UNIVERSIDAD TCNICA ESTATAL DE QUEVEDO

FACULTAD DE CIENCIAS DE LA INGENIERA

INGENIERA EN SISTEMAS
TEMA: CAPTULO XI: AUDITORA DE EXPLOTACIN
AUTORES
BURBANO WILLIAM
NUEZ GABRIEL
ROBALINO CRISTIAN
9NO SEMESTRE
DOCENTE
ING. EFRAN DAZ M.
2015 - 2016

AUDITORA DE EXPLOTACIN
1. INTRODUCCIN
El nivel de competencia que existe, hoy en da, entre las empresas les obliga a tomar decisiones rpidas y
acertadas. Es necesario, para ello, el funcionamiento adecuado de los sistemas de informticos (mediante
la incorporacin de las nuevas tecnologas) y su continua actualizacin. De esta forma, es decir,
combinando esas tecnologas con una adecuada organizacin y gestin eficiente, las empresas podrn
alcanzar sus objetivos de manera satisfactoria.
La auditora informtica peridica es uno de los instrumentos ms eficaces con que cuentan las empresas
para asegurar su existencia y superar a sus competidores. La deteccin oportuna de las debilidades del
sistema permite mejorarlo racionalizando los procesos.
En este artculo se pretende elaborar el esquema de un procedimiento para llevar cabo las auditorias de
la explotacin de los sistemas de informacin siguiendo la clasificacin de los controles que hace el
proyecto CobiT.

1.1. AUDITORA DE EXPLOTACIN

La Auditoria de explotacin es el control que se realiza sobre las funciones del Sistema de Informacin
para asegurar que las mismas se efecten de forma regular, ordenada y que satisfagan los requisitos
empresariales.

1.2. POR QU ES NECESARIA LA AUDITORA DE EXPLOTACIN?

El nivel de competencia que existe, hoy en da, entre las empresas les obliga a tomar decisiones rpidas y
acertadas. Es necesario, para ello el funcionamiento adecuado de los sistemas informticos (mediante la
incorporacin de las nuevas tecnologas) y su continua actualizacin.

1.3. OBJETIVOS DE LA AUDITORA DE EXPLOTACIN

Controlar los manuales de instrucciones y procedimientos de explotacin.

Controlar los inicios de los procesos y otra documentacin de funcionamiento.
Revisar la agenda de trabajo.
Verificar la continuidad del proceso.
Realizar controles sobre la explotacin remota.
Comprobar que en ningn caso los operadores acceden a documentacin de programas que no sea
la exclusiva para su explotacin.
Revisar que existen procedimientos que impidan que puedan correrse versiones de programas no
activos.
Verificar los procedimientos segn los cuales se incorporan nuevos programas a las libreras
productivas.
Examinar los lugares en donde se almacenan cintas y discos, as como la perfecta y visible
identificacin de estos medios.
Verificar los planes de mantenimiento preventivo de la instalacin.
Comprobar que existen normas escritas que regulen perfectamente todo lo relativo a copias de
seguridad: manejo, autorizacin de obtencin de datos, destruccin, etc.

2. SISTEMAS DE INFORMACIN
En un sentido amplio se puede considerar un Sistema de Informacin (SI) como un conjunto de
componentes que interactan para que la empresa pueda alcanzar sus objetivos satisfactoriamente.
Segn el proyecto CobiT los componentes o recursos de un SI son:

Datos: En general se consideran datos tanto los estructurados como los no estructurados, imgenes,
comidos, etc.
Aplicaciones: Se incluyen las aplicaciones manuelas y las informativas.
Tecnologas: El software y el hardware, los SO, los DBMS, los sistemas de red, etc.
Instalaciones: En ellas se ubican y se mantienen los sistemas de informacin.
Personal: Los conocimientos especficos que ha de tener el personal de los sistemas de informacin
para planificarlos, organizarlos, administrarlos y gestionarlos.

En estos recursos de los sistemas de informacin se ha de utilizar el Informe COSO de forma que permitan
eficacia en la empresa; que los datos financieros elaborados por su sistema de informacin: muestren una
imagen fiel de la misma y que la empresa cumpla la legislacin vigente. Por otra parte el sistema debe
asegurar la confidencialidad de sus datos, aspecto este ltimo contemplado en la legislacin vigente.

Para hacer el seguimiento y comprobar que el sistema de informacin est actuando como es preceptivo,
se habr de disponer un control interno que prevenga los eventos no deseados o en su defecto los detecte
y los corrija.
Es conveniente recordar que el resultado de la auditora parcial de un sistema de informacin no se puede
extrapolar al conjunto del sistema. El funcionamiento inadecuado de alguno (o algunos) de los procesos
y recursos que intervienen en otras partes del sistema (Subsistemas) puede invalidar el sistema de
informacin.
En el esquema que se adoptarn las normas de ISACA, as como otras normas de Auditora de Sistemas
de Informacin Generalmente Adaptadas y Aplicadas (NASIGAA).

