GUÍA PARA EL EXAMEN DE LA UNIDAD I. EL AUDITOR Y LA ORGANIZACIÓN.

GUIA PARA EL EXAMEN UNIDAD I “AUDITORIA DE SISTEMAS DE TI”

UNIDAD I. EL AUDITOR Y LA ORGANIZACIÓN.

 Auditoria Informática

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.

 Auditoria Interna

Es la revisión que realiza un profesional de la auditoría, cuya relación de trabajo es directa y subordinada a la institución donde se aplicará la misma, con el propósito de evaluar en forma interna el desempeño y cumplimiento de las actividades, operaciones y funciones que se desarrollan en la empresa y sus áreas administrativas, así como evaluar la razonabilidad en la emisión de sus resultados financieros.

 Auditoria Externa

Es la revisión que lleva a cabo una persona u organismo independiente de la empresa y tiene por objeto evaluar el desempeño en las actividades, operaciones y funciones que se ejecutan, además de determinar si los datos de la empresa se ajustan a los resultados financieros reales.

Principios y valores del auditor

·          Honestidad

·          Integridad

·          Cumplimiento

·          Lealtad

·          Imparcialidad

·          Respeto a los demás

·          Ciudadano responsable

·          Ver por los demás

·          Búsqueda de la excelencia

·          Responsabilidad

·          Confiabilidad

·          Veracidad

Normas profesionales del auditor

1.     Normas permanentes de carácter profesional

Son aquellas que debe cumplir invariablemente el profesional dedicado a la actividad de la auditoría de sistemas computacionales; el auditor no debe admitir bajo ninguna circunstancia variación alguna respecto a la aplicación y cumplimiento de dichas normas.

·          Emitir una opinión responsable y profesional respaldada en evidencias comprobadas.

·          Mantener una disciplina profesional

·          Guardar el secreto profesional

·          Tener independencia mental

·          Contar con responsabilidad profesional

·          Capacitación y adiestramiento permanentes

·          Hacer una planeación de la auditoría y de los programas de evaluación

·          Hacer la presentación del dictamen por escrito, así como la aclaración de diferencias

2.     Normas de carácter social

El auditor, como todo profesional y cualquier ciudadano, vive en una sociedad en la cual desempeña su actividad profesional y a la cual sirve con su trabajo. Dicha sociedad se rige por una serie de normas y obligaciones, muchas de ellas no escritas, pero sí aceptadas por los integrantes de esa comunidad.

·          Acatar las normas y obligaciones de carácter social

·          Evitar y prevenir sobornos, componendas y dádivas

·          Ser leal con los auditados

·          Contar con una opinión profesional y defenderla

·          Emitir un dictamen con firma profesional

·          Contar con apoyo didáctico y normativo vigente

Normas de comportamiento ético-moral

Aunque ya fueron señaladas como las obligaciones y responsabilidades de carácter ético y moral que debe cumplir el auditor, a continuación vamos a analizar, desde la óptica del aspecto profesional, la normas de conducta que como profesional debe acatar el auditor, dentro de un estricto sentido ético y moral; dichas normas son las siguientes.

·          Ser incorruptible e insobornable

·          Ser imparcial en los juicios que emite como auditor.

·          Contar con un juicio sereno, ético y moral

·          Acatar y hacer cumplir las normas morales y éticas

 Funciones de Auditoria

·          Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestión administrativa del área de informática.

·          Hacer una evaluación sobre el uso de los recursos financieros en las áreas del centro de información, así como del aprovechamiento del sistema computacional, sus equipos periféricos e instalaciones.

·          Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos, las instalaciones y mobiliario del centro de cómputo, así como el uso de sus recursos técnicos y materiales para el procesamiento de información.

·           Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y paqueterías de aplicación y desarrollo, así como el desarrollo e instalación de nuevos sistemas.

·          Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y lineamientos que regulan las funciones y actividades de las áreas y de los sistemas de procesamiento de información, así como de su personal y de los usuarios del centro de información.

·          Realizar la evaluación de las áreas, actividades y funciones de una empresa, contando con el apoyo de los sistemas computacionales, de los programas especiales para auditoría y de la paquetería que sirve de soporte para el desarrollo de auditorías por medio de la computadora.

