Tabla de contenido

INTRODUCCIN ........................................................................................................................... 3 1. AUDITORIA DE SISTEMAS DE INFORMACION 1. ..................................................................... 4 1.1. a) b) c) d) 1.2. 1.3. 1.4. 1.5. 2. Objetivos ...................................................................................................................... 5 Mejorar la integridad de datos .................................................................................... 5 Mejorar la salvaguarda de los activos .......................................................................... 6 Mejorar la efectividad del sistema............................................................................... 6 Mejorar la eficiencia del sistema ................................................................................. 6 Objetivos para una buena gestin de los sistemas de informacin en una empresa. ..... 7 Roles y funciones del auditor 5 ...................................................................................... 7 Retos del auditor .......................................................................................................... 7 Computer Assisted Audit Techniques (CAATs) 6. ........................................................... 8

ENFOQUE Y TIPOS DE AUDITORIA DE TI ................................................................................ 8 2.1. a) b) c) 2.2. a) b) c) Enfoquesde Auditora TI: .............................................................................................. 8 Enfoque de la Auditora Tradicional 7........................................................................... 8 Enfoque de la Auditoria Moderna................................................................................ 8 Enfoques de auditora informtica 2............................................................................. 9 TIPOSDE AUDITORIA ................................................................................................... 10 En funcin de sus objetivos fundamentales que se persiguen 8. ................................ 10 Segn el personal que realice la auditora. ................................................................ 11 Diferencia entre auditora interna y externa ............................................................. 12

3.

REAS ESPECFICAS DE AUDITORIA .................................................................................... 12 3.1. 3.2. a) b) c) d) e) 3.3. a) AUDITORA INFORMTICA DE DESARROLLO DE PROYECTOS O APLICACIONES ............ 13 AUDITORA INFORMTICA DE EXPLOTACIN .............................................................. 14 Control de Entrada de Datos ...................................................................................... 14 Planificacin y Recepcin de Aplicaciones ................................................................. 14 Centro de Control y Seguimiento de Trabajos............................................................ 15 Operacin. Salas de Ordenadores .............................................................................. 15 Centro de Control de Red y Centro de Diagnosis ....................................................... 15 AUDITORA INFORMTICA DE SISTEMAS .................................................................... 16 Sistemas Operativos .................................................................................................. 16

b) c) d) e) f) g) 3.4. 3.5. o o 3.6. 4.

Software Bsico ......................................................................................................... 16 Software de Teleproceso (Tiempo Real) .................................................................... 16 Tunning...................................................................................................................... 16 Optimizacin de los Sistemas y Subsistemas ............................................................. 16 Administracin de Base de Datos .............................................................................. 16 Investigacin y Desarrollo.......................................................................................... 17 AUDITORA INFORMTICA DE COMUNICACIONES Y REDES ......................................... 17 AUDITORA DE LA SEGURIDAD INFORMTICA ............................................................. 17 Seguridad Fsica ......................................................................................................... 18 Seguridad Lgica ........................................................................................................ 18 AUDITORA DE CONTINUIDAD DE NEGOCIO. ............................................................... 18

Ejemplos de Programas de trabajo y Pruebas de auditoria ................................................. 19 4.1. a) b) 4.2. a) b) 4.3. c) 4.4. a) b) PROGRAMA DE TRABAJO............................................................................................ 19 NORMAS PARA LA ELABORACIN DE CUALQUIER PROGRAMA DE TRABAJO ............... 19 ELABORACIN DE UN PROGRAMA DE TRABAJO........................................................ 20 Ejemplos de PROGRAMA DE TRABAJO ........................................................................ 20 Ejemplo 1: .................................................................................................................. 20 Ejemplo 2: ................................................................................................................. 22 PRUEBAS DE AUDITORIA............................................................................................. 26 Tcnicas comnmente usadas para el Diseo y Ejecucin de Pruebas de Auditora..... 27 Ejemplos de PRUEBAS DE AUDITORIA ......................................................................... 27 Ejemplo 1: .................................................................................................................. 27 Ejemplo 2: .................................................................................................................. 28

5.

ESTNDARES INTERNACIONALES DE AUDITORA ................................................................ 32 5.1. a) b) METODOLOGASDE AUDITORAS DE INFORMACIN (2) .............................................. 33 Informe Coso (3) ........................................................................................................ 34 COBIT (4) .................................................................................................................... 36

6.

Conclusiones ........................................................................... Error! Bookmark not defined. .61

7. Anexos

INTRODUCCIN

A finales del siglo XX, los sistemas informticos se han constituido en las herramientas ms poderosas para materializar unos de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los sistemas de informacin de la empresa. La informtica hoy, esta subsimida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el management o gestin de la empresa. Cabe aclarar que la informtica no gestiona

propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la auditoria informtica. La naturaleza especializada de la auditoria de los sistemas de informacin y las habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de normas generales para la auditoria de los sistemas de informacin. Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizaciones y equipos.

1. AUDITORIA DE SISTEMAS DE INFORMACION1.

La auditora de sistemas de informacin es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organizacin y utiliza eficientemente los recursos. La auditora de sistemas es la revisin que se dirige a evaluar los mtodos y procedimientos de uso en una entidad, con el propsito de determinar si su diseo y aplicacin son correctos; y comprobar el sistema de procesamiento de informacin como parte de la evaluacin de control interno; as como para identificar aspectos susceptibles de mejorarse o eliminarse2. La auditora de los sistemas de informacin se define como cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. La auditora de sistemas es3: o La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su actividad y presentar recomendaciones a la gerencia. o La actividad dirigida a verificar y juzgar informacin. o El examen y evaluacin de los procesos del rea de procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computacionales de los sistemas de una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes a mejorarlas. El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa. El auditor de sistemas es un consultor especializado en riesgos relacionados con la gestin y administracin de la tecnologa de la administracin.

Auditoria en forma grafica

Si visualizamos la figura podramos decir que la auditoria es un proceso a travs del cual un sujeto (auditor) lleva a cabo la revisin de un objeto (situacin auditada), con el fin de emitir una opinin acerca de su razonabilidad (o fidelidad), sobre la base de un patrn o estndar establecido. Sujeto; es el auditor que realiza la revisin del objeto bajo examen, que puede ser una cuenta contable determinada, un departamento en forma completa, un procedimiento, etctera. Objeto; es la situacin auditada, esta puede ser muy diversa, ya que algunos casos se da que sea una empresa en forma completa y en otros, solo se realiza esta revisin a una situacin precisa. Estndar; es el punto de comparacin que tiene el auditor, para poder evaluar si la situacin bajo examen cumple o no, con un determinado patrn establecido con anterioridad a la ocurrencia de la situacin.

1.1. Objetivos
El objetivo es evaluar la capacidad de la organizacin para proteger sus activos de informacin y debidamente prescindir de la informacin a personas autorizadas.  Mejorar la integridad de datos.  Mejorar la salvaguarda de los activos.  Mejorar la efectividad del sistema.  Mejorar la eficiencia del sistema. a) Mejorar la integridad de datos Informacin precisa, completa, oportuna y confiable. El valor de un dato depende de su contribucin a la reduccin de incertidumbre y su valor debe incrementarse para cada usuario del dato. o Aspectos: - Exactitud, precisin de datos.

Completitud, datos encontrados respecto al total. Fiabilidad, valida, sin errores, y representativa. - La integridad tiene un coste, y los beneficios deben superar el coste de los procedimientos de control que se establezcan. o Integridad. Asegura que: - No se realicen modificaciones de datos por personal o procesos no autorizados. - Los datos son consistentes, es decir, la informacin interna es consistente entre s misma y respecto de la situacin actual externa. La violacin de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intencin) modifica o borra los datos importantes que son parte de la informacin. b) Mejorar la salvaguarda de los activos Dao, destruccin, uso no autorizado robo. La informacin de una compaa es considerada uno de los activos ms importantes de la misma. En muchos casos, se ha descubierto que los propios empleados de una empresa son el punto de fuga de valiosos secretos institucionales. Por ello, la debida proteccin de la informacin es un punto importantsimo para el xito de una compaa4. Los activos son: o El hardware, y la documentacin del sistema, que puede ser daado fsicamente. o El software y los ficheros de datos, que pueden ser robados o espiados. o El personal y los suministros. o Todo debe estar protegido por un sistema de control interno. Las bases de datos son el activo ms importante para las organizaciones, ya que poseen toda la informacin de la empresa, datos confidenciales que en manos ajenas puede ser muy riesgoso. Por ello se deben controlar aspectos cruciales en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y tambin denegarlos. Con la auditora de bases de datos se busca monitorear y garantizar que la informacin est segura, adems de brindar ayuda a la organizacin para detectar posibles puntos dbiles y as tomar precauciones para resguardar an ms los datos. -

c) Mejorar la efectividad del sistema Un sistema eficaz es el que consigue sus objetivos. Aspectos: - La auditoria de eficacia se realiza cuando el sistema ya lleva tiempo funcionando, para saber si cumple las necesidades de los usuarios. - Cuando un sistema es difcil de construir, se puede realizar una auditora del diseo, para averiguar si el resultado responder a las necesidades. - El auditor necesita conocer las caractersticas de los usuarios y su marco de toma de decisiones, para saber si el sistema las facilita. d) Mejorar la eficiencia del sistema Utiliza los recursos adecuadamente en el procesamiento de la informacin. Un sistema eficiente es el que minimiza los recursos para conseguir sus objetivos. o Aspectos: - Los recursos siempre son escasos para la demanda: tiempo, maquinas, comunicaciones, personas.

