Professional Documents
Culture Documents
Objetivos
El objetivo principal del tema es el estudio de los conceptos fundamentales asociados al desarrollo general de una auditora, las descripcin de sus etapas, puntos de decisin y resultados finales de cada etapa de la auditora.
El objetivo principal del captulo es la presentacin de las herramientas que tiene a su alcance el auditor para facilitarle su trabajo. Como el examen de los sistemas de control y de informacin que realiza el auditor tiene muchos aspectos y de distinta naturaleza, as las herramientas que utiliza pueden ser de distinto tipo. La obtencin de informacin fiable y que proporcione confianza al auditor es una de las premisas para que cada una de las herramientas sea til.
2.1 Introduccin
En primer lugar estudiaremos los aspectos relacionados con la direccin de auditoras. Despus abordaremos el proceso general de una auditora. Y luego trataremos los resultados de la auditoria. En la Auditora tenemos, por orden de mayor importancia y generalidad, las normas, los procedimientos, las tcnicas y las herramientas. El auditor, en el desarrollo de su labor, ha de realizar su examen conforme a las normas tcnicas, oficiales o generalmente reconocidas, como reglas tcnicas y ticas. En el estudio de los distintos aspectos del sistema que est auditando, tiene que aplicar los procedimientos de auditora, que son las descripciones de los pasos que tiene que seguir para llevar a cabo con xito su investigacin. Segn la naturaleza del sistema o de la auditora, el auditor tiene a su disposicin una serie de tcnicas, que le ofrecen diversas alternativas contrastadas en la evaluacin de elementos especficos del sistema a auditar. Sin embargo, el auditor, solamente con su intelecto y sus manos, no puede llegar muy lejos en la obtencin y elaboracin de la informacin, y sobre todo cuando el entorno es muy especializado. Entonces, le hace falta un conjunto de herramie ntas que le facilite su labor y le ayude a obtener datos con mayor precisin y fiabilidad. Los mtodos es el conjunto de principios, reglas y prcticas que suministran la forma de desarrollar tcnicamente (el cmo) la auditora Las metodologas son los sistemas estructurados y organizados de principios, reglas y prcticas que se aplican a ramas del conocimiento especficas. Las herramientas es el conjunto de los el elementos que, mediante la estructuracin, clasificacin y automatizacin de determinados procedimientos de ingeniera y diseo, facilitan el trabajo del ingeniero al descargarle de tareas rutinarias, repetitivas o extremadamente exhaustivas, y permitirle centrarse en aspectos cualitativos o fundamentales. Suministran en resumen un soporte automtico o semia utomtico a los mtodos. Los procedimientos es el conjunto de facilidades que integran mtodos y herramientas en unidades metodolgicas operativas. Entre otras cosas, estas unidades definen las secuencias de aplicacin de los mtodos; describen y establecen los resultados de la culminacin de cada etapa de aplicacin de los mtodos, denominadas entregas (documentos, informes, diagramas, etc.); definen los controles para asegurar la calidad y gestionar los cambios; y establecen las directrices que ayudan a los gestores del mbito tcnico en particular en la evaluacin del progreso en el desarrollo de sus actividades.
CAPTULO 2
Una herramienta de auditora, se puede definir como el elemento que, media nte la estructuracin, clasificacin y automatizacin de determinados procedimie ntos de auditora, facilita el trabajo del auditor al descargarle de tareas rutinarias, repetitivas o extremadamente exhaustivas, y permitirle centrarse en aspectos cualitativos o fundamentales. Las herramientas de auditora pueden ser de muchos tipos y presentarse en diversos soportes materiales, as como ser muy sencillas o bastante complicadas en su utilizacin. Tambin hay herramientas ms tradicionales y herramientas altamente innovadoras y especializadas, segn el grado de tecnologa introducido en el sistema auditado. Sea cual sea la naturaleza de la herramienta, el auditor que la necesite debe conocer a fondo su manejo y aplicacin. Esto significa que, para cualquier herramienta, el auditor debe recibir la formacin pertinente antes de poder utilizarla. Por otra parte, hay herramientas que son generales, es decir, que se pueden aplicar en otro tipo de actividades distintas de la auditora, y hay herramientas que son especficas de la auditora.
das, errores e irregularidades. Tambin discutiremos la naturaleza de los controles informticos, para a continuacin dar una visin de los pasos en una ASI, y finalmente describir algunas de las decisiones ms importantes al llevar a cabo una ASI.
CAPTULO 2
respecto del grupo de auditora en base al mayor conocimiento tcnico en Proceso Electrnico de Datos, tanto de cada uno de los componentes, como del grupo como unidad funcional. 3.2.1.2 Organizacin de la Funcin de Auditora La unidad funcional de auditora de Proceso Electrnico de Datos puede integrarse en la organizacin de auditora de dos formas distintas, en funcin de la naturaleza de las auditoras realizadas y de otras consideraciones postuladas por los tericos: puede estar como funcin de staff, asesorando a la direccin de auditora en materias tcnicas de su competencia (ver la Figura 3.1); o puede estar como funcin en lnea, como parte integral del equipo de auditora y con las responsabilidades tcnicas correspondientes en la realizacin de la auditora (ver la Figura 3.2).
1 Jefe de Auditora
2
Jefe Aud. Equipo 1
3
Jefe Aud. Equipo 2
4
Jefe Aud. PED
1 Jefe de Auditora
Los argumentos que justifican la funcin de auditora como funcin de staff son los siguientes:
1) Utilizacin ms eficiente de los recursos de auditora de Proceso Electrnico de Datos. 2) Mayor satisfaccin laboral del auditor de Proceso Electrnico de Datos. 3) Mayor compromiso de la organizacin hacia la funcin de auditora de Proceso Electrnico de Datos. 4) Facilidad de coordinacin y control. 5) Permite el incremento de la especializacin para cubrir las tecnologas complejas.
Los argumentos que justifican la funcin de auditora como funcin en lnea son los siguientes:
1) Mayor congruencia en los objetivos. 2) Facilidad en la comunicacin. 3) Mejora el conocimiento y experiencia en Proceso Electrnico de Datos de la direccin de auditora en cada equipo.
CAPTULO 2
3.2.1.3 Composicin y gestin de la Funcin de Auditora de Sistemas de Informacin No hay ninguna frmula que determine cuantos auditores de sistemas de informacin deben componer una unidad funcional. Adems, este nmero puede variar en funcin de las necesidades temporales de la organizacin de auditora. En grupos de auditora interna, el nmero de auditores de sistemas de informacin se puede fijar en base a los factores siguientes: tamao de la organizacin, naturaleza de la organizacin, extensin del uso de sistemas de informacin, tipos de sistemas informticos instalados, y estabilidad del entorno de Proceso Electrnico de Datos. En grupos de auditora externa, el nmero de auditores de sistemas de informacin est en funcin del nmero de clientes con instalaciones informticas y de la complejidad del proceso de datos realizado en las mismas. El origen de los auditores de sistemas de informacin suele ser de dos tipos: auditores de empresa o profesionales de proceso de datos. La eleccin de uno de los tipos y su posterior formacin puede realizarse en funcin de qu tipo de conocimiento es ms difcil de adquirir (auditora o proceso de datos) a la hora de abordar determinado tipo de auditoras. La formacin de los auditores de Sistemas de informacin la hemos tratado con bastante extensin en una seccin anterior. Por otra parte, se puede producir una evolucin del auditor de Sistemas de informacin hacia otras funciones por diversos caminos: funcin de especialista en el Sistemas de informacin, funcin de auditor, funcin operativa[10]. 3.2.1.4 Relaciones con la direccin y con otros grupos Uno de los objetivos fundamentales de la unidad funcional de auditora de Sistemas de informacin es el establecimiento de relaciones cordiales con los diversos estamentos de gestin dentro de la organizacin, sobre todo cuando se trata de auditora interna. Sin embargo, dada la naturaleza de la auditora interna, que ejerce un control de las actividades y gestiones llevadas a cabo por sus interlocutores, surgen a menudo problemas en las relaciones con dichos estamentos de gestin: presiones de la direccin para actuar con demasiada rapidez, problemas de comunicacin con la organizacin y fricciones con otros grupos. Se puede aplicar algunas soluciones para paliar dichos problemas: promocin de comunicaciones abiertas entre las partes en conflicto, auditora en base a la capacitacin tcnica, asignacin de prioridad a las tareas que se pueden cumplir, y gestin adecuada de la funcin de auditora de Sistemas de informacin.
3.2.1.5 El equipo de auditora El equipo de auditora se debe crear en base a los perfiles de auditor requeridos para cada tipo de misin y en base a la naturaleza de las tareas que debe realizar este equipo. La organizacin del equipo de auditora debe atender a las capacidades tcnicas y experiencia de cada uno de los miembros. La direccin del equipo es asumida por el auditor con ms experiencia y ms preparado en tareas de organizacin y gestin. Las tareas complejas y sofisticadas las pueden asumir auditores especialistas con experiencia. Y finalmente, los auditores principiantes o con poca experiencia, desarrollan las tareas de ms baja responsabilidad. Estas posiciones pueden variar a medida que los auditores van adquiriendo conocimientos y experiencia en su entorno profesional. En el control de los equipos se aplican las metodologas y tcnicas de gestin necesarias, as como las herramientas hardware y software especializadas. En general, no hay que confundir el equipo de auditora de Sistemas de informacin con la unidad funcional de auditora de Sistemas de informacin. En el equipo de auditora se integran los miembros en funcin de su perfil y de la misin concreta a realizar, con una duracin temporal determinada por el cumplimiento de la misin. En la unidad funcional se integran los miembros en funcin de su especializacin y con un cariz de permanencia.
3.2.2 Tcnicas
Se describen algunas tcnicas para simplificar y prevenir de la complejidad con la que se enfrentan los auditores al evaluar y juzgar un sistema informtico. 3.2.2.1 El tratamiento de la complejidad La direccin de una ASI es un ejercicio complicado. Han de seguirse unos pasos:
1. Dados los objetivos de la Auditora, dividir el sistema a ser evaluado en subsistemas. 2. Identificar los componentes que desarrollan las actividades bsicas en cada subsistema. 3. Evaluar la fiabilidad con la que cada componente ejecuta sus actividades.
CAPTULO 2
4. Determinar la correccin con la que cada subsistema se ejecuta y las implicaciones de cada uno de ellos sobre los dems niveles en el sistema.
