CAPITULO II

Marco Teórico

Antecedentes

El marco teórico se orienta a manejar las dimensiones delimitadas en esta investigación, tomando estudios de temas realizados en la Universidad Centro Occidental Lisandro Alvarado. Siendo los resultados obtenidos en estas investigaciones el fundamento teórico a las perspectivas de análisis y la visión del problema.

Tenemos pues, estudios que permiten adelantar experiencias y conclusiones obtenidas por otros investigadores sobre Auditoria de Procesamiento Electrónico de Datos, los cuales constituyen la base de sustentación de la presente investigación.

Chan S. (2002). Presenta ante la Universidad Centro Occidental Lisandro Alvarado la tesis titulada: “Auditoria de Sistemas de Calidad basada en las normas ISO 9000”. El estudio esta enmarcado dentro del marco de una investigación documental que tiene como propósito analizar la auditoria de sistemas de calidad basada en las normas ISO 9000, como herramienta eficaz para asegurar la calidad de una empresa. Para ello se reviso y analizo todo un marco conceptual sobre la auditoria de sistemas y las normas ISO 9000 a través de textos, revistas especializadas y por medio de Internet, utilizando como recurso el método inductivo-deductivo y

deductivo-inductivo. Las conclusiones del estudio resaltaran que la implantación de un sistema de calidad basado en las normas ISO 9000 es un reto significativo en la historia de la empresa debido a que exige un compromiso visible y a largo plazo por parte de la dirección: involucra a la organización en su totalidad, tiene un efecto sobre el trabajo de todos los empleados, exige un profundo autoexamen lo cual puede significar para los clientes satisfacción, competitividad, operaciones internas mas eficiente y una fuerza de trabajo mejor capacitada, mas informada y mas solidaria, aspectos claves para el éxito del negocio. La implantación de las normas exige un aserie de fases, las cuales tienen como propósito lograr la participación de la dirección, planear y organizar, definir y analizar los procesos, elaborar los planes de la calidad, diseñar los elementos del sistema de calidad, documentar los elementos del sistema de calidad, implantar los elementos del sistema de calidad y validación de la implantación de los sistemas de calidad. La auditoria de sistemas es de vital importancia en las organizaciones debido a que permite examinar y evaluar los procesamientos electrónicos de datos a fin de garantizar la efectividad y economía de los sistemas contables computarizados.

La relación existente entre el tema antes mencionado y la investigación en estudio es que el mismo trata la Auditoria de Procesamiento electrónica de datos como herramienta eficaz para asegurar la calidad de una empresa siendo esta aplicada a los sistemas contables.

López A.2002. Presenta ante la Universidad Centro Occidental Lisandro Alvarado la tesis titulada “Programa de auditoria de desempeño como control administrativo de empresas públicas y privadas”. La auditoria de desempeño en la actualidad juega un papel de gran importancia, ya que permite detectar y corregir posibles fallas en los procesos generados en la administración de una organización. La investigación se encamino a elaborar un programa de auditoria de desempeño aplicable al control administrativo de empresas públicas y privadas. La misma se encuentra dentro de la investigación descriptiva apoyada en una investigación de campo y documental, para la realización de la misma se procedió a una revisión bibliográfica, para luego proceder al análisis y elaboración del programa de auditoria el cual esta constituido por dos etapas o fases, aportando así una contribución especifica a la necesidad de mejorar cada día la auditoria de desempeño en la actualidad.

La relación existente entre el tema antes mencionado y la investigación en estudio es que el mismo trata la Auditoria de desempeño como herramienta eficaz para llevar un mejor control administrativo en las empresas publicas y privadas.

Jiménez A. (2001).Presenta ante la Universidad Centro Occidental Lisandro Alvarado la tesis titulada: “Análisis de los módulos de préstamos y contabilidad del sistema de información computarizado dirigido a cajas de ahorro y préstamo. Caso practico CAYPEMI.” El presente estudio tiene por objeto general analizar los módulos de préstamo y contabilidad del sistema de información computarizado dirigido a cajas de ahorro y préstamo, desarrollado por la afirma personal de ingenieros en sistemas. La investigación es de tipo descriptiva con apoyo en la documental. Como población se considero a los 7 empleados de la caja de ahorros quienes tienen acceso directo al sistema. Entre las conclusiones principales se tienen que el sistema permite representar los sucesos de las operaciones realizadas; permite la integración de los módulos de contabilidad y préstamo, dicho sistema puede ser implantado en otras cajas de ahorros.

La relación con respecto al tema de investigación es que se realiza un análisis a los módulos de caja de ahorro y préstamo, lo cual nos lleva a conocer que las empresas permiten realizar la auditoria en sus sistemas para mejorar su funcionamiento.

Bases Teóricas

Para emprender un proyecto de investigación tan innovador como la Auditoria de Procesamiento Electrónico de Datos, se hace necesario desarrollar algunas bases teóricas relacionadas con la realidad de lo que se pretende investigar. En este sentido se proporcionará un marco de referencia que contribuya a la operacionalización de la variable objeto de estudio.