No se puede evaluar aisladamente debido a sus dependencias con otros sistemas. La eficiencia es clave cuando el sistema informtico tiene poca capacidad. Hay que decidir si ampliar la capacidad de los sistemas informticos o ampliar el software. La auditoria detecta problemas de capacidad y los relaciona con cuellos de botella o con aplicaciones deficientes.

1.2. Objetivos para una buena gestin de los sistemas de informacin en una empresa.
Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin. Seguridad del personal, los datos, el hardware, el software y las instalaciones. Minimizar existencias de riesgos en el uso de tecnologa de informacin. Conocer la situacin actual del rea informtica para lograr los objetivos. Apoyo de funcin informtica a las metas y objetivos de la organizacin. Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos. Incrementar la situacin de los usuarios de los sistemas informticos. Buscar una mejor relacin costo-beneficio de los sistemas automticos. Decisiones de inversin y gastos innecesarios. 1.3. Roles y funciones del auditor5 Frecuentemente los auditores deben de afrontar la aceptacin de responsabilidades por funciones o tareas operativas, distintas de auditora. La aceptacin de tales responsabilidades pueden menoscabar la independencia y objetividad, por lo cual, de ser posible, deben de ser evitadas. En muchas organizaciones, la expectativa de la gerencia y del personal de TI (tecnologa de informacin) es que los auditores puedan jugar roles distintos de auditora tales como: y Definir estrategias de TI relacionadas con reas como infraestructura, aplicaciones y recursos. y Evaluar, seleccionar e implementar tecnologas.(debe de buscar una tecnologa que se adecue a las necesidades de la empresa ) y Evaluar, seleccionar, personalizar e implementar aplicaciones y soluciones desarrolladas por terceros.(los sistemas adquiridos por terceros deben de personalizarse a las necesidades de la empresa cuando compran un software) y Establecer las mejores prcticas, polticas y procedimientos relacionados con diversas funciones de SI. y Disear, desarrollar e implementar seguridad y control. y Revisin de centros de procesamientos de datos. y Participar en el Ciclo de Vida de Desarrollo del Sistema. y Preparar y ejecutar ComputerAssistedAuditTechniques (CAATs). y Participar en auditorias integradas. o o o o o o o o o

1.4. Retosdel auditor

o o o o o Comprensin del modelo del negocio. Comprensin del papel de las TIC. Conocimiento sobre cmo actan las TIC sobre el proceso del negocio. Conocimientos de tecnologas de informacin. Conocimiento del impacto de sus recomendaciones.

1.5. ComputerAssistedAuditTechniques (CAATs)6.

La tcnica de auditora asistida por computadora son de suma importancia para el auditor de TI cuando realiza una auditoria. CAAT (Computer Audit Assisted Techniques) incluyen distintos tipos de herramientas y de tcnicas, los que ms se utilizan son los software de auditora generalizado, software utilitario, los datos de prueba y sistemas expertos de auditora. Las CAAT se pueden utilizar para realizar varios procedimientos de auditora incluyendo: y Prueba de los detalles de operaciones y saldos. y Procedimiento de revisin analticos. y Pruebas de cumplimiento de los controles generales de sistemas de informacin. y Pruebas de cumplimiento de los controles de aplicacin Las herramientas CAAT tienen una ventaja competitiva sobre los datos manuales de tcnicas de ensayo. Con la herramienta CAAT, un auditor puede revisar, probar y analizar datos. CAAT mejora la productividad de los auditores. Permiten a los auditores para hacer decisiones bien basadas mucho ms basados para cuantificar el impacto de los errores de los estados financieros. Los datos analizados atreves del CAAT tambin dan un alto nivel de confort a los altos directivos sobre la calidad general de los datos dentro de la organizacin. Cuando se toma la decisin de hacer una auditoria de sistemas con la ayuda de CAAT es importante tomar en cuenta los pasos que a continuacin se describen.

2. ENFOQUE Y TIPOS DE AUDITORIA DE TI 2.1. Enfoquesde Auditora TI:

a) Enfoque de la Auditora Tradicional7 Proporciona conocimientos y experiencias en tcnicas de control interno. Es decir aspectos de cmo controlar las actividades de la empresa. El concepto de auditora es ms amplio: no solo detecta errores, sino que es un examen crtico que se realiza con objeto de evaluar la eficacia y eficiencia de una seccin o de un organismo con miras a corregir o mejorar la forma de actuacin. o Limitado a los controles contables internos. o No se enfocaba a las actividades claves. o Slo interesaba al personal financiero. b) Enfoque de la Auditoria Moderna    Los SI intervienen en todas las actividades. El auditor moderno evala riesgos y comprueba controles. Demuestra conocimientos informticos. AUDITORIA TRADICIONAL Detectivo Enfocado a la auditoria Enfocado al costo Enfocado a la funcionalidad Auditores de carrera Jerrquica AUDITORIA MODERNA Preventivo Enfocado al negocio Enfocado al cliente Enfocado al proceso Desarrollo de la carrera Equipo

A punta de lpiz c) Enfoques de auditora informtica 2

Uso de tecnologa

I. AUDITORIA ALREDEDOR DEL COMPUTADOR La auditora alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de informacin. Es el ms cmodo para los auditores de sistemas, por cuanto nicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la mquina. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad. La auditora alrededor del computador no es tan simple como aparentemente puede presentarse, pues tiene objetivos muy importantes como: 1. Verificar la existencia de una adecuada segregacin funcional. 2. Comprobar la eficiencia de los controles sobre seguridades fsicas y lgicas de los datos. 3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estn autorizados. 4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados. 5. Cerciorarse que los procesos se hacen con exactitud. 6. Comprobar que los datos sean sometidos a validacin antes de ordenar su proceso. 7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentacin de los datos corregidos al proceso. 8. Examinar los controles de salida de la informacin para asegurar que se eviten los riesgos entre sistemas y el usuario. 9. Verificar la satisfaccin del usuario. En materia de los informes recibidos. 10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la recuperacin de los datos en caso de desastres. Se puede apreciar la ambicin de los objetivos planteados, pues solamente faltaran objetivos relacionados con el examen de los archivos y los programas, lo cual es parte de otro enfoque. Informe de Auditora: deber redactarse en forma sencilla y ordenada, haciendo nfasis en los riesgos ms significativos e indicando el camino a seguir mediante recomendaciones econmicas y operativamente posibles. II. AUDITORIA A TRAVES DEL COMPUTADOR Este enfoque est orientado a examinar y evaluar los recursos del software, y surge como complemento del enfoque de auditora alrededor del computador, en el sentido de que su accin va dirigida a evaluar el sistema de controles diseados para minimizar los fraudes y los errores que normalmente tienen origen en los programas. Este enfoque es ms exigente que el anterior, por cuanto es necesario saber con cierto rigor, lenguajes de programacin o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje. Objetivos de esta auditora:

1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro de los parmetros de precisin previstos. 2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas. 3. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados. 4. Comprobar que los programas utilizados en produccin son los debidamente autorizados por el administrador. 5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilcitos o que se utilicen programas no autorizados para los procesos corrientes. 6. Cerciorarse que todos los datos son sometidos a validacin antes de ordenar su proceso correspondiente. Informe de auditora: deber orientarse a opinar sobre la validez de los controles, en este caso de software, para proteger los datos en su proceso de conversin en informacin. III. AUDITORIA CON EL COMPUTADOR Este enfoque va dirigido especialmente, al examen y evaluacin de los archivos de datos en medios magnticos, con el auxilio del computador y de software de auditora generalizado y /o a la medida. Este enfoque es relativamente completo para verificar la existencia, la integridad y la exactitud de los datos, en grandes volmenes de transacciones. La auditora con el computador es relativamente fcil de desarrollar porque los programas de auditora vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicacin. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informtica. Los paquetes de auditora permiten desarrollar operaciones y prueba, tales como: 1. Reclculos y verificacin de informacin, como por ejemplo, relaciones sobre nmina, montos de depreciacin y acumulacin de intereses, entre otros. 2. Demostracin grfica de datos seleccionados. 3. Seleccin de muestras estadsticas. 4. Preparacin de anlisis de cartera por antigedad. Informe de Auditora: Este informe deber versar sobre la confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la informacin contenida en los archivos maestros.

2.2. TIPOSDE AUDITORIA

Cuando se habla de auditora en trminos genricos, se tiende a su asociacin con la auditora financiera, principalmente por ser esta la de mayor difusin desde hace aos, por la mayora de empresas dedicadas a este tipo de servicios. Pero esta no es la nica existente, pudiendo distinguir otras muchas segn se atienda al criterio de clasificacin empleado. As pues, se procede a dar una clasificacin de los diferentes tipos de auditora siguiendo los tres criterios de clasificacin ms frecuentes: a) En funcin de sus objetivos fundamentales que se persiguen 8. o Auditora Financiera: La auditora financiera examina a los estados financieros y a travs de ellos las operaciones financieras realizadas por el ente contable, con la finalidad de emitir una opinin tcnica y profesional.