·          Apoyo de función informática a las metas y objetivos de la organización.

·          Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.

·          Buscar una mejor relación costo-beneficio de los sistemas.

·          Apoyar a la toma de decisiones de inversión y gastos innecesarios.

·          Incrementar la satisfacción de los usuarios de los sistemas.

·          Asegurar integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

·          Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

·          Minimizar existencia de riesgos en el uso de TI.

·          Capacitación y educación sobre controles en los Sistemas.

 ¿Qué son las TI?

Son una herramienta de proceso de información básica para cualquier actividad, que se derivan de los primeros ordenadores y de la informática que nacieron en el siglo pasado. Están cambiando la sociedad y prometen seguir haciéndolo hacia límites y de formas que hoy no podemos ni siquiera imaginar

 Estructura Organizacional

Es la coordinación de una serie de partes o elementos dispuestos en un cierto orden y con determinadas relaciones entre ellos. Ordenación que ha de ser relativamente duradera. Es la suma total de los modos en que ésta divide su trabajo en distintas tareas y los mecanismos a través de los cuales consigue la coordinación entre ellas. Se trata de un modelo relativamente estable de la organización que no puede identificarse totalmente con ella.

 Elementos estructurales:

·          La división de funciones,

·          La distribución de puestos,

·          La ordenación de los distintos niveles de toma de decisiones;

Concepto de Política

Es la orientación o directriz que debe ser divulgada, entendida y acatada por todos los miembros de la organización, en ella se contemplan las normas y responsabilidades de cada área de la organización.

 Manual de Políticas  

Es un documento que contiene la descripción de actividades que deben seguirse en la realización de las funciones de un área administrativa. En él se encuentra registrada y transmitida la información básica que facilita las labores, la evaluación interna y su vigilancia, la conciencia en los empleaos y en sus jefes de que el trabajo se está realizando o no adecuadamente.

 Concepto de Manual

Los manuales son textos utilizados como medio para coordinar, registrar  datos e información en forma sistémica y organizada. También es el conjunto de orientaciones o instrucciones con el fin de guiar o mejorar la eficacidad de las tareas a realizar.

 Tipos de Manuales

Manual de Organización: este tipo de manual resume el manejo de una empresa en forma general. Indican la estructura, las funciones y roles que se cumplen en cada área.

Manual Departamental: dichos manuales, en cierta forma,  legislan el modo en que deben ser llevadas a cabo las actividades realizadas por el personal. Las normas están dirigidas al personal en forma diferencial según el departamento al que se pertenece y el rol que cumple

Manual de Procedimientos: este manual determina cada uno de los pasos que deben realizarse para emprender alguna actividad de manera correcta.

Manual de Técnicas: estos manuales explican minuciosamente como deben realizarse tareas particulares, tal como lo indica su nombre, da cuenta de las técnicas.

Manual de Bienvenida: su función es introducir brevemente la historia de la empresa, desde su origen, hasta la actualidad. Incluyen sus objetivos y la visión particular de la empresa. Es costumbre adjuntar en estos manuales un duplicado del reglamento interno para poder acceder a los derechos y obligaciones en el ámbito laboral.

Manual de Puesto: determinan específicamente cuales son las características y responsabilidades a las que se acceden en un puesto preciso.

Manual Múltiple: estos manuales están diseñados para exponer distintas cuestiones, como por ejemplo normas de la empresa, más bien generales o explicar la organización de la empresa, siempre expresándose en forma clara.

Manual de Finanzas: tiene como finalidad verificar la administración de todos los bienes que pertenecen a la empresa. Esta responsabilidad está a cargo del tesorero y el controlador.

Manual de Sistema: debe ser producido en el momento que se va desarrollando el sistema. Está conformado por otro grupo de manuales

Recursos humanos (Capital Humano.)

Es un concepto que remite a la productividad de los trabajadores en función de su formación y experiencia de trabajo. El mismo busca dar cuenta de distintas ventajas en términos de generación de valor considerando al aporte humano que se realiza en un mercado determinado. Por extensión, muchas veces se utiliza el término “capital humano” para dar cuenta de los recursos humanos que tiene una empresa, de sus competencias conjugadas que derivan en una mejora general en la producción.

