Controles informativos Maribel Borquez Ayavire Ayavire Auditoria de Sistemas Instituto IACC 13/06/201
Desarrollo 1) Considere la siguiente definición de alcance y objetivos de una auditoría: El alcance de la auditoría consistirá en la revisión de controles y procesos relacionados con los proveedores de servicios de TI !os controles" actividades y docu#entos para nuestra revisión se detallan a continuación: $olíticas y procedi#ientos de proveedores de servicios de TI !evanta#iento de todos los proveedores de servicios de TI %evisión de contratos de proveedores de servicios de TI %evisión de los procedi#ientos de evaluación de los proveedores de servicios de TI Evaluación de los controles sobre los proveedores de servicios de TI &seguridad de la infor#ación y continuidad de operaciones) %evisión de reportes enviados por los proveedores de servicios de TI a la 'd#inistración respecto al cu#pli#iento de sus (!' &(ervice !evel 'gree#ents) De acuerdo a lo indicado anterior#ente" indiue u* tipo de auditoría infor#ática se está aplicando +ustifiue su respuesta
Se est! a"li#ando la auditoría de gestión ya que se realiza un e$amen sistem!ti#o de las de#isiones y a##iones de la administra#i%n "ara analizar el rendimiento& Se eval'a la revisi%n de los as"e#tos de (esti%n) #omo el ob*etivo or(aniza#ional) las "ol+ti#as y "ro#edimientos de "roveedores) tambi,n el sistema de #ontrol que "ermite #om"robar la efi#a#ia o rendimiento de la (esti%n de las a#tividades dentro de la #om"a-+a& .entro de esta auditoria se ve lo si(uiente
stable#er el (rado en que el ente y sus "roveedores an #um"lido ade#uadamente los
deberes y atribu#iones que les an asi(nado& .eterminar si los ob*etivos y metas "ro"uestas en la entidad an sido lo(rados& Com"arar la ade#uada utiliza#i%n de los re#ursos de la entidad& .eterminar si es ade#uada la or(aniza#i%n de la entidad& mitir una o"ini%n a trav,s de un informe sobre la (esti%n realizada "or una entidad&
or eso la auditor+a de 4esti%n es una evalua#i%n de los m,todos y las "ol+ti#as de (esti%n de una or(aniza#i%n en la administra#i%n y el uso de los re#ursos) la "lanifi#a#i%n t!#ti#a y estrat,(i#a) y los em"leados y me*ora de la or(aniza#i%n& Auditor+a de (esti%n se lleva a #abo (eneralmente "or el em"leado de la em"resa o "or el inde"endiente #onsultor y se #entr% en la evalua#i%n #r+ti#a de la (esti%n en equi"o en lu(ar de valora#i%n del individuo&
,) ' trav*s de un cuadro e-plicativo" se.ale , se#ejan/as y , diferencias entre la auditoría infor#ática y la auditoría general &financiera" operativa)
.iferen#ias
Auditoria Inform!ti#a 9a auditor+a inform!ti#a es
Auditor+a 4eneral 5inan#iera) 7"erativa8
una "arte fundamental de
razonabilidad de la informa#i%n
la Se(uridad
"resentada en los estados
Com"uta#ional que
finan#ieros el informe est! basado
"ermite medir y #ontrolar
en los "rin#i"ios #ontables y
ries(os inform!ti#os que
"resu"uestarios (eneralmente
"ueden ser a"rove#ados
a#e"tados) las o"iniones del auditor
"or "ersonas o sistemas
son f!#ilmente "revisibles y muy
a*enos a nuestra or(aniza#i%n o que no deben tener a##eso a
nuestros datos& Su ob*etivo es evaluar la totalidad de lo involu#rado inform!ti#a) or(aniza#i%n de #entros de informa#i%n) ard:are y soft:are&
Se en#ar(a de revisar la
breves& l auditor no formula) en (eneral) re#omenda#iones sobre la (esti%n de la em"resa) y si lo a#e) tales re#omenda#iones no se #ontienen en el #uer"o del informe o son de al#an#e limitado y s%lo se refieren a la (esti%n #ontable "resu"uestaria y de #um"limiento le(al) no #onsider!ndose #omo la base del
informe& Seme*anzas
Se "uede de#ir que las dos auditor+as a#en el uso efi#iente de re#ursos "ara que so"ortan los ob*etivos y metas de la or(aniza#i%n "ara as+
"rote(er ade#uadamente los a#tivos de la em"resa& ;anto la auditor+a finan#iera #omo la auditor+a inform!ti#a requieren que los sistemas inform!ti#os a"li#ados est,n de a#orde a las ne#esidades de la or(aniza#i%n lo #ual "ermitir! mantener un #ontrol ade#uado de la informa#i%n e#on%mi#afinan#iera de la em"resa&