3.2.2.2 Descomposicin del subsistema El primer paso a dar es descomponer el sistema a evaluar en subsistemas. Un subsistema es una unidad con la que el sistema que lleva a cabo esa funcin bsica, necesita de todo el sistema para conseguir sus objetivos fundamentales. El proceso de descomponer un sistema en subsistemas se denomina factorizacin ("factoring"). Es un proceso iterativo que finaliza cuando los auditores creen que el sistema est lo suficientemente dividido como para poder ser entendido y evaluado. Es decir, cada subsistema est descompuesto en sus subsistemas constituyentes, los cuales a su vez estn descompuestos hasta que los auditores entienden suficientemente el subsistema que estn tratando. Deben tenerse en cuenta algunos aspectos antes de comenzar el proceso de descomposicin:
La funcin que realiza: Las diferentes funciones determinan subsistemas. Los auditores deben fijarse en las funciones fundamentales que ha de desarrollar el sistema para conseguir sus objetivos. En base a esto, debemos tener en cuenta que:
Cada subsistema debe ser independiente de los dems. Cada subsistema debe ser internamente cohesivo en el que todas las actividades que desarrolla el subsistema estn diseadas para esa funcin.
Desde el punto de vista de una auditora, los subsistemas son difciles de entender y su correccin es complicada de evaluar a menos que presenten estas caractersticas. Se deben evaluar adems el grado de relacin y cohesin de los subsistemas entre ellos. Al menos conceptualmente, los auditores deben factorizar los sistemas en diferentes modos. Se han utilizado generalmente en la direccin de una ASI dos formas diferentes:
1. Una de ella s relacionada con las funciones administrativas necesarias para cumplir el proceso de informacin.
10
2. La segunda est en relacin con las funciones de aplicacin necesarias para cumplir el proceso de informacin. 3.2.2.3 El subsistema de direccin La ASI trata de conseguir que el desarrollo, la implementacin, la ejecucin, y el mantenimiento de los sistemas informticos se lleve a cabo de manera planificada y de forma controlada. Se ocupa de dotar de un entorno estable, en el cual se construyen y se ejecutan los sistemas de informacin sobre las bases del da a da. Algunos niveles del subsistema de direccin se han identificado correspondindose con la jerarqua de la organizacin y las principales funciones que se llevan a cabo dentro de la instalacin de proceso de datos. (ver Figura 3.3)
CAPTULO 2
11
Desarrollo de sistemas (Systems Devel- Responsable del diseo , de la implementacin y del opment Management) mantenimiento de las aplicaciones y de los sistemas de informacin. Programadores Responsables de programar nuevos sistemas manteniendo los actuales y proporcionando a los sistemas el adecuado soporte software. Responsable del control y uso de la informacin, incluyendo Bases de Datos y sistemas de ficheros. Responsable de la seguridad fsica de la instalacin de proceso de datos. Controla diariamente las operaciones del sistema de proceso de datos. Responsable de preparar la informacin, de la informacin que fluye a travs de la instalacin, de los sistemas de produccin, del m antenimiento del hardware y en algunos casos del mantenimiento de programas y libreras de facilidades.
12
ALTA DIRECCIN DIRECCIN EDP Direccin de desarrollo de sistemas Direccin de Programacin Administracin de Informacin Administracin de Seguridad
Direccin de Explotacin APLICACIN CONTROL SISTEMA
El control es como las capas de una cebolla, cuyas capas estn alrededor de las aplicaciones de control: El subsistema de aplicacin es a su vez dividido en subsistemas que incluyen:
Proceso.
CAPTULO 2
13
Proceso de datos
Pr
Ciclo
Subsistema de aplicacin
3.2.2.4 Identificacin de componentes Las funciones del subsistema son ejecutadas va componentes, que seran las unidades fsicas que llevan a cabo las actividades bsicas. Los auditores deducen como funciona un subsistema determinando sus componentes, las actividades que realiza cada componente y las relaciones entre los componentes. La identificacin de componentes suele ir acompaada de una identificacin del subsistema. Hay dos razones:
1. Mientras los subsistemas se mantienen o suelen mantenerse, los componentes cambian continuamente. 2. Los auditores parecen entender mejor los sistemas si inicialmente se centran en los subsistemas antes que en los componentes para tener una visin global del sistema.
Los subsistemas presentan tres caractersticas:
1. Han de estar organizados jerrquicamente. 2. Han de ser independientes (frente a otros subsistemas). 3. Han de ser coherentes.
14
Pero identificar claramente los componentes en un subsistema no es fcil, porque no est clara la diferencia entre subsistemas y componentes. Un subsistema puede usar varios componentes, y un componente puede servir a varios sistemas. Sin embargo los auditores deben diferenciar entre componentes y subsistemas en cada caso ya que finalmente tendrn que enjuiciar el correcto funcionamiento de los componentes de un subsistema para comprobar que realizan correctamente la funcin de dicho subsistema. 3.2.2.3 Fiabilidad de los componentes Un sistema alcanza sus objetivos de la salvaguarda de activos, de mantener la integridad de los datos, y de tener un sistema eficaz y eficiente si cada uno de sus subsistemas es fiable. Un subsistema es fiable si los componentes que desarrollan las actividades en el subsistema lo son. Una vez los componentes han sido identific ados, los auditores deben evaluar su fiabilidad respecto a cada tipo de error o irregularidad que suele ocurrir. La fiabilidad de un componente es una funcin de los controles que actan en dicho componente. Un control es una muestra de actividades o acciones ejecutadas por ms de un componente para prevenir, detectar o corregir errores o irregularidades que afectan a la fiabilidad de un componente. Adems los componentes deben controlarse ellos mismos o sobre otros componentes. El conjunto de todas las actividades de control llevadas a cabo en un sistema constituyen el subsistema de control dentro del sistema. Su funcin es establecer, ejecutar, modificar y mantener actividades de control de modo que la fiabilidad global del sistema sea aceptable. Algunos de los controles ms importantes que deben evaluarse son los s iguientes:
1. Controles de autenticidad: Para verificar la identidad de un usuario o proceso que quiera tomar alguna accin en el sistema. Ejemplo: passwords, nmeros de identificacin personal (PIN: Personal Identification Number), etc. 2. Controles de precisin: Para asegurar la correccin de la informacin y procesos en el sistema. Ejemplo: un programa o rutina que valide que el contenido de un campo contiene nicamente nmeros.
CAPTULO 2
15
3. Controles de completitud: Asegurarse de que no hay prdida de informacin y que todo proceso llega a su adecuada conclusin. Ejemplo: no hay dos campos vacos, etc. 4. Controles de redundancia: Para asegurar que la informacin es procesada una sola vez. 5. Controles de privacidad: La informacin est protegida contra accesos no autorizados. 6. Controles de auditora (Audit trail controls): Tratan de asegurar que queden registrados cronolgicamente todos los eventos que ocurren en el sistema. Este registro es muy importante para responder preguntas, determinar irregularidades, detectar las consecuencias de un error etc. Deben mantenerse dos tipos de auditora, la auditora de cuentas y la auditora de operaciones. 7. Controles de existencia: Que aseguren la continua disponibilidad de todos los recursos y datos del sistema. 8. Controles de salvaguarda de activos: Para asegurar que todos los recursos dentro del sistema estn protegidos de la destruccin o corrupcin. Ejemplo: extintores, contraseas, etc. 9. Controles de eficacia: Asegurar que el sistema alcanza sus objetivos. 10. Controles de eficiencia: Asegurar que el sistema utiliza el mnimo nmero de recursos para conseguir sus objetivos.
Cada tipo de control normalmente aparece en cada subsistema. Adems estos tipos de control no son mutuamente excluyentes. Un control puede partic ipar en varias categoras. Al evaluarse los efectos de un control sobre la fiabilidad de un componente, se consideran varios atributos del control:
La bsqueda del tipo de control adecuado, dada la naturaleza del proceso de actividades depende del sistema. Adems algunas veces el controlar algn tipo de error o irregularidad es mucho ms caro que las prdidas que estos producen. Un atributo a considerar cuando se evala la efectividad del control es si el control previene, detecta o corrige errores.
16
Otro atributo a tener en cuenta es el nmero de componentes necesarias para realizar el control. Finalmente han de considerarse el nmero de subsistemas afectados por el control. Esta funcin comprueba si se trata de una componente compartida, es decir, que realiza actividades en varios subsistemas. Generalmente el control sobre componentes compartidos necesita ser ms fiable y consecuentemente ms complicado.
3.2.2.4 Evaluacin de la fiabilidad del sistema Es el proceso de emitir juicios fiables a medida que el auditor evala la jerarqua del sistema partiendo de los niveles inferiores hacia los niveles superiores. Si el Auditor participa en la fase de diseo produce los efectos siguientes (ver la Figura 3.8):
1. Aumenta el conocimiento tcnico de proceso de datos. 2. Asigna auditores diferentes para disear la fase de auditora y revisin posterior. 3. Reunir a los auditores con ms experiencia en proceso de datos. 4. Establecer una seccin de proceso de datos en el departamento de auditora interna, especializado en ASI. 5. Alcanzar un elevado nivel de soporte de la alta direccin.
CAPTULO 2
17
ANLISIS
DISEO
IMPLEMENTACIN
EJECUCIN
REVISIN
Tiempo
Posible participacin del auditor
3.3.2.5 Utilizacin de computadores en una auditora Es otra de las decisiones que deben tomarse al planificar una auditora. Auditora alrededor del computador (Auditing around the computer) Se ve al ordenador como una caja negra. Este enfoque es tanto ms habitual cuanto ms se dan las siguientes premisas:
1. El sistema es simple y el procesamiento es orientado por lotes. 2. El sistema utiliza software general que se utiliza en muchas instalaciones.
Como vemos, este tipo de sistemas informticos donde puede aplicarse este enfoque es muy restrictivo. Auditora a travs del ordenador (Auditing through the computer) Puede utilizarse el ordenador para realizar pruebas.
18
1. Sistemas de aplicacin que procesan un gran volumen de informacin (entradas) y producen una gran cantidad de resultados (salidas), lo que hace que sea muy complicada la validacin de entrada y salida de datos. 2. Cuando partes significativas del sistema de control interno estn incluidas en el sistema informtico. 3. Cuando la lgica del sistema es complicada y hay grandes partes que facilitan el uso del sistema. 4. Cuando a causa de consideraciones de coste-beneficio, hay huecos importantes en el transcurso de la auditora.
