El segundo componente físico o hardware comprende aquellos elementos físicos que intervienen en
el sistema de información que comprenden los registros físicos, los periféricos y el ordenador
central.
En estos últimos ( hardware ) se incide en auditoría sobre la salvaguarda de activos, esto es, tipos de
custodia o requerimientos que comprenden todos los elementos físicos integrantes del sistema de
información.
Existe una referencia entre el componente lógico y el físico. A nosotros nos interesa el sistema de
información:
1)
los campos que toma
2)
Si el componente físico es adecuado con el soporte lógico que se quiere tener
Nos interesa como se diseñan los componentes lógicos. El ratio que se exige es menor grado de
memoria para la mayor información posible
CONCEPTO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
A modo introductorio podemos afirmar que la A.S.I. es aquella auditoría que se realiza sobre los
entornos de tecnologías de la información, trasladando el papel de las revisiones tradicionales sobre
estados financieros a los activos de hardware, software y elementos de comunicación que utilizan
las organizaciones para el tratamiento informático.
Para la asociación de contables americanos es el proceso sistemático de obtención objetiva y
evaluación de evidencias relativas a las declaraciones realizadas sobre sistemas informáticos y
eventos ( situaciones no habituales ), para averiguar el grado de correspondencia entre las
declaraciones y los criterios establecidos y comunicar los resultados a las personas interesadas.
Por otra parte, según Ron Weber, es el proceso de recolección y evaluación de evidencias utilizadas
para determinar cuando un sistema informático salvaguarda sus activos, mantiene la integridad de
sus datos, ejecuta eficazmente los objetivos marcados por la organización con efectividad y
consume los recursos eficientemente
Los aspectos comunes a todas las definiciones son:
1)
Examen metódico: dado que es del todo imprescindible para proceder a evaluar y verificar
con éxito el servicio objeto de estudio seguir un plan de trabajo sistematizado que permita
llegar a conclusiones fundametnales. Normalmente esa actuación se realiza mediante el
contraste de ficheros, tomando como una base un campo de referencia. Así se puede
comparar un fichero de ventas con un fichero de gestión de almacén utilizando un único
código de transacción.
2)
Puntual y discontinuo: puntual o auditoría de corte, ya que la misma se hace sin un previo
calendario y es discontinua en aras de buscar la independencia de quien la ejecuta respecto
de la empresa
3)
Verificación y evaluación de los entornos informáticos: y no únicamente revisión, esto
es, la A.S.I. recoge el hecho de aportar valor añadido asesorando y proponiendo mejoras
sobre evidencia y puntos débiles.
4)
La A.S.I. está destinada a mejorar la seguridad, eficacia, eficiencia y rentabilidad del
entorno informático de la empresa.
5)
La A.S.I. permite establecer una opinión objetiva fundada en evidencias encontradas.
2 OBJETIVOS DE LA A.S.I.
Existe un acuerdo unánime sobre los objetivos que se deben establecer en auditoría para los
sistemas de información ya que se abarca todo el entorno informático de la organización, que
comprende desde el centro de proceso de datos hasta cualquier tipo de comunicación o redes que se
implanten en un entorno físico.
Los bienes informáticos comprenden elementos materiales y elementos lógicos. Cuando éstos son
adquiridos en el mercado no presenta ninguna dificultad su valoración, ahora bien, dado que la
empresa puede necesitar aplicaciones puntuales los departamentos de informático generan
programas de gestión que constituyen los denominados activos intangibles.
Factor determinante para el establecimiento de los objetivos perseguidos por el auditor pueden ser:
1)
Características de la organización objeto de estudio
2)
Características del departamento de informática a auditar
3)
Limitaciones técnicas del auditor
4)
Determinar el nivel de riesgo aparente del sistema o instalación a auditar
5)
Identificar las áreas críticas de control en las que se detecten unos mayores índices de riesgo
6)
Definir objetivos y alcance del trabajo a auditar
Considerados estos factores podemos clasificar los objetivos que se persiguen con la A.S.I. en las
siguientes categorías:
a)
Aquellos que colaboran a la mejora de la eficacia de la organización informática y
protección de sus activos y recursos, ocmo por ejemplo evaluación de los códigos de
acceso
b)
Aquellos objetivos que permitan garantizar que los sistemas de información
produzcan resultados fiables en un plazo y coste aceptable y que satisfagan las
necesidades de los usuarios
c)
Aquellos que van destinados a mejorar los procedimientos, estandares y
planificación, colaborando en su diseño y en la actualización de sus normas, esto es,
no solo debe garantizarse la efectividad del sistema ( el logro de sus objetivos ) sino
también su eficiencia, es el que consume la mínima cantidad de recursos para
conseguirlos.
3 DESARROLLO DE UNA AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Las fases de una A.S.I son
1)
Toma de contacto
2)
Planificación de la operación
3)
Desarrollo de la auditoría
4)
Síntesis y diagnóstico
5)
Presentación de conclusiones
6)
Redacción de informe y formación del plan de mejoras
1.
Toma de contacto: comprende un análisis inicial que tiene que ver con la
organización global de la empresa y también comprende el estudio sobre la estructura
organizativa a nivel jerárquico y formal del departamento de sistemas de información.
Posteriormente se procede a conocer con más profundidad o detalle la estructura
organizativa de la empresa a través de los denominados papeles de trabajo que
comprenden las entrevistas y cuestionarios que se formulan para la comprensión de la
organización
2.