 La gestión de Recursos Humanos.

Es la capacidad de mantener a la organización productiva, eficiente y eficaz, a partir del uso adecuado de su recurso humano. Procesos de la gestión Recursos Humanos se muestran a continuación.

1.             Selección.

2.             Evaluación del Desempeño

3.             Formación

4.             Promoción y finalización.

Diagnóstico de la situación actual.

Es la identificación, descripción y análisis evaluativo de la situación actual de la organización o del proceso en función de los resultados que se esperan y que fueron planteados en la misión. Es a la vez una mirada sistémica y contextual, retrospectiva y prospectiva, descriptiva y evaluativa.

Guía para elaborar un diagnóstico situacional

A)            Análisis de Fuerzas Competitivas

B)            Análisis FODA

C)            Factores Críticos de Éxito

D)            Identificación de Problemas.

 Análisis de las fuerzas competitivas

Para realizar una adecuado diagnóstico situacional estratégico y poder plantear nuestras estrategias, procederemos a responder las siguientes preguntas en relación con las fuerzas competitivas.

Análisis DOFA

el análisis DOFA (Debilidades, Oportunidades, Fortalezas y Amenazas) consiste en reunir información tanto del entorno como de la propia empresa, siendo su objetivo encontrar la mejor relación entre las tendencias que se perciben del entorno y el potencial propio de la empresa.

Factores críticos de éxito

Son aquellos aspectos que deben ir bien para que el «negocio» sea exitoso, y que si fallan pueden provocar el fracaso de la actividad institucional. Estos aspectos o factores pueden ser controlados por la Institución, y tiene que sobresalir en ellos para lograr una ventaja competitiva sostenible a largo plazo y un nivel de rentabilidad por sobre los estándares del Sector.

Identificación de problemas

Los problemas son aquellos aspectos que dificultan el logro de nuestros objetivos, que entorpecen el desenvolvimiento de las acciones u operaciones de una institución y que al ser identificados deben ser orientados a situaciones del ámbito general y que no correspondan solamente a un área, servicio, departamento o programa en particular.

 Control Interno

Es el establecimiento de los mecanismos y estándares de control que se adoptan en las empresas, a fin de ayudarse en la administración correcta de sus recursos, en la satisfacción de sus necesidades de seguridad, en la salvaguarda y protección de los activos institucionales, en la ejecución adecuada de sus funciones, actividades y operaciones, y en el registro correcto de sus operaciones contables y reportes de resultados financieros; todo ello para el mejor cumplimiento del objetivo institucional.

Tipos de Control Interno en TI.

Controles internos para la organización del área de informática

            Dirección

            División del trabajo

            Asignación de responsabilidad y autoridad

            Establecimiento de estándares y métodos

            Perfiles de puestos

Controles internos para el análisis, desarrollo e implementación de sistemas

            Análisis del sistema actual

            Diseño conceptual

            Diseño detallado

            Programación

            Pruebas y correcciones

            Documentación del sistema

            Capacitación de usuarios

            Implementación del sistema

            Liberación del sistema

            Mantenimiento

Controles internos para la operación del sistema

            Prevenir y corregir errores de operación

            Prevenir y evitar la manipulación fraudulenta de la información

            Implementar y mantener la seguridad en la operación

            Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución

Controles internos para los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados.

            Verificar la existencia y funcionamiento de los procedimientos de captura de datos.

            Comprobar que todos los datos sean debidamente procesados.

            Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos.

            Comprobar la suficiencia en la emisión de información.

Controles internos para la seguridad del área de sistemas

            Seguridad física

            Seguridad lógica

            Seguridad de las bases de datos

            Seguridad en la operación

            Seguridad del personal de informática

            Seguridad de las telecomunicaciones

            Seguridad en las redes

            Prevención de contingencias y riesgos

            Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas de sistematización

            Controles para la seguridad física del área de sistemas

            Controles para la seguridad lógica de los sistemas

            Controles para la seguridad de las bases de datos

            Controles para la seguridad en la operación de los sistemas computacionales

            Controles para la seguridad del personal de informática

            Controles para la seguridad en la telecomunicación de datos

            Controles para la seguridad en sistemas de redes y multiusuarios