Cuando se aplica este enfoque requiere expertos tcnicos e implica alto coste. Sin embargo estas desventajas son aparentes cuando este enfoque es el nico mtodo viable para realizar la auditora. 3.3.2.6 Seleccin de los sistemas de aplicacin para la auditora (Selecting Application Systems for Audit) Por regla general deben seleccionarse para la auditora aquellos sistemas de aplic acin ms crticos para la continuidad de la existencia de la organizacin. Han de seleccionarse aquellos sistemas de aplicacin de los cuales se obtienen mejores resultados para la organizacin auditada y que, consecuentemente, la pondran en graves aprietos si fallaran o funcionasen incorrectamente. A menudo, una forma de descubrir en qu sistemas de aplicacin existen problemas, es realizando una auditora de usuario. Cuando un sistema de aplicacin no funciona bien, son los usuarios los afectados. Los usuarios aportan informacin sobre los problemas que les han ocurrido. Es necesario investigar el entorno del usuario. Algunas veces un problema en el sistema de aplicacin puede transmitir sus efectos sobre la calidad del trabajo cotidiano de los usuarios. Esto conduce a unos problemas que influyen en la integridad de los datos, en la eficacia y eficie ncia del sistema.
CAPTULO 2
19
La auditora de usuario puede realizarse formal o informalmente. Sin embargo, en ambos casos, necesita estar planificada y los resultados bien documentados. 3.3.2.7 Conclusin Tanto el proceso como la direccin de una ASI son complicados. Para enfrentarse con esta complejidad es necesario factorizar el sistema que va a ser evaluado en subsistemas, identificar los componentes que desarrollan las actividades bsicas en cada subsistema, evaluar la fiabilidad de cada componente, evaluar la fiabilidad de los subsistemas y progresivamente emitir juicios sobre cada subsistema para llegar a emitir una valoracin global acerca de la fiabilidad del sistema. Las fases de que consta una Auditora de Sistemas de Informacin son similares a las fases que componen una auditora de un sistema manual. Primero, se realiza un anlisis preliminar de la instalacin informtica para obtener una idea de cmo est administrada la instalacin y cmo se procesan los principales sistemas de aplicacin. En segundo lugar, si se cuenta con un sistema de control interno, se realiza un anlisis detallado. Seguidamente se realizan pruebas de fiabilidad a controles que la auditora considera crticos, a continuacin se llevan a cabo las pruebas substantivas. Finalmente debe emitirse una valoracin. Despus de todos los pasos el auditor evala el sistema de control interno y decide si sigue con la auditora o seguir por otro camino. Desde el principio la ASI debe asumir y tomar varias decisiones complicadas. Cada evaluacin de la fiabilidad de un sistema de control interno requiere una compleja evaluacin por etapas. Debe decidirse sobre la fase de diseo. Debe realizarse una evaluacin cuidadosa. Deben seleccionarse los sistemas crticos en los cuales debe centrarse la auditora.
3.2.3 Pautas de seleccin para la eleccin de un sistema de aplicacin especfico para una auditora
En la Figura 3.9 podemos apreciar las pautas de seleccin para la eleccin de un sistema de aplicacin especfico para una auditora.
20
Tabla 3.9. Pautas de seleccin para la eleccin de un sistema de aplicacin especfico para una auditora
PAUTAS DE SELECCIN DESCRIPCIN Sistema financiero Debe prestarse mayor atencin en aquellos sistemas que poseen un control financiero sobre los activos de la corporacin. Ejemplo: Cobros totales y desembolsos, nminas, cuentas a pagar y cobrar, etc. Algunos sistemas de aplicacin son ms arriesgados que otros: 1. Porque son susceptibles de varios tipos de prdidas. Ej.: fraude, malversacin, etc. 2. Su prdida puede paralizar la organizacin. Ej.: Prdidas en el proceso de nminas debidas a huelgas. 3. Su interferencia con otros sistemas y los errores generados se propagan a esos otros sistemas. Alta capacidad para la com- Algunos sistemas dan a la organizacin una buena situacin petencia peligrosa en el mercado. Ej.: Patentes, Copyright, un plan estratgico, etc. Sistema avanzado tecnolgi- Si un sistema utiliza tecnologa avanzada. Ej.: Un sistema de camente Bases de Datos, hardware y software distribuido, etc. Sistemas de alto-coste Los sistemas que son caros de desarrollar, a menudo son sistemas complejos que presentan muchos problemas de control.
Sistema de alto-riesgo
CAPTULO 2
21
sin embargo, en la actualidad, adems, su uso est mucho ms difundido debido a la popularidad general de las tcnicas de diagrama de flujo, como una ayuda de anlisis y documentacin en los sistemas informticos 3.2.4.1 Entrevistas Las entrevistas se suelen utilizar para obtener informacin tanto cualitativa como cuantitativa. Su objetivo es obtener respuestas francas, completas y honestas de un entrevistado que tiene ms informacin sobre el tema de la entrevista que el propio auditor. Una entrevista no es un interrogatorio, en el sentido de que no se plantea de antemano ningn tipo de antagonismo entre el entrevistador (el auditor) y el entrevistado. Las entrevistas constan de tres fases principales:
1. Realizar una investigacin previa: el auditor debe asegurarse de que la informacin que pretende conseguir mediante la entrevista no est disponible de forma sencilla de alguna otra fuente. 2. Identificacin de los entrevistados: Puesto que ocupa, horario y lugar idneos para la entrevista, datos profesionales completos, etc. 3. Preparar el contenido de la entrevista: Deben quedar claros previamente los objetivos de la entrevista, y debe realizarse una lista de la informacin que se desea obtener con la misma. Por supuesto, las preguntas deben estar preparadas y escritas. Las preguntas iniciales no deben tratar de temas controvertidos o problemticos, y las ltimas deben permitir al entrevistado expresar su opinin. Deben evitarse en lo posible las preguntas "abiertas" del tipo: Qu tipos de controles implanta usted en la preparacin
22
de trabajos? y sustituirlas por preguntas de respuesta cerrada (del tipo "si" "no") : Preparan ustedes "hash totals" sobre los nmeros de documento ?. 4. Planificar fecha, hora y lugar de la entrevista: La planificacin previa y cuidadosa permite al entrevistado preparar material si fuera necesario, y genera un mejor ambiente. Se deben evitar las horas posteriores a las comidas. Dentro de lo posible, se debe realizar la entrevista en el propio lugar de trabajo del entrevistado, de modo que el ambiente le sea familiar, que ste pueda localizar fcilmente documentacin adicional, etc. , siempre y cuando no sea motivo de interrupciones, llamadas telefnicas, u otras distracciones.
3.4.1.2 Realizacin de la entrevista La entrevista debe seguir bsicamente la estructura que hemos diseado previamente en la fase de preparacin. Es conveniente aplicar ciertas reglas de protocolo:
1. Minimizar las disgresiones que nos aparten del objetivo principal de la entrevista. 2. Intentar escuchar la mayor parte del tiempo. 3. Permitir al entrevistado suficiente tiempo para pensar. 4. Ser educado: evitar tanto la condescendencia como la crtica. 5. Evitar los sarcasmos y los recursos humorsticos. 6. Evitar la utilizacin de jergas: Formular preguntas concisas y claras. 7. Permanecer atento e interesado durante el transcurso de la entrevista. 8. Evitar las confrontaciones. 9. Responder cortsmente a las preguntas que nos pueda a su vez realizar el entrevistado. 10. Evitar las familiaridades, aunque conozcamos personalmente al entrevistado.
CAPTULO 2
23
En todo caso, durante la entrevista, el auditor debe tomar notas continuamente; debe evitarse en lo posible la utilizacin de grabadoras de cinta, que podran poner nervioso al entrevistado. Tambin debe permitirse, como norma general, que el entrevistado consulte o pueda revisar las anotaciones escritas que hemos realizado nosotros. 3.4.1.3 Anlisis de la entrevista Tan pronto como sea posible tras la realizacin de la entrevista, el auditor debe analizar y preparar un informe sobre la misma. En dicho informe, se debe:
1. Intentar separar los hechos de la opinin. 2. Intentar asimilar toda la informacin obtenida durante la entrevista, y determinar lo que aporta cada contestacin al objetivo global de la misma.
3.2.4.2 Cuestionarios Los cuestionarios pueden usarse para obtener informacin factual u opiniones. La mayor dificultad aparece cuando debe obtenerse una opinin. El auditor debe ser prudente para utilizar cuestionarios que sean vlidos y fidedignos. En el anexo a esta publicacin figuran algunos formatos de cuestionarios sobre diversas reas de Auditora y de diversos autores y procedencias. 3.2.4.3 Diagramas de Control Los diagramas de flujos de control muestran qu controles existen y dnde estn en un sistema. Un auditor con experie ncia puede utilizar los diagramas de flujo de control para identificar los controles de debilidades y puntos fuertes que existen en un sistema. No obstante los diagramas de flujo de control son a menudo costosos (en cuestin de tiempo) y difciles de mantener y modificar. Existe software que soporta dibujos y grficos de este tipo, y su utilizacin mitiga algunas de las tradicionales dificultades asociadas con el uso de los diagramas de flujo de control.
24
1. Necesidad de planificacin del trabajo con anterioridad al comienzo de ste. 2. Necesidad de analizar y evaluar el sistema de control interno de la organizacin auditada con el fin de determinar el grado de confianza que puede depositarse en dicho control, de manera que pueda establecerse la naturaleza, el momento de realizacin y la amplitud de los procedimientos de la auditoria de los estados financieros de la entidad. 3. Actitud mental independiente. 4. Adecuada evidencia del trabajo realizado y documentacin de las conclusiones alcanzadas.
Norma 1. El trabajo se planificar apropiadamente y se supervisar adecuadamente la labor de los colaboradores. Norma 2. Deber llevarse a cabo un adecuado estudio y evolucin del control interno existente, como base para determinar la confianza que se puede depositar en el mismo y, consecuentemente, la extensin de las pruebas de Auditora. Norma 3. Deber obtenerse evidencia comprobatoria suficiente y competente, mediante inspecciones, observaciones, preguntas y confirmaciones, para tener una base razonable para emitir una opinin sobre los Registros sujetos a examen.