La Revolución Industrial cuyos inicios se remontan a 1776, con la invención de la maquina de vapor por James Watt, trajo consigo profundas modificaciones en la forma en la que el hombre efectuaba el trabajo, desencadenando cambios importantes en las estructuras económicas y sociales, pues la maquina no sustituyo al hombre sino que por el contrario mejoraron las condiciones para la producción.

El éxito de la mecanización se logro gracias a la abaratación de los costos de producción, propiciando con esto la competitividad en los precios y una mayor oferta ante un mercado cuyas necesidades aumentaban continuamente.

“… La mecanización del trabajo condujo a la división del trabajo y a la simplificación de las operaciones, e hizo que los oficios tradicionales fueran sustitutitos por tareas semiautomatizadas y repetitivas…” (Chiavenato, 1998). Con el transcurrir del tiempo la industrialización conllevo al nacimiento de grandes organizaciones cuya dirección requirió de ciencias sociales como la administración de empresas, la cual en términos generales orienta, dirige y controla los esfuerzos de un grupo de individuos para lograr los objetivos de la organización.

En la actualidad las organizaciones crecen y amplían sus actividades, lo cual es señal de éxito organizacional, este crecimiento ocurre por que continuamente se ven en la necesidad de adaptarse a los cambios rápidos y frecuentes que ocurren en el mundo de hoy, en el cual la administración debe tomar decisiones en un ambiente altamente competitivo, con innovaciones tecnológicas que modifican la estructura de su organización, elevadas tasas inflacionarias como es el caso venezolano y la eminente tendencia globalizadota.

Todo esto referente en las decisiones a tomar por la gerencia de la compañía las cuales deben ser previsivas ante futuras contingencias y buscar la continuidad y estabilidad en un ambiente día a día menos estable, para ello la Administración se sirve de la ciencia contable implantando sistemas de contabilidad.

La Contabilidad se define:

Rama de la ciencia empresarial que trata sobre la forma de registrar las variaciones que experimentan los patrimonios de las empresas, sociedades, comerciantes individuales, instituciones publicas o privadas , entre otros, así como de la cantidad y clase de las perdidas y ganancias que estos tengan como producto de su actividad empresarial. Es, en definitiva, una forma de reflejar ordenadamente las variaciones patrimoniales con el objeto de llevar un control exacto de todas las operaciones, así como de los resultados que estas arrojan, permitiendo al empresario tener toda la información posible para que le sirva como punto de referencia en las decisiones que sobre la empresa ha de tomar. (Diccionario de la Contabilidad y Finanzas, 1999).

La contabilidad registra y clasifica todas y cada una de las transacciones que lleva a cabo la organización. Dada la importancia de la información financiera que arroja el sistema contable, se hizo necesaria la existencia de controles que aseguraran la veracidad de la información producida por dicho sistema, de este modo se crea la auditoria la cual se ocupa de la revisión de las cuentas, documentos, actuaciones, sistemas, métodos, con el fin de pronunciar una opinión sobre su validez.

En consecuencia al volumen de las operaciones ocurridas en la organización se idearon herramientas electrónicas para el procesamiento de los datos, siendo los sistemas computarizados los más eficientes y de uso extendido.

“La informática esta transformándose en una importante herramienta tecnológica ha disposición del hombre para promover su desarrollo económico y social, por la agilización del proceso de decisión y por la optimización de la utilización de los recursos existentes”. (Chiavenato, 1998)

El uso de la informática se ha popularizado por su naturaleza de estudiar lo racional y sistemático de la información por medios automáticos.

Es importante señalar la diferencia existente en el concepto de dato, información y comunicación, lo cual es explicado por Chiavenato (1998) del modo siguiente:

Dato: es un registro o anotación de un determinado hecho u ocurrencia. Una base de datos, por ejemplo, es un medio de acumular y almacenar conjuntos de datos para ser combinados y procesados posteriormente. Cuando un conjunto de datos posee significado…tenemos una información.

Información: es un conjunto de datos que posee significado, es decir, que reduce la incertidumbre o aumenta el conocimiento con respecto de algo.

Comunicación: consiste en trasmitir una información ha alguien que pasa a compartirla. Para que haya comunicación es necesario que el destinatario de la información la reciba y la comprenda. La información simplemente trasmitida, pero que no tiene destinatario, no puede considerarse una comunicación. Comunicar significa hacer común a una o más personas una determinada información.

Según Cespeda, Gustavo (1997):

La Auditoria de Procesamiento Electrónico de Datos

Es la evaluación de la eficiencia técnica, del uso de diversos recursos y del tiempo que utilizan los programas, su seguridad y confiabilidad con el objetivo de optimizarlos y evaluar el riesgo que tienen para la organización.

Según Cespeda, Gustavo (1997):

Ventajas:

Un gran volumen de verificaciones se pueden efectuar a gran velocidad.
Diversos tipos de verificaciones pueden realizarse simultáneamente.
Se optimiza la eficacia del a auditoria.
Las aplicaciones relacionadas con resolución de problemas no necesitan que la información fuente este contenida en registros procesados por el ordenador.

Según Cespeda, Gustavo (1997):

Desventajas:

La adopción y puesta en marcha del procedimiento puede ser altamente lenta y costosa.
En ciertos casos es necesario algún conocimiento técnico para poner en marcha el sistema.
La decisión de utilizarlo dependerá del resultado obtenido al revisar la relación coste-beneficio.
En algunos casos es mas barato, incluso a largo plazo, utilizar métodos manuales.

