Auditoría de Explotación
Auditoría de Explotación
Auditoría de Explotación
AUDITORA DE EXPLOTACIN
1. INTRODUCCIN
El nivel de competencia que existe, hoy en da, entre las empresas les obliga a tomar decisiones rpidas y
acertadas. Es necesario, para ello, el funcionamiento adecuado de los sistemas de informticos (mediante
la incorporacin de las nuevas tecnologas) y su continua actualizacin. De esta forma, es decir,
combinando esas tecnologas con una adecuada organizacin y gestin eficiente, las empresas podrn
alcanzar sus objetivos de manera satisfactoria.
La auditora informtica peridica es uno de los instrumentos ms eficaces con que cuentan las empresas
para asegurar su existencia y superar a sus competidores. La deteccin oportuna de las debilidades del
sistema permite mejorarlo racionalizando los procesos.
En este artculo se pretende elaborar el esquema de un procedimiento para llevar cabo las auditorias de
la explotacin de los sistemas de informacin siguiendo la clasificacin de los controles que hace el
proyecto CobiT.
2. SISTEMAS DE INFORMACIN
En un sentido amplio se puede considerar un Sistema de Informacin (SI) como un conjunto de
componentes que interactan para que la empresa pueda alcanzar sus objetivos satisfactoriamente.
Segn el proyecto CobiT los componentes o recursos de un SI son:
Datos: En general se consideran datos tanto los estructurados como los no estructurados, imgenes,
comidos, etc.
Aplicaciones: Se incluyen las aplicaciones manuelas y las informativas.
Tecnologas: El software y el hardware, los SO, los DBMS, los sistemas de red, etc.
Instalaciones: En ellas se ubican y se mantienen los sistemas de informacin.
Personal: Los conocimientos especficos que ha de tener el personal de los sistemas de informacin
para planificarlos, organizarlos, administrarlos y gestionarlos.
En estos recursos de los sistemas de informacin se ha de utilizar el Informe COSO de forma que permitan
eficacia en la empresa; que los datos financieros elaborados por su sistema de informacin: muestren una
imagen fiel de la misma y que la empresa cumpla la legislacin vigente. Por otra parte el sistema debe
asegurar la confidencialidad de sus datos, aspecto este ltimo contemplado en la legislacin vigente.
Para hacer el seguimiento y comprobar que el sistema de informacin est actuando como es preceptivo,
se habr de disponer un control interno que prevenga los eventos no deseados o en su defecto los detecte
y los corrija.
Es conveniente recordar que el resultado de la auditora parcial de un sistema de informacin no se puede
extrapolar al conjunto del sistema. El funcionamiento inadecuado de alguno (o algunos) de los procesos
y recursos que intervienen en otras partes del sistema (Subsistemas) puede invalidar el sistema de
informacin.
En el esquema que se adoptarn las normas de ISACA, as como otras normas de Auditora de Sistemas
de Informacin Generalmente Adaptadas y Aplicadas (NASIGAA).
3. CARTA DE ENCARGO
Las responsabilidades del trabajo de auditora deben quedar recogidas en un contrato o carta de encargo
antes de comenzar su realizacin (La Norma General #12 de ISACA Draft Standard #12 se refiere a este
aspectos slo en el caso de la auditora interna, pero tambin es de aplicacin a la auditora externa, como
queda de manifiesto en otros tipos de auditoras).
En este documento debe quedar reflejado de la forma ms clara posible, entre otros aspectos, cul ser
el alcance del trabajo del auditor.
4. PLANIFICACIN
Segn la Norma General #6 de ISACA las auditoras de los sistemas de informacin deben planificarse y
supervisarse para tener la seguridad de que los objetivos de las mismas se alcanzarn y se cumplen las
NASIGAA.
En la planificacin de la auditoria vamos a considerar 3 fases:
Planificacin Estratgica
Planificacin Administrativa
Planificaron Tcnica
Inspeccionando documentos
Una forma de encontrar evidencias, como se comentaba en el punto anterior es mediante entrevistas;
para llevarlas a cabo se pueden elaborar cuestionarios o listas de comprobacin con el objetivo de no
olvidar detalles importantes. Es conveniente que los cuestionarios y las listas de comprobacin se
elaboren de tal manera que las respuestas negativas se infiera debilidad, posibilidad de riesgo.
4.1.2.ESTABLECIMIENTOS DE OBJETIVOS
En funcin de la importancia de los riesgos que se hayan detectado, el auditor establecer los objetivos
de la auditoria, cuya determinacin concreta permitir definir con claridad el alcance de la misma. Se
considera que el riesgo es la presentacin negativa de un objetivo de la auditoria. Si la oracin negativa
se transforma en oracin afirmativa, se tiene como resultado un objetivo de control.
Personal: De que personal se va disponer, que conocimientos y experiencias son los ideales y si va a ser
necesarios o no contar con expertos, tanto personal de la empresa auditora como expertos externos.