CAPTULO 2
25
Estas normas deben presidir la preparacin y ejecucin efectivas del trabajo del auditor, tanto en los mbitos tradicionales, como en el mbito del Sistemas de informacin, donde son igualmente aplicables. La planificacin, adems de ser una norma, es una fase esencial de la Auditora, pues del xito o fracaso de la planificacin depender en gran medida el xito o fracaso del resto del trabajo. Es bsica para garantizar que la auditora se va a llevar a cabo en la forma menos costosa para el cliente y ms eficaz para el auditor. En la fase de planificacin deben quedar totalmente aclaradas las siguientes cuestiones:
1. Dnde se va a realizar el trabajo ?. 2. Cundo o en qu periodo de tiempo se va a realizar ?. 3. Qu tipo de informe se va a emitir ?. (Auditora, revisin limitada, examen diagnstico ...) 4. En qu fecha es necesario que est terminado el trabajo ?. 5. Cundo estar terminado el informe ?. 6. Determinacin de la composicin del "Comit de Auditoria". En ciertos casos, cuando la complejidad del trabajo as lo requiera, es conveniente la creacin de un "Comit de Auditora", formado por el personal del cliente y los auditores.
26
6. No adelantar resultados parciales. Pueden causar impresiones falsas. 7. Comentar con los interesados los resultados obtenidos, antes de presentarlos a niveles superiores. 8. En caso de que se investiguen posibles fraudes o irregularidades maliciosas, hay que cuidar que se realicen los trabajos pertinentes con el mayor sigilo posible. Y tampoco hay que comentar con los interesados los resultados obtenidos.
1. 2. 3. 4. 5. 6.
Toma de Contacto Validacin de la Informacin Desarrollo de la Auditora Fase de Diagnstico Presentacin de Conclusiones Formacion del Plan de Mejoras
1. Renunciar a la auditora: El auditor carece de la competencia tcnica para realizar la auditora. 2. Realizar un anlisis detallado del sistema de control interno.
CAPTULO 2
27
3. Desconfiar del sistema de control interno. Existen dos razones para tomar esta decisin
Quiz sea ms rentable realizar directamente las pruebas substantivas. El control de proceso de datos duplicar los controles existentes en el rea de usuario. Esta fase incluye un anlisis de los controles directivos y los controles de aplicacin. Durante el anlisis de los primeros se trata de comprender la organizacin y las prcticas directivas utilizadas en cada nivel de la jerarqua de la instalacin. Durante el segundo anlisis deben comprenderse los controles realizados sobre las transacciones ms importantes que fluyen a travs de los sistemas de aplicacin en la instalacin. En primer lugar, durante esta fase, se realizan entrevistas con el personal de la instalacin, se observan las actividades de la instalacin y se analiza la documentacin de la instalacin. Las evidencias han de documentarse completando cuestionarios, construyendo diagramas de flujo y tablas de decisin y preparando informes. El anlisis preliminar realizado por los auditores internos difiere del realizado por los auditores externos en tres aspectos:
1. Los auditores internos requieren menos tiempo para realizar el anlisis, sobre todo en temas de control de direccin, ya que estn familiarizados con el tema. 2. Los auditores internos poseen una amplia perspectiva que incluye consideraciones de eficacia y eficiencia al sistema. 3. Si los auditores internos piensan que existen debilidades en el sistema de control interno cuando completan la fase de anlisis preliminar, antes de proceder directamente con las pruebas substantivas, siguen realizando unas pruebas detalladas del sistema de control interno en vista de hacer recomendaciones especficas para mejorar.
3.4.1.2 Fase de anlisis detallado Objetivo: Obtener informacin necesaria para que el auditor tenga un conocimie nto profundo de los controles usados en la instalacin informtica. De nuevo debe decidir si la auditora se lleva a cabo o se rechaza, o se procede conforme a la fase
28
de pruebas con la expectativa de que la dependencia puede estar situada sobre el sistema de control interno, o proceder directamente al anlisis de los controles de usuario o procedimiento de pruebas substantivas. Tanto los controles de direccin, como los controles de aplicacin han de analizarse y a ser posible en este orden. Es importante identificar las causas de prdida y riesgos existentes en la instalacin y establecer los controles para reducir los efectos de las causas de prdida. Al final ha de comprobarse si los controles reducen las prdidas a un nivel aceptable. An dentro de esta fase no se sabe con certeza si los controles son efic aces, la evaluacin supone la fiabilidad de las funciones a menos que haya una clara evidencia de lo contrario. 3.4.1.3 Fase de pruebas (The compliance testing phase) El objetivo de esta fase es determinar si el sistema de control interno opera del modo que le corresponde. Trata de determinar si existen de hecho los controles y si trabajan correctamente. A menudo deben utilizarse tcnicas asistidas por ordenador que determinan la existencia y la fiabilidad de los controles. Al final de esta fase, deben ser evaluados los sistemas de control interno para ratificar la fiabilidad de los controles individuales. 3.4.1.4 Fase de anlisis y controles de pruebas de usuario Los usuarios realizan controles que compensan cualquier debilidad en el sistema de control interno de proceso de datos. Estos controles no deben estar duplicados, es decir, en algunos casos ser til eliminar cualquiera de los dos, tanto los controles de usuario como los controles informatizados. 3.4.1.5 Fase de pruebas substantivas El objetivo de esta fase es conseguir evidencias suficientes para poder emitir una valoracin final sobre la existencia o no de prdidas o la posibilidad de que ocurran durante el proceso de datos. El auditor externo emite esta valoracin como una opinin. Segn Davis [1983] existen cinco tipos de pruebas substantivas que se realizan en una instalacin de proceso de datos.
CAPTULO 2
29
2. Pruebas para asegurar la calidad de la informacin. 3. Pruebas para identificar informacin inconsistente. 4. Pruebas para comparar informacin con cmputos fsicos. 5. Confirmacin de informacin con fuentes externas.
Algunas de estas pruebas requieren soporte informtico.
30
Realizacin
Aqu habr que tener en cuenta inicialmente dos visiones:
Organizativa: La propia estructura organizativa de la empresa, su organigrama, volumen , lneas de producto, situacin en el mercado... Recursos informticos: Estructura del departamento, relaciones funcionales y jerrquicas, recursos humanos, materiales (SGBD, SO, comunicaciones...), aplicaciones de desarrollo en sistemas de explotacin.
En definitiva lograr alcanzar un profundo conocimiento de la idiosincrasia organizativa a todos los niveles para poder desenvolverte en el mbito de la empresa con total comodidad y conocimiento del funcionamiento interno de sta. Para poder asegurarnos de que las conclusiones obtenidas en nuestro anlisis preliminar son las correctas sera interesante que se pudieran contrastar con la emitidas con el grupo de auditores internos. Es tambin en esta fase donde se da el visto bueno a la viabilidad de la realizacin de la auditora, puede que por diversas razones como, por ejemplo, la carencia de capacidad para auditar el sistema, ya que excede el campo de actuacin del auditor, o la necesidad de realizar otro tipo de auditora, ya que auditando informticamente no se alcanzarn a resolver los problemas que la empresa tenga.
Herramientas y Documentacin
En la fase de toma de contacto se utilizan principalmente dos herramientas intangibles que son:
CAPTULO 2
31
La experiencia propia: el auditor con la experiencia adquirida en la realizacin de otras auditoras interpreta de una forma ms efectiva toda aquella informacin. Implicacin de Directivos y usuarios: para que el auditor pueda realizar las labores de aproximacin al problema de una forma ptima necesita la cooperacin de todos y cada uno de los integrantes de la estructura organizativa de la empresa, porque quin mejor que los propios implicados en la empresa son capaces de transmitir cules son los puntos clave a ser auditados, haciendo partcipes a stos en todo el proceso de ejecucin de la auditora.
Adems de los dos puntos enumerados anteriormente el auditor tiene que ayudarse de todo tipo de formularios que pueda rellenar el personal y que despus puedan ser de inters a la hora de extraer conclusiones. Tambin podramos utilizar todo tipo de material informtico como programas de interpretacin de datos obtenidos, estadsticos..., pero nunca perdiendo de vista las interpretaciones ms subjetivas, que no por ello errneas, de todos los aspectos interesantes. Por ltimo cabra remarcar la importancia que se le tiene que dar a esta fase, ya que sobre todas las conclusiones extradas se basarn todas las otras fases, es decir, una mala interpretacin de la filosofa de la empresa podra repercutir en una mala realizacin de la auditora.
Realizacin
Con toda la informacin deberemos ser capaces de tratar los siguientes temas que son de importancia vital:
32
Concentracin de objetivos: fijar los objetivos a nivel global que esperamos obtener en nuestro trabajo, hasta dnde llegaremos y cmo lo queremos hacer. Las reas que cubrir: qu partes exactas de la empresa y, en este caso del sistema, sern objeto de ser auditadas. Personas de la organizacin que debern colaborar directa e indirectamente y en qu momento concreto. Plan de trabajo:
Tareas que se debern realizar. Calendario, tanto de todas las fases as como de la consecucin del trabajo. Presupuesto, partir de la base de las inevitables limitaciones presupuestarias, si existen, aspecto que es bueno tener siempre presente. Equipo auditor necesario: una vez obtenido todo el material de partida el encargado tiene que ser capaz de realizar una estimacin lo ms exacta posible del equipo de auditores necesario, en cuanto a nmero y especialidades, o reas de conocimiento.
Herramientas y Documentacin
Llegados a este punto, el auditor debe disponer de todo tipo de manuales de los diferentes sistemas informticos tanto SW como HW. Por otro lado, el grado de conocimiento de las personas en el mbito laboral tiene que ser alto y la movilidad en la organizacin tiene que ser mxima. el auditor tambin debe estar familiarizado con los controles directivos y con los de aplicacin para ser capaz ms adelante de determinar dnde puede haber fallos en la utilizacin o si, por otro lado, son los propios controles los que no funcionan adecuadamente. Y por ltimo se tendr que utilizar constantemente la documentacin obtenida de los cuestionarios realizados en la fase anterior.