Algunos procesos que, dentro del desarrollo general de una auditoria, son realizados normalmente mediante aplicaciones informáticas.

Selección de muestra e informe de muestreo en Auditoria

El ordenador puede ser programado para seleccionar muestras de auditoria de acuerdo a cualquier criterio especificado por el Auditor, y posteriormente ser utilizadas en diversas circunstancias.

Procedimientos de cálculo y procesamiento

Otra utilidad normal son las pruebas de exactitud de los cálculos internos en los ficheros de datos, tales como procedimientos de extensiones y cálculos.

Sincronización de datos y ejecución de análisis

El auditor normalmente desea reorganizar los datos del cliente de forma que le permita efectuar propósitos especiales. Además, pueden hacer procedimientos analíticos.

Comparación de los datos de Auditoria con los registros del ordenador

Los datos obtenidos por el auditor, como resultado del trabajo efectuado, pueden ser comparados con la información de la empresa que se obtiene del ordenador.

Según Cespeda, Gustavo (1997):

Alcance de la Auditoria de Procesamiento Electrónico de Datos

El alcance ha de definir con precisión el entorno y los limite sen que va a desarrollarse la Auditoria, se complementa con los objetivos de esta. El alcance ha de figurar expresamente en el informe final, de modo que quede perfectamente determinado no solamente hasta que puntos se h allegado, sino cuales materias fronterizas han sido omitidas.

Control de integridad de registros: hay aplicaciones que comparten registros comunes. Si una aplicación no tiene integrado un registro común cuando lo necesite utilizar no lo va ha encontrar y, por lo tanto, la aplicación no funcionaria como debería.

Control de validación de errores: se corrobora que el sistema que sea plica para detectar y corregir errores sea eficiente.

Según Cespeda, Gustavo (1997):

Características de la Auditoria de Procesamiento Electrónico de Datos

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como unos stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.

Del mismo modo, los sistemas informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en general, o la Auditoria de Seguridad de alguna de sus áreas, como pudieran ser desarrollo o técnica de sistemas.

Cuando se producen cambios estructurales en la informática, se reorganiza de alguna forma su función: se esta en el campo de la Auditoria de Organización Informática.

Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria de desarrollo de proyectos de la informática de una empresa, es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Según Cespeda, Gustavo (1997):

Técnicas de Auditoria en sistemas computarizados

Las técnicas y procedimiento sutilizados por el auditor al realizar pruebas de cumplimiento del sistema y pruebas sustantivas de la información contable depende de gran parte del diseño del sistema PED del cliente. El diseño y la operación del sistema definen la naturaleza de las pistas de auditoria que tenga que emplear el auditor para obtener evidencia. Las cuales le permiten al auditor reconstruir y seguir las operaciones, se pueden definir tan bien en un sistema con computadora como en un sistema manual diseñado con propiedad. Por otra parte, en un sistema avanzado de PED con posibilidades de trabajar en línea y pocas copias escritas, podría suceder que las pistas de auditoria no existieran prácticamente.

No obstante, existen muchas razones validas para que las empresas mantengan en su sistema PED la posibilidad de reconstruir y seguir las operaciones. Estas incluyen el uso que haga la administración del detalle de la operación, requisitos de auditoria interna y externa, protecciones contar errores o interrupciones del sistema, y requisitos de las autoridades reguladoras y fiscales. De acuerdo con el diseño del a instalación PED del cliente y la disponibilidad de pistas de auditoria viables, el auditor puede seleccionar procedimientos de auditorias manuales, técnicas de auditoria apoyada sen computadores o combinación de las dos.

En los sistemas de PED en línea que producen poca información escrita y no tienen referencias de auditoria utilizables, es lo más probable que resulten poco efectivas las técnicas de auditoria apoyadas por computadores que usen el equipo o los programas del cliente, o ambos.

Según Cespeda, Gustavo (1997):

Las técnicas apoyadas por los computadores más usuales son:

El uso de información de pruebas para verificar los controles programados para comprobar el cumplimiento.
El uso de programas de auditoria generalizados para extraer información del sistema y realizar otras funciones relacionadas con las pruebas sustantivas.

Según Cespeda, Gustavo (1997):

Clasificación de las herramientas informáticas a disposición del auditor

Verificación de Datos: Usando el ordenador para verificar los datos producidos por él mismo.
Resolución de Problemas: Resolviendo un problema particular por medio del uso de un programa de ordenador determinado.
Verificación de Sistemas: Verificando el sistema de proceso del ordenador, hasta un punto dado, utilizando el ordenador mismo, con el fin de determinar el grado de confianza que ofrecen las entradas y salidas obtenidos.

Según Cespeda, Gustavo (1997):

Tipos y clases de Auditorías:

El departamento de Informática posee una actividad proyectada al exterior, al usuario, aunque el “exterior” siga siendo la misma empresa. He aquí, la Auditoría Informática de Usuario. Se hace esta distinción para contraponerla a la informática interna, en donde se hace la informática cotidiana y real. En consecuencia, existe una Auditoría Informática de Actividades Internas.

