		Universidad de Yacambú Maestría: Gerencia de las Finanzas y de los Negocios				Sistemas de Información Gerencial
Inicio	Reglas		Infografía		Preguntas		Dinámicas	Respuestas	Evaluación	Bitácora
Infografía
Oswaldo Zambrano				Concepto. Tipos. Evolución.
Introducción. A finales del siglo XX, los Sistemas Informáticos se constituyeron en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. La evolución tecnológica hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la tecnología no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria" como sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas. El concepto de auditoria es mucho más que esto. La Auditoria en los Sistemas de Información. La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. De todo esto sacamos como deducción que la auditoria es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas. A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditoria de Sistemas es: · La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. · La actividad dirigida a verificar y juzgar información. · El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. · Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a: o Eficiencia en el uso de los recursos informáticos o Validez de la información o Efectividad de los controles establecidos INFOGRAFÍA http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml El Ingeniero Alice Naranjo S., estudiante de la Facultad de Filosofía-Especialidad Informática, en Guayaquil-Ecuador, nos presenta el Desarrollo de un trabajo bastante completo, titulado: “Conceptos de la Auditoría de Sistemas”, en donde encontrarán más que los simples conceptos del tema, ya que va más allá de tocar simplemente el tema. http://www.histaintl.com/soluciones/configuracion.htm En esta página podrán ubicar todo lo referente a la Gestión de Configuración de los Softwares, las definiciones básicas del tema, aspectos funcionales, y algunas soluciones que se brindan para dicha gestión. http://www.ccss.sa.cr/auditoria/aud012.htm Este espacio está dedicado al Congreso Interamericano de Contaduría Publica "Reingeniería de la Contaduría Pública ante los retos del nuevo milenio", dictado en San José, Costa Rica, del 4 - 6 de junio, 1997. En este congreso se trató el tema de la Auditoria en Sistemas de Información: “el Nuevo Concepto”, la charla estuvo a cargo del conferencista: Lic. Sergio Espinoza. http://html.rincondelvago.com/auditoria-de-los-sistemas-de-informacion.html# Sencillo pero completo trabajo que habla acerca de Auditoría de Sistemas de Información realizado por Margarita Lenz, en España. En él encontrarán las definiciones básicas del tema. http://usuarios.lycos.es/imoyasevich/a_ing/temas/auditoria_informatica.htm Para comenzar a plantear la definición y los conceptos de la Auditoria de Sistemas e Informática, debemos posicionarnos en ¿Que es AUDITORIA?, El término de Auditoría mucha veces se ha empleado incorrectamente y con frecuencia solo se le considera como una evaluación cuyo único fin es detectar errores y señalar fallas. Pero la auditoría y el control va mas allá de detectar fallas. La palabra auditoría proviene del latín auditorius, y de ella se deriva la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. http://www.auditoriasistemas.com/auditoria_de_sistemas.htm El objetivo de la Auditoría de sistemas informáticos el de evaluar la eficiencia y eficacia con que se está operando para que se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. http://www.monografias.com/trabajos/maudisist/maudisist.shtml Interesante Trabajo donde se plantea cómo llevar a cabo el desarrollo de un Manual de Auditoría de Sistemas. Explican que para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. http://www.oocities.org/lsialer/NotasInteresantes1.htm Procedimientos y Técnicas de auditoria: Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia.
Maryeli Argüello				Revisión de la Eficacia y Eficiencia.
En administración y en negocios, existen 2 términos que en muchas ocasiones son frecuentemente confundidos por la gente de negocios y por el público en general: eficacia y eficiencia. La eficacia tiene que ver con resultados, está relacionada con lograr los objetivos. La eficiencia, en cambio, se enfoca a los recursos, a utilizarlos de la mejor manera posible. ¿Se puede ser eficiente sin ser eficaz? ¿Qué tal ser eficaz sin ser eficiente? La respuesta a ambas interrogantes es afirmativa. En la medida que adecuemos al máximo la relación entre el resultado alcanzado y los recursos utilizados, nuestra organización será más competitiva Lo ideal es ser eficiente y eficaz para poder ser productivos: Eficiencia + Eficacia = Productividad *Un ejemplo:* Un piloto de avión con 10 años de experiencia, vuela siempre desde Chicago, Illinois en los Estados Unidos hacia Guadalajara, Jalisco, México, en un tiempo de 3 horas y 40 minutos. Siempre puntual, sabe que el tiempo y la seguridad de los usuarios de la línea aérea para la cual trabaja, son más que esenciales, con ellos no se juega. Sin embargo, una mañana amanece desvelado, cansado y llega tarde al trabajo. Tiene la misma ruta: Chicago – Guadalajara, pero el avion que pilotea sale con 30 minutos de retraso. Con sus años de experiencia, sabe todo acerca de la nave que tripula, por lo tanto, decide incrementar la velocidad del avión tratando de avanzar mas rápido y “recuperar” el tiempo de retraso. Al final lo logra: su avión aterriza en el Aeropuerto Internacional Miguel Hidalgo de Guadalajara 5 minutos después de la hora en que era esperado inicialmente. La pregunta es: el piloto fue eficiente o eficaz? ¿El piloto? Ciertamente logró llegar a tiempo a su destino (alcanzó su objetivo, por lo tanto fue eficaz) pero no utilizó de la mejor manera posible los recursos con que disponía: tiempo, avión, combustible (incrementó la velocidad del avión poniendo en riesgo a todos los pasajeros (fue ineficiente). *Otro ejemplo de estudio: La Fármaco epidemiología como base científica para alcanzar un uso racional de los medicamentos en el sistema sanitario cubano. http://www.cdf.sld.cu/laFE.htm Existen muchas organizaciones que cuentan con una gran cantidad de recursos: humanos, financieros, tecnológicos, de conocimientos, logísticos; sin embargo, por más que se esfuerzan no logran alcanzar sus objetivos. Utilizan de la mejor manera posible sus recursos pero fracasan en la consecución de sus objetivos. Otros derrochan lastimosamente sus recursos y aún así logran llegar alcanzar su objetivo. Los menos, son los que aprovechan al máximo los recursos con que cuentan y otros, aun con pocos recursos, los aplican bien y logran resultados fabulosos, logran ser productivos. Las normas.