CAPTULO 2
33
Realizacin
Es el momento de ejecutar todas aquellas tareas explicitadas en la fase anterior. Esta fase la podramos calificar de fase de observacin, no en el sentido que se le daba a la primera en la que o bservbamos el funcionamiento de la empresa as como todos aquellos aspectos que nos ayudasen a conocerla mejor. Sin embargo, aqu recogeremos datos, situaciones, deficiencias del propio sistema informtico objeto de la auditora. Ser un periodo en el que se efectuarn los siguientes trabajos :
Se efectuaran las entrevistas previstas en la fase de planificacin. Se completarn los cuestionarios que conlleva el auditar: cuestionarios que nos ayudarn a observar problemas en el sistema, basndonos en la informacin facilitada por los usuarios directos del sistema que son los perfectos conocedores de ste. Se observarn las situaciones deficientes, no slo las aparentes sino las que hasta ahora no hayan sido detectadas, por lo que se podr llegar a simular situaciones lmite. Se observarn los procedimientos, tanto en los informticos como en los usuarios. Se ejecutarn, por tanto, todas las previsiones efectuadas en la fase anterior con el objetivo de llegar a la siguiente etapa en condiciones de diagnosticar la situacin que se ha encontrado. Herramientas y Documentacin
En lo que respecta a la documentacin, el auditor tiene que apoyarse en la experiencia que ha obtenido de otros sistemas para poder comparar resultados de rendimientos anteriores con los que le presta el sistema actual.
34
En cuanto a las herramientas, puede ser interesante que se utilice algn tipo de herramienta mecanizada que le ayude a interpretar los cuestionarios realizados por los usuarios. A menudo, tambin deben utilizarse tcnicas asistidas por ordenador que determinen la existencia y la fiabilidad de los controles. Adems, se puede disponer de:
Los juegos de ensayo que son una herramienta eficiente y significativa que se utiliza para probar programas enrevesados, aunque la realizacin de buenos juegos de ensayo no siempre sea una tarea fcil. Los programas de auditora desarrollados por las principales firmas auditoras. Las tcnicas de ejecucin en paralelo para verificar el correcto funcionamiento de los programas que se tienen que revisar.
Realizacin
Para ello se servirn de su propia experiencia en situaciones anteriores, as como de los modelos que tengan establecidos con los que poder contrastar los resultados de las observaciones, pudiendo comparar cantidades cuantificables, ratios, ndices, etc. con los ptimos (en apariencia) para proceder a una instalacin con las caractersticas de la observada. Como resultado de esta etapa, deben quedar claramente definidos los puntos dbiles y por contrapartida los fuertes, los riesgos eventuales y en primera instancia unos posibles tipos de solucin o mejora. La finalidad de esta fase es conseguir evidencias suficientes para emitir una valoracin sobre la existencia o no de prdidas o la posibilidad de que ocurran durante el proceso de datos. El auditor externo emite esta valoracin como una opinin.
CAPTULO 2
35
Para diagnosticar correctamente la eficacia del sistema informtico, existen cinco tipos de pruebas substantivas que se realizan en una instalacin de proceso de datos: 1. Pruebas que identifican los procesos errneos. 2. Pruebas para asegurar la calidad de la informacin. 3. Pruebas para identificar informacin inconsistente. 4. Pruebas para comparar informacin con cmputos fsicos. 5. Confirmacin de informacin con fuentes externas.
Herramientas y Documentacin
En lo referente a la documentacin, la informacin no tiene porqu ser til slo para los auditores sino, en general, para cualquier consultor informtico. Entre esta documentacin cabe destacar:
Organigrama de la empresa y en especial del servicio informtico. Documentos de organizacin interna. Aspectos econmicos como gastos, presupuestos, costes humanos y materiales, etc. Estudios informticos realizados y en curso. Actividades desarrolladas por el propio personal o por terceros. Configuraciones de mquina: ordenadores, unidades de disco, comunicaciones, etc. Documentos de input de datos. Listado de operacin de consola. Plannings. Y por ltimo, para las aplicaciones existentes se pueden citar: el anlisis funcional y orgnico, los cuadernos de carga, el diseo de ficheros, los juegos de ensayo, las pruebas de programa, etc.
36
En cuanto a las herramientas, hay que decir que se debe continuar con las utilizadas hasta ahora, pero siempre teniendo en cuenta su utilizacin en cada fase, ya que sta es diferente.
CAPTULO 2
37
El plan de mejoras abarcar todas las recomendaciones que intenten soslayar las deficiencias detectadas en la realizacin de la auditora. Para ello se tendrn en cuenta los recursos disponibles, o al menos potencialmente disponibles, por parte de la empresa objeto de la auditora. De cara a la ejecucin de las recomendaciones contenidas en el pla n, es posible distinguir entre las medidas que se pueden realizar a corto plazo, de las que son a medio y por ltimo, de las ejecutables a largo plazo. Entre las primeras se incluirn aquellas mejores puntuales y de fcil realizacin como son las mejoras en plazo, calidad, planificacin o formacin. Las medidas a medio plazo necesitarn de uno a dos aos para poderse concretar. Aqu pues, caben ya mejoras algo ms profundas y con mayor necesidad de recursos, como la optimizacin de programas, o de la documentacin, e incluso algunos aspectos de diseo del sistema. Para concluir, las consideraciones a largo plazo, como cabe pensar fcilmente, pueden llevar a cambios sustanciales en las polticas, medios o incluso estructuras de servicio de informtica. Lgicamente con ms tiempo y ms medios es posible afrontar profundas modificaciones si con ello se consiguen las mejoras redactadas por el equipo auditor. Estas mejores pueden pasar por la reconsideracin de los sistemas en uso o de los medios humanos y materia les con que se cuenta, llegando si es preciso a una seria reconsideracin del plan informtico. Todo esto comporta un riesgo adicional, por lo que se requiere una profunda reflexin por parte de la empresa, as como un considerable grado de confianza en el equipo auditor.
38
1. Independientemente de la extensin del informe final, no debe superar las cuatro pginas. 2. Tiene que incluir datos como la fecha y la naturaleza de la auditora, as como los objetivos generales y alcance de la misma. 3. Tiene que cuantificar el peso de las reas analizadas. 4. Debe presentar una conclusin general, concretando las reas de gran debilidad. 5. Tiene que presentar las debilidades detectadas en orden de mayor a menor importancia y gravedad. 6. Evitar la inclusin de recomendaciones, que solamente se expresan en el informe.
La Carta de Presentacin, como resumen del Informe Final, normalmente se redacta una vez finalizada la redaccin del propio informe.
1. Identificacin e introduccin. 2. Definicin de objetivos y alcance de la auditora. 3. Enumeracin exhaustiva de los temas objeto de la auditora. 4. Cuerpo expositivo.
CAPTULO 2
39
En la seccin de Identificacin e introduccin, debe constar la fecha de inicio de la auditora y la fecha de redaccin del informe, as como la identificacin del equipo de auditora, y de las personas entrevistadas, con los datos de su puesto de trabajo, responsabilidad y departamento al que estn adscritas. En la seccin de Definicin de objetivos y alcance de la auditora, se debe aplicar las mismas pautas que en el modelo general de informe, vistas en el captulo anterior. En la seccin de Cuerpo expositivo, se debe tratar en profundidad cada uno de los temas enumerados en la seccin anterior, siguiendo un orden determinado, que expresamos a continuacin:
* Situacin actual. * Tendencias de situacin futura. * Puntos dbiles y amenazas. * Recomendaciones y planes de accin. * Redaccin de la Carta de Presentacin.
A diferencia de la Carta de Presentacin, el auditor puede proporcionar cuantas copias indique el cliente, siempre y cuando estn personalizadas y se entreguen directamente a sus destinatarios. Recordemos el carcter privado de una auditora.
40
por la prctica- de informe contiene unas pautas para desarrollar el flujo del hecho o de la debilidad y la secuencia de fases para eliminar esta debilidad:
1. Descripcin exacta, convincente y sin repeticiones del hecho encontrado. 2. Consecuencias deducibles del hecho. 3. Repercusin del hecho sobre otros mbitos del sistema o de la empresa auditada. 4. Conclusin del hecho en el caso de una exposicin extensa y compleja. 5. Recomendacin del auditor concreta, exacta en el tiempo, explcita en el texto, y dirigida expresamente a quien pueda implantarla.
CAPTULO 2
41
PC, de sobremesa o porttil, o puede tener herramientas ms tradicionales que se han "informatizado". Tampoco hay que olvidar las herramientas que confecciona el propio auditor o hace construir, que funcionan sobre el propio sistema informtico a auditar. Por tanto, es difcil establecer una clasificacin estricta de las herramie ntas de auditora. Para no pecar en exceso de criterios, vamos a reducirlos solamente a dos criterios principales: 1) en cuanto a la innovacin tecnolgica: las herramie ntas tradicionales y las herramientas informticas; y 2) en cuanto a su especializacin: las herramientas de propsito general y las especficas de auditora. 1) En cuanto a innovacin tecnolgica:
1.1. Herramientas tradicionales: son las herramientas que ha venido utilizando el auditor tradicionalmente e, incluso, que ha heredado de la tradicin de otros tipos de auditora ( contable): Cuestionarios Previos. Estndares. Entrevistas. Checklist. Matrices de Riesgos.
1.2. Herramientas informticas: son las que funcionan con ordenador, de cualquier tipo: Trazas y/o Huellas de Auditora. Software de ofimtica (procesadores de textos, hojas de clculo, gestores de bases de datos, procesadore s de grficos e imgenes). Software estadstico. Software de control de proyectos. Software de interrogacin. Lenguajes de programacin y libreras de programas. Simuladores y analizadores de sistemas operativos. Monitores. Software de Re-Ingeniera e Ingeniera Inversa. Paquetes de auditora (CAAT).
2)
En cuanto a su especializacin:
42
2.1. Herramientas de propsito general: son las herramientas cuyo espectro de aplicacin trasciende el mbito de la auditora y sirven tambin para otros tipos de actividades. Estndares. Software de ofimtica (procesadores de textos, hojas de clculo, gestores de bases de datos, procesadores de grficos e imgenes). Software estadstico. Software de control de proyectos. Software de interrogacin. Lenguajes de programacin y libreras de programas. Simuladores y analizadores de sistemas operativos. Monitores. Software de Re-Ingeniera e Ingeniera Inversa.
2.2. Herramientas de propsito especfico: son las que tienen solamente aplicacin en la actividad informtica. Cuestionarios Previos. Entrevistas. Checklist. Trazas y/o Huellas de Auditora. Paquetes de auditora (CAAT).
CAPTULO 2
43
2.2.2 Estndares
Conjunto de normas y procedimientos de aplicacin en la funcin informtica y administrativa de la empresa. Pueden ser estndares de calidad o de otro tipo.
2.2.3 Entrevistas
Las relaciones personales con el auditado pueden ser de tres formas: Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importantes del auditor. En ellas, recoge ms informacin y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas en los cuestionarios. La entrevista se basa fundamentalmente en el concepto de interrogatorio. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que, bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencilla mente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, la sencillez es slo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso en particular.
