financiero:
Incremento desmesurado de costes.
Necesidad de justificacin de Inversiones Informticas (la entidad no est
absolutamente convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultneamente a
Desarrollo de Proyectos y al rgano que realiz la peticin).
-
- 9 -
Sntomas de Inseguridad: Evaluacin de nivel de riesgos
Seguridad Lgica
Seguridad Fsica
Confidencialidad
Continuidad del Servicio. Es un concepto an ms importante que la
seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia: Totales y Locales.
Centro de Proceso de Datos fuera de control. Si tal situacin llegara a
percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual,
en este caso, el sntoma debe ser sustituido por el mnimo indicio.
1.1.6 DEFINICIN DE AUDITORA INFORMTICA
En la direccin electrnica https://siaa.ucbcba.edu.bo/siaa/reptesispublico.asp al
respecto nos indica que: Es el conjunto de tcnicas, actividades y
procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos
relativos a la planificacin, control eficacia, seguridad y adecuacin del servicio
informtico en la empresa, por lo que comprende un examen metdico, puntual y
discontinuo del servicio informtico, con vistas a mejorar en:
-
- 10 -
Rentabilidad
Seguridad
Eficacia
La Auditora Informtica verifica la utilizacin eficiente de los recursos
informticos disponibles o por disponer, en funcin de las estrategias de la
organizacin y de los objetivos previstos.
1.1.7 AUDITORA INFORMTICA INTERNA
La Auditora Informtica Interna cuenta con algunas ventajas adicionales muy
importantes, puede actuar peridicamente realizando revisiones globales, como
parte de su Plan Anual y de su actividad normal. Los auditados conocen estos
planes y se habitan a las auditoras, especialmente cuando las consecuencias de
las recomendaciones habidas benefician su trabajo.
1.1.8 OBJETIVOS DE LA AUDITORA INFORMTICA
Segn la direccin electrnica:
http://www.cstconsultores.com/Publicaciones/Auditorainf.htm
Objetivo fundamental de la auditoria informtica: Operatividad
La operatividad de los Sistemas ha de constituir entonces la principal
preocupacin del auditor informtico. Para conseguirla hay que acudir a la
-
- 11 -
realizacin de Controles Tcnicos Generales de Operatividad y Controles
Tcnicos Especficos de Operatividad, previos a cualquier actividad de aquel.
Los Controles Tcnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultneo del Sistema Operativo y el
Software de base con todos los subsistemas existentes, as como la
compatibilidad del Hardware y del Software instalados.
Los Controles Tcnicos Especficos, son igualmente necesarios para lograr
la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar
mal son parmetros de asignacin automtica de espacio en disco que
dificulten o impidan su utilizacin posterior por una seccin distinta de la
que lo gener.
1.2 CONTROL INTERNO Y AUDITORA INFORMTICA
1.2.1 INTRODUCCIN AL CONTROL INTERNO INFORMTICO
Bsicamente todos los cambios que se realizan en una organizacin someten a una
gran tensin a los controles internos existentes. Cuando un auditor profesional se
somete a auditar una organizacin, lo primero que se le viene a la cabeza es
mejorar todos los procesos que se llevan en la misma para buscar la eficiencia
total.
-
- 12 -
1.2.2 CONTROL INTERNO INFORMTICO
En la pgina web: http://aabbccddee.galeon.com/Metodo.htm manifiesta que:
Cumplen funciones de control dual en los diferentes departamentos, que puede
ser normativa, marco jurdico.
La funciones del control interno es la siguientes determinar los propietarios y los
perfiles segn la clase de informacin, permitir a dos personas intervenir como
medida de control, realizar planes de contingencias, dictar normas de seguridad
informtica, controla la calidad de software, los costos, los responsables de cada
departamento, control de licencias, manejo de claves de cifrado, vigilan el
cumplimiento de normas y de controles, es clara que esta medida permite la
seguridad informtica.
1.2.3 DEFINICIN Y TIPOS DE CONTROLES
De acuerdo al sitio web: http://alarcos.inf-cr.uclm.es/doc/Auditoria/auditoria.htm
define al control interno como: Cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
-
- 13 -
Controles detectivos: Cuando fallan los preventivos para tratar de conocer
cuanto antes el evento.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han
producido incidencias.