El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al “exterior”. Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de Dirección. Estas tres auditorías, mas la auditoría de Seguridad, son las cuatro Áreas Generales de la Auditoría Informática más importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoría Informática más importantes.

Cada Área Especifica puede ser auditada desde los siguientes criterios generales:

· Desde su propio funcionamiento interno.

· Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta.

· Desde la perspectiva de los usuarios, destinatarios reales de la informática.

· Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.

Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.

Según Cespeda, Gustavo (1997):

Objetivo fundamental de la auditoría informática

La operatividad es una función de mínimos consistente en que la organización y las maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial.

La operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a cualquier actividad de aquel.

· Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultáneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir también con los productos de Software básico desarrolla-dos por el personal de Sistemas Interno, sobre todo cuando los diversos equipos están ubicados en Centros de Proceso de Datos geográficamente alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles.

· Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parámetros de asignación automática de espacio en disco* que dificulten o impidan su utilización posterior por una Sección distinta de la que lo generó. También, los periodos de retención de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la pérdida de información es un hecho que podrá producirse con facilidad, quedando inoperativa la explotación de alguna de las Aplicaciones mencionadas.

Según Cespeda, Gustavo (1997):

Parámetros de asignación automática de espacio en disco:

Todas las Aplicaciones que se desarrollan son super-parametrizadas, es decir, que tienen un montón de parámetros que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no analizó cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un día la Aplicación reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicación se cae, el volver a levantarla, con la nueva asignación de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme.

Según Cespeda, Gustavo (1997):

Revisión de Controles de la Gestión Informática:

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditoría es la verificación de la observancia de las normas teóricamente existentes en el departamento de Informática y su coherencia con las del resto de la empresa. Para ello, habrán de revisarse sucesivamente y en este orden:

1. Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que carezcan de normativa, y sobre todo verificando que esta Normativa General Informática no está en contradicción con alguna Norma General no informática de la empresa.

2. Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación. Tampoco el alta de una nueva Aplicación podría producirse si no existieran los Procedimientos de Backup y Recuperación correspondientes.

3. Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las áreas fundamentales. Así, Explotación no debería explotar una Aplicación sin haber exigido a Desarrollo la pertinente documentación. Del mismo modo, deberá comprobarse que los Procedimientos Específicos no se opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deberá verificarse que no existe contradicción alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informática debe estar sometida.

Según Cespeda, Gustavo (1997):

Auditoría Informática de Explotación:

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. La explotación informática se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del Proceso informático, el cual está gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario.

Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. La Explotación Informática se divide en tres grandes áreas: Planificación, Producción y Soporte Técnico, en la que cada cual tiene varios grupos.

Según Cespeda, Gustavo (1997):

Control de Entrada de Datos:

Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a Norma.

Según Cespeda, Gustavo (1997):

Planificación y Recepción de Aplicaciones:

Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarse muestreos selectivos de la Documentación de las Aplicaciones explotadas. Se inquirirá sobre la anticipación de contactos con Desarrollo para la planificación a medio y largo plazo.

Según Cespeda, Gustavo (1997):

Centro de Control y Seguimiento de Trabajos:

Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la explotación Informática ejecuta procesos por cadenas o lotes sucesivos (Batch), o en tiempo real (Tiempo Real). Mientras que las Aplicaciones de Teleproceso están permanentemente activas y la función de Explotación se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotación. En muchos Centros de Proceso de Datos, éste órgano recibe el nombre de Centro de Control de Batch. Este grupo determina el éxito de la explotación, en cuanto que es uno de los factores más importantes en el mantenimiento de la producción.

Según Cespeda, Gustavo (1997):

Batch y Tiempo Real:

Las Aplicaciones que son Batch son Aplicaciones que cargan mucha información durante el día y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la información, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta información durante el día, pero todavía no procesa nada. Es solamente un tema de “Data Entry” que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al día siguiente.

Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la información correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real.

Según Cespeda, Gustavo (1997):

Operación. Salas de Ordenadores:

Se intentarán analizar las relaciones personales y la coherencia de cargos y salarios, así como la equidad en la asignación de turnos de trabajo. Se verificará la existencia de un responsable de Sala en cada turno de trabajo. Se analizará el grado de automatización de comandos, se verificara la existencia y grado de uso de los Manuales de Operación. Se analizará no solo la existencia de planes de formación, sino el cumplimiento de los mismos y el tiempo transcurrido para cada Operador desde el último Curso recibido. Se estudiarán los montajes diarios y por horas de cintas o cartuchos, así como los tiempos transcurridos entre la petición de montaje por parte del Sistema hasta el montaje real. Se verificarán las líneas de papel impresas diarias y por horas, así como la manipulación de papel que comportan.