2.2.4 Checklist
Las preguntas que el auditor elabora sistemticamente para el anlisis, cruzamiento de datos y sntesis posterior, que luego traduce en preguntas sencillas en las entrevistas, se denomina checklist. La checklist se recomienda que sea slo de uso interno del auditor, y que no se dedique a recitar dichas preguntas en las entrevistas, sino a darles una forma coloquial para aplicarlas en la entrevista con la persona auditada. Hay dos tipos de evaluacin de checklist:
44
Checklist de rango: contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido ( por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y 5 el valor ms positivo). Checklist Binaria: constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente, equivalen a "1" o "0", respectivamente.
CAPTULO 2
45
Figura 8.1. Coste y Seguridad en las curvas de Riesgo y Medidas de Cobertura Hay tres tipos principales de matrices de riesgos : Matriz (Probabilidad, amenaza, impacto), que se muestra en la Tabla 2.1.
46
CAPTULO 2
47
48
CAPTULO 2
49
mdulos ejecutables. Normalmente, el espectro de posibles aplicaciones de estos productos suele ser bastante reducido (programas de contabilidad, de manejo de ficheros, etc.).
50
2.2.13 Monitores
Son productos software, hardware o mixtos, que miden el comportamiento de un sistema o componente del sistema, en una situacin e instante real. Se diferencian de los simuladores en que stos predicen o infieren el comportamiento de un elemento, mientras que los monitores slo miden, no provocan determinadas situaciones. Los monitores suelen ser productos muy dependientes de la instalacin en que trabajan, o dependientes del sistema de base de datos, por lo que no abundan productos estndar comerciales.
CAPTULO 2
51
52
Hay otros productos de reciente aparicin, o ms sofisticados, o para instalaciones de marcas especficas que no son muy conocidos todava, y son los siguie ntes: ACL (ACL Software), WizRule for Windows (WizSoft), VSA (Vanguard Integrity Professionals), Consul/Audit (Consul risk management b.v.) y Audit & Control Program Mentor (Angel Group). Mencin especial merece el proyecto CobiT (Control Objetives for IT), promovido por la Information Systems Audit and Control Foundation, cuyo producto final, del mismo nombre, es un moderno y estandarizado conjunto de Objetivos de Control de las Tecnologas de Informacin generalmente aceptados para la utilizacin diario de los ejecutivos y auditores de Sistemas de Informacin. Desarrollaremos en las secciones posteriores una descripcin ms detallada de cada una de estas herramientas, debido a su mayor importancia en cuanto al resto de herramie ntas descritas anteriormente.
2.3.1 IDEA. Interactive Data Extraction and Analysis (Uniaudit- Grant Thornton)
2.3.1.1 Introduccin
El Instituto Canadiense de Auditores de Cuentas (CICA), anticipndose a las necesidades de los auditores, cre en 1987 un programa de extraccin y anlisis de informacin, como respuesta a la creciente automatizacin informtica de la contabilidad de las empresas. El producto en cuestin es IDEA (Interactive Data Extraction and Analysis) y tuvo gran aceptacin desde su primera versin. En los ltimos aos el CICA ayudado por algunas multinacionales ha mejorado el producto original hasta llegar a la versin cuarta, considerada por los auditores y analistas (sus principales usuarios) como la ms completa aplicacin de interrogacin y extraccin de datos. El atractivo de IDEA estriba en la combinacin de un alto grado de funcionalidad con la sencillez de uso. El producto IDEA, aunque complejo y potente, no
CAPTULO 2
53
requiere conocimientos previos, a pesar de esto, la nueva versin incorpora un curso de formacin. Proporciona un entorno de trabajo en modo texto, basado en mens, susceptibles de ser personalizados, y con posibilidad de trabajar mediante ratn o teclas rpidas. En el nuevo producto se conservan las caractersticas de sus predecesores, pero se incrementan su funcionalidad, velocidad y aplicaciones. Constituye un apoyo en todas las labores del auditor, con una completa pista de auditora, permitiendo clasificar los trabajos y mantener un historial de las operaciones realizadas, dotando a cada proyecto una clave de acceso. La aplicacin permite la exportacin e importacin de ficheros de datos en multitud de formatos y de diferentes aplicaciones. Adems admite multitud de tipos de unidades de almacenamiento. En general responde a las necesidades de todo auditor, ya que es una herramienta creada por auditores, para auditores. Dispone de miles de usuarios, incluso organismos gubernamentales. Proporciona una herramienta eficaz tanto en auditora interna como externa. Y su utilizacin es sencilla. 2.3.1.2 Auditora Informatizada: CAATS y Micro CATS
La revolucin informtica se ha extendido a todos los mbitos, incluyendo el de la auditora y sus mbitos de estudio o trabajo, afectando a su enfoque tradicional de trabajo. Qu puede hacer el auditor ante la revolucin informtica en el campo de la contabilidad? La nica respuesta es la informatizacin de la auditora. El auditor se encuentra cada vez ms con el problema de la reduccin de las pistas de auditora documentadas, puesto que todas las empresas se automatizan y pasan a guardar la informacin en medios magnticos, y no sobre papel como venan haciendo. El manipular la informacin con un ordenador no es todo lo fiable que se desea. La gran variedad de modelos de ordenador, aplicaciones y capacidad de poder manipular la informacin al antojo de uno, hacen que uno de los objetivos que se plantee el nuevo auditor, sea el de revisar la fiabilidad de la informacin.
54
Estos y otros muchos problemas, hacen necesaria la informatizacin de la auditora, permitiendo un mejor reparto del tiempo del auditor y una dedicacin mayor a tareas donde todava no se puede operar con ordenador. Una aplicacin informtica en el trabajo de auditora supone una mejora de los mtodos tradicionales. Los objetivos que se deben buscar son cuatro:
Mejorar la eficacia y reducir los costes de auditora. Incrementar la calidad y reducir el riesgo de auditoria. Reducir el tiempo de obtencin de la informacin. Permitir que personal menos cualificado realice tareas que antes necesitaban de un auditor con experiencia.
Sin embargo, el soporte informtico de ayuda a la auditora no es barato. Pero, como respuesta a las necesidades urgentes del nuevo auditor, surgen las Tcnicas de Auditora Asistidas por Microordenador. Estas aplicaciones se engloban bajo el nombre de CAATs o MCATs. Constituyen mtodos revolucionarios destinados a incrementar la eficacia de la auditora y a disminuir los costes de los trabajos. Adems presentan ventajas adicionales:
Entorno familiar: En lugar de tener que utilizar los equipos de los clientes, el auditor trabaja siempre en el mismo entorno informtico. No ms retrasos de trabajo: El equipo del auditor est siempre disponible, no como ocurra con los de la empresa a ser auditada. Integracin: Una vez se dispone de la informacin necesaria es posible utilizarla con otros programas. Entorno Protegido: El auditor tiene libertad de movimientos en su equipo de trabajo, no sujeto a objeciones del cliente, y con las medidas de seguridad necesarias. El final del trabajo rutinario: Se informatizan los trabajos tediosos.
CAPTULO 2
55
Las herramientas de extraccin, anlisis y muestreo de datos, que tambin reciben el nombre de herramientas de interrogacin de ficheros, son quiz el CAAT que ms se utiliza, por su considerable ahorro de trabajo. Un ejemplo de estas herramienta lo constituye el paquete IDEA. 2.3.1.3 IDEA: Una herramienta de interrogacin
Como ya hemos comentado anteriormente IDEA es un producto software que permite al auditor o al analista, automatizar tareas que resultan tediosas y fcilmente manipuladas por el ordenador, permitiendo emplear el tiempo en otras labores ms delicadas. Como en breve comentaremos, es una herramienta de apoyo en labores de anlisis de informacin, y cubre la tarea desde el principio, extrayendo la informacin de la empresa a ser auditada, hasta el final, generando documentacin de los resultados del estudio de la informacin contable. En general, una labor de interrogacin con IDEA seguir los pasos siguientes:
Obtener el fichero de informacin en formato micro. Ubicar el fichero dentro de un proyecto, asignndole una clave de acceso. Hacer reconocible la informacin para el programa IDEA (importarlo). Realizar el anlisis. Imprimir informes de resultados. Exportar los resultados a otras aplicaciones. Hacer backups de los ficheros y de los resultados obtenidos. Borrar los proyectos acabados del disco.
La identificacin del usuario al comenzar una sesin con IDEA es importante, ya que permite el acceso restringido a los distintos clientes y proyectos. Tambin existe la posibilidad de manipular los mens para realizar una restriccin de funciones por usuarios. La aplicacin almacena automticamente una pista de los ficheros que se hallan bajo su control y de la utilizacin de los mismos. Esto permite saber en todo momento el trabajo realizado sobre un fichero, manteniendo una pista de auditora y un historial que puede ser accedido en cualquier momento, y en el que se pueden incluir comentarios.
56
2.3.1.4
8.3.1.4.1Funciones de extraccin y anlisis Este es el rea principal de trabajo de IDEA y provee al auditor de las herramientas necesarias para realizar los anlisis y producir la documentacin.
Funciones de Extraccin:
Permiten extraer registros de un archivo mediante algoritmos de extraccin. El programa es capaz de generar los algoritmos interactivamente con el usuario, o dejar a ste la labor de confeccin. Una funcin adicional permite almacenar algoritmos importantes en un catlogo. Virtualmente se genera un nuevo archivo con los registros de inters, pero fsicamente, lo que realmente se almacena en disco, es la definicin lgica y no la informacin. De esta forma se evita duplicar informacin.
Indexacin y Clasificacin:
Son dos formas de reorganizar la informacin de un archivo, que no estaba en el orden adecuado, utilizando claves de ordenacin. La Clasificacin genera un archivo equivalente con el orden deseado. La Indexacin, menos costosa, genera simplemente un archivo ndice de referencias al original.
Funciones de Anlisis:
Engloba un conjunto de funciones, utilizadas a menudo, en el anlisis de informacin. A continuacin se exponen estas funciones comentando las ms importantes: Estratificacin de Ficheros. Permite totalizar un campo determinado en aquellos registros que cumplan unos determinados requisitos de rango de valores. Resumir Campos Clave. Cuando un fichero contiene numerosos registros con un campo que contiene los mismos valores, podemos resumir la informacin, generando un nuevo archivo que contenga el campo clave, el nmero de registros y los totales de los campos numricos. Grficos de barras. Permite generar grficas de la informacin resumida. Estadsticas de Campos. Permite calcular distintos estadsticos de hasta 32 campos en una sola pasada.