3. CARTA DE ENCARGO
Las responsabilidades del trabajo de auditora deben quedar recogidas en un contrato o carta de encargo
antes de comenzar su realizacin (La Norma General #12 de ISACA Draft Standard #12 se refiere a este
aspectos slo en el caso de la auditora interna, pero tambin es de aplicacin a la auditora externa, como
queda de manifiesto en otros tipos de auditoras).
En este documento debe quedar reflejado de la forma ms clara posible, entre otros aspectos, cul ser
el alcance del trabajo del auditor.

4. PLANIFICACIN
Segn la Norma General #6 de ISACA las auditoras de los sistemas de informacin deben planificarse y
supervisarse para tener la seguridad de que los objetivos de las mismas se alcanzarn y se cumplen las
NASIGAA.
En la planificacin de la auditoria vamos a considerar 3 fases:

Planificacin Estratgica
Planificacin Administrativa
Planificaron Tcnica

4.1. PLANIFICACIN ESTRATGICA

Es una revisin global que permite conocer el SI y su control interno con la intencin de hacer una primera
evaluacin de riesgos. Segn los resultados de esa evaluacin se establecern los objetivos de la auditora
y se podr determinar su alcance y las pruebas que hayan de aplicarse, as como el momento de realizarlas.
Para llevar a cabo esta tarea es necesario conocer entre otros aspectos los siguientes:

Las caractersticas de los equipos informticos.

El/Los OS.
Caractersticas de los archivos o de las BDs.
La Organizacin de la Empresa.

Las Aplicaciones del SI de la empresa que se est auditando, estn en explotacin.

Sector donde opera la empresa.
Informacin comercial.

La informacin La informacin puede obtenerse:

Mediante entrevistas y confirmaciones

Con los responsables de la explotacin.

Con los responsables del plan de contingencias.
Con los usuarios.
Con los proveedores de Software y Hardware.

Inspeccionando documentos

Informes y papeles de auditoras anteriores.

Normas y procedimientos de la empresa.
Planes de contingencias.
Agendas de trabajo.
Contratos de mantenimiento con otras empresas.
Procedimientos de emergencia.
Instrucciones de seguridad fsica/lgica.

4.1.1.EVOLUCIN DE LOS CONTROLES INTERNOS

Es la funcin del auditor evaluar el nivel de control interno; tambin es de su responsabilidad juzgar si los
procedimientos establecidos son los adecuados para salvaguardar el sistema de informacin.
La natural y la extensin de los controles que requieren los sistemas de proceso de datos varan de
acuerdo con la clase de sistemas en uso
El informe COSO define el CONTROL como las normas, los procedimientos, las prcticas y las estructuras
organizativas diseadas para proporcionar seguridad razonable de que los objetivos de las empresas se
alcanzarn y que los eventos no deseas se prevern, se detectaran y se corregirn.
Para evaluar los controles es necesario buscar evidencia sobre:

La terminacin completa de todos los procesos

La separacin fsica y lgica de los programas fuentes y objetos y de la biblioteca de desarrollo, de
pruebas y de produccin
La existencia de normas y procedimientos para pasar los programas de una biblioteca a otra
Las estadsticas de funcionamiento, donde al menos se incluya:
o Capacidad y utilizacin del equipo central y de los perifricos
o Utilizacin de la memoria
o Utilizacin de las telecomunicaciones
Las normas del nivel de servicios de los proveedores
Los estandarte de funcionamiento interno

El mantenimiento y revisiones de los diarios de explotacin

La realizacin del manteamiento peridico de toso los equipos
La evidencia de la rotacin de los turnos de los operadores y de las vacaciones tomadas

Una forma de encontrar evidencias, como se comentaba en el punto anterior es mediante entrevistas;
para llevarlas a cabo se pueden elaborar cuestionarios o listas de comprobacin con el objetivo de no
olvidar detalles importantes. Es conveniente que los cuestionarios y las listas de comprobacin se
elaboren de tal manera que las respuestas negativas se infiera debilidad, posibilidad de riesgo.

4.1.2.ESTABLECIMIENTOS DE OBJETIVOS
En funcin de la importancia de los riesgos que se hayan detectado, el auditor establecer los objetivos
de la auditoria, cuya determinacin concreta permitir definir con claridad el alcance de la misma. Se
considera que el riesgo es la presentacin negativa de un objetivo de la auditoria. Si la oracin negativa
se transforma en oracin afirmativa, se tiene como resultado un objetivo de control.