10

Auditora Organizativa: Consisten en un proceso de investigacin metdica que comprende el anlisis, diagnstico, propuestas de mejora y adecuacin de las estructuras orgnicas. Permiten verificar la concordancia del funcionamiento real de la estructura orgnica con las normas establecidas y su adecuacin a los objetivos fijados. o Auditora de Gestin: La auditora de gestin es aquella que se realiza para evaluar el grado de eficiencia y eficacia en el logro de los objetivos previstos por la organizacin y con los que se han manejado los recursos. o Auditora de Sistemas de Informacin: Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organizacin y utiliza eficientemente los recursos. b) Segn el personal que realice la auditora. Bsicamente una auditora puede ser realizada por personas que pertenecen a la organizacin objeto de auditora, como por otras ajenas a esta. Segn esta distincin se puede proceder a la siguiente reclasificacin de auditoras: I. Auditora Interna9: Es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma. Es un proceso cuya responsabilidad parte de la Alta Gerencia de las compaas, y se encuentra diseado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organizacin. Estos objetivos han sido clasificados en:  Establecimiento de estrategias para toda la empresa.  Efectividad y eficiencia de las operaciones.  Confiabilidad de la informacin financiera.  Cumplimientos con las leyes, reglamentos, normas y polticas. La funcin de auditora interna ha cambiado notablemente en los ltimos aos, pasando de una auditoria tradicional orientado a la proteccin de la empresa (activos) hacia una auditoria enfocada al control de los riesgos, a fin de aumentar el valor de la organizacin para los accionistas. Funciones de la auditora interna Tiene por objeto verificar los diferentes procedimientos y sistemas de control interno establecidos por una empresa, con objeto de conocer si funcionan como se haba previsto y al mismo tiempo ofrecer a la direccin posibles cambios o mejoras en los mismos. Es una pieza fundamental de control en grandes empresas y se estructura, dentro de las mismas, Como un departamento que funciona independientemente y depende directamente de la gerencia. Todas las empresas se preocupan de salvaguardar sus activos; esto significa que se debe estar verificando constantemente si el control interno es eficaz (si se cumplen los objetivos), de lo contrario se deben proponer mejoras para dicho control. Es un control cuyas funciones consisten en examinar y evaluar la adecuacin y eficiencia de otros controles. II. Auditora Externa: Es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto o

11

de emitir una opinin independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. Es desarrollada por auditores externos independientes, los cuales centran su trabajo principalmente en el anlisis de los estados financieros u otra situacin determinada que desee revisar la empresa que solicita este servicio, as como en la verificacin muy general de sus operaciones en un ejercicio determinado. Los objetivos generales de la auditora externa son los siguientes: Proporcionar a la direccin y a los propietarios de la empresa unos estados financieros certificados por una autoridad independiente e imparcial Proporcionar asesoramiento a la gerencia y a los responsables de las distintas reas de la empresa en materia de sistemas contables y financieros, procedimientos de organizacin y otras numerosas fases de la operatoria de una empresa Suministrar informacin objetiva que sirva de base a las entidades de informacin y clasificacin crediticia. Una de las caractersticas principales de los auditores externos es que realizan su trabajo con una actitud mental de integridad y objetividad, es decir, libre de todo prejuicio. c) Diferencia entre auditora interna y externa

3. REAS ESPECFICAS DE AUDITORIA

El departamento de Informtica de una empresa posee una actividad proyectada al exterior, al usuario, aunque el "exterior" siga siendo la misma empresa. He aqu, la Auditora Informtica de Usuario. Se hace esta distincin para contraponerla a la informtica interna, en donde se hace la informtica cotidiana y real. En consecuencia, existe una Auditora Informtica de Actividades Internas. El control del funcionamiento del departamento de informtica con el exterior, con el usuario se realiza por medio de la Direccin. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compaa. Una informtica eficiente y eficaz requiere el apoyo continuado de su Direccin frente al "exterior". Revisar estas interrelaciones constituye el objeto de la Auditora Informtica de Direccin. Estas tres auditoras, mas la auditora de Seguridad, son las cuatro Areas Generales de la Auditora Informtica ms importantes. Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica: de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas Especificas de la Auditora Informtica ms importantes. reas Especficas reas Generales

12

Interna Explotacin Desarrollo Sistemas Comunicaciones Seguridad

Direccin

Usuario

Seguridad

Cada rea Especfica puede ser auditada desde los siguientes criterios generales:  Desde su propio funcionamiento interno.  Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de cumplimiento de las directrices de sta.  Desde la perspectiva de los usuarios, destinatarios reales de la informtica.  Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama auditada. Estas combinaciones pueden ser ampliadas y reducidas segn las caractersticas de la empresa auditada.

3.1. AUDITORA INFORMTICA DE DESARROLLO DE PROYECTOS O APLICACIONES

La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones. A su vez, engloba muchas reas, tantas como sectores informatizables tiene la empresa. Muy resumidamente, una Aplicacin recorre las siguientes fases: o Pre-requisitos del Usuario y del entorno o Anlisis funcional o Diseo o Anlisis orgnico (Pre-programacin y Programacin) o Pruebas o Entrega a Explotacin y alta para el Proceso. Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la auditora deber comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros. Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de cuatro consideraciones: 1. Revisin de las metodologas utilizadas Se analizaran stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. 2. Control Interno de las Aplicaciones Se debern revisar las mismas fases que presuntamente han debido seguir el rea correspondiente de Desarrollo: o Estudio de Vialidad de la Aplicacin. [Importante para Aplicaciones largas, complejas y caras] o Definicin Lgica de la Aplicacin. [Se analizar que se han observado los postulados lgicos de actuacin, en funcin de la metodologa elegida y la finalidad que persigue el proyecto]

13

Desarrollo Tcnico de la Aplicacin. [Se verificar que ste es ordenado y correcto. Las herramientas tcnicas utilizadas en los diversos programas debern ser compatibles] o Diseo de Programas. [Debern poseer la mxima sencillez, modularidad y economa de recursos] o Mtodos de Pruebas. [Se realizarn de acuerdo a las Normas de la Instalacin. Se utilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos reales] o Documentacin. [Cumplir la Normativa establecida en la Instalacin, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotacin] o Equipo de Programacin. [Deben fijarse las tareas de anlisis puro, de programacin y las intermedias. En Aplicaciones complejas se produciran variaciones en la composicin del grupo, pero estos debern estar previstos]. 3. Satisfaccin de usuarios Una Aplicacin tcnicamente eficiente y bien desarrollada, deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. La aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin. 4. Control de Procesos y Ejecuciones de Programas Crticos El auditor no debe descartar la posibili-dad de que se est ejecutando un mdulo que no se corresponde con el programa fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones. Se ha de comprobar la correspondencia biunvoca y exclusiva entre el programa codificado y su compilacin. Si los programas fuente y los programa mdulo no coincidieran podrase provocar, desde errores de bulto que produciran graves y altos costes de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial-informativo, etc.
o

3.2. AUDITORA INFORMTICA DE EXPLOTACIN

La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo: listados impresos, ficheros soportados magnticamente para otros informticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. La explotacin informtica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotacin Informtica se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformacin se realiza por medio del Proceso informtico, el cual est gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario. Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. La Explotacin Informtica se divide en tres grandes reas: Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios grupos. a) Control de Entrada de Datos Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a Norma. b) Planificacin y Recepcin de Aplicaciones Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor nico. Debern realizarse muestreos selectivos de la Documentacin de las Aplicaciones explotadas. Se

14

inquirir sobre la anticipacin de contactos con Desarrollo para la planificacin a medio y largo plazo. c) Centro de Control y Seguimiento de Trabajos Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras que las Aplicaciones de Teleproceso estn permanentemente activas y la funcin de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotacin. En muchos Centros de Proceso de Datos, ste rgano recibe el nombre de Centro de Control de Batch. Este grupo determina el xito de la explotacin, en cuanto que es uno de los factores ms importantes en el mantenimiento de la produccin. o Batch y Tiempo Real: Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacin durante el da y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la informacin, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta informacin durante el da, pero todava no procesa nada. Es solamente un tema de "Data Entry" que recolecta informacin, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al da siguiente. o Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la informacin correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real. d) Operacin. Salas de Ordenadores Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios, as como la equidad en la asignacin de turnos de trabajo. Se verificar la existencia de un responsable de Sala en cada turno de trabajo. Se analizar el grado de automatizacin de comandos, se verificara la existencia y grado de uso de los Manuales de Operacin. Se analizar no solo la existencia de planes de formacin, sino el cumplimiento de los mismos y el tiempo transcurrido para cada Operador desde el ltimo Curso recibido. Se estudiarn los montajes diarios y por horas de cintas o cartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte del Sistema hasta el montaje real. Se verificarn las lneas de papel impresas diarias y por horas, as como la manipulacin de papel que comportan. e) Centro de Control de Red y Centro de Diagnosis El Centro de Control de Red suele ubicarse en el rea de produccin de Explotacin. Sus funciones se refieren exclusivamente al mbito de las Comunicaciones, estando muy relacionado con la organizacin de Software de Comunicaciones de Tcnicas de Sistemas. Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre ambos. Se verificar la existencia de un punto focal nico, desde el cual sean perceptibles todos las lneas asociadas al Sistema. El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averas o incidencias, tanto de Software como de Hardware. El Centro de Diagnosis est especialmente indicado para informticos grandes y con usuarios dispersos en un amplio territorio. Es uno de los elementos que ms contribuyen a configurar la imagen de la Informtica de la empresa. Debe ser auditada desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispone. No basta con

15

comprobar la eficiencia tcnica del Centro, es necesario analizarlo simultneamente en el mbito de Usuario.