1.2.4 FUNCIN DE CONTROL INTERNO Y AUDITORA INFORMTICA
Control interno informtico; Cumplen funciones de control dual en los
diferentes departamentos, que puede ser normativa, marco jurdico.
En la auditora Informtica; esta tiene funcin de vigilancia y evaluacin
mediante dictmenes, los auditores tienen diferentes objetivos, que los de
cuentas, ellos evalan eficiencia, costos y la seguridad con mayor visin, y
realizan evaluaciones de tipo cualitativo.
1.2.5 FUNCIN DE CONTROL INTERNO INFORMTICO
Segn la direccin electrnica:
http://www.ucpr.edu.co/auditores/estandares%5Cindex.htm expresa que: La
funcin del control interno informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
vlidas.
Como principales objetivos podemos indicar los siguientes:
-
- 14 -
Controlar que todas las actividades se realicen cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de auditora informtica, as como de las
auditoras externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro del servicio informtico.
1.2.6 FUNCIN DE AUDITORA INFORMTICA
Segn: HERNNDEZ, Hernndez Enrique, (1996); Auditora en Informtica,
Mxico. Considera como:
Funciones Mnimas:
Evaluacin y verificacin de los controles y procedimientos relacionados
con la funcin de informtica dentro de la Entidad.
La validacin de los controles y procedimientos utilizados para el
aseguramiento permanente del uso eficiente de los sistemas de informacin
computarizados y de los recursos de informtica dentro de la Entidad.
Evaluacin, verificacin e implantacin oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcin de informtica.
-
- 15 -
Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacin de los recursos
de informtica de acuerdo con las polticas de la entidad.
Desarrollar la auditora en informtica conforme normas y polticas
estandarizadas a nivel nacional e internacional.
Evaluar las reas de riesgo de la funcin de informtica y justificar su
evaluacin con la alta direccin de la entidad.
Elaborar un plan de auditora en informtica en los plazos determinados por
el responsable de la funcin.
Obtener la aprobacin formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso.
Administrar o ejecutar de manera eficiente los proyectos contemplados en el
plan de la auditora en informtica. (pg.36)
1.2.7 CLASES DE AUDITORA INFORMTICA
La Auditora puede clasificarse desde diversos puntos de vista. Pasamos a
desarrollar estos aspectos:
En la pgina web: http://www.auditoriadesistemas.com/modules/news/ se
encuentra la siguiente clasificacin
Auditora de la direccin.
Auditora del desarrollo o aplicaciones.
-
- 16 -
Auditora de la explotacin.
Auditora informtica de sistemas.
Auditora de la seguridad informtica.
Auditora informtica de comunicaciones y redes.
1.2.7.1 AUDITORA DE LA DIRECCIN
El control del funcionamiento del departamento de informtica con el exterior,
con el usuario se realiza por medio de la direccin. Su figura es importante, en
tanto en cuanto es capaz de interpretar las necesidades de la entidad.
Una informtica eficiente y eficaz requiere el apoyo continuado de su direccin
frente al exterior. Revisar estas interrelaciones constituye el objeto de la
Auditora Informtica de Direccin.
1.2.7.2 AUDITORA DEL DESARROLLO O APLICACIONES
La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin
de Sistemas y Aplicaciones. A su vez, engloba muchas reas, tantas como
sectores informatizables tiene la organizacin. Muy escuetamente, una aplicacin
recorre las siguientes fases:
Prerequisitos del Usuario (nico o plural) y del entorno.
-
- 17 -
Anlisis funcional.
Diseo.
Anlisis orgnico (Preprogramacin y Programacin).
Pruebas.
Entrega a Explotacin y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso contrario,
adems del disparo de los costes, podr producirse la insatisfaccin del usuario.
1.2.7.3 AUDITORA DE LA EXPLOTACIN
La Explotacin Informtica se ocupa de producir resultados informticos de todo
tipo: listados impresos, ficheros soportados magnticamente para otros
informticos, ordenes automatizadas para lanzar o modificar procesos industriales,
etc. La explotacin informtica se puede considerar como una fabrica con ciertas
peculiaridades que la distinguen de las reales.
Auditar Explotacin consiste en auditar las secciones que la componen y sus
interrelaciones. La Explotacin Informtica se divide en tres grandes reas:
Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios
grupos.