Calendario: Establecer la fecha de comienzo y de finalizacin de la auditoria y determinar dnde se va a
realizar cada tara: en las dependencias del cliente o en las oficinas del auditor.
Coordinacin y cooperacin: Es conveniente que el auditor mantenga buenas relaciones con el auditado,
que se establezca, entre ambos, un nivel de cooperacin sin que deje de cumplirse el principio de
independencia y que se defina con claridad el interlocutor del cliente.
Comprender las tareas, las actividades del proceso que se est auditando.
Determinar si son o no apropiados los controles que estn instalados
Hacer pruebas de cumplimiento para determinar si los controles que estn instalados funcionan segn
lo establecido, de manera consistente y continua
Hacer pruebas sustantivas para aquellos objetivos de control cuyo buen funcionamiento con las
pruebas de cumplimiento no nos han satisfecho
Habr que realizar el mximo nmero de pruebas sustantivas si:
o No existen instrumentos de medida de los controles.
o Los instrumentos de medida que existen se considera que no son los adecuados
o Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se
han aplicado de manera consistente y continua.
7. INFORMES
Una vez realizadas todas estas fases, un auditor est en condiciones de emitir un informe en el que
exprese su opinin de los resultados observados.
Existen 4 tipos de opiniones bsicas que son generalmente aceptadas en la auditora y son las siguientes:
Favorable
Desfavorable
Con salvedades
Denegacin de Opinin
Favorable: Es cuando se concluye que el sistema es satisfactorio, es decir, que en nuestra opinin el
servicio de explotacin y funciones que sirven de apoyo a las tecnologas de informacin se realizan
con regularidad, de forma ordenada y satisfacen los requisitos empresariales.
Desfavorable: Es cuando se concluye que el sistema es un desastre, es decir que segn nuestra opinin
dad la importancia de los efectos de las salvedades que deben estar comentados en el informe, el
servicio de explotacin y funciones que sirven de apoyo a las tecnologas de informacin NO se
realizan con regularidad, NI de forma ordenada y NO satisfacen los requisitos empresariales (Las
salvedades son las excepciones particulares que el auditor realiza sobre una o ms de las afirmaciones
genricas del dictamen estndar, normal o no calificado).
Con salvedades: Es cuando el sistema es vlido pero tiene unos fallos que no lo invalidan, es decir,
declarando que exceptuando los efectos de las salvedades que deben estar debidamente
documentadas en el informe, el servicio de explotacin y las funciones que sirven de apoyo a las
tecnologas de informacin se realizan con regularidad, de forma ordenada y satisfacen los requisitos
de la empresa, adems en un documento debemos mencionar las recomendaciones oportunas para
mejorar el sistema.
Denegacin de Opinin: Es cuando el auditor no tiene suficientes elementos de juicio para poder
opinar adecuadamente, es decir, en el caso de que las salvedades impidan hacer una opinin del
servicio de explotacin, ya sea por falta de informacin o por no haber tenido acceso a ella por los
motivos que fueren, pero siempre ajenos a nuestra voluntad y no obstante, haber intentado hacer
pruebas alternativas, el auditor denegar su opinin.
8. RECOMENDACIONES
En el caso de que el auditor durante la realizacin de la auditora detecte debilidades, ste debe
comunicarlas al auditado con la mayor prontitud posible.
Un esquema generalmente aceptado de cmo presentar las debilidades es el siguiente:
Describir la debilidad.
Indicar el criterio o instrumento de medida que se ha utilizado.
9. CONCLUSIONES
La situacin de haber investigado sobre todo lo referente a Auditora de Explotacin y de Aplicaciones,
nos ha permitido conocer y tomar an ms conciencia de la necesidad de efectuar controles a los Sistemas
de Informacin y a las Aplicaciones.
Esta necesidad surge de la creciente importancia asignada a los mismos como ayuda imprescindible en el
desarrollo de los procesos de negocio aportando conocimiento que apoye la correcta toma de decisiones.
Debido a esto tiene gran importancia la Auditora (desarrollada en este trabajo) como garante del
correcto cumplimiento de las funciones desarrolladas por los Sistemas y aplicaciones.
Terminaremos diciendo que la labor del auditor informtico es esencial para garantizar la adecuacin de
los sistemas informticos: para ello el auditor debe realizar su trabajo atenindose a las Normas de
Auditora aceptadas y aplicables como requisito necesario que asegure la calidad del trabajo realizado.
10. BIBLIOGRAFA
Documento extrado de la Universidad Tecnolgica Nacional Facultad Regional Crdoba
ftp://bbs.frc.utn.edu.ar/UTNFC/Catedras/AuditoriaDeSistemas/AUDITORIA_EXPLOTACION_Y_APLICACI
ONES_2003.doc
Libro: Auditora Informtica Un Enfoque Prctico 2da Edicin Ampliada y Revisada, Autor: Mario C.
Piattini y Emilio del Peso