3.3. AUDITORA INFORMTICA DE SISTEMAS

Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de Sistemas. a) Sistemas Operativos Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Bsico adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros variables de las Libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor. b) Software Bsico Es fundamental para el auditor conocer los productos de software bsico que han sido facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de comprobacin de que la computadora podra funcionar sin el producto adquirido por el cliente. En cuanto al Software desarrollado por el personal informtico de la empresa, el auditor debe verificar que ste no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en trminos de costes, por si hubiera alternativas ms econmicas. c) Software de Teleproceso (Tiempo Real) No se incluye en Software Bsico por su especialidad e importancia. Las consideraciones anteriores son vlidas para ste tambin. d) Tunning Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de Tcnica de Sistemas. El tunning posee una naturaleza ms revisora, establecindose previamente planes y programas de actuacin segn los sntomas observados. Se pueden realizar: y Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema y De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y estn planificados y organizados de antemano. e) Optimizacin de los Sistemas y Subsistemas Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como consecuencia de la realizacin de tunnings preprogramados o especficos. El auditor verificar que las acciones de optimizacin fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crtico de produccin diaria de Explotacin. f) Administracin de Base de Datos

16

El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y usuarios de la empresa. Al conocer el diseo y arquitectura de stas por parte de Sistemas, se les encomienda tambin su administracin. Los auditores de Sistemas han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica general de los usuarios de Bases de Datos. La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos debera asegurarse que Explotacin conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizar los Sistemas de salvaguarda existentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los datos, as como la ausencia de redundancias entre ellos. g) Investigacin y Desarrollo Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus propios efectivos estn desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su uso interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo competencia a las Compaas del ramo. La auditora informtica deber cuidar de que la actividad de Investigacin y Desarrollo no interfiera ni dificulte las tareas fundamentales internas.

3.4. AUDITORA INFORMTICA DE COMUNICACIONES Y REDES

Para el informtico y para el auditor informtico, el entramado conceptual que constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte fsico-lgico del Tiempo Real. El auditor tropieza con la dificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la participacin del monopolio telefnico que presta el soporte. Como en otros casos, la auditora de este sector requiere un equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseadas y cableadas con recursos propios). El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacin de esta documentacin significara una grave debilidad. La inexistencia de datos sobre la cuantas lneas existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad Informtica. Sin embargo, las debilidades ms frecuentes o importantes se encuentran en las disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organizacin

3.5. AUDITORA DE LA SEGURIDAD INFORMTICA

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad

17

computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos. La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. o Seguridad Fsica La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. o Seguridad Lgica La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. y Seguridad Operativa / Funcional. y Seguridad Tcnica. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tena o no tena permiso, si no tena permiso porque fall, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicacin lo puede graficar, tirar en nmeros, puede hacer reportes, etc. La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Matriz de riesgo Impacto Factor de Amenaza Error Destruccin de Hardware Borrado de Informacin 3 Incendio Sabotaje 1 1 .. 1: Improbable 2: Probable 3: Certeza -: Despreciable

3.6. AUDITORA DE CONTINUIDAD DE NEGOCIO.

 Existencia de un Plan de Continuidad de Negocios:

18

o Servicios crticos o Organizacin y Procedimientos  Pruebas de los Planes de Contingencia: o Sistema de recuperacin o Infraestructura alternativa o Atencin de servicios o Retorno a la Normalidad

4. Ejemplos de Programas de trabajo y Pruebas de auditoria

4.1. PROGRAMA DE TRABAJO
Es planear las actividades que se van a realizar permite obtener muy buenos resultados en el trabajo y aumentan las probabilidades de que un trabajador cumpla correctamente con sus tareas. y Un programa de trabajo es muy til para los puestos administrativos y tcnicos especializados o para quienes tienen responsabilidades altas. y Un programa de trabajo permite ponerse de acuerdo con el trabajador acerca de lo que se espera de l y vigilar su desempeo de manera permanente. Usualmente un programa de trabajo tiene los siguientes elementos: a) Objetivos: Es decir un enunciado acerca de lo que queremos lograr. b) Metas: El enunciado en que se seala con exactitud Lo que queremos realizar sobre todo en trminos numricos. c) Actividades: Es una lista de las reas que se tienen que realizar para cumplir con los objetivos y las metas. d) El cronograma: Se trata de un calendario en que se indica cuando se van a cumplir las metas. (Gido y Clements, 1999) a) NORMAS PARA LA ELABORACIN DE CUALQUIER PROGRAMA DE TRABAJO Un Programa debe constar de las siguientes partes: 1. INTRODUCCIN Aqu se describe el Programa, situndolo en el contexto de la Red Asistencial. Adems se har constar, por ejemplo, que: o Est dirigido a las Consultas de Enfermera en los Centros de Salud. o Es una herramienta de apoyo a los Centros de Salud. o Es un instrumento para la coordinacin. 2. JUSTIFICACIN Aqu se harn constar los antecedentes histricos. 3. PROPSITO Aqu se introduce el marco conceptual y elementos tales como: o Perfil del paciente que deber atenderse en la Consulta de Enfermera. o Sealar las incapacidades de ste para el autocuidado. o Justificar la intervencin enfermera desde la comunidad y por su cercana al paciente. o Plantear la necesidad de coordinacin entre las enfermeras de Centro de Salud y las del Servicio de Salud Mental. 4. OBJETIVOS Se expondrn los objetivos generales y especficos que se pretenden con este Programa. 5. METODOLOGA

19

Se indicar qu se tiene que hacer, cundo, cmo, con qu medios materiales y humanos; tcnicas a emplear, protocolizacin, etc. 6. EVALUACIN Se debern indicar qu criterios se establecen para la evaluacin del Programa. b) ELABORACIN DE UN PROGRAMA DE TRABAJO Un programa de trabajo usualmente incluye los siguientes apartados: 1. Portada: Incluye el nombre de la organizacin, el rea de la que se realizar el programa de trabajo o el nombre del proyecto para el cual se realiza este documento, el nombre del documento, un logo de la empresa y la fecha de realizacin. 2. Responsable: En ocasiones se incluye el nombre de la persona o departamento responsable.de ejecutar el programa. 3. Presentacin: En un breve prrafo se describe el contenido del documento. 4. ndice: Se indica el contenido y la pgina en el que localiza. 5. Antecedentes: En esta seccin se deber incluir una breve descripcin de la organizacin y del rea o puesto en la que se ejecutar el programa; una descripcin de la problemtica, los objetivos o la razn de ser del rea actual de existente que justifique el programa presentado y una explicacin general del programa. 6. Propsitos: Es un enunciado general de lo que se pretende lograr, indicando la intencin que tuvieron quienes elaboraron el documento. 7. Objetivos: Es un enunciado en el que de manera especfica se anota lo que se pretende lograr al ejecutar el programa. 8. Beneficiarios: En este apartado se anota quienes sern las personas a las que est dirigido el programa. 9. Polticas: En este punto se incluyen las reglas generales que guiaran las acciones a realizar. 10. Metas: Es un enunciado en que se establece en trminos cuantitativos lo que se pretende lograr con el programa. 11. Actividades: Aqu se detallan las tareas que se tienen que desarrollar para alcanzar las metas propuestas. 12. Cronograma: Aqu se incluyen los plazos o calendario de actividades. 13. Productos: Describir cuales sern los resultado de la actividad ya sea que se refieran resultados materiales o a servicios prestados. 14. Criterios de operacin: En este apartado se incluyen los mtodos y tcnicas a utilizar para lograr los objetivos. 15. Recursos: Se incluyen los recursos humanos, materiales, tcnicos, financieros necesarios para desarrollar el programa, adems de un clculo de los costos de ejecucin o elaboracin del presupuesto. 16. Administracin del programa: Es el apartado en donde se indica el organigrama del personal que laborar, los mecanismo de control, los sistemas de evaluacin interna y el seguimiento, los canales de informacin. 17. Indicadores de evaluacin: En esta seccin se indican los criterios que se utilizaran para determinar si se lograron los objetivos.