* Cumplimiento de la normativa. Toda empresa debe comprometerse a acatar la legislación y las normativas de los países, estados y municipios también las internas en los que desarrolle sus producción o servicios. Asimismo, se compromete a tratar exclusivamente con proveedores que cumplan con las condiciones laborales sobre el empleo de menores conforme a las normativas locales. Según estipula la normativa de la empresas, interrumpir cualquier relación comercial con los proveedores o clientes que no cumplan las condiciones laborales sobre el empleo de menores según las normativas locales y denunciará tales actividades a las autoridades correspondientes. Mantener una estrecha colaboración con las fuerzas y cuerpos de seguridad, a los que prestan toda la ayuda posible en la lucha contra la corrupción. En caso de contradicción legal entre las diferentes legislaciones nacionales, deberán consultar a las autoridades que les competen. Tomar muy en serio el cumplimiento de la legislación local es prioridad. Contar con los controles necesarios para garantizar el cumplimiento eficaz de normativa por parte de los empleados. Normas Legales. Existen muchas razones por las que una compañía requiere de una auditoria legal, como es un acontecimiento en particular, como una imputación o sospecha de mala conducta de parte de los empleados o la gerencia; cambios en la cúpula gerencial o de otro personal clave; una propuesta de fusión o absorción de otra empresa; dación de una nueva legislación que resulta significativa, o la aprobación de nuevos reglamentos gubernamentales; inicio de una investigación o proceso por parte del gobierno; una demanda en contra de la empresa; pérdida real o muy probable, causada por un riesgo legal previamente no percibido, etc.. Sin embargo, la mayoría de las auditorias legales, deben ser conducidas en el curso ordinario de los negocios como parte de un programa efectivo de abogacía preventiva, cuyas evaluaciones de rutina tienen por lo regular como objetivos entre otros, el desarrollar o afinar normas legales para las operaciones de la compañía en el país o en el extranjero, tomando en cuenta las leyes o reglamentos aplicables, u otras consideraciones políticas, éticas, o económicas; verificar tanto el cumplimiento de las normas legales aplicables, como el cumplimiento de las políticas de la empresa; identificar las áreas en las cuales la compañía esta expuesta a riesgos legales innecesarios, lo que requiere de una evaluación cualitativa de la estructura, políticas, procedimientos, contratos y demás documentación legal de la empresa. Recomienda medidas correctivas para reducir o eliminar los riesgos. Normas Técnicas Venezolanas COVENIN de Obligatorio Cumplimiento. El Ministerio de la Producción y el Comercio por órgano del Servicio Autónomo Nacional de Normalización, Calidad, Metrología y Reglamentos Técnicos “Sencamer” informa a la comunidad en general que en el marco de la política de masificación de la calidad y del desarrollo del aparato productivo nacional, ese despacho ofrece a la disposición del público en general y sin costo alguno, las Normas Venezolanas COVENIN “Comisión Venezolana de Normas Industriales ”. Es el organismo encargado de programar y coordinar las actividades de normalización y calidad en el país. Para llevar a cabo el trabajo de elaboración de normas, la COVENIN constituye comités y comisiones técnicas de normalización, donde participan comisiones gubernamentales y, no gubernamentales relacionadas con un área específica. es una adopción de la Norma ISO/IEC 17025:2000 . Asegura la calidad en el Conjunto de actividades planificadas y sistemáticas, aplicadas en un marco que se ha demostrado que son necesarias para dar confianza adecuada de que una entidad cumplirá los requisitos para la calidad. Normas sobre informe. Preparación, revisión y tramitación de los informes y memorandos. Se establecerán procedimientos para la preparación, revisión y tramitación de los informes de auditoria y de estudios especiales de auditoria, así como de los memorandos que tengan que dirigirse sobre la marcha a la entidad, órgano o unidad administrativa que esté siendo objeto de examen. Requisitos del informe de auditoria. Los informes de auditoria o estudios especiales de auditoria contemplarán sólo aspectos significativos y en su redacción se utilizará un lenguaje sencillo y claro. Memorandos. Durante el curso de una auditoria o estudio especial de auditoria se prepararán y enviarán a la entidad, órgano o unidad administrativa objeto de examen, memorandos con los comentarios y recomendaciones que sean pertinentes, en relación con las deficiencias de orden administrativo, contable, financiero, jurídico y presupuestario que se hayan encontrado y que sean susceptibles de subsanarse sobre la marcha. Sólo en casos muy calificados esos comentarios y recomendaciones se reservarán para informes parciales o para el informe final. Informes parciales. Durante