Planificación de la operación: detalle, aspectos relevantes que van a ser considerados
en la realización de la auditoría, como por ejemplo áreas que cubrirá el estudio,
objetivos esperados de la auditoría, forma en que se llevará a cabo la auditoría,
personas que colaborarán en el desarrollo de la auditoría y en que no intervendrán y
documentación a reunir ( estadísticas, manuales de procedimiento, etc
3.
Desarrollo de la auditoría: se evalúa los aspectos contemplados en la fase anterior y
los temas específicamente analizados de esta fase serán:
-
El entorno informático
-
Los aspectos referidos al grado de utilización y satisfacción de los
diferentes usuarios que menejan las aplicaciones
4.
Síntesis y desarrollo: como su nombre indica se procede a analizar e interpretar la
información obtenida en las fases anteriores. En esta etapa se pretende poner en
evidencia los puntos débiles y fuertes del sistema, los riesgos eventuales, las posibles
mejoras y las soluciones posibles a alcanzar ( análisis coste beneficio)
5.
Presentación de las conclusiones: debe efectuarse mediante: Hechos constatados,
esto es, las conclusiones deben estar argumentadas, probadas y documentadas evitando
su posible refutación. Proposiciones realistas y constructivas. Análisis coste beneficio
6.
Redacción del informe y formación del plan de mejoras: en este sentido el informe
final de auditoria constituye el documento que expresa el juicio emitido por el auditor
y la única referencia oficial. El informe de auditoría debe estar estructurado de la
siguiente forma:
a)
Carta de presentación, esto es, resumen-conclusión del trabajo de auditoría
b)
Introducción al informe donde se expone los objetivos evaluados, condiciones en que
se ha desarrollado la auditoría y resumen de observaciones y recomendaciones
c)
Principales observaciones, en ellas se deben reflejan el detalle de las observaciones
realizadas y las deficiencias constatadas de acuerdo con los siguientes criterios:
Descripción exacta, convincente y no repetitiva de las deficiencias. Consecuencias y
repercusiones predecibles y breve recomendación del auditor
d)
Recomendaciones y plan de acción-mejoras: el plan de mejoras normalmente se
puede contemplar en 3 plazos: A corto plazo con mejoras que supongan pequeña
inversión en tiempo y dinero. A medio plazo: implantación de aplicaciones que
exigen una mayor inversión en tiempo y dinero y a largo plazo, consideraciones que
afectan a políticas o reorganizaciones estructurales
4 APLICACIONES DE LA A.S.I.
La auditoría de la A.S.I. se pueden desarrolalr en las siguientes áreas diferenciadas:
1)
Auditoría de la seguridad física y logística: tiene que ver con el principio de la auditoría
interna, denominado salvaguarda de activos que comprende: La auditoría del entorno físico,
esto es, análisis de la adecuación de las instalaciones, salvaguarda ante un posible fuego o
inundaciones, acceso físico al hardware, pólizas de seguir, etc. La auditoría de la seguridad
lógica que pretende la salvaguarda en dos aspectos: la acreditación de los usuarios y el
secreto de archivos y transacciones
2)
Auditoría de la planificación: está dirigida a los 3 niveles básicos de la estructura de las
organizaciones y en consecuencia a satisfacer sus necesidades de información o bien para la
toma de decisiones o bien para realizar materialmente estas últimas
3)
Auditoría de la organización y gestión del proceso de datos: pretende adecuar la
organización y gestión del centro de procesos de datos a las estructuras organizativas de
gestión y procedimientos existentes en una empresa
4)
Auditoría de explotación: persigue examinar los procedimientos seguidos en el
departamento del proceso de datos en su operatividad diaria, como por ejemplo control
sobre la ejecución de programas y su almacenamiento.
5)
Auditoría dedicada al entorno hardware y software: se persigue garantizar un eficiente
funcionamiento y utilidad del ordenador garantizando su continuidad en el tiempo
TEMA 7 AUDITORÍA DE RECURSOS HUMANOS
1 INTRODUCCIÓN
La evaluación de los Recursos humanos hace referencia a los 3 objetivos que se evaluan ( persiguen
) en el control interno: el operativo que comprende ratios de gestión con el objeto de obtener la
eficacia y eficiencia de este factor, objetivos financieros que persiguen un control financieros
contable respecto de las cuentas que intervienen para valora reste componente, y el objetivo de
cumplimiento que persigue determinar si se cumplen o no las normas legales y de dirección que
afectan al personal.
2 MARCO DE ACTUACIÓN
En la auditoría del factor humano se evalúan los siguientes objetivos:
1)
Determinar el ciclo de personal y nóminas y los documentos y registros, funciones y
controles internos pertinentes
2)
Diseñar y desarrollar pruebas de cumplimiento y controles y pruebas sustantivas de
transacciones para el ciclo de nóminas y de personal
3)
Diseñar y desarrollar procedimientos de análisis para el ciclo de nóminas y personal que
comprende o se asimila con el objetivo operativo en sentido estricto
4)
Diseñar y desarrollar pruebas de detalles de saldos para cuentas en el ciclo de nóminas y
personal
El ciclo de nóminas y personal comienza con la contratación del personal y termina con el pago a
los empleados y al gobierno y otras instituciones por los servicios prestados. En este sentido la
emisión y tareas de la función de personal se centra en:
1)
gestionar los recursos humanos, esto es, procurar a la empresa el personal necesario para
poder alcanzar sus objetivos de actividad a corto y medio plazo
2)
Satisfacer las necesidades tanto materiales como morales de las diferentes categorías de
personal
3)
Desarrollar las competencias individuales y colectivas
4)
Conseguir un buen clima social
Portal para Investigadores y Profesionales
Facebook 
Del.icio.us 
Mister Wong