4.2. Ejemplos de PROGRAMA DE TRABAJO

a) Ejemplo 1: Programa de Trabajo para prestadores de Servicio

20

Social en Centros de Salud. Enero del 2010. Elabor: Jorge Everardo Aguilar Morales Jaime Ernesto Vargas Mendoza PRESENTACIN Con el objetivo de normar y regular las actividades que realizan los prestadores de servicios sociales en un centro de salud, se ha elaborado el siguiente programa de trabajo. Aqu se presentan los objetivos, metas, actividades, etc. CONTENIDO - Antecedentes - Propsitos - Objetivos - Beneficiarios - Polticas - Metas - Actividades - Cronograma - Recursos - Criterios de evaluacin - Criterios de operacin - Productos - Administracin del programa - Bibliografa ANTECEDENTES: La Psicologa la ciencia que estudia el comportamiento, tiene como objetivos principales la intervencin para la solucin de problemas, educativos, de salud, de organizacin, social, entre otros, para lo cual ha desarrollado diversos modelos de intervencin. Hace algunos aos el modelo principal era de despacho, es decir el profesional espera en una clnica a que el paciente llegar a solicitar su servicios, sin embargo desde hace ya algunos aos, la intervencin se realiza sobre todo en el mbito comunitario y con una intervencin preventiva ms que restaurativa. En este sentido las intervenciones comunitarias se han propuesto como objetivo: 1. Promover la competencia individual 2. Desarrollar comunidades y organizaciones competentes Estos dos objetivos se buscan sobre todo atendiendo tres dimensiones bsicas. o Dimensin ecolgica: En la cual destaca la importancia del diseo ambiental, del diseo de escenarios y programas del escenario y del clima social para la presencia de comportamientos saludables. o Dimensin de participacin: En la que se destaca la importancia de la participacin de la gente en el desarrollo de hbitos de autocuidado, en la toma de decisiones en instituciones, programas y contextos que les afecte. o Dimensin de la prevencin y promocin de la salud: En donde se hace nfasis en la evitacin anticipada de comportamientos que determinen problemas de salud y instauracin en la historia personal de la gente, de las organizaciones y de las comunidades comportamientos que favorezcan el desarrollo de las comunidades comportamientos que favorezcan la salud y el desarrollo de una cultura de la salud.

21

En nuestro estado los Servicios de Salud del Estado de Oaxaca son la institucin responsable de promover la salud a toda la poblacin, para lo cual ha desarrollado un paquete bsico de servicios, sin embargo la salud mental ha sido descuidado en este programa integral. De hecho aun no existe un programa de salud mental y mucho menos de las actividades que deba realizar el pasante de la licenciatura en Psicologa al realizar su servicio social. PROPSITO: Contribuir a la preservacin, restauracin y conservacin de la salud mental de los usuarios de los Servicios de salud del centro. OBJETIVOS: 1. Prevenir problemas de salud mental en la poblacin en general desarrollando programas de educacin para la salud dirigidos a 4 reas: - Salud materno-infantil - Salud Escolar - Salud del Adulto y del Anciano - Salud Ambiental. BENEFICIARIOS: Usuarios de los servicios de salud que ofrece el centro. POLTICAS: Se desarrollarn sobre todo acciones preventivas ms que de rehabilitacin. Se uniformarn criterios diagnsticos de acuerdo a la CIE-10. Se utilizar como recurso teraputico esencial la terapia de mltiple impacto (asociado o no a Frmacos) que consiste en el empleo de las diversas tcnicas teraputicas existentes en el anlisis y modificacin conductual, as como en la aplicacin de terapias ocupacionales, recreativas culturales y capacitacin para el trabajo. Se procurar el domino de la atencin del grupo sobre la individual Se involucrar en el proceso de rehabilitacin a la familia, mediante educacin para la salud y de ser necesario a travs de la terapia familiar. Las actividades se realizarn con estricto apego a las normas existentes en materia de salud mental. RECURSOS: - Fsicos - 1 consultorio equipado con escritorio y sillas - 1 Aula - Materiales - 1 Equipo de cmputo - Tcnicos - Prueba psicomtricas para evaluar: - Desarrollo de Nios - Inteligencia en nios - Inteligencia en Adultos - Personalidad en nios - Personalidad en Adultos - Otras escalas clnicas: Depresin, estrs, etc. b) Ejemplo 2: HOSPITAL DE SAN JUAN DE LURIGANCHO UNIDAD DE DOCENCIA E INVESTIGACION

22

PROGRAMA DE TRABAJO PARA DIAGNSTICO DE CONTROL INTERNO 2010 Dr. PEDRO P. SILVA MARTEL INTRODUCCIN La Contralora General de la Repblica, de conformidad con lo preceptuado en la Ley Orgnica del Sistema Nacional de Control y de la Contralora General de la Repblica. -Ley N 27785, tiene como objeto propender al apropiado y oportuno ejercicio del control gubernamental, para prevenir y verificar la correcta utilizacin y gestin de los recursos del Estado, el desarrollo probo de las funciones de los funcionarios pblicos, as como el cumplimiento de las metas de las instituciones sujetas a control, disponiendo asimismo, que el control gubernamental es interno y externo y su desarrollo constituye un proceso integral y permanente, siendo que el control interno comprende las acciones de cautela previa, simultnea y de verificacin posterior que realiza la entidad sujeta a control, con la finalidad que la gestin de sus recursos, bienes y operaciones se efecte correcta y eficientemente La Ley de Control Interno de las Entidades del Estado -Ley N 28716 que atribuy a la Contralora General de la Repblica dictar la normativa tcnica de control que oriente la efectiva implantacin y funcionamiento del control interno en las entidades del Estado, as como su respectiva evaluacin, este Organismo Superior de Control aprob, mediante Resolucin de Contralora N 320-2006-CG, las Normas de Control Interno, las cuales fueron elaboradas en armona con los conceptos y enfoques modernos esbozados por las principales organizaciones mundiales especializadas sobre la materia, con aportes de instituciones y de personas vinculadas al tema como resultado de su pre publicacin en la pgina web institucional, y con una estructura basada en los componentes de control reconocidos internacionalmente. ACTA DE COMPROMISO PARA LA IMPLEMENTACIN DEL CONTROL INTERNO LUGAR Y FECHA: San Juan de Lurigancho, 18 de Mayo del 2009. ASUNTO: Acta de compromiso de la Alta Direccin para la Implementacin del Control Interno. En mi calidad de Director del Hospital San Juan de Lurigancho, junto a los integrantes del comit de gestin conformado por los jefes de Unidades y Servicios asistenciales del Hospital San Juan de Lurigancho, expresamos nuestro compromiso de implementar, mantener y perfeccionar el sistema de control interno del Hospital San Juan de Lurigancho, de acuerdo a lo estipulado en el artculo6 de la Ley N 28716 Ley de Control Interno de las Entidades del Estado y a lo sealado en las Normas de Control Interno para las Entidades del Estado. Para dicho fin, nos comprometemos a conformar un comit especial denominado Comit de Control Interno del Hospital San Juan de Lurigancho , el cual tendr a su cargo la implementacin del sistema de control de la entidad. Este comit ser dotado de los recursos humanos y materiales que requiera para la adecuada ejecucin de sus labores. Asimismo, expresamos nuestro compromiso con el diseo, implementacin, seguimiento y evaluacin del sistema de control interno que se adopte para la entidad y convoca a todos los servidores pblicos aponer en marcha los procedimientos que sean necesarios para un adecuado establecimiento de control interno que permita el cumplimiento de la misin y los objetivos de la entidad. Firman en seal de conformidad en la ciudad de San Juan de Lurigancho, a los 18 das del mes de Mayo del 2009.

23

1. OBJETIVOS: La presente gua tiene como objetivo principal proveer de lineamientos, herramientas y mtodos a las entidades del Estado para la implementacin de los componentes que conforman el Sistema de Control Interno (SCI) establecido en las Normas de Control Interno (NCI). Adicionalmente, tambin se pueden sealar los siguientes objetivos:

o Servir de referencia para la implementacin o adecuacin del SCI, en el marco de las NCI o Promover la aplicacin de una estructura de control interno uniforme que se adapte a cada entidad. o Exponer con mayor amplitud los conceptos utilizados en las NCI.
2. FINALIDAD: La Ley N 27785, Ley Orgnica del Sistema Nacional de Control y de la Contralora General de la Repblica, vigente a partir del 24.JUL.2002, proporciona el marco normativo general que regula el control gubernamental, estableciendo las normas para el mbito, organizacin y atribuciones del Sistema Nacional de Control (SNC) y de la Contralora General de la Repblica (CGR). El artculo 6 establece que el control gubernamental consiste en la supervisin, vigilancia y verificacin de los actos y resultados de la gestin pblica, en atencin al grado de eficiencia, eficacia, transparencia y economa en el uso y destino de los recursos y bienes del Estado, as como del cumplimiento de las normas legales y de los lineamientos de poltica y planes de accin, evaluando los sistemas de administracin, gerencia y control, con fines de su mejoramiento a travs de la adopcin de acciones preventivas y correctivas pertinentes. Asimismo, dicha norma precisa que el control gubernamental es interno y externo y su desarrollo constituye un proceso integral y permanente De igual manera, en respuesta a los requerimientos y necesidades del sector pblico, se prioriza la participacin activa de la administracin en el control institucional. En este sentido el artculo 7 seala: el control interno comprende las acciones de cautela previa, simultnea y de verificacin posterior que realiza la entidad sujeta a control, con la finalidad que la gestin de sus recursos, bienes y operaciones se efecte correcta. 3. MBITO DE APLICACIN El Sistema de Control Interno de las entidades del Estado podr ser utilizado por los funcionarios y servidores pblicos de las entidades comprendidas en el mbito de competencia del SNC, bajo la supervisin de los titulares, personal directivo, jefes responsables de la administracin gubernamental o de quienes hagan sus veces. La presente Gua ofrece una estructura y metodologa enunciativa mas no limitativa, que sirve de marco de referencia para que las entidades desarrollen la implementacin de su SCI de manera homognea en lo general y de acuerdo con su