0) Considere los siguientes enunciados: !a política definida por la dirección de infor#ática establece ue todo usuario de la e#presa" ue tenga acceso a los siste#as infor#áticos ue son e-plotados por la #is#a" deberán reali/ar ca#bios periódicos de sus claves de acceso2 !a política de seguridad de la co#pa.ía establece la utili/ación de soft3are de control de acceso ue per#ita ue solo el personal autori/ado tenga acceso a arc4ivos con infor#ación crítica2 El instructivo de funciona#iento de la e#presa Co#pus !i#itada deter#ina ue el ad#inistrador de base de datos es el encargado de reali/ar los respaldos de todas las bases en el a#biente productivo" del tipo incre#ental una ve/ por día" y del tipo full una ve/ a la se#ana2 De acuerdo a lo estudiado" indiue a u* tipo de control corresponden &predictivo" detectivo" correctivo) los procesos descritos en los puntos a" b y c %econo/ca las características presentes en cada párrafo ue justifiuen su elección
1& Controles "reventivos el instru#tivo de fun#ionamiento de la em"resa Com"us limitada determina que el administrador de base de datos es el en#ar(ado de realizar los res"aldos de todas las base en el ambiente "rodu#tivo) el ti"o de in#remental una vez "or d+a) y del ti"o full una vez a la semana& .ete#tan los "roblemas antes que a"arez#an) "or ende realizan res"aldo de la informa#i%n diariamente y semanalmente) "ara as+ no "erder informa#i%n "or #ualquier "roblema a nivel soft:are y /o
5) Considere el siguiente 4alla/go de auditoría: (e observan cuentas activas de usuarios en el siste#a ('$ pertenecientes a personal desvinculado de la co#pa.ía2 67u* #edidas de
control interno deberían aplicarse para corregir la situación planteada8 9unda#ente su respuesta
.ebemos tener en #laro que es un allaz(o de auditoria) son e#os o situa#iones que denotan im"ortan#ia "or la forma #omo se re"er#uten en la administra#i%n) estos allaz(os "ueden ser tanto "ositivo #omo tambi,n ne(ativo& 9os allaz(os "ositivos) son e#os) as"e#tos buenos) 'tiles) #onvenientes o desta#ables de la or(aniza#i%n) en #ambio los allaz(os ne(ativos) son errores) defi#ien#ias o e#os irre(ulares) in#onvenientes) "er*udi#iales) no#ivos en el fun#ionamiento de la or(aniza#i%n) #ontrarios a los "rin#i"ios de la em"resa& artes del allaz(o son eviden#ia que en#uentra el auditor sobre un allaz(o el #ual debe ser or(anizada de manera que #onten(a los #uatros atributos del allaz(o de auditoria) los #uales son #ondi#i%n #riterio) #ausa y efe#to& Condi#i%n es lo que es) lo que su#edi%) esto quiere de#ir que #omuni#a los e#os que el
auditor en#ontr% e indi#a que se #um"li% #on las normas requeridas& l ob*eto es determinar el ti"o de eviden#ia que se re#o(er! de manera que esta "ueda servir de base "ara afirmar #ualquier e#o&
Criterio Se refiere a las normas estandarizadas #on la #ual se eval'a la situa#i%n) tales #omo
los re(lamentos) "ro#edimientos) #ontratos) #onvenios) instru#tivo) normas de #ontrol) et#& Causa Se des#ribe la raz%n fundamental "or la #ual o#urri% la situa#i%n) #omo "orque su#edi%)
#omo su#edi%) es lo que motiva el #um"limiento del #riterio& 9a determina#i%n de la #ausa ayuda al auditor a desarrollar las re#omenda#iones de manera que sean efe#tivas "ara las faltas y no se vuelvan a re"etir& fe#to Se refiere al resultado observable o la #onse#uen#ia de no aber #um"lido #on uno o
m!s #riterio y lo que a ello a si(nifi#ado "ara la institu#i%n& Si la situa#i%n e$aminada no tiene
efe#to ne(ativo reales o "oten#iales sobre los ob*etivos "ro(ramados) no ay allaz(os& n o#asiones no se "uede #orroborar os efe#tos "asados) "ero se "uede identifi#ar futuros efe#tos "oten#iales& Si se identifi#a al('n efe#to "oten#ial) el auditor realizara los "ro#edimientos ne#esarios "ara determinar s se in#urri% en errores) irre(ularidades o a#tos ile(ales& 9os efe#tos sirven tambi,n "ara #onven#er a la entidad auditada de la ne#esidad de tomar medidas "ara im"lantar las re#omenda#iones formuladas al res"e#to& 9o rimero que se deber+a realizar es) bloquear al usuario andes de desvin#ular a la "ersona de la em"resa) des"u,s de realizar la desvin#ula#i%n se deber! eliminar la #uenta) si nin(una de estas eta"as fueron realizadas "or las "ersonas "ertinentes) se deber! realizar una revisi%n tanto a la "ro#eso de desvin#ula#i%n de las "ersonas) #omo el "ro#eso de informar o"ortunamente a las "ersonas en#ar(adas de estas #uentas) adem!s se deber! realizar una ins"e##i%n de los "ro#edimientos a"li#ados a este tema) de en#ontrar desvia#iones en la auditoria a realizar se deber! realizar modifi#a#iones)
#a"a#ita#iones e
im"lementar
una
desvin#ula#iones futuras en la em"resa&
ibliografía
C7=;=I.7S SMA=A 1 A9A;A7>MA ?I>;@A9 ii"edia& Auditor+a Inform!ti#a& .is"onible en tt"s//es&:ii"edia&or(/:ii/AuditorC3A.aDinformC3A1ti#a
"ol+ti#a "ara las