Según Cespeda, Gustavo (1997):

Centro de Control de Red y Centro de Diagnosis:

El Centro de Control de Red suele ubicarse en el área de producción de Explotación. Sus funciones se refieren exclusivamente al ámbito de las Comunicaciones, estando muy relacionado con la organización de Software de Comunicaciones de Técnicas de Sistemas. Debe analizarse la fluidez de esa relación y el grado de coordinación entre ambos. Se verificará la existencia de un punto focal único, desde el cual sean perceptibles todos las líneas asociadas al Sistema. El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averías o incidencias, tanto de Software como de Hardware. El Centro de Diagnosis está especialmente indicado para informáticos grandes y con usuarios dispersos en un amplio territorio. Es uno de los elementos que más contribuyen a configurar la imagen de la Informática de la empresa. Debe ser auditada desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispone. No basta con comprobar la eficiencia técnica del Centro, es necesario analizarlo simultáneamente en el ámbito de Usuario.

Según Cespeda, Gustavo (1997):

Auditoría Informática de Desarrollo de Proyectos o Aplicaciones:

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicación recorre las siguientes fases:

· Prerrequisitos del Usuario (único o plural) y del entorno

· Análisis funcional

· Diseño

· Análisis orgánico (Preprogramación y Programación)

· Pruebas

· Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario. Finalmente, la auditoría deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros.

Una auditoría de Aplicaciones pasa indefectiblemente por la observación y el análisis de cuatro consideraciones:

1. Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.

2. Control Interno de las Aplicaciones: se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de Desarrollo:

· Estudio de Vialidad de la Aplicación. [importante para Aplicaciones largas, complejas y caras]

· Definición Lógica de la Aplicación. [se analizará que se han observado los postulados lógicos de actuación, en función de la metodología elegida y la finalidad que persigue el proyecto]

· Desarrollo Técnico de la Aplicación. [Se verificará que éste es ordenado y correcto. Las herramientas técnicas utilizadas en los diversos programas deberán ser compatibles]

· Diseño de Programas. [deberán poseer la máxima sencillez, modularidad y economía de recursos]

· Métodos de Pruebas. Se realizarán de acuerdo a las Normas de la Instalación. Se utilizarán juegos de ensayo de datos, sin que sea permisible el uso de datos reales]

· Documentación. [cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotación]

· Equipo de Programación. [Deben fijarse las tareas de análisis puro, de programación y las intermedias. En Aplicaciones complejas se producirían variaciones en la composición del grupo, pero estos deberán estar previstos]

3. Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó. La aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación.

4. Control de Procesos y Ejecuciones de Programas Críticos: El auditor no debe descartar la posibilidad de que se esté ejecutando un módulo que no se corresponde con el programa fuente que desarrolló, codificó y probó el área de Desarrollo de Aplicaciones. Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programa módulo no coincidieran podríase provocar, desde errores de bulto que producirían graves y altos costes de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial-informativo, etc. Por ende, hay normas muy rígidas en cuanto a las Librerías de programas; aquellos programas fuente que hayan sido dados por bueno por Desarrollo, son entregados a Explotación con el fin de que éste:

1. Copie el programa fuente en la Librería de Fuentes de Explotación, a la que nadie más tiene acceso

2. Compile y monte ese programa, depositándolo en la Librería de Módulos de Explotación, a la que nadie más tiene acceso.

3. Copie los programas fuente que les sean solicitados para modificarlos, arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigirá pasar nuevamente por el punto 1.

Como este sistema para auditar y dar el alta a una nueva Aplicación es bastante ardua y compleja, hoy (algunas empresas lo usarán, otras no) se utiliza un sistema llamado U.A.T (User Acceptance Test). Este consiste en que el futuro usuario de esta Aplicación use la Aplicación como si la estuviera usando en Producción para que detecte o se denoten por sí solos los errores de la misma. Estos defectos que se encuentran se van corrigiendo a medida que se va haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el Sign Off (“Esto está bien”). Todo este testeo, auditoría lo tiene que controlar, tiene que evaluar que el testeo sea correcto, que exista un plan de testeo, que esté involucrado tanto el cliente como el desarrollador y que estos defectos se corrijan. Auditoría tiene que corroborar que el U.A.T. prueba todo y que el Sign Off del usuario sea un Sign Off por todo.

Según Cespeda, Gustavo (1997):

Auditoría Informática de Sistemas:

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.

Sistemas Operativos:

Engloba los Subsistemas de Teleproceso, Entrada/Salída, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquellas. Deben revisarse los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor.

Software Básico:

Es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. Esto, por razones económicas y por razones de comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente. En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe verificar que éste no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en términos de costes, por si hubiera alternativas más económicas.

Software de Teleproceso (Tiempo Real):

No se incluye en Software Básico por su especialidad e importancia. Las consideraciones anteriores son válidas para éste también.

Tunning:

Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de Técnica de Sistemas. El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados. Se pueden realizar:

· Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema

· De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y están planificados y organizados de antemano.

El auditor deberá conocer el número de Tunning realizados en el último año, así como sus resultados. Deberá analizar los modelos de carga utilizados y los niveles e índices de confianza de las observaciones.

Optimización de los Sistemas y Subsistemas:

Técnica de Sistemas debe realizar acciones permanentes de optimización como consecuencia de la realización de tunnings preprogramados o específicos. El auditor verificará que las acciones de optimización* fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crítico de producción diaria de Explotación.

Optimización:

Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicación se va poniendo cada vez más lenta; porque todas las referencias a tablas es cada vez más grande, la información que está moviendo es cada vez mayor, entonces la Aplicación se tiende a poner lenta. Lo que se tiene que hacer es un análisis de performance, para luego optimizarla, mejorar el rendimiento de dicha Aplicación.