24

naturaleza, cultura organizacional, complejidad operativa, atribuciones, circunstancias, presupuesto, infraestructura, entorno normativo y nivel de automatizacin que le corresponde a cada entidad pblica en lo particular. Por lo tanto, para implementar el SCI, las entidades desarrollarn etapas de acuerdo con su funcionamiento y dentro de los plazos que establezca la CGR. Para dicho fin se empezar con la sensibilizacin del personal en el tema de Control Interno, para pasar luego al desarrollo de un diagnstico que permita determinar las brechas existentes que conduzcan al establecimiento Finalmente, debe destacarse que el contenido de la Gua no interfiere ni se contrapone con las disposiciones establecidas en la legislacin actual ni limita la normativa dictada por las entidades competentes con respecto a los sistemas administrativos del Estado, sino que complementa al adecuado establecimiento e implementacin del SCI en la organizacin. 4. BASE LEGAL Y DOCUMENTAL La presente Gua tiene como base legal y documental la siguiente normativa y documentos internacionales: o Ley N 28716, Ley de Control Interno de las entidades del Estado, o Resolucin de Contralora N 114-2003-CG Reglamento de los rganos de Control Institucional . o Ley N 27785, Ley Orgnica del Sistema Nacional de Control y de la Contralora General de la Repblica, o Resolucin de Contralora N 320-2006-CG, Normas de Control Interno para las entidades del Estado o Gua para las normas de control interno del sector pblico, INTOSAI, 1994 o Internal Control Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission, 1990 Para el proceso de implementacin del SCI la gua considera tres fases: o La primera fase es la Planificacin, la cual tiene como objetivo la formulacin de un Plan de Trabajo que incluya los procedimientos orientados a implementar adecuadamente el SCI, en base a un diagnstico previamente elaborado. Son aspectos inherentes a esta fase asegurar el compromiso de la Alta Direccin y la conformacin de un comit de Control Interno. o La segunda fase es la Ejecucin, en la que se implantar el SCI en sus procesos, actividades, recursos, operaciones y actos institucionales, para lo cual la entidad procede al desarrollo del Plan de Trabajo para la implantacin del SCI. o La tercera fase es la Evaluacin, en la que se evalan los avances logrados y las limitaciones encontradas en el proceso de implementacin como parte de la autoevaluacin mencionada en el componente de Supervisin. 5. DIAGNSTICO El Diagnstico se presenta como un medio de anlisis para determinar el estado situacional actual del SCI, con respecto a lo establecido por las NCI aprobadas por la CGR. En este sentido, la informacin obtenida constituye el insumo principal para la implementacin de la SCI. Habindose establecido los compromisos de la Alta Direccin para el proceso de implementacin del SCI, el Comit de Control Interno tendr a su cargo la realizacin de un Diagnstico que, mediante la recopilacin, estudio y anlisis del sistema de

25

control interno existente en la entidad, permitir tomar conocimiento de su situacin actual y de su grado de desarrollo. El Diagnstico que constituye una etapa previa al proceso de implementacin del SCI en todos los niveles de la organizacin, debe ser realizado bajo el enfoque conocido como top down (descendente, de lo general hacia lo particular), esto quiere decir que se empieza con un diagnstico de los controles que estn a un nivel general de la entidad, para luego pasar de manera progresiva a los controles que estn a nivel de procesos o actividades. Los resultados del Diagnstico deben permitir a la entidad conocer las acciones necesarias a seguir para dar inicio a la etapa de implementacin del SCI. Para ello, como parte del diagnstico, se deber evaluar, entre otros aspectos: (a) el nivel de desarrollo.

6. CRONOGRAMA:

4.3. PRUEBAS DE AUDITORIA

Se describe brevemente (procedimientos a emplear), tipo de la prueba, tcnicas a utilizar, recursos requeridos en cuanto a informacin, hardware, software y personal. Las Principales pruebas y herramientas para efectuar una auditora de sistemas Son: y Pruebas clsicas: Consiste en probar las aplicaciones o sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realizacin de estas pruebas. Pruebas sustantivas: Aportan al auditor informtico suficientes evidencias para que se pueda realizar un juicio imparcial. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y

26

conciliaciones. Verifica asimismo la exactitud, integridad y validez de la informacin obtenida.

Busca conocer la forma en que esta implementado el control, en caso de que este exista. y Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (segn la documentacin, segn declaran los auditados y segn las polticas y procedimientos de la organizacin).

c)

Tcnicas comnmente usadas para el Diseo y Ejecucin de Pruebas de Auditora - Observacin - Indagacin - Conciliacin (cruce de informacin con persona o documentos) - Inspeccin - Investigacin analtica: Evaluar tendencias - Confirmacin - TAAC'S: Tcnicas de Auditoria Asistidas por Computador.

4.4. Ejemplos de PRUEBAS DE AUDITORIA

a) Ejemplo 1:

27

b) Ejemplo 2: REVISTA IBEROAMERICANA DE DERECHO PROCESAL GARANTISTA 2008 LA PRUEBA PRECONSTITUIDA EN LA AUDITORA GUBERNAMENTAL Por: Ronald Atencio Sotomayor Roco Atencio Sotomayor Sumario: 1. INTRODUCCIN AL PROBLEMA 1.1. LA INVESTIGACIN PRELIMINAR 1.2. LA PRUEBA PRECONSTITUIDALA 1.3. PRUEBA PRECONSTITUIDA Y SU IMPORTANCIA 1.4. REQUISITOS PARA SER CONSIDERADA COMO PRUEBA PRECONSTITUIDA 1.5. EL NUEVO CDIGO PROCESAL PENAL Y LA PRUEBA PRECONSTITUIDA 2. LA PRUEBA PRECONSTITUIDA EN LAS ACCIONES DE CONTROL 2.1. LA AUDITORA 2.2. OBJETIVO DE LA AUDITORA 2.3. TIPOS DE AUDITORA 2.4. EL INFORME DE AUDITORA 2.5. CONTENIDO DEL INFORME 2.6. TIPOS DE INFORME 3. VALOR DE LA PRUEBA PRECONSTITUIDA EN EL PROCESO PENAL. 4. CONCLUSIONES 5. BIBLIOGRAFA INTRODUCCIN AL PROBLEMA La Contralora General de la Repblica es un organismo autnomo, tal como lo seala el artculo 82 de nuestra carta poltica, la que a la letra dice: La Contralora General de la

28

Repblica es una entidad descentralizada de Derecho Pblico que goza de autonoma conforme a su ley orgnica. 1. LA INVESTIGACIN PRELIMINAR El Proceso Penal segn el artculo 1 del Cdigo de Procedimientos Penales, tiene dos etapas: la instruccin o perodo investigatorio y el juicio. Para la doctrina tiene cinco: instruccin o investigacin, intermedia, juzgamiento, impugnatoria y ejecucin. 1.1. LA PRUEBA PRECONSTITUIDA La prueba preconstituida es aquella que se formaliza con anterioridad a un proceso judicial y con vista al mismo. Se aprecia, en resumen, que la prueba pre constituida identifica tanto al recojo de elementos materiales, relacionados a la comisin de un ilcito como a las diligencias actuadas 1.2. LA PRUEBA PRECONSTITUIDA Y SU IMPORTANCIA Lo ms importante de la prueba pre constituida es conservar los efectos del delito. Como las armas, instrumentos o efectos que puedan tener relacin directa o indirecta con la presunta comisin de un delito; adems de evidenciar la posible comisin de un delito. La Ley N 27934 establece una serie de diligencias que estn destinadas a conservar todos aquellos elementos que permitan demostrar la forma, el cmo se desarroll el delito e incluso quienes y cuntos pudieron participar en el hecho. 2. LA PRUEBA PRECONSTITUIDA EN LA AUDITORIA GUBERNAMENTAL En este prrafo veremos cmo se da la Prueba Preconstituida en la Auditoria Gubernamental, para lo cual describiremos algunos conceptos relacionados a este tema: 2.1. LA AUDITORA Es el examen objetivo sistemtico y profesional de las operaciones financieras y/o administrativas, efectuado con posterioridad a su ejecucin, en las entidades sujetas al sistema de control, elaborando el correspondiente Informe. 2.2. OBJETIVO DE LA AUDITORA a) Evaluar la correcta utilizacin de los recursos pblicos. b) Determinar la razonabilidad de la informacin financiara. c) Determinar el grado en el que se han alcanzado los objetivos previstos. d) Recomendar medidas para promover mejoras en la gestin pblica. e) Fortalecer el sistema de control interno. 2.3. TIPOS DE AUDITORA Segn el Manual de Auditoria Gubernamental MAGU. La Auditora Gubernamental est definida por sus objetivos y se clasifican en: a) AUDITORIA FINANCIERA b) AUDITORIA DE GESTION c) EXAMEN ESPECIAL AUDITORIA FINANCIERA: Es el examen y evaluacin de los documentos, operaciones, registros y Estados Financieros de la entidad. AUDITORIA DE GESTIN: es el examen y evaluacin, que se realiza a una entidad para establecer el grado de Economa, Eficiencia y Eficacia en la planificacin, control y uso de los recursos y comprobar la observancia de las disposiciones pertinentes. EXMENES ESPECIALES: Consisten en la verificacin de asuntos y temas especficos, de una parte de las operaciones financieras o administrativas, de determinados hechos o situaciones especiales y responde a una necesidad especfica.