-
- 18 -
1.2.7.4 AUDITORA INFORMTICA DE SISTEMAS
Segn el sitio web: http://www.eduardoleyton.com/Audcomp_R.html nos dice
que: Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas
en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha
propiciado que las Comunicaciones, Lneas y Redes de las instalaciones
informticas, se auditen por separado, aunque formen parte del entorno general de
Sistemas.
1.2.7.5 AUDITORA DE LA SEGURIDAD INFORMTICA
De acuerdo con la direccin electrnica:
http://www.monografas.com/trabajos/seguinfo/seguinfo/shtml
La seguridad en la informtica abarca los conceptos de seguridad fsica y
seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de
los soportes de datos, as como a la de los edificios e instalaciones que los
albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes
naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin
de los datos, procesos y programas, as como el acceso de los usuarios a la
informacin.
-
- 19 -
1.2.7.6 AUDITORA INFORMTICA DE COMUNICACIONES Y REDES
En el sitio web: http://www.sedisi.es/05_Estudios/guia01.htm considera que:
Para el informtico y para el auditor informtico, el entramado conceptual que
constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes
Locales, etc. no son sino el soporte fsico-lgico del Tiempo Real.
1.3 HERRAMIENTAS Y METODOLOGAS DE CONTROL Y AUDITORA INFORMTICA
1.3.1 INTRODUCCIN A LAS METODOLOGAS EN CONTROL Y AUDITORA
El nacimiento de metodologa en el mundo de la auditora y el control informtico
se puede observar en los primeros aos de los ochenta, naciendo a la par con la
informtica, la cual utiliza la metodologa en disciplinas como la seguridad de los
sistemas de informacin, la cual la definimos como la doctrina que trata de los
riesgos informticos, en donde la auditora se involucra en este proceso de
proteccin y preservacin de la informacin y de sus medios de proceso.
La informtica crea unos riesgos informticos los cuales pueden causar grandes
problemas en entidades, por lo cual hay que proteger y preservar dichas entidades
con un entramado de contramedidas, y la calidad y la eficacia de la mismas es el
-
- 20 -
objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos,
siendo esta una funcin de los auditores informticos.
1.3.2 HERRAMIENTAS DE CONTROL Y AUDITORA INFORMTICA
De: HERNNDEZ, Hernndez Enrique, (1996); Auditora en Informtica,
Mxico. Se extrae: Las herramientas de control, son de dos tipos fsicos y
lgicos.
Como herramientas de control fsico podemos citar a los cifradores y las del punto
lgico son programas que brindan seguridad, las principales herramientas son las
siguientes; seguridad lgica del sistema, seguridad lgica complementaria del
sistema, seguridad lgica en entornos distribuidos, control de acceso fsico,
control de copias, gestin de soporte magnticos, gestin de control de impresin
y envo de listados por red, control de proyectos y versiones , gestin de
independencia y control de cambios.
1.3.3 FUNCIONALIDAD DE LAS HERRAMIENTAS
La informtica crea unos riesgos informticos los cuales pueden causar grandes
problemas en entidades, por lo cual hay que proteger y preservar dichas entidades
con un entramado de contramedidas, la calidad y la eficacia de la mismas es el
objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos de ah
que se puede utilizar herramientas para la obtencin de la informacin requerida.
-
- 21 -
1.3.3.1 ENTREVISTAS
En el sitio web: http://www.cstconsultores.com/Publicaciones/Auditoriainf.htm
define a: La entrevista es una de las actividades personales ms importante del
auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la
proporcionada por medios propios puramente tcnicos o por las respuestas escritas
a cuestionarios.
1.3.3.2 CHECKLISTS
El auditor conversar y har preguntas normales, que en realidad servirn para
la complementacin sistemtica de sus Cuestionarios, de sus Checklist.
El auditor deber aplicar los Checklist de modo que el auditado responda clara y
escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los
casos en que las respuestas se aparten sustancialmente de la pregunta.
1.3.4 METODOLOGA DE AUDITORA INFORMTICA Y CONTROL INFORMTICO
En la direccin electrnica http://www.criptored.upm.es/guiateoria/gt_m142a.htm
nos dice que: La informtica crea unos riesgos informticos de los que hay que
proteger y preservar a la entidad con un entramado de contramedidas y la calidad
y la eficacia de las mismas es el objetivo a evaluar para poder identificar as sus
puntos dbiles y mejorarlos.