Administración de Base de Datos:

El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito de Técnica de Sistemas, y de acuerdo con las áreas de Desarrollo y usuarios de la empresa. Al conocer el diseño y arquitectura de éstas por parte de Sistemas, se les encomienda también su administración. Los auditores de Sistemas han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Técnica de Sistemas tiene sobre la problemática general de los usuarios de Bases de Datos.

La administración tendría que estar a cargo de Explotación. El auditor de Base de Datos debería asegurarse que Explotación conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizará los Sistemas de salvaguarda existentes, que competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos.

Investigación y Desarrollo:

Como empresas que utilizan y necesitan de informáticas desarrolladas, saben que sus propios efectivos están desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su uso interno, pueden ser susceptibles de adquisición por otras empresas, haciendo competencia a las Compañías del ramo. La auditoría informática deberá cuidar de que la actividad de Investigación y Desarrollo no interfiera ni dificulte las tareas fundamentales internas.

La propia existencia de aplicativos para la obtención de estadísticas desarrollados por los técnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visión bastante exacta de la eficiencia y estado de desarrollo de los Sistemas.

Según Cespeda, Gustavo (1997):

Auditoría Informática de Comunicaciones y Redes:

Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real. El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte. Como en otros casos, la auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).

El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización.

Según Cespeda, Gustavo (1997):

Auditoría de la Seguridad informática:

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado “virus” de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización (“piratas”) y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

La seguridad informática se la puede dividir como Área General y como Área Especifica (seguridad de Explotación, seguridad de las Aplicaciones, etc.). Así, se podrán efectuar auditorías de la Seguridad Global de una Instalación Informática –Seguridad General- y auditorías de la Seguridad de un área informática determinada – Seguridad Especifica -.

Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.

Según Cespeda, Gustavo (1997):

El sistema integral de seguridad debe comprender:

· Elementos administrativos

· Definición de una política de seguridad

· Organización y división de responsabilidades

· Seguridad física y contra catástrofes (incendio, terremotos, etc.)

· Prácticas de seguridad del personal

· Elementos técnicos y procedimientos

· Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.

· Aplicación de los sistemas de seguridad, incluyendo datos y archivos

· El papel de los auditores, tanto internos como externos

· Planeación de programas de desastre y su prueba.

La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran “matrices de riesgo”, en donde se consideran los factores de las “Amenazas” a las que está sometida una instalación y los “Impactos” que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada Amenaza-Impacto, en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.

Según Cespeda, Gustavo (1997):

Herramientas y Técnicas para la Auditoría Informática:

Cuestionarios:

Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría.

Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado.

Entrevistas:

El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:

1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.

2. Mediante “entrevistas” en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.

3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular.

Checklist:

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.

El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de “filosofía” de calificación o evaluación:

a) Checklist de rango

Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)

b) Checklist Binaria

Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente.

Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en la checklist binaria. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor.

Las Checklists Binarias siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del <si o no> frente a la mayor riqueza del intervalo.

No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptación correspondientes en las preguntas a realizar.

Trazas y/o Huellas:

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.

Muy especialmente, estas “Trazas” se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignación de unidades de servicio para según cuales tipos carga. Estas actuaciones, en principio útiles, pueden resultar contraproducentes si se traspasan los límites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la auditoría informática de Sistemas: el auditor informático emplea preferentemente la amplia información que proporciona el propio Sistema: Así, los ficheros de Accounting o de contabilidad, en donde se encuentra la producción completa de aquél, y los Log de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de errores de maquina central, periféricos, etc.

La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.

Log:

El log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando (información). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atómicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación (grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. La transacción tiene un principio y un fin, cuando la transacción llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transacción se cortó por x razón, lo que se hace es volver para atrás. El log te permite analizar cronológicamente que es lo que sucedió con la información que está en el Sistema o que existe dentro de la base de datos.

Software de Interrogación:

Hasta hace ya algunos años se han utilizado productos software llamados genéricamente <paquetes de auditoría>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático.

Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación.

En la actualidad, los productos Software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.

Del mismo modo, la proliferación de las redes locales y de la filosofía “Cliente-Servidor”, han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informático copia en su propia PC la información más relevante para su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e información parcial generada por la organización informática de la Compañía.

Efectivamente, conectados como terminales al “Host”, almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar información de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones más autorizadas indican que el trabajo de campo del auditor informático debe realizarse principalmente con los productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Gráficos, Hojas de Cálculo, etc.

Según Cespeda, Gustavo (1997):

Metodología de Trabajo de Auditoría Informática

El método de trabajo del auditor pasa por las siguientes etapas:

· Alcance y Objetivos de la Auditoría Informática.

· Estudio inicial del entorno auditable.

· Determinación de los recursos necesarios para realizar la auditoría.

· Elaboración del plan y de los Programas de Trabajo.

· Actividades propiamente dichas de la auditoría.

· Confección y redacción del Informe Final.

· Redacción de la Carta de Introducción o Carta de Presentación del Informe final.

Definición de Alcance y Objetivos

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas.

Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.

Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática.

Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática.

Para su realización el auditor debe conocer lo siguiente:

Organización:

Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:

1) Organigrama:

El organigrama expresa la estructura oficial de la organización a auditar.

Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia.

2) Departamentos:

Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.

3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:

El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes.

Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el contrario, indican relaciones no estrictamente subordinables.

4) Flujos de Información:

Además de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales.

Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.

En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa.

Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización.

5) Número de Puestos de trabajo

El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas.

Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes.

Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.

6) Número de personas por Puesto de Trabajo

Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.

Entorno Operacional

El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse.

Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

a) Situación geográfica de los Sistemas:

Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo.

b) Arquitectura y configuración de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de las compañías.

Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos.

c) Inventario de Hardware y Software:

El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remoto, periféricos de todo tipo, etc.

El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.

d) Comunicación y Redes de Comunicación:

En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones.

Igualmente, poseerán información de las Redes Locales de la Empresa.

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente:

a) Volumen, antigüedad y complejidad de las Aplicaciones

b) Metodología del Diseño

Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto.

c) Documentación

La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.

La documentación de programas disminuye gravemente el mantenimiento de los mismos.

d) Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos.

Estos datos proporcionan una visión aceptable de las características de la carga informática.

Según Cespeda, Gustavo (1997):

Determinación de recursos de la auditoría Informática

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.

Recursos materiales

Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

a) Recursos materiales Software

Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.

Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

b) Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado.

Para lo cuál habrá de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado depende de la materia auditable.

Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.

Elaboración del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen un plan de trabajo. Decidido éste, se procede a la programación del mismo.

El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:

a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa.

b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal.

· En el plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos.

· En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.

· En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.

· El Plan establece disponibilidad futura de los recursos durante la revisión.

· El Plan estructura las tareas a realizar por cada integrante del grupo.

· En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.

Actividades de la Auditoría Informática

Auditoría por temas generales o por áreas específicas:

La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.

Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.

Según Cespeda, Gustavo (1997):

Técnicas de Trabajo:

- Análisis de la información recabada del auditado.

- Análisis de la información propia.

- Cruzamiento de las informaciones anteriores.

- Entrevistas.

- Simulación.

- Muestreos.

Herramientas:

- Cuestionario general inicial.

- Cuestionario Checklist.

- Estándares.

- Monitores.

- Simuladores (Generadores de datos).

- Paquetes de auditoría (Generadores de Programas).

- Matrices de riesgo.

Informe Final

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.

Definición de objetivos y alcance de la auditoría.

Enumeración de temas considerados:

Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.

Cuerpo expositivo:

Para cada tema, se seguirá el siguiente orden a saber:

a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real

b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras.

c) Puntos débiles y amenazas.

d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática.

e) Redacción posterior de la Carta de Introducción o Presentación.

Modelo conceptual de la exposición del informe final:

- El informe debe incluir solamente hechos importantes.

La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.

- El Informe debe consolidar los hechos que se describen en el mismo.

El término de “hechos consolidados” adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios:

1. El hecho debe poder ser sometido a cambios.

2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.

3. No deben existir alternativas viables que superen al cambio propuesto.

4. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación.

La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1 – Hecho encontrado.

- Ha de ser relevante para el auditor y pera el cliente.

- Ha de ser exacto, y además convincente.

- No deben existir hechos repetidos.

2 – Consecuencias del hecho

- Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.

3 – Repercusión del hecho

- Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa.

4 – Conclusión del hecho

- No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja.

5 – Recomendación del auditor informático

- Deberá entenderse por sí sola, por simple lectura.

- Deberá estar suficientemente soportada en el propio texto.

- Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación.

- La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.

Carta de introducción o presentación del informe final:

La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría.

Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción.

La carta de introducción poseerá los siguientes atributos:

- Tendrá como máximo 4 folios.

- Incluirá fecha, naturaleza, objetivos y alcance.

- Cuantificará la importancia de las áreas analizadas.

- Proporcionará una conclusión general, concretando las áreas de gran debilidad.

- Presentará las debilidades en orden de importancia y gravedad.

- En la carta de Introducción no se escribirán nunca recomendaciones.

Catacora, Fernando,(2.000):

Los sistemas de Procesamiento Electrónicos de Datos

COMPLEJIDAD TÉCNICA

Los sistemas PED se definen por su complejidad técnica y el grado en que se utilizan en una organización. Una mejor medida de la complejidad es la capacidad de un sistema en comparación con la capacidad de un sistema conceptuado como mejor norma, y se define como complejo.

GRADO DE USO

Hay dos maneras de las cuales el auditor podría servirse de los equipos electrónicos

a) Pera obtener estados, relaciones, análisis de cuentas, etc. que podrá utilizar como cédulas cuyo contenido facilite la verificación de ciertas partidas.

Como medio para comprobar el funcionamiento del control interno, en caso que se trate de una auditoria operacional.

El grado en que el PED se utiliza en un sistema también esta relacionado con la complejidad. Por lo general, cuando más funciones de negocios y contabilidad se realizan mediante computadora, el sistema tiene que irse haciendo más complejo para acomodar las necesidades de procesamiento. Una forma en que un sistema puede hacerse más complejo es incrementando el número de ciclos de transacciones que se basan en la computadora.