29

2.4. EL INFORME DE AUDITORA Como producto final del trabajo de campo, la Comisin Auditora proceder a la elaboracin del informe correspondiente, considerando las caractersticas y estructura sealadas en las Normas de Auditora Gubernamental. El informe es el documento escrito mediante el cual la Comisin de Auditora expone el resultado final de su trabajo, a travs de juicios fundamentados en las evidencias obtenidas durante la fase de ejecucin. 2.5. CONTENIDO DEL INFORME El informe expondr ordenada y apropiadamente los resultados de la accin de control, sealando que se realiz de acuerdo a las Normas de Auditora Gubernamental y mostrando los beneficios que reportar a la entidad. 3. VALOR DE LA PRUEBA PRECONSTITUIDA EN EL PROCESO PENAL. Ahora toca establecer si la prueba pre constituida tiene o no valor y en qu momento alcanza tal situacin. 4. CONCLUSIONES a) La Ley N 27785.- Ley Orgnica del Sistema Nacional de Control y de la Contralora General de la Repblica, en su artculo 15 no distingue cul de los tipos de Informes tiene la calidad de prueba pre-constituida. Por la propia naturaleza de los tipos de Informe (ver supra) no todos pueden tener tal calidad. b) Despus de haber realizado y analizado el marco terico, establecemos que no todos los Informes tienen la calidad de prueba pre constituido. c) El Informe Especial es emitido cuando se realiza cualquiera de los tipos de autora (ver supra), siempre y cuando se encuentra indicios razonables de la comisin de un delito. d) Anexos que obra en un Informe Especial muchos de ellos (no todos) son realizados en el lugar de los hechos y el pedir ayuda o presencia de la Polica y/o del representante del Ministerio Pblico, pude conllevar a la desaparicin de evidencias de la comisin de un delito y la identificacin de los autores del mismo. Es as que su actuacin es urgente y necesaria. c) Ejemplo 3: Telfonos: es un servicio de los departamentos para uso general del personal, el cual solo ser utilizado para operaciones exclusivas de la empresa y las necesidades de la misma. Pruebas sustantivas para Telfonos 1. Quien es el encargado de telfonos. 2. Si son mviles, que estos sean de uso exclusivo para la empresa. 3. Que la cantidad de nmeros sea la misma con la cantidad de telfonos. 4. Que haya registro de las personas con mvil y que estas cuenten con l. 5. Contar con recibo de cada factura pagada. 6. Copia del contrato sellado y firmado. 7. Copia o comprobante del servicio (plan) contratado. 8. Tener registro de los recibos de pago. 9. Tener un registro de las llamadas (entrantes y salientes). 10. Que exista comprobante de cambios en el servicio (plan). 11. Tener historial de entregado de los telfonos o mviles (firmas). 12. Contar con copia de servicio de garanta. 13. Registro de llamadas internacionales o nacionales y su duracin.

30

d)

14. Tener evidencia fsica del telfono mvil, y su estado. 15. Contar con un diario, en el que se registre la revisin de los telfonos en general en el periodo establecido. 16. Si se hicieron renovaciones o reemplazos, tener el documento que lo demuestre. 17. En caso de ser radio, comprobante que valide el servicio de radio. 18. Llevar un registro contable de los pagos. 19. Y que esto registros contables coincidan con los recibos de pago. 20. Tener documentos de situaciones extraordinarias, (extravi/robo, reemplazo o garanta). 21. Que los departamentos cuenten con los telfonos asignados y se firmen como recibidos y funcionando. 22. Tener copias de los planes adicionales o extras al plan original. 23. Se tenga existencia de un registro contable mensual. 24. Documento que de valides a los registros contables (revisar que estn correctos) 25. En los registros contables tener las cantidades financieras, del uso de cada departamento o personal con mvil, y que estn registrados de manera ordenada l les estados financieros. Ejemplo 4: Pruebas Sustantivas Y De Cumplimiento Efectivo en Caja y Bancos PRUEBAS DE CUMPLIMIENTO: Estas buscan obtener evidencia sobre los procedimientos de control interno, en los que el auditor encontrara confianza sobre el sistema para determinar si estn siendo aplicados en la forma establecida. El auditor buscar asegurarse de la existencia del control, de la efectividad con la que se desempea dicho control y de determinar si los controles han sido aplicados continuamente durante todo el periodo. Tipo de Transaccin: Verificar la entrada del efectivo: a) El objetivo es determinar si los controles establecidos operan segn lo planeado y observar la existencia y empleo responsable de equipos utilizados en el proceso de recibo de efectivo. b) Observacin de las labores realizadas por los encargados tanto de caja general y las cajas menores, para determinar si cumple con los procedimientos de recibo de efectivo y que su manejo sea acorde con el manejo de polticas de la empresa preestablecidas con anterioridad. c) Realizacin de entrevistas con el personal de la Compaa para determinar si concuerdan los procedimientos por ellos descritos en cuanto al efectivo con los determinados en los manuales de funciones y planes de control interno. d) Repeticin de los procedimientos de control interno con el fin de determinar si el proceso de manejo de efectivo pas por los controles respectivos que permitan total veracidad y responsabilidad del encargado de manejar las cajas generales y menor. e) Confirmar el porte de carns para los visitantes con el fin de evitar confusiones al interior de la organizacin.

31

f) g)

h)

i)

j) k) l) m) n) o)

p) q) r)

Observar que realmente haya separacin de funciones entre quien autoriza el pago de una cuenta y el cajero. Examinar la existencia de documentos que soporten los arqueos diarios de efectivo como un medio de control de las entradas y salidas de este, determinando cumplimiento de normas preestablecidas para su manejo. Observar los requisitos de ingresos de personal a las dependencias de tesorera para determinar si se necesitan controles adicionales para dar mayor seguridad al manejo de caja general, o el acceso directo a las oficinas de las personas que manejan cajas menores. Verificacin de la elaboracin de ajustes a las cuentas de bancos cuando se han recibido las respectivas conciliaciones controlando de esta manera los saldos de las diferentes cuentas. Verificar la existencia y aplicacin de una poltica de manejo de disponible. Determinar la eficiencia de la poltica de disponible de la compaa. Verificar que los soportes de las cuentas registradas como disponible, se encuentren en orden y de acuerdo a las disposiciones legales. Observar si los abonos en cuenta del disponible se registran adecuadamente. Revisar que exista un completo anlisis del manejo de disponible para identificar fallas y aplicar las correcciones necesarias Revisar si la informacin acerca de los disponible de la compaa, debidamente actualizada se hace llegar oportunamente a la administracin y a los encargados dentro de la compaa. Verificar la existencia de un manual de funciones del personal encargado de las cuentas de disponible. Al igual que el conocimiento y cumplimiento de este por parte de los empleados. Se debe mantener en un lugar seguro, preferiblemente por medios mecnicos, como cajas de seguridad, documentos importantes como talonarios de cheques, ttulos valores, tarjetas con las firmas autorizadas para expedir cheques, claves de seguridad, etc.

5.

ESTNDARESINTERNACIONALES DE AUDITORA

La funcin de auditora contina proporcionando servicios de aseguramiento tanto a clientes internos como externos. Dado que la tecnologa impacta la forma de hacer negocios, debe haber formas efectivas y sencillas para llevar a cabo la evaluacin de los controles que deben existir para garantizar dicho servicio. Bajo la premisa anterior, existe un gran inters en el medio por identificar los estndares internacionales que son utilizados comnmente por empresas tanto pblicas como privadas. Las dos preguntas ms comunes que habra que resolver, Cmo podran asegurar las organizaciones, que construyen proyectos de tecnologa de informacin, cubriendo adecuadamente las necesidades del cliente, en forma eficiente y oportuna y dentro del presupuesto contemplado? y Cules son los estndares que ofrece la industria? Existen una serie de estndares, entre los ms importantes se pueden mencionar: o Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):

32

Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prcticas de auditora y control de sistemas de informacin. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnologa de informacin y establezca el enlace entre los procesos de administracin, aspectos tcnicos, la necesidad de controles y los riesgos asociados. o The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA): Este modelo est basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles estn clasificados con base en siete grupos: administracin general, gerentes de sistemas, dueos, agentes, usuarios de sistemas de informacin, as como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Adems, hace distincin entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en trminos de objetivos, estndares y tcnicas mnimas a considerar. o SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el CICA: Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de informacin es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado). o Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniera de Software (SEI): Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organizacin, con respecto al desarrollo y mantenimiento de sistemas de informacin. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluacin recomendados por COBIT, as como para algunos de los procesos de administracin de COBIT.