-
- 22 -
Por tanto, debemos profundizar ms en ese entramado de contramedidas para ver
qu papel tienen las metodologas y los auditores en el mismo. Para explicar este
aspecto diremos que cualquier contramedida nace de la composicin de varios
factores expresados en la figura adjunta. Todos los factores de la pirmide
intervienen en la composicin de una contramedida.
GRFICO 1.1 METODOLOGA DE CONTROL INTERNO Y AUDITORA INFORMTICA
FUENTE: Piattini , Mario G.; Del Peso, Emilio. "Auditora Informtica: Un enfoque prctico". 1998 ELABORADO POR: Marco Len y Silvia Manotoa
1.3.5 METODOLOGA DE TRABAJO DE AUDITORA INFORMTICA
Para el desarrollo de la presente Auditora Informtica en la Universidad Tcnica
de Cotopaxi se ha seguido la siguiente metodologa de trabajo, la misma que
comprende las siguientes fases:
-
- 23 -
FASE 1 CONOCIMIENTO PRELIMINAR
1. Alcance y Objetivos de la Auditora Informtica de la Universidad Tcnica
de Cotopaxi.
2. Estudio inicial del entorno auditable: Universidad Tcnica de Cotopaxi.
3. Determinacin de los recursos necesarios para realizar la Auditora en la
Universidad Tcnica de Cotopaxi.
FASE 2 PLANIFICACIN
1. Elaboracin del Programa de Trabajo. (Ver anexo # 3)
FASE 3 EJECUCIN
1. Elaboracin de los Papeles de Trabajo. (Ver Anexo # 4 )
2. Aplicacin de los Papeles de Trabajo. (Ver Anexo # 5)
3. Aplicacin de las encuestas a los usuarios potenciales. (Ver Anexo # 6)
4. Anlisis de la informacin recopilada a travs de las encuestas realizadas.
5. Elaboracin del primer borrador de Auditora Informtica.
FASE 4 COMUNICACIN DE RESULTADOS
1. Lectura del Informe.
2. Obtencin de Criterios por parte de los encargados de los departamentos
inmersos en la presente Auditora Informtica.
3. Redaccin del Informe Final.
-
- 24 -
4. Estructuracin y presentacin del Informe Final.
FLUJOGRAMA DE LA METODOLOGA DE TRABAJO DE AUDITORA INFORMTICA A APLICARSE EN LA UNIVERSIDAD
TCNICA DE COTOPAXI
Grfico 1.2: Metodologa de Trabajo
Fuente: Manuales de Auditora Informtica Elaborado por: Marco Len y Silvia Manotoa
-
- 25 -
1.3.6 CLASIFICACIN DE INFORMACIN Y PROCEDIMIENTOS DE CONTROL
Clasificacin de informacin: determinar que la informacin es reservada o
confidencial.
1. Los datos confidenciales son datos de difusin no autorizada. Su uso puede
suponer un importante dao a la organizacin.
2. Los datos restringidos son datos de difusin no autorizada. Su utilizacin
ira contra los intereses de la organizacin y/o sus clientes. (Datos de
clientes, programas o utilidades, software, datos de inventarios, etc.).
3. Los datos de uso interno no necesitan ningn grado de proteccin para su
difusin dentro de la organizacin. (Organigramas, poltica y estndares,
listn telefnico interno, etc.).
4. Los datos no clasificados no necesitan ningn grado de proteccin para su
difusin. (Informes anuales pblicos, etc.).
Los Procedimientos de control de la informacin se pueden dividir en los
siguientes tipos:
Fsica
Lgica
Organizativo Administrativa
Jurdica
-
- 26 -
1.3.7 PLAN DEL AUDITOR INFORMTICO
En el sitio web: http://gratistodo.8m.com/capiaudi6.htm nos dice que: Un plan
del auditor informtico deben contener al menos lo siguiente:
1. Funciones. Ubicacin de la figura en el organigrama de la empresa. Deben
describirse las funciones de forma precisa, y la organizacin interna del
departamento, con todos sus recursos.
2. Procedimientos para las distintas tareas de las auditoras. Entre ellos estn
el procedimiento de apertura, el de entrega y discusin de debilidades,
entrega de informe preliminar, cierre de auditora, redaccin de informe
final, etc.
3. Tipos de auditoras que realiza. Metodologas y cuestionarios de las mismas.
Existen tres tipos de auditora segn su alcance: la completa de una rea;
limitada a un aspecto y correctiva que es la comprobacin de acciones de
auditoras anteriores.
4. Sistema de evaluacin y los distintos aspectos que evala.
Independientemente de que exista un plan de acciones en el informe final,
debe hacerse el esfuerzo de definir varios aspectos a evaluar como nivel de
gestin econmica, gestin de recursos humanos, cumplimiento de normas.
-
- 27 -
5. Nivel de exposicin. Permite en base a la evaluacin final de la ltima
auditora realizada sobre ese tema definir la fecha de la repeticin de la
misma auditora.
1.3.8 NORMAS APLICADAS EN LA AUDITORA INFORMTICA
A) MODELO POR DOMINIOS COBIT (OBJETIVOS DE CONTROL
PARA TECNOLOGA DE INFORMACIN Y TECNOLOGAS RELACIONADAS).
COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas
Relacionadas.) ha sido desarrollado como un estndar generalmente aplicable y
aceptado para la prctica del control de Tecnologa Informtica, est basado en los
Objetivos de Control existentes de la Information Systems Audit and Control
Foundation (ISACF) mejorados con los estndares internacionales existentes y
emergentes tcnicos, profesionales, regulatorios y especficos de la organizacin.
Misin
Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado
y actual de objetivos de control en tecnologa de informacin generalmente
aceptados para el uso cotidiano de gerentes de empresa y auditores.
Esta metodologa se divide en tres niveles:
-
- 28 -
Dominios: Agrupacin natural de procesos, normalmente corresponden a un
dominio o una responsabilidad organizacional.
Procesos: Conjunto de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Estos procesos estn agrupados en cuatro grandes dominios que se detallan a
continuacin junto con sus procesos:
1. DOMINIO: (PO) PLANIFICACIN Y ORGANIZACIN
A travs de este dominio se comprende las decisiones estratgicas y tcticas que
definen la manera en que la TI ayuda de mejor forma al logro de los objetivos de
la institucin.
2. DOMINIO: (AI) ADQUISICIN E IMPLEMENTACIN
Con este dominio se identifica soluciones de TI, adquirirlas o desarrollarlas, y
por supuesto hacerlas operativas integrndolas como procedimientos del da a da
lo que permite ser mejores y tener una continuidad operativa.
3. DOMINIO: (DS) ENTREGA Y SOPORTE
Mediante este dominio se lleg a comprender las actividades de Soporte a los
sistemas en produccin. En esta rea se incluye el procesamiento de los datos por
sistemas de aplicacin.
-
- 29 -
4. DOMINIO: (M) MONITOREO
Mediante este dominio todos los procesos de TI deben ser evaluados
regularmente, tanto en cuanto a su calidad, como al cumplimiento de los
requerimientos de control.
GRFICO 1.3 METODOLOGA COBIT
FUENTE: http://www.unap.cl/~setcheve/pe.htm ELABORADO POR: Marco Len y Silvia Manotoa
-
- 30 -
B) CONTRALORA GENERAL DEL ESTADO
Normas de Control Interno para el Sector Pblico de la Repblica del Ecuador
emitido por la Contralora General del Estado. Especficamente se va a emplear la
Norma 400 (Ver Anexo # 7) la misma que se refiere a: Normas de control
interno para el rea de sistemas de informacin computarizados.
Con esta norma se busca promover la correcta utilizacin de los sistemas
computarizados que procesan la informacin que generan las entidades.
C) UNIVERSIDAD TCNICA DE COTOPAXI
Estatuto Orgnico de la Universidad Tcnica de Cotopaxi, Art. 5, Fines literal e
(Ver Anexo # 8).
Mediante este artculo se pretende vincular a la Universidad y buscar soluciones
a los problemas de la sociedad.
1.3.9 PAPELES DE TRABAJO
Los papeles de trabajo son todos aquellos apuntes, datos, e informacin recopilada
con relacin a una auditora y que conforman una documentacin y evidencia del
trabajo realizado por el auditor.
-
- 31 -
IMPORTANCIA
Los papeles de trabajo representan en la culminacin del trabajo de auditora, la
evidencia documental del trabajo efectuado, de tcnicas y procedimientos de
auditora aplicados y de las conclusiones generadas.
OBJETIVOS DE LOS PAPELES DE TRABAJO
Proporcionar evidencia del trabajo realizado y de las conclusiones obtenidas.
Ayudar al equipo de trabajo para que adopte una estructura ordenada y
uniforme para la presentacin del trabajo.
Facilitar la supervisin y revisin del trabajo realizado, as como dejar
evidencia que dicha supervisin fue hecha. ser til en futuros trabajos o
revisiones de la auditora.
Mantener el registro de la informacin para sustentar las declaraciones y los
informes.
Documentar la informacin que podr ser til en futuros trabajos o revisiones
de la auditora.
Mantener el registro de la informacin para sustentar las declaraciones y los
informes.
CARACTERSTICAS GENERALES DE LOS PAPELES DE TRABAJO
a) La informacin que se incluya en los papeles de trabajo debe ser clara,
completa y concisa.
-
- 32 -
b) Debe dar un testimonio verdico e inequvoco del trabajo realizado.
c) Debe contener las razones que fundamenten decisiones en aspectos
controvertidos.
d) Deben cumplir con los ms altos parmetros de calidad y as mismo limitarse
en cantidad.
e) No deben elaborarse para transcribir o copiar informacin ni para que los
auditados los diligencien.
CONTENIDO DE LOS PAPELES DE TRABAJO
Descripcin de la tarea realizada.
Los datos y antecedentes obtenidos durante la auditora.
Informacin relevante sobre la actividad u operacin del rea auditada.
Antecedentes del ambiente de control y los Sistemas de Informacin.
Debilidades y fortalezas (sin que las debilidades afecten el alcance de la
auditora).
Conclusiones sobre el examen o las revisiones practicadas.
1.3.9.1 TIPOS DE PAPELES DE TRABAJO (VER ANEXO # 4)
GUA DE AUDITORA
Es una planilla en la que se describen en detalle las actividades que el auditor
debe realizar para lograr el objetivo propuesto; se recomienda que por cada
objetivo especfico se elabore una Gua de Auditora en la que se relacionen
-
- 33 -
actividades que estn estrechamente relacionadas con el logro del mismo y sin
desbordar los lmites del alcance propuesto.
LISTA DE VERIFICACIN O DE CHEQUEO
Una lista de verificacin o de chequeo contiene una serie de actividades, en forma
de pregunta cerrada, que el auditor debe realizar, en su gran mayora corresponden
a evaluaciones, verificaciones, anlisis, comprobaciones y revisiones; las
respuestas a stas preguntan son de tipo falso o verdadero, s o no.
CDULAS DE HALLAZGO O COMENTARIO
En la medida en que se van ejecutando los programas de trabajo se deben ir
elaborando las cdulas de hallazgos y recomendaciones.
1.3.10 ESTRUCTURACIN Y PRESENTACIN DEL INFORME FINAL
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto
la elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos
al informe final, los que son elementos de contraste entre opinin entre auditor y
auditado y que pueden descubrir fallos de apreciacin en el auditor.
-
- 34 -
Es importante que el informe, antes de su emisin definitiva, sea
comentado y discutido con los responsables del rea auditada y en caso de
discrepancia de opiniones con el rea auditada, estas debern ser incluidas
en el texto final del informe.
En la presentacin de resultados el equipo de auditora, podr auxiliarse de
medios de visin electrnicos, y tendr el siguiente contenido:
Objetivo y Alcance de la auditora
Limitaciones principales para el desarrollo de la auditora
Resultados de auditora
rea Auditada (nombre)
Observaciones
Recomendaciones
Conclusin General
Carta de introduccin o presentacin del informe final
La carta de introduccin tiene especial importancia porque en ella ha de resumirse
la auditora realizada. Se destina exclusivamente a los directivos de la entidad
auditada, en este caso, Rector, Director de Servicios Informticos, Jefes de las
reas auditadas, etc.
-
- 35 -
FINALIDAD
Los informes son un factor importante en el logro exitoso de los objetivos de la
auditora.
El informe de auditora debe, por lo tanto, ser un documento profesional que se ve
y se lee como un producto de profesionales.
FORMATOS
No existe un formato de informe para todas las organizaciones de auditora. El
formato depende de:
Las necesidades de la direccin.
La naturaleza de la entidad y su organizacin (centralizada o
descentralizada).
CONFIDENCIALIDAD DE LOS INFORMES
El informe tendr el carcter de borrador, por lo que su uso ser restringido, hasta
la entrega del informe final a la entidad auditada por las instancias
correspondientes.