La complejidad también se incrementa a medida que se incrementa el número de funciones basadas en computadora en un ciclo dado.

Catacora, Fernando,(2.000):

EFECTO DEL PED SOBRE LAS ORGANIZACIONES

El PED tiene varios efectos importantes sobre las organizaciones. El más importante desde la perspectiva de la auditoria se relaciona con los cambios organizacionales, la visibilidad de la información y el potencial de comisión de errores.

El cambio organizacional se refiere a las instalaciones, el personal, la centralización de datos y separación de responsabilidades y a los métodos de autorización de las organizaciones que usan el PED, estos cambios dependerán de la complejidad del mismo.

En sistemas no complejos del PED, con frecuencia existen documentos fuentes en apoyo de cada transacción, y la mayor parte de los resultados de procesamiento se imprimen. De manera que las entradas, salidas y también en gran parte del procesamiento, son visibles para el usuario y el auditor del PED. Con mayores volúmenes de datos y más complejidad la visibilidad de los datos de entrada, la visibilidad del procesamiento y la visibilidad del rastro de la transacción ya no será posible.

Otros factores que incrementan la probabilidad de cometer errores importantes en los estados financieros son: reducción de la participación humana, la uniformidad de procesamiento, el acceso no autorizado y la pérdida de datos. Estos factores son de importancia para el auditor.

Catacora, Fernando,(2.000):

Sistemas de Información

Los Sistemas de Información y su Alcance

Se entiende por un sistema de información al conjunto de normas, procedimientos y demás parámetros que forman la información general de una empresa o institución.

En un sistema de información se pueden visualizar algunos componentes tales como:

· El nombre del sistema,

· Nombre de macros del sistema

· Software base

· Lenguajes de programación

· Paquetes,

· Unidades o departamentos que utilizan la información,

· Volúmenes de archivos que se utilizan diariamente (Semanal, mensual, etc.)

· Requerimientos mínimos de los equipos (En muchos de los casos sí es un software)

· Fechas críticas

· Ingreso de información

· Flujo de información

· Egresos de información

Catacora, Fernando,(2.000):

Características de un sistema de información contable efectivo.

Un sistema de información bien diseñado ofrece control, compatibilidad, flexibilidad y una relación aceptable de costo / beneficio.

Control: un buen sistema de contabilidad le da a la administración control sobre las operaciones de la empresa. Los controles internos son los métodos y procedimientos que usa un negocio para autorizar las operaciones, proteger sus activos y asegurar la exactitud de sus registros contables.

Compatibilidad: un sistema de información cumple con la pauta de compatibilidad cuando opera sin problemas con la estructura, el personal, y las características especiales de un negocio en particular.

Los sistemas de información tienen tres objetivos primordiales:

Automatizar los procesos operativos.
Proporcionar información que apoye la toma de decisiones.
Lograr ventajas competitivas a través de su uso.

Catacora, Fernando,(2.000):

Objetivos de la información contable.

La información contable debe servir fundamentalmente para:

Conocer y demostrar los recursos controlados por un ente económico, las obligaciones que tenga de transferir recursos a otros entres, los cambios que hubieren experimentado tales recursos y el resultado obtenido en el periodo.

· Predecir flujos de efectivo.

· Apoyar a los administradores en la planeación, organización y dirección de los negocios.

· Tomar decisiones en materia de inversiones y crédito.

· Evaluar la gestión de los administradores del ente económico.

· Ejercer control sobre las operaciones del ente económico.

· Fundamentar la determinación de cargas tributarias, precios y tarifas.

· Ayudar a la conformación de la información estadística nacional.

· Contribuir a la evaluación del beneficio o impacto social que la actividad económica representa para la comunidad.

Catacora, Fernando,(2.000):

Cualidades de la Información Contable

Para poder satisfacer adecuadamente sus objetivos, la información contable debe ser comprensible, útil y en ciertos casos se requiere que además la información sea comparable.

· La información es comprensible cuando es clara y fácil de comprender.

· La información es útil cuando es pertinente y confiable.

· La información es pertinente cuando posee el valor de realimentación, valor de predicción y es oportuna.

· La información es confiable cuando es neutral, verificable y en la medida en la cual represente fielmente los hechos económicos.

CUADRO DE VARIBLES

Objetivo General: Determinar si la Auditoria de Procesamiento Electrónico de Datos puede contribuir al alcance de ventaja competitiva en las empresas que componen el sector industrial del Estado Trujillo.

Objetivos Específicos	Variable	Dimensiones	Indicadores
Precisar los beneficios que ofrece la Auditoria de Procesamiento Electrónico de Datos a la información financiera de una organización.	La Auditoria de PED	Software	Tiempo de repuesta. Rapidez a la hora de tomar decisiones. Rapidez a la hora de generar los reportes. Capacidad. Herramientas y Recursos Tecnológicas.
Determinar si las empresas del sector industrial trujillano aplican auditorias a sus sistemas contables computarizados.	La Auditoria de PED	Software
	Sistema Contable del sector industrial trujillano Estrato I	Sistema Contable	Sistema Contable Herramientas Usuarios Internos de la información Proveedores internos de la información