5.1. METODOLOGASDE AUDITORAS DE INFORMACIN (2)

En materia de auditora de sistemas de informacin existen varias metodologas desde el enfoque de control a nivel internacional. Algunas de las ms importantes son: o COSO o COBIT o SAC (IIA) o SAS 55 y SAS 78 (AICPA) A continuacin, veremos a 2 de las metodologas ms usadas: COSO y COBIT

33

a) Informe Coso (3) (Committee of Sponsoring Organizations) El Informe COSO es un documento que contiene las principales directivas para la implantacin, gestin y control de un sistema de Control Interno. Debido a la gran aceptacin de la que ha gozado, desde su publicacin en 1992, el Informe COSO se ha convertido en el estndar de referencia en todo lo que concierne al Control Interno. El principal objetivo del Control Interno es garantizar que la empresa alcance sus objetivos. En este sentido, el Control Interno (CI) puede actuar de 2 distintas maneras: 1. Evitar que se produzcan desviaciones con respecto a los objetivos establecidos; 2. Detectar, en un plazo mnimo, estas desviaciones. En ambos casos, no hay que caer en el error de pensar que el Control Interno ofrezca garantas absolutas de que se eviten o detecten estas desviaciones. Es importante comprender que el objetivo de todo sistema de Control Interno es ofrecer una seguridad razonable de que la empresa alcanzar sus objetivos. El Informe COSO consta de 2 partes: 1. Un Resumen para la Direccin: Introduce los principales conceptos. 2. El Marco integrado de Referencia: Se analizan en detalle los 5 pilares del Control Interno: Entorno de Control, Evaluacin de los Riesgos, Actividades de Control, Informacin y Comunicacin, Supervisin. Entorno de control: El ambiente de control o entorno de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este ltimo imperan sobre las conductas y los procedimientos organizacionales. Evaluacin De Riesgos: El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A travs de la investigacin y anlisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evala la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento prctico de la entidad y sus componentes de manera de identificar los puntos dbiles, enfocando los riesgos tanto al nivel de la organizacin como de la actividad. Actividades De Control: Estn constituidas por los procedimientos especficos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevencin y neutralizacin de los riesgos. Las actividades de control se ejecutan en todos los niveles de la organizacin y en cada una de las etapas de la gestin, partiendo de la elaboracin de un

34

mapa de riesgos segn lo expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden agruparse en tres categoras, segn el objetivo de la entidad con el que estn relacionados:

o Las operaciones o La confiabilidad de la informacin financiera o El cumplimiento de leyes y reglamentos Informacin y Comunicacin: As como es necesario que todos los agentes conozcan el papel que les corresponde desempear en la organizacin (funciones, responsabilidades), es imprescindible que cuenten con la informacin peridica y oportuna que deben manejar para orientar sus acciones en consonancia con los dems, hacia el mejor logro de los objetivos. Adems de una buena comunicacin interna, es importante una eficaz comunicacin externa que favorezca el flujo de toda la informacin necesaria, y en ambos casos importa contar con medios eficaces, dentro de los cuales tan importantes como los manuales de polticas, memorias, difusin institucional, canales formales e informales, resulta la actitud que asume la direccin en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una slida cultura de control no tendr dificultades de comunicacin. Supervisin: Incumbe a la direccin la existencia de una estructura de control interno idnea y eficiente, as como su revisin y actualizacin peridica para mantenerla en un nivel adecuado. Procede la evaluacin de las actividades de control de los sistemas a travs del tiempo, pues toda organizacin tiene reas donde los mismos estn en desarrollo, necesitan ser reforzados o se impone directamente su reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas pueden encontrarse en los cambios internos y externos a la gestin que, al variar las circunstancias, generan nuevos riesgos a afrontar. El objetivo es asegurar que el control interno funciona adecuadamente. El Informe COSO define el Control Interno como un proceso que garantice, con una seguridad razonable (y por lo tanto no absoluta), que se alcanzan los 3 objetivos siguientes:

35

1. Eficacia y eficiencia de las operaciones 2. Fiabilidad de la informacin financiera 3. Cumplimiento de las leyes y normas que sean aplicables. b) COBIT (4) (Control Objectives for Information and related Technology) La orientacin al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando mtricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueos de los procesos de negocio y de TI. Para proporcionar la informacin que la empresa necesita para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural. Pero, cmo puede la empresa poner bajo control TI de tal manera que genere la informacin que la empresa necesita? Cmo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto? Cmo puede la empresa asegurar que TI logre sus objetivos y soporte los del negocio? Primero, la direccin requiere objetivos de control que definan la meta final de implementar polticas, procedimientos, prcticas y estructuras organizacionales diseadas para brindar un aseguramiento razonable de que:

y Se alcancen los objetivos del negocio. y Se prevengan o se detecten y corrijan los eventos no deseados. I. La Misin de COBIT: Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI incluyen: Mejor alineacin, con base en su enfoque de negocios Una visin, entendible para la gerencia, de lo que hace TI Propiedad y responsabilidades claras, con base en su orientacin a procesos Aceptacin general de terceros y reguladores Entendimiento compartido entre los Interesados, con base en un lenguaje comn y Cumplimiento de los requerimientos COSO para el ambiente de control de TI y y y y y

36

II. Como satisface COBIT la necesidad: El marco de trabajo COBIT se cre con las caractersticas principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones. La orientacin a negocios es el tema principal de COBIT. Est diseado para ser utilizado no slo por proveedores de servicios, usuarios y auditores de TI, sino tambin y principalmente, como gua integral para la gerencia y para los dueos de los procesos de negocio. El marco de trabajo COBIT se basa en el siguiente principio: Para proporcionar la informacin que la empresa requiere para lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la informacin empresarial requerida. El marco de trabajo COBIT ofrece herramientas para garantizar la alineacin con los requerimientos del negocio. III. Criterios de informacin de COBIT:

37

Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de informacin del negocio. Con base en los requerimientos ms amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de informacin: y La efectividad tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. y La eficiencia consiste en que la informacin sea generada con el ptimo (ms productivo y econmico) uso de los recursos. y La confidencialidad se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada. y La integridad est relacionada con la precisin y completitud de la informacin, as como con su validez de acuerdo a los valores y expectativas del negocio. y La disponibilidad se refiere a que la informacin est disponible cuando sea requerida por los procesos del negocio en cualquier momento. Tambin concierne a la proteccin de los recursos y las capacidades necesarias asociadas. y El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como polticas internas. y La confiabilidad se refiere a proporcionar la informacin apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

IV.

Dominios del COBIT:

COBIT define las actividades de TI en un modelo genrico de procesos organizado en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las reas tradicionales de TI de planear, construir, ejecutar y monitorear. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Planear y Organizar (PO): Proporciona direccin para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI): Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS): Recibe las soluciones y las hace utilizables por los usuarios finales.

38

Monitorear y Evaluar (ME): Monitorear todos los procesos para asegurar que se sigue la direccin provista. Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios de objetivos de control detallados. Como un todo, representan las caractersticas de un proceso bien administrado. Los objetivos de control detallados se identifican por dos caracteres que representan el dominio (PO, AI, DS y ME) ms un nmero de proceso y un nmero de objetivo de control. Adems de los objetivos de control detallados, cada proceso COBIT tiene requerimientos de control genricos que se identifican con PCn, que significa Control de Proceso nmero. Se deben tomar como un todo junto con los objetivos de control del proceso para tener una visin completa de los requerimientos de control.

V.

Marco de trabajo completo del COBIT

Programas de certificacin

39

CISA: Certified Information System Auditor (4) CISA es una certificacin para auditores respaldada por la Asociacin ISACA (Information Systems Audit and Control Association). Los candidatos deben cumplir con los requisitos establecidos por la ISACA. La certificacin CISA fue establecida en 19781 debido a las siguientes razones: 1. Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las competencias de los individuos al realizar auditoras de sistemas. 2. Proveer una herramienta motivacional para los auditores de sistemas de informacin para mantener sus habilidades, y monitorizar la efectividad de los programas de mantenimiento. 3. Proveer criterios de ayudar y gestin en la seleccin de personal y desarrolladores. CISM: Certified Information Security Manager (5) CISM es una certificacin para administradores de seguridad de la informacin respaldada por la ISACA (Information Systems Audit and Control Association). Est enfocada en la gerencia y ha sido obtenida por siete mil profesionales desde su introduccin, en 2004. A diferencia de otras certificaciones de seguridad, CISM define los principales estndares de competencias y desarrollo profesionales que un director de seguridad de la informacin debe poseer, competencias necesarias para dirigir, disear, revisar y asesorar un programa de seguridad de la informacin. La certificacin precisa acreditar conocimientos en cinco dominios de la seguridad de la informacin:

y y y y y

Gobierno de la seguridad de la informacin Administracin de riesgos de informacin Desarrollo de un programa de seguridad de informacin Administracin del programa de seguridad de informacin Manejo y respuesta de incidentes

CIA: Certified Internal Auditor (6) Certificacin aceptada internacionalmente para los auditores internos al reconocer un estndar de conocimientos a travs del cual los Auditores Internos, demuestran sus competencias y profesionalismo en el campo de Auditora Interna.

40