4.2. PLANIFICACIN ADMINISTRATIVA

La planificacin administrativa no se debera hacer hasta haber concluido la planificacin estratgica. En
esta fase de la planificacin pueden surgir ciertos problemas para coincidir las fechas de trabajo del
personal de la empresa auditoria con otros clientes. As en esta etapa deben claros los siguientes aspectos.
Evidencia: En este punto se podr hacer una relacin con la documentacin disponible en la etapa anterior,
documentacin que se utilizara indicando el lugar donde se encuentra para que est a disposicin del
equipo de auditoria.

Personal: De que personal se va disponer, que conocimientos y experiencias son los ideales y si va a ser
necesarios o no contar con expertos, tanto personal de la empresa auditora como expertos externos.
Calendario: Establecer la fecha de comienzo y de finalizacin de la auditoria y determinar dnde se va a
realizar cada tara: en las dependencias del cliente o en las oficinas del auditor.
Coordinacin y cooperacin: Es conveniente que el auditor mantenga buenas relaciones con el auditado,
que se establezca, entre ambos, un nivel de cooperacin sin que deje de cumplirse el principio de
independencia y que se defina con claridad el interlocutor del cliente.

4.3. PLANIFICACIN TCNICA

En esta ltima fase se ha de elaborar el programa de trabajo. En la fase de planificacin estratgica se han
establecido los objetivos de la auditoria. En la fase de planificacin administrativa se han asignado los
recursos de personal, tiempo, etc. En esta fase de planificacin tcnica se indican los mtodos, los
procedimientos, las herramientas y las tcnicas que se utilizaran para alcanzar los objetivos de la auditoria.
El programa de auditoria debe ser flexible y abierto, de tal forma que se puedan ir introduciendo cambios
a medida que se vaya conociendo mejor el sistema. El programa y el resto de los papeles de trabajo son
propiedad del auditor. Este no tiene la obligacin de mustraselos a la empresa que se audita, debiendo
custodiarlos durante el plazo que marque la ley
Decirle a la planificacin el tiempo necesario permite evitar prdidas innecesarias de tiempo y de recursos.
E, Perry dice que la distribucin ideal del tiempo empleado en realizar una auditoria: un tercio en planificar,
un tercio en realizar el trabajo de campo y un tercio en hacer revisiones y en la elaboracin del informe o
de los informes.
Para el valorar el programa de trabajo se va a seguir la gua de auditora del proceso de gestin de la
explotacin. Ciertos aspectos de la explotacin de sistema de informacin pueden quedar al margen de
los procesos. Este debido a la clasificaron que hace el CobiT y que se ha comentado anteriormente. Seguro
que aquellos otros aspectos que el lector eche de menos quedan recogidos en otros procesos. Esta es,
pues una de los grandores ventajas que presenta la gua de CobiT, facilita la comunicacin en el sentido
de que podemos determinar con calidad el alcance de la auditoria.

5. REALIZACIN DEL TRABAJO

5.1. PRUEBAS DE CUMPLIMIENTO
Si se confirma que realmente no existen manuales, no se pueden hacer pruebas de cumplimiento, pues
las pruebas de cumplimiento consisten en comprobar que se estn cumpliendo las normas establecidas.
El objetivo de las pruebas de cumplimiento consiste en analizar el nivel de cumplimiento de las normas
de control que tiene establecidas el auditado. Se supone que esas normas de control establecidas son
eficientes y efectivas.

5.2. PRUEBAS SUSTANTIVAS

Este tipo de pruebas se realizan cuando no existen normas o manuales, por lo cual es necesario realizar
clculos y utilizar tcnicas para comprender y evaluar los riesgos.
El objetivo de las pruebas sustantivas consiste en realizar las pruebas necesarias sobre los datos para que
proporcionen la suficiente seguridad a la direccin sobre si se ha alcanzado su objetivo empresarial.
Habr que realizar el mximo nmero de pruebas sustantivas si:

No existen instrumentos de medida de los controles.

Los instrumentos de medida que existen se considera que no son los adecuados.
Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han
aplicado de manera consistente y continua.

6. REALIZACIN DEL TRABAJO - PROCEDIMIENTOS

Consiste en llevar a cabo las pruebas de cumplimiento sustantivas que se han planificado para poder
alcanzar los objetivos de la auditora.
Objetivo General
Para el caso de la auditora de la explotacin hemos seguido las recomendaciones que se incluyen en la
Gua del Proyecto COBIT.
As el objetivo general de la auditora consistira en asegurarse de que las funciones que sirven de apoyo
a las Tecnologas de la informacin se realizan con regularidad, de forma ordenada, y satisfacen los
requisitos empresariales
Objetivos Especficos
Para alcanzar el objetivo general, se puede dividir ese objetivo en diversos objetivos especficos sobre los
que se realizarn en las pruebas oportunas para asegurarse de que el objetivo general se alcanzara.
Tal y como podemos ver en el siguiente ejemplo:

El esquema de Trabajo, para cada uno de los objetivos es el siguiente:

Comprender las tareas, las actividades del proceso que se est auditando.
Determinar si son o no apropiados los controles que estn instalados
Hacer pruebas de cumplimiento para determinar si los controles que estn instalados funcionan segn
lo establecido, de manera consistente y continua
Hacer pruebas sustantivas para aquellos objetivos de control cuyo buen funcionamiento con las
pruebas de cumplimiento no nos han satisfecho
Habr que realizar el mximo nmero de pruebas sustantivas si:
o No existen instrumentos de medida de los controles.
o Los instrumentos de medida que existen se considera que no son los adecuados
o Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se
han aplicado de manera consistente y continua.

7. INFORMES
Una vez realizadas todas estas fases, un auditor est en condiciones de emitir un informe en el que
exprese su opinin de los resultados observados.
Existen 4 tipos de opiniones bsicas que son generalmente aceptadas en la auditora y son las siguientes:

Favorable
Desfavorable
Con salvedades
Denegacin de Opinin

Favorable: Es cuando se concluye que el sistema es satisfactorio, es decir, que en nuestra opinin el
servicio de explotacin y funciones que sirven de apoyo a las tecnologas de informacin se realizan
con regularidad, de forma ordenada y satisfacen los requisitos empresariales.

Desfavorable: Es cuando se concluye que el sistema es un desastre, es decir que segn nuestra opinin
dad la importancia de los efectos de las salvedades que deben estar comentados en el informe, el
servicio de explotacin y funciones que sirven de apoyo a las tecnologas de informacin NO se
realizan con regularidad, NI de forma ordenada y NO satisfacen los requisitos empresariales (Las
salvedades son las excepciones particulares que el auditor realiza sobre una o ms de las afirmaciones
genricas del dictamen estndar, normal o no calificado).

Con salvedades: Es cuando el sistema es vlido pero tiene unos fallos que no lo invalidan, es decir,
declarando que exceptuando los efectos de las salvedades que deben estar debidamente
documentadas en el informe, el servicio de explotacin y las funciones que sirven de apoyo a las
tecnologas de informacin se realizan con regularidad, de forma ordenada y satisfacen los requisitos
de la empresa, adems en un documento debemos mencionar las recomendaciones oportunas para
mejorar el sistema.

Denegacin de Opinin: Es cuando el auditor no tiene suficientes elementos de juicio para poder
opinar adecuadamente, es decir, en el caso de que las salvedades impidan hacer una opinin del
servicio de explotacin, ya sea por falta de informacin o por no haber tenido acceso a ella por los
motivos que fueren, pero siempre ajenos a nuestra voluntad y no obstante, haber intentado hacer
pruebas alternativas, el auditor denegar su opinin.

8. RECOMENDACIONES
En el caso de que el auditor durante la realizacin de la auditora detecte debilidades, ste debe
comunicarlas al auditado con la mayor prontitud posible.
Un esquema generalmente aceptado de cmo presentar las debilidades es el siguiente:

Describir la debilidad.
Indicar el criterio o instrumento de medida que se ha utilizado.

Indicar los efectos que puede tener en el sistema de informacin.

Describir la recomendacin con la que esa debilidad se podra eliminar.

9. CONCLUSIONES
La situacin de haber investigado sobre todo lo referente a Auditora de Explotacin y de Aplicaciones,
nos ha permitido conocer y tomar an ms conciencia de la necesidad de efectuar controles a los Sistemas
de Informacin y a las Aplicaciones.
Esta necesidad surge de la creciente importancia asignada a los mismos como ayuda imprescindible en el
desarrollo de los procesos de negocio aportando conocimiento que apoye la correcta toma de decisiones.
Debido a esto tiene gran importancia la Auditora (desarrollada en este trabajo) como garante del
correcto cumplimiento de las funciones desarrolladas por los Sistemas y aplicaciones.
Terminaremos diciendo que la labor del auditor informtico es esencial para garantizar la adecuacin de
los sistemas informticos: para ello el auditor debe realizar su trabajo atenindose a las Normas de
Auditora aceptadas y aplicables como requisito necesario que asegure la calidad del trabajo realizado.

10. BIBLIOGRAFA
Documento extrado de la Universidad Tecnolgica Nacional Facultad Regional Crdoba
ftp://bbs.frc.utn.edu.ar/UTNFC/Catedras/AuditoriaDeSistemas/AUDITORIA_EXPLOTACION_Y_APLICACI
ONES_2003.doc
Libro: Auditora Informtica Un Enfoque Prctico 2da Edicin Ampliada y Revisada, Autor: Mario C.
Piattini y Emilio del Peso