el curso de una auditoria o estudio especial de auditoria se prepararán y tramitarán oportunamente los informes parciales que fueren necesarios. Informe final. De toda auditoria o estudio especial de auditoria se preparará oportunamente un informe final. En ese informe se consignará si el examen se originó en el plan de trabajo o si obedeció a una solicitud expresa; se señalará el período que cubre el examen; se indicará si se han cumplido las normas de auditoria generalmente aceptadas aplicables, las normas técnicas de auditoria dictadas por la Contraloría y, asimismo, cualquier otra información que se considere importante. Ese documento, que deberá ser enviado oportunamente a la entidad, órgano o unidad administrativa examinado, incluirá los comentarios, conclusiones y recomendaciones pertinentes y hará referencia asimismo, a las recomendaciones que por medio de memorandos o informes parciales, hayan sido giradas durante la auditoria o estudio especial de auditoria y a la aceptación que se le hayan dado a esas recomendaciones. Verificación del cumplimiento de recomendaciones. Con posterioridad a la presentación de informes y memorandos se realizarán estudios tendientes a verificar si las recomendaciones han sido puestas en práctica. Calidad y normas de La Organización Internacional para la Estandarización (ISO) ISO es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 130 países, uno por cada país, no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico. Las normas ISO aportan grandes beneficios en el sistema de calidad a las empresas, pero aunque ella esta diseñada para agregar valor en el sistema de calidad, no siempre se cumple el objetivo, no por causa de la misma norma. El efecto negativo puede tener origen en diferentes aspectos, el más común, es que no en todas las empresas adoptan la norma como un sistema de calidad, la motivación hacia el ISO es más un certificado necesario que otorga ventajas competitivas, alejándolos del propósito inicial de la misma norma, por lo que el interés esta centrado más que en el mejoramiento, en la certificación y lo que ello significa, y la otra razón es que se inicia el proceso de implementación sin antes hacer un debido proceso de sensibilización que la facilite, pues todas las empresas no están en las condiciones ideales para iniciar un proceso de certificación en la norma ISO. Implementar un sistema hacia la calidad como ISO 9000 requiere más que educación en la norma, es necesario hacer un proceso de sensibilización que involucre a todos los actores de la empresa, entendiendo la sensibilización no como una fase académica del proceso o como un marco conceptual, la sensibilización debe ser más que eso, debe ser un proceso de facilitación y de concientización hacia el cambio, el cual aportará elementos que creen un ambiente favorable para el nuevo sistema de calidad en la empresa. ¿Cómo certificar una norma ISO 9000? Implementar la norma que posteriormente será certificada. Las empresas consultoras especializadas realizan ésta tarea en la misma empresa. Es muy importante corroborar su experiencia en el rubro, mediante referencias suministradas por otras compañías que hubieran requerido el servicio. El listado de consultoras se puede obtener en la Dirección de Promoción de la Calidad de la SAGPyA, en la Subsecretaría de Acción de Gobierno de la Presidencia de la Nación, en el RECACER, provincia de Córdoba y en el ISCAMEN, provincia de Mendoza.. La implementación de la norma puede llevar de 6 a 12 meses de acuerdo a la cantidad de procesos y gestiones incluidas en la gestión de la firma que certificará las ISO 9000. La siguiente etapa es elegir la empresa certificadora de la norma, distinta de la que la implementó. La certificación es realizada por organizaciones acreditadas internacionalmente. El listado de las mismas puede solicitarse en los organismos e instituciones ya mencionados para las consultoras que implementan la norma. La misma empresa certificadora puede otorgar distintos certificados se acuerdo al mercado de destino de los productos o servicios a comercializar e instrumentar varios certificados para un mismo proceso. La certificadora realiza una pre-auditoría para evaluar los puntos de la norma que ya se cumplieron y los que aún no han alcanzado la meta propuesta. La empresa cuenta con 3 a 6 meses para corregir los errores o faltas detectadas. Una vez efectuada la rectificación, la certificadora emite el certificado de registro donde consta que el sistema de calidad de la empresa concuerda con los modelos definidos en las normas ISO. La certificación tiene una validez de 3 años y cada 6 meses la certificadora realiza una auditoria para asegurar que el sistema de calidad se desarrolle en forma adecuada. El propósito de ISO es promover el desarrollo de la estandarización y actividades mundiales relativas a facilitar el comercio internacional de bienes y servicios, así como desarrollar la cooperación intelectual, científica y económica. Los resultados del trabajo técnico de ISO son publicados como estándares internacionales. En este sentido, la ISO 9000 es producto de dicho proceso. Políticas de seguridad. el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema. Al tratarse de `términos generales', aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y lo denegado en cierta parte de la operación del sistema, lo que se denomina política de aplicación específica. Una política de seguridad puede ser prohibitiva, si todo lo que no está expresamente permitido está denegado, o permisiva, si todo lo que no está expresamente prohibido está permitido. Evidentemente la primera aproximación es mucho mejor que la segunda de cara a mantener la seguridad de un sistema; en este caso la política contemplaría todas las actividades que se pueden realizar en los sistemas, y el resto - las no contempladas - serían consideradas ilegales. Cualquier política ha de contemplar seis elementos claves en la seguridad de un sistema informático: *Disponibilidad.* Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesitan, especialmente la información crítica. *Utilidad.* Los recursos del sistema y la información manejada en el mismo ha de ser útil para alguna función. *Integridad.* La información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado. *Autenticidad.* El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema. *Confidencialidad.* La información sólo ha de estar disponible para agentes autorizados, especialmente su propietario. *Posesión.* Los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios. Clasificación general de los controles. Controles Preventivos. Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones o como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos. Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Controles Correctivos. Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores. INFOGRAFIA. http://aabbccddee.galeon.com/winpy.htm http://es.tldp.org/Manuales-LuCAS/doc-unixsec/unixsec-html/node333.html http://www.gestiopolis.com/recursos/experto/catsexp/pagans/ger/49/iso.htm http://www.monografias.com/trabajos14/dificultades-iso/dificultades-iso.shtml http://www.monografias.com/trabajos6/nove/nove.shtml http://www.ccss.sa.cr/auditoria/aud006.htm#400 %20Normas%20sobre%20el%20informe http://www.sencamer.gob.ve/sencamer/documents/Lab_Dimens_COVENIN%202534-2000.ppt http://www.firmajuridica.com.mx/Corporativo.htm http://www.asiainspection.es/code-of-ethics-sp http://www.navactiva.com/web/es/acal/aseso/general/asesor6/2004/28407.jsp http://www.tuobra.unam.mx/publicadas/020829171632-EFICACIA.html
Anaíz Rodríguez				Controles Administrativos en un Ambiente Informático
El control es una actividad trivial, que forma parte de la vida cotidiana del ser humano, consciente o inconscientemente. La finalidad básica del control es la modificación del comportamiento de la persona u objeto que se controla. En el caso del control administrativo, se mira básicamente el comportamiento humano. Esto significa que el control es una función dinámica, no sólo porque admite ajustes, sino también por estar presente en cada actividad humana, renovándose ciclo tras ciclo. Función del Control: Su función es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Técnica y/u Operacional a que no incurran en falta. Y es por ello que aquí el Control es Creativo, Inteligente, y Constructivo de asesoramiento, oportuno a todas las Direcciones o Gerencias a fin de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la máxima eficiencia. La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles: CONTROLES DE PREINSTALACIÓN Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. *Objetivos:* Garantizar que el hardware y software se adquieran, siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Garantizar la selección adecuada de equipos y sistemas de computación Asegurar la elaboración de un plan de actividades previo a la instalación *Acciones a seguir:* · Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio. · Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación. · Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables), el mismo debe contar con la aprobación de los proveedores del equipo. · Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales. · Efectuar las acciones necesarias para una mayor participación de proveedores. · Asegurar respaldo de mantenimiento y asistencia técnica. CONTROLES DE ORGANIZACIÓN Y PLANIFICACIÓN Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como: Diseñar un sistema Elaborar los programas Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operación. Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente. *Acciones a seguir* La unidad informática debe estar al más alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva. Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas. Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas. Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento. El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito. · Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática". · Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan. · Las instrucciones deben impartirse por escrito. CONTROLES DE SISTEMA EN DESARROLLO Y PRODUCCIÓN Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información; que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. *Acciones a seguir:* Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio. El personal de auditoria interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control. El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada. Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores. Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles. Todos los sistemas deben estar debidamente documentados y actualizados. La documentación deberá contener: Informe de factibilidad Diagrama de bloque Diagrama de lógica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones Formatos de salida Resultados de pruebas realizadas Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo. · El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos CONTROLES DE PROCESAMIENTO Los controles de procesamiento se refieren al ciclo que sigue la información; desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para: Asegurar que todos los datos sean procesados Garantizar la exactitud de los datos procesados Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoria Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. *Acciones a seguir:* · Validación de datos de entrada, previo procesamiento, debe ser realizada en forma automática: clave, dígito autoverificador, totales de lotes, etc. · Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección. · Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad. · Adoptar acciones necesarias para correcciones de errores. · Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores. · Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema. · Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios. CONTROLES DE OPERACIÓN Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line. *Objetivos* Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD Garantizar la integridad de los recursos informáticos. Asegurar la utilización adecuada de equipos acorde a planes y objetivos. *Acciones a seguir:* El acceso al centro de computo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado Implantar claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado. Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos. Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de dichos procesos. Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos. Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos. Se deben implantar calendarios de operación a fin de establecer prioridades de proceso. Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc. El proveedor de hardware y software deberá proporcionar lo siguiente: Manual de operación de equipos Manual de lenguaje de programación Manual de utilitarios disponibles Manual de Sistemas operativos Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras, entre otras. Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía. Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación. CONTROLES EN EL USO DEL MICROCOMPUTADOR Es la tarea más difícil, pues son equipos más vulnerables, de fácil acceso, de fácil explotación, pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información. *Acciones a seguir:* Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo. Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. Establecer procedimientos para obtención de backups de paquetes y de archivos de datos. Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa. Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos. Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas. ANÁLISIS DE CASOS DE CONTROLES ADMINISTRATIVOS A continuación se presentarán algunas situaciones hipotéticas planteadas como problemáticas en distintas empresas, con la finalidad de efectuar el análisis del caso e identificar las acciones que se deberían implementar. *Situación 1* Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al archivo maestro de proveedores (en blanco) y lo completo con el código y nombre de un proveedor ficticio, asignándole como domicilio el número de una casilla de correo que previamente había abierto a su nombre. Su objetivo era que el sistema emitiera cheques a la orden del referido proveedor, y fueran luego remitidos a la citada casilla de correo. Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta única modificación procesada en la oportunidad) le fue enviado para su verificación con los datos de entrada, procedió a destruirlo. *Alternativas de Solución* Los formularios para modificarse a los archivos maestros deberían ser prenumerados; el departamento usuario respectivo debería controlar su secuencia numérica. Los listados de modificaciones a los archivos maestros no sólo deberían listar los cambios recientemente procesados, sino también contener totales de control de los campos importantes,(número de registros, suma de campos importantes, fecha de la última modificación ,etc.) que deberían ser reconciliados por los departamentos usuarios con los listados anteriores. *Situación 2* Al realizar una prueba de facturación los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado. *Alternativas de Solución* Uso de formularios prenumerados para modificaciones y controles programados diseñado para detectar alteraciones en la secuencia numérica de los mismos. Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas. Conciliación de totales de control de campos significativos con los acumulados por el computador. Generación y revisión de los listados de modificaciones procesadas por un delegado responsable. Revisión de listados periódicos del contenido del archivo maestro de precios. *Situación 3* El operador del turno de la noche, cuyos conocimientos de programación eran mayores de los que los demás suponían, modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneración más elevada a un operario del área de producción con el cual estaba emparentado. El fraude fue descubierto accidentalmente varios meses después. *Alternativas de Solución* Preparación de totales de control del usuario y reconciliación con los acumulados del campo remuneraciones, por el computador. Aplicación de control de límites de razonabilidad. *Situación 4* Un empleado del almacén de productos terminados, ingresó al computador órdenes de despacho ficticias, como resultado de las cuales se despacharon mercaderías a clientes inexistentes. Esta situación no fue descubierta hasta que los auditores realizaron pruebas de cumplimientos y comprobaron que existían algunos despachos no autorizados. *Alternativas de Solución* Un empleado independiente de la custodia de los inventarios, debería reconciliar diariamente la información sobre despachos, generada como resultado del procesamiento de las órdenes de despacho, con documentación procesada independientemente, por ejemplo, notas de pedido aprobadas por la gerencia de ventas. De esta manera se detectarían los despachos ficticios. *Situación 5* Al realizar una prueba de facturación, los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado. *Alternativas de Solución* Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas. Conciliación de totales de control con los acumulados por el computador referentes al contenido de campos