CAPTULO 2
57
Anlisis de Antigedad. Permite averiguar la antigedad de un registro. Comparar dos Archivos. Muestra si un campo particular contenido en un fichero posee el mismo valor que otro campo de otro fichero dis tinto, permitiendo conocer las diferencias existentes. Deteccin de Espacios Vacos. Permite detectar cualquier salto o vaco de los valores de un determinado campo, como puede ser el nmero de factura, que debera contener valores correlativos. Deteccin de Duplicados. Es la funcin contraria a la anterior y permite detectar elementos duplicados, como podra ser la contabilizacin de un cheque.
Funciones de Muestreo:
Permiten utilizar cinco mtodos de muestreo: Sistemtico, Aleatorio, Generacin de Nmeros Aleatorios, de Atributos y de Unidades Monetarias.
Permite lo propio con cualquier informacin o resultado de anlisis manejados por el programa.
58
8.3.1.4.2Otras opciones
Antes de que pueda ser utilizada por el programa IDEA, la informacin debe importarse en forma de archivo. Para ello se debern especificar los parmetros referentes al formato y estructura de campos que contiene el archivo fuente. Adems en ocasiones esto no es necesario, ya que el programa reconoce automticamente muchos tipos distintos de archivos.
De forma parecida, la informacin generada por la aplicacin, puede ser exportada a otras aplicaciones, como pueden ser procesadores de texto u hojas de clculo. En este rea IDEA tambin reconoce los formatos de diferentes plataformas.
Gestin de Clientes:
Se puede mantener por separado la informacin de diferentes clientes o proyectos de auditora. Tambin se pueden asociar claves de acceso a los distintos archivos.
CAPTULO 2
59
2.3.2 CobiT. Control Objetives for IT (Information Systems Audit and Control Foundation)
2.3.2.1 Introduccin El proyecto CobiT (Control Objetives for IT), fue promovido por la Information Systems Audit and Control Foundation con la colaboracin de grupos de trabajo internacionales, para obtener un producto de auditora, con el mismo nombre. CobiT es un moderno y estndar conjunto de Objetivos de Control de las Tecnologas de Informacin generalmente aceptados para la utilizacin diaria de los ejecutivos y auditores de Sistemas de Informacin. 2.3.2.2 La Information Systems Audit and Control Foundation La Information Systems Audit and Control Foundation es una fundacin de la Information Systems Audit and Control Association (ISACA), organizacin profesional con 14.000 miembros en todo el mundo que estn trabajando en la auditora, el control y la seguridad de los sistemas de informacin. Se fund en 1969 como la EDP Auditors Association, y actualmente la misin de ISACA es la de mejorar el reconocimiento de la profesin de auditora y control de los sistemas de informacin a travs de la elaboracin de estndares y prcticas, formacin y certificacin. La Information Systems Audit and Control Foundation est encargada de trabajos de investigacin para producir materiales de referencia y para establecer estndares profesionales que dirijan la prctica en las reas tecnolgicas para el beneficio de la comunidad global de Sistemas de Informacin. 2.3.2.3 Introduccin a CobiT
CobiT est diseado como un estndar aplicable y aceptable en general para la buena prctica de la auditora de las tecnologas de la Informacin en todo el mundo. El producto CobiT utiliza los Objetivos de Control de ISACA, mejorados con estndares especficos de tipo tcnico, profesional, normativo e industrial existentes y emergentes. Los objetivos de control se han desarrollado para su aplicacin en el amplio espectro de sistemas de informacin en la empresa. El trmino "generalmente aceptado" se utiliza explcitamente en el mismo sentido que en los PCGA (Principios Contables Generalmente Aceptados). En las reuniones iniciales, los planificadores identificaron que el estndar deba ser pragmtico, relativamente reducido en tamao, y suficiente para las necesidades de gestin al mismo tiempo que se mantuviera independiente de las instalaciones de TI adoptadas en una organizacin. Tena que identificar cualquier indica-
60
dor de rendimiento. La capacidad de un marco de cualificacin tenia una prioridad secundaria. El desarrollo tena que dar lugar a un producto final comercial, seguido de actividades de promocin y educacin para asegurar la introduccin y adopcin extensas de los objetivos de control de TI mejorados. La mejora consista en lo siguiente:
Adecuacin a los estndares y normativas legislativos y de hecho existentes que se aplican en el marco global, as como en los objetivos de control individuales. Revisin crtica de las diferentes actividades y tareas bajo los dominios de control y posibilitando la especificacin de indicadores de prestaciones importantes (normas, reglas, etc.). Establecimiento de unas directrices y fundamentos para proporcionar investigacin consistente sobre los temas de auditora y control de TI.
Se ha contado con la colaboracin de grupos de trabajo distribuidos por todo el mundo para aportar seguridad en la calidad y revisin experta de los trabajos de investigacin en el proyecto y en el desarrollo de la documentacin. Se ha contado con el asesoramiento de equipos de investigacin acadmicos y profesionales que han coleccionado y analizado recursos en Europa (Free University of Amsterdam), los EE.UU. (California Politechnic University) y Australia (University of New South Wales). Despus de la coleccin y anlisis de los recursos, los investigadores examinaron cada dominio y procedieron en profundidad y sugirieron nuevos objetivos de control aplicables a cada proceso de tecnologa de la informacin particular. Los investigadores compilaron, revisaron, evaluaron e incorporaron estndares tcnicos internacionales, cdigos de conducta, estndares de calidad, estndares de auditora profesionales, requisitos y prcticas en la industria, y requisitos especficos de la industria emergentes en la medida en que se relacionaban con los objetivos de control globales e individuales. Estos esfuerzos han producido ms de 300 objetivos de control nuevos y actualizados a considerar por los inspectores de calidad y grupos de expertos. La consolidacin de los resultados se realiz principalmente en el Equipo de Proyecto, compuesto por el Directos del Proyecto, el Gestor del Proyecto y el Director de Investigacin de la ISACA/F. La exposicin, promocin y publicacin de estos resultados han estado a cargo de la ISACA/F.
CAPTULO 2
61
2.3.2.4
Hay una creciente necesidad entre las administraciones de las empresas y los usuarios de los servicios de TI de obtener confianza en la seguridad y el control a travs de la acreditacin y la auditora de los servicios de TI aportadas por unidades internas u organizaciones externas. En el presente, sin embargo, la implantacin de un buen control de TI en los sistemas de gestin - sean comerciales, no lucrativos, gubernamentales, etc.- esta dificultada por la confusin provocada por los distintos esquemas de evaluacin que existen actualmente (por ejemplo ITSEC, TCSEC, evaluaciones de ISO9000, evaluaciones de control interno del COSO emergentes, etc.). Por tanto, entendemos que se ha de establecer un fundamento general para todos. CobiT se desarrollo para establecer un fundamento general que pudiera aplicarse en la gestin como ayuda en el balance de riesgos y en el control de la inversin en un entorno de TI a menudo impredecible; por auditores de SI para sustanciar sus opiniones sobre los controles internos y de gestin; y por las administraciones de las empresas y usuarios para que puedan obtener confianza en la seguridad y el control de los servicios de TI proporcionados por unidades internas o por terceras partes. 2.3.2.5 Definicin y evolucin del producto
El producto bsico consiste en un sistema para el control en TI basado en criterios de gestin y documentado por objetivos de control organizados por dominios, procesos y actividades de TI. Cada una de estas reas tiene, adems de un conjunto de objetivos de control, una definicin y una base lgica para el control. Este producto llegar a ser el punto de partida para futuras investigaciones. Se han identificado una segunda y tercera fases en el proyecto CobiT. Para cada una de estas fases, las tareas y actividades de TI que sirven como estructura para organizar los objetivos de control de TI se refinarn y publicarn durante 1996 y 1997 respectivamente. 2.3.2.6 Objetivos y Criterios de Gestin
Para satisfacer los objetivos de gestin, la informacin debe cumplir ciertos criterios referidos como requisitos de gestin. Al establecer la lista de requisitos, se combinan los principios contenidos en modelos existentes y conocidos:
Requisitos de Calidad:
Calidad.
62
Coste. Distribucin.
Requisitos de Seguridad:
Confidencialidad. Integridad. Disponibilidad.
Empezando por los anteriores requisitos de Calidad, Fiduciarios y de Seguridad, se han identificado siete categoras distintas pero no disjuntas. Sus definiciones son las siguientes:
Efectividad: maneja informacin que es importante y pertinente para el proceso de gestin as como la que se distribuye de una forma oportuna, correcta, consistente y manejable. Eficiencia: corresponde a la provisin de informacin en la forma menos costosa. Integridad: referido a la precisin y completitud de la informacin as como su validez de acuerdo con el conjunto de valores y presupuestos de gestin. Confidencialidad: corresponde a la proteccin de la informacin sensible frente a una revelacin no autorizada. Disponibilidad: referido a la informacin que est disponible cuando lo requiera el proceso de gestin, y tambin corresponde a la salvaguarda de los recursos. Cumplimiento: trata del cumplimiento con las leyes, reglas y acuerdos contractuales a los cuales se somete el proceso de gestin. Fiabilidad de los estados financieros: los estados financieros deben ser fiables y presentarse completamente de acuerdo con los PCGA, al mismo tiempo que debe tener en cuenta la existencia u ocurrencia, completitud, derechos y obligaciones, evaluacin o localizacin, y presentacin y revelacin de esta informacin.
La informacin que los procesos de gestin necesitan est proporcionada por el uso de los recursos de TI. Para asegurar que los requisitos de gestin para la
CAPTULO 2
63
informacin se aplican, se tiene que definir medidas de control adecuadas, se tiene que implementarlas y monitorizarlas sobre estos recursos. Est claro que no todas las medidas de control satisfarn los requisitos de gestin en el mismo grado, as que se hace una distincin en el sistema CobiT contemplando el cumplimiento primario y secundario:
Primario: grado en que el objetivo de control satisface completamente el requisito de informacin correspondiente. Secundario: grado en que el objetivo de control satisface solamente en menor extensin o indirectamente el requisito de informacin correspondiente.
El sistema consiste en objetivos de control de TI de alto nivel y una estructura global para su clasificacin y funcionamiento. La teora subyacente para la clasificacin elegida, en lnea con las experiencias de Re-Ingeniera, es que hay, en esencia tres niveles de esfuerzos en TI cuando se considera la gestin de los recursos de TI. Estos son actividades, procesos y dominios:
Actividades: las actividades, junto con las tareas estn en el nivel inferior. Las actividades tienen el concepto de ciclo de vida mientras que las tareas se consideran discretas en el tiempo. Procesos: se definen en un nivel superior como series de actividades unidas con puntos de control naturales. Dominios: correspondientes al nivel superior, son agrupaciones de procesos. CobiT distingue cuatro dominios en lnea con el ciclo de gestin o el ciclo de vida aplicables a los procesos de TI: Planificacin y Organizacin: conduce la estrategia y las tcticas y corresponde a la identificacin de la forma en que la informacin tecnolgica puede contribuir mejor a alcanzar los objetivos de gestin. Adquisicin e Implementacin: para llevar a cabo la estrategia es necesario identificar, desarrollar y adquirir soluciones de TI apropiadas, as como implementarlas e integrarlas en el procesos de gestin. Distribucin y Soporte: corresponde con la distribucin normal de los servicios requeridos, que van desde las tradicionales operaciones sobre s eguridad y continuidad hasta la formacin. Monitorizacin: todos los procesos de TI deben evaluarse regularmente en el tiempo para comprobar su calidad.
64
2.3.2.7
El marco conceptual se enfoca desde tres puntos de vista distintos: criterios de gestin para la informacin, recursos de TI y procesos de TI. Estos tres puntos de vista se ensamblan en un formato cbico y permiten que se obtengan referencias cruzadas en dicho marco y se pueda acceder a l eficientemente. Los objetivos de control de TI estn organizados inicialmente por proceso/actividad, pero las ayudas para la navegacin que se aportan, facilitan la entrada desde cualquier punto estratgico. Tambin facilitan la adopcin de enfoques combinados o globales, tal como la instalacin/implementacin de un proceso, responsabilidades de gestin global para un proceso, y el uso de los recursos de TI por un proceso. Con el propsito de tener documentacin apta para publicar, el sistema CobiT est limitado a los objetivos de control de alto nivel en la forma de una necesidad de gestin sobre un proceso de TI particular. El requisito de gestin se alcanza a travs de una instruccin de control y se puede considerar controles potencialmente aplicables.
CAPTULO 2
65
Adecuacin a los estndares y normativas legislativos y de hecho existentes que se aplican en el marco global, as como en los objetivos de control individuales. Revisin crtica de las diferentes actividades y tareas bajo los dominios de control y posibilitando la especificacin de indicadores de prestaciones importantes (normas, reglas, etc.) Establecimiento de unas directrices y fundamentos para proporcionar investigacin consistente sobre los temas de auditora y control de Tecnologas de Informacin (TI).
COBIT se ha diseado como sistema metodolgico que consiste en un conjunto de objetivos de control de TI de alto nivel y una estructura global para su clasificacin y funcionamiento(Vase la Figura 2).
66
Figura 2. Recursos de TI, Objetivos de Negocio y Dominios de COBIT Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute.
CAPTULO 2
67
Actividades: Las actividades, junto con las tareas estn en el nivel inferior. Las actividades tienen el concepto de ciclo de vida mientras que las tareas se consideran discretas en el tiempo. Procesos: Se definen en un nivel superior como series de actividades unidas con puntos de control naturales. Dominios: Correspondientes al nivel superior, son agrupaciones de procesos. COBIT distingue cuatro dominios en lnea con el ciclo de gestin o el ciclo de vida aplicables a los procesos de TI (Vase la Tabla 2):
Planificacin y Organizacin:
Conduce la estrategia y las tcticas y corresponde a la identificacin de la forma en que la informacin tecnolgica puede contribuir mejor a alcanzar los objetivos de gestin.
Distribucin y Soporte:
Corresponde con la distribucin normal de los servicios requeridos, que van desde las tradicionales operaciones sobre seguridad y continuidad hasta la formacin.
Adquisicin e Implementacin:
Para llevar a cabo la estrategia es necesario identificar, desarrollar y adquirir soluciones de TI apropiadas, as como implementarlas e integrarlas en los procesos de gestin.
Monitorizacin:
Todos los procesos de TI deben evaluarse regularmente en el tiempo para comprobar su calidad.
El marco conceptual se enfoca desde tres puntos de vista distintos: criterios de gestin para la informacin, recursos de TI y procesos de TI. Estos tres puntos de vista se ensamblan en un formato cbico y permiten que se obtengan referencias cruzadas en dicho marco y se pueda acceder a l eficientemente (Vase la Figura 3).
68
Figura 3. El cubo de COBIT Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute.
Los o bjetivos de control de TI estn organizados inicialmente por proceso / actividad, pero las ayudas para la navegacin que se aportan, facilitan la entrada desde cualquier punto estratgico. Tambin facilitan la adopcin de enfoques combinados o globales, tal como la instalacin / implementacin de un proceso, responsabilidades de gestin global para un proceso, y el uso de los recursos de TI por un proceso (Vase la Figura 4).
CAPTULO 2
69
Figura 4. Objetivos de control de COBIT definidos genricamente Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute.
La informacin que los procesos de gestin necesitan est proporcionada por el uso de los recursos de TI. Para asegurar que los requisitos de gestin para la informacin se aplican, se tiene que definir medidas de control adecuadas, se tiene que implementarlas y monitorizarlas sobre estos recursos. Est claro que no todas las medidas de control satisfarn los requisitos de gestin en el mismo grado, as que se hace una distincin en COBIT contemplando el cumplimiento: Primario (P): grado en que el objetivo de control satisface completamente el requisito de informacin correspondiente. Secundario (S): grado en que el objetivo de control satisface solamente en menor extensin o indirectamente el requisito de informacin correspondiente.
70
Figura 5. Tabla resumen de COBIT Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute.
2.4 Bibliografa
[1] [2] [3] [4] [5] [6] [7] [8] [9] Acha Iturmendi J.J. Auditora Informtica en la empresa. Paraninfo, Madrid, 1994. Alonso Rivas G. Auditora Informtica.Daz de Santos, Madrid, 1989. Auerbach Publishers. EDP Auditing. Auerbach Publishers, Orlando (USA), 1989 Badiru a. b., Whitehouse G. E. Computer Tools, Models and Techniques for Project Management. Tab Books, Blue Ridge Summit, PA, 1989. Casals Creus, R Fundamentos de auditora.3 ed. Instituto de auditores-censores jurados de cuentas de Espaa, Madrid, 1992. Chu G.T. "Expert Systems in Computer Based Auditing". EDP Auditor Journal, vol I, 1989. Davis G.B., Adams D .L., Schaller C.A.Auditing & EDP.2 ed. American Institute of Certified Public Accountants. New York, 1983. Davis G.B., Rittenberg L.E., O'Sullivan J. J. Auditing & EDP.2 ed. Study Guide. American Institute of Certified Public Accountants. New York, 1983. De Juan Rivas A., Prez pascual A. La auditora en el desarrollo de proyectos informticos. Daz de Santos, madrid, 1988.
CAPTULO 2
71
Derrien Y. Tcnicas de la Auditora Informtica. Marcombo, Barcelona, 1994. Fernndez Pea E. Diccionario de Auditora, 1989. Fisher A. S. CASE. Using Software Development Tools. 2nd. ed. John Wiley, New York, 1991. Grupp B. La gestin del departamento de informtica. Organizacin. Direccin. Informacin. Hispano Europea, S.A., Barcelona, 1985. ESADE. Estudios de la Empresa. Hannan J. Gestin de las Operaciones del Centro de Explotacin de Datos. Ediciones Arcadia, S.A, Madrid, 1984. Guas Prcticas CHIP-AUERBACH. Instituto de Directivos de Empresa. Seminario de Auditora Informtica. Master de Informtica para directivos. Instituto de Directivos de Empresa. Madrid, 1991. Iskandar M., Mc Mann P. "EDP Auditor Journal". EDP Auditor Journal, vol IV, 1989 Coopers & Lybrand. Manual de auditora Coopers & Lybrand. Diorki, BilbaoDeusto, 1989 Martnez Garca, F. J. Auditora de cuentas. Cuestiones y supuestos prcticos. Enunciados y soluciones, 1 ed. Jucar, Madrid, 1989. Milln Fernndez, W. Auditoria empresarial. 2 ed. Instituto de Contabilidad y Auditoria de Cuentas, Madrid, 1989. Mockler R.J. Knowledge-Based Systems for Management Decisions. PrenticeHall International, Englewood Cliffs, NJ (USA), 1989. Montersinos Julve, V. ed. La Auditora en Espanya situacin actual y perspectivas. Servei de Publicacions de la Universitat de Valncia, Valncia, 1991. Prez Pascual A., Juan Rivas A. La Auditora en el desarrollo de proyectos informticos. Daz de Santos, Madrid, 1988. Porter Thomas, J.R. y Buston John C. Auditing: A Conceptual Approach. Wadswoz, Belmont, CA (USA), 1971 Ramos Gonzlez M.A. Contribucin a la mejora de la Auditora Informtica mediante la aplicacin de mtodos y herramientas de Ingeniera del Conocimiento. Tesis doctoral, Universidad Politcnica de Madrid, Madrid, Septiembre, 1990. Ros Mcdonnell L., Bernal Montas R., Grau Gadea G., Ortz Bas A., Chalmeta Rosale R. Apuntes de gestin de Sistemas y Tecnologas de la Informacin. Servicio de Publicaciones de la Universidad Politcnica de Valencia, Valencia, 1995. SEDISI. Gua de Gestin de Programas de ordenador. SEDISI.
[14] [15]
[25]
[26]
72
The Journal of Information Systems Audit and Control Association. The EDP Auditors Association. Vol II, 1995. The Journal of Information Systems Audit and Control Association. The EDP Auditors Association. Vol III, 1995. Thomas A.J. Auditora Informtica, 2 ed. Paraninfo,Madrid,1988. Thorin M.La Auditora Informtica. Mtodos, Reglas, Normas.Masson, S.A., Barcelona, 1989. Manuales de Informtica Masson Vallabhaneni S.R. CISA Volume 1: Theory (rev. 1996).SVR Professional Publications, Schaumburg, Illinois (USA), 1996. Wallace, W. A. Handbook of internal accounting controls. 2nd ed. Englewood Cliffs, N.J. Prentice-Hall cop. 1991 Waterman D. A guide to expert systems. Addison-Wesley, Boston, MA, 1986. Weber R. EDP Auditing. Conceptual Foundations and Practice. 2nd ed. McGraw-Hill, Sydney, 1988.