significativos. Generación y revisión, por un funcionario responsable, de los listados de modificaciones procesadas. Generación y revisión de listados periódicos del contenido del archivo maestro de precios. CONTROL DE SISTEMAS E INFORMÁTICA Este control consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas Informáticos), de los organismos sujetos a control, con la finalidad de evaluar la eficacia y eficiencia Administrativa Técnica y/u Operacional de los organismos, en concordancia con los principios, normas, técnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos, Diseño, Software, Hardware, Seguridad, Respaldos y otros) adoptados por la Organización para su dinámica de gestión en salvaguarda de los Recursos del Estado. Existe otra definición sobre el "control técnico" en materia de Sistemas e Informática, y esta se orienta a la revisión del diseño de los planes, diseños de los sistemas, la demostración de su eficacia, la supervisión de rendimientos, pruebas de productividad de la gestión - Demanda llamada "Pruebas intermedias", el análisis de resultados, niveles y medios de seguridad, respaldo, y el almacenamiento. Así mismo medición de la vida útil del Sistema Informático adoptado por la Organización bajo control. *Objetivos* El control de la función informática (Sistema de Información - SI y la Tecnología de la Información - TI). El análisis de la eficiencia de los SI y la TI. La verificación del cumplimiento de la Normativa General de la Organización. La verificación de los Planes, Programas y Presupuestos de los Sistemas Informáticos. La revisión de la eficaz gestión de los recursos materiales y humanos informáticos. La revisión y verificación de Controles Técnicos Generales y Específicos de Operatividad. La revisión y verificación de las Seguridades. De Cumplimiento de normas y estándares. De Sistema Operativo. De Seguridad de Software. De Seguridad de Comunicaciones. De Seguridad de Base de Datos. De Seguridad de Proceso. De Seguridad de Aplicaciones. De Seguridad Física. De Suministros y Reposiciones. De Contingencias. El análisis del control de resultados. El análisis de verificación y de exposición de debilidades y disfunciones. CONTROL DE PROYECTOS Permite al usuario tener un control total de los diferentes proyectos en los que está trabajando la empresa. Se activa a partir de la aceptación de una oferta, momento en el que se transfiere a los departamentos productivos implicados. Las áreas de trabajo que recoge son: Planificación de los proyectos en tiempo y recursos. Seguimiento del proyecto por parte de los coordinadores de la empresa y el cliente. Control de desarrollo. Seguimiento post-venta. Teniendo en cuenta que, dentro de las funciones del gerente de proyectos se encuentra la de dirigir y controlar las operaciones de ejecución de tal modo que el conjunto de acciones ejecutadas se ajusten (en tiempo, costo y calidad) a lo especificado en el proyecto, es de vital importancia para el cabal desarrollo de cualquier proyecto, que el gerente tenga la autoridad, capacidad (de liderazgo, de adaptación), sentido de equilibrio, ingenio (improvisación) y una gran facilidad de comunicación y rapidez para tomar decisiones y para controlar las tareas, teniendo presente la dificultad que esto implica, tratándose de proyectos. Tipos de Control de proyectos a) *Control direccional* El mecanismo de control actúa antes de que la actividad este totalmente concluida. En este caso el control se realiza de modo continuo y no en puntos determinados, de modo que cada elemento de la acción sea el resultado de la rectificación casi instantánea de la acción anterior. En proyectos, este tipo de control se puede realizar cuando se tiene estructurado un sistema, que permita controlar los diferentes factores de manera continua. b) *Control aprobado - reprobado* En este caso, el receptor del control se somete a un examen después de concluidas determinadas actividades. En caso de aprobación se permite la realización de la actividad siguiente. Si hubiera una rectificación, el proceso se interrumpe definitivamente o hasta que se subsanen las irregularidades. En proyectos, si se realiza este control y, se detectan fallas en alguna de las actividades, lo más recomendable es encaminarla(s) correctamente, para que no se presenten problemas posteriores. c) *Control postoperacional* El mecanismo de control sólo se pone en funcionamiento después de concluida toda la operación. La información para la acción correctiva en este tipo de control, solo se utilizara en un periodo (proyecto) futuro cuando se inicie la planificación para un nuevo ciclo de actividades. Este tipo de control se utiliza también con la finalidad de dar premios e incentivos a los agentes que participaron en la actividad. Estos controles se pueden hacer al interior del proyecto (control por dentro) o por intermedio de firmas, externas al proyecto, especializadas en control (control por fuera). Vale la pena mencionar que estos tres tipos de control no son mutuamente excluyentes, sino que más bien, deben ser complementarios. La decisión de emplear un tipo aislado de control o una combinación de los tipos antes mencionados, esta en función del carácter del sistema que se desea controlar y del nivel de complejidad que se intenta introducir en los mecanismos de control. En algunos casos, los contratistas exigen que se haga un control externo al proyecto, para asegurarse de la buena marcha del mismo. El Mecanismo de Control (Seguimiento) El mecanismo de control se propone permitir el seguimiento de la ejecución del Proyecto Integral y la introducción de las correcciones que resultarán de la experiencia adquirida a lo largo del mismo. Comprende: control físico, financiero, de tiempo, institucional, de objetivos. Para la implementación, de un perfecto sistema de control, existen limitaciones, tales como: a) Personal: Dificultad en disponer del personal entrenado, lo que obliga muchas veces a evitar un mayor grado de sofisticación en el sistema que se diseña. b) Instalaciones: No siempre se dispone de instalaciones adecuadas, como, por ejemplo, una oficina de procesamiento de datos. c) Tiempo: Un sistema de control perfecto exige tiempo para su implementación, lo cual no siempre se consigue. Se dispone, en general, de muy poco tiempo para programar las diferentes fases de un proyecto. d) Costo: El costo del control es un factor limitante en lo que refiere al sistema que se va a diseñar. El costo tiende a bajar en los proyectos grandes y con el uso de programas cada vez más eficientes. Metodología *El Control Físico:* El instrumento básico del control físico es la técnica de redes. Entre ellas tenemos: Red PERT/CPM/ROY integrada: Para el caso que tenga que hacer una integración (varias áreas, varios subproyectos, varios proyectos, etc.) se emplea de preferencia el ROY (red de bloques). Cronograma de Gantt: Contendrá además de las duraciones de las actividades, las holguras total y libre correspondientes a cada una de ellas. Las anteriores son sólo algunas de las herramientas utilizadas para el seguimiento en los proyectos, actualmente, existen diferentes paquetes de software para elaborar, controlar y manejar de una manera más eficiente los proyectos. *El Control Financiero:* En él, se deben tener en cuenta aspectos tales como: inversiones, presupuesto, pagos, etc. Es importante tener un seguimiento detallado de las finanzas del proyecto, al fin y al cabo el perjudicado directo si se presentan desviaciones negativas, en la mayoría de los casos, es el ejecutor de la obra. *La Evaluación* *de Objetivos: Se hace teniendo en cuenta el corto y el largo plazo, en este sentido, se tiene como herramienta clave el uso de indicadores de gestión a nivel financiero, tecnológico y social. Control Institucional: Para realizar el seguimiento en términos institucionales, por lo general, se contrata una empresa externa, para que dictamine objetivamente y no se presenten evaluaciones subjetivas. El control institucional consiste fundamentalmente en la formulación de medidas que permitan una coordinación eficiente y operativa entre los diversos organismos, para la consecución del objetivo final. Las principales medidas que se siguen son mejoramiento de los manuales básicos de normas y procedimientos, operaciones, código de servicio, entre otros. El Equilibrio Meta/Costo o Tiempo/Costo:* Para desarrollar este control, se deben diseñar indicadores, que establezcan relaciones entre los tiempos empleados en la consecución de una actividad (o las metas alcanzadas) y los gastos realmente efectuados. El Status Index es uno de los más utilizados en este control, éste suministra información acerca de: relación tiempo/costo para una fecha determinada, tiempo y costo para la terminación del programa, áreas que presentan condiciones críticas, entre otras. El hecho de realizar un buen control en los proyectos, conduce a una mejor utilización y a un mayor aprovechamiento tanto de los recursos físicos, como financieros, pasando por los humanos. Lo cual indica la importancia que debe tener esta parte del management en cualquier tipo de proyecto, por lo cual se debe procurar la implementación de una estructura orientada a mejorar el seguimiento y control, con miras a optimizar recursos y minimizar pérdidas. INFOGRAFÍA 1. Conceptos de la Auditoria de Sistemas. Página de Monografías.com, que contiene información completa sobre la Auditoria de Sistemas. Aquí podrá encontrar conceptos de Auditoria de Sistemas, tipos de Auditoria, objetivos generales y justificación, controles, clasificación general de los controles, controles administrativos en un ambiente de Procesamiento de Datos, Metodología de una Auditoria de Sistemas, entre otros aspectos. *http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml* 2. Controles administrativos en un ambiente de procesamiento de datos. La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles… En esta página encontramos la clasificación y descripción de cada uno de los controles administrativos utilizados en un ambiente informático. http://www.galeon.com/anaranjo/contr_adm.htm 3. Auditoria de Sistemas. En este link se encuentra información sobre la Auditoria de sistemas y el tema de la seguridad en informática. Abarca la descripción de los dos principales objetivos de una auditoria de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad. http://www.monografias.com/trabajos11/siste/siste.shtml 4. Temas de Ingeniería Industrial. Auditoria y Control de Sistemas e Informática. En esta página podrá encontrar un articulo desarrollado por el Ing. Ivan Dimitrie Moyasevich B, con información sobre la Auditoría y Control de Sistemas e Informática. Inicialmente se aclara el concepto de auditoria y luego se describe detalladamente en que consiste este tipo de control. http://perso.wanadoo.es/idmb/a_ing/temas/auditoria_informatica.htm 5. Control de Proyectos. Página de Gestiopolis.com, que contiene información sobre el control y seguimiento de proyectos. Se describen los tipos de controles de proyectos, las limitaciones y metodología, entre otros aspectos. http://www.gestiopolis.com/recursos/documentos/fulldocs/ger/ctrlpytos.htm 6. Planeación y Control de Proyectos con Pert. El objetivo de los sistemas tipo PERT consiste en ayudar en la planeación y el control de proyectos. Este paper contiene información completa sobre esta técnica, se describen sus antecedentes, usos, planeación y control de proyectos con PERT-CPM, entre otros aspectos. http://www.gestiopolis.com/recursos/documentos/fulldocs/ger/pertjcsc.htm
Hernán León				Control de Seguridad. Características del Auditor.
Principales Controles físicos y lógicos. Los controles físicos dependen de las características de los insumos, equipos o Local. Toman en cuenta tanto condiciones ambientales como de seguridad. Consideran aspectos tales como: · Espacio físico · Áreas protegidas · Equipos para guardar los materiales · Equipos para manipular materiales · Áreas de circulación · Laboratorios para el análisis de calidad · Condición de ambiente · Condición y uso de los equipos Los controles lógicos están directamente relacionados con su administración e incluyen factores tales como: · Nivel de existencias · Registro de entradas y salidas · Puntos de orden · Tamaño de los lotes de pedido · Control de calidad · Antigüedad y obsolescencia · Control fiscal · Pólizas de seguros · Autenticidad · Exactitud de los datos · Redundancia · Privacidad · Efectividad · Eficiencia Controles automáticos. El Control Automático de Procesos, se refiere usualmente al manejo de procesos por computadores, El Proceso Electrónico de Datos frecuentemente es relacionado con los sistemas de información, centros de computo, etc. Sin embargo en la actualidad también se considera dentro de esto la obtención, análisis y registros de datos a través de interfases y computadores. La Automatización fija, es aquella asociada al empleo de sistemas lógicos tales como: los sistemas de relevadores y compuertas lógicas; sin embargo estos sistemas se han ido flexibilizando al introducir algunos elementos de programación como en el caso de los (PLC’S) O Controladores Lógicos Programables Un mayor nivel de flexibilidad lo poseen las máquinas de control numérico computarizado. Este tipo de control se ha aplicado con éxito a máquinas de herramientas de Control Numérico (MHCN). Entre las MHCN podemos mencionar: Frezadoras CNC, Tornos CNC, Máquinas de Electro erosionado, Máquinas de Corte por Hilo, etc. El mayor grado de flexibilidad en cuanto a automatización se refiere es el de los Robots industriales que en forma más genérica se les denomina como "Celdas de Manufactura Flexible". Control de seguridad, los problemas y su alcance. Se considera el problema de la inseguridad como el lógico resultado de deficiencias administrativas, todavía se considera que los accidentes son el resultado de descuidos, distracciones, falta de atención al trabajo, negligencia del trabajador en fin, casi siempre se califica al trabajador como irresponsable. La función del área de seguridad es, asegurar a la organización en el desarrollo e implementación de una cultura industrial, una cultura de seguridad, su actividad principal es de staff, sin embargo, tiene actividades operativas y de línea. El departamento de seguridad debe ser un soporte para la organización, un lugar donde obtener información, soporte técnico, apoyo para la solución de problemas de seguridad, higiene, etc., el profesional que oriente a la empresa en la forma más práctica, efectiva y económica de resolver el manejo de los riesgos, quien advierta a la organización sobre riesgos potenciales no advertidos o no evaluados correctamente. Definitivamente es necesario dejar atrás el concepto único de prevención de lesiones, debemos actuar más ampliamente detectando y controlando todos los posibles riesgos que puedan impactar a nuestra organización, esto no conduce al desarrollo de otras áreas importantes de seguridad como son: prevención de accidentes, control de daños materiales, higiene industrial, medicina del trabajo, protección y vigilancia, protección contra incendio, protección ecológica, seguridad de sustancias químicas, planeación de respuestas a emergencias, desarrollo de la actitud organizacional, protección a la comunidad en proyectos, seguridad del producto, seguridad radiológica, seguridad en proceso, etc. Todas y cada una de ellas son disciplinas con una metodología y técnica de aplicación diferente y característica que debemos de conocer y manejar correctamente para lograr que nuestra empresa sea productiva y pueda controlar sus pérdidas ampliando así su margen de utilidad y competitividad en el mercado. Desde este punto de vista la seguridad está involucrada en todas y cada una de las actividades de la empresa protegiendo integralmente sus recursos humanos, materiales y financieros, incluyendo su imagen ante la comunidad, esto es la SEGURIDAD INTEGRAL. Conceptualizando: la SEGURIDAD INTEGRAL pretende la protección de los recursos humanos, económicos, tecnológicos, materiales y financieros de la organización ampliando su cobertura hasta la protección a la comunidad y su interactuación con ella para responder a situaciones que afecten a ambas. Recursos y Requerimientos El Ejecutor debe poner a disposición de los auditores la información relacionada con la operación, como sigue: · Documento del proyecto y sus anexos. · Contrato de préstamo y /o convenio de cooperación técnica. · Documentos de licitaciones. · Originales de todos los comprobantes que evidencian los pagos efectuados. · Documentos de recepción de los bienes y servicios contratados. · Contratos de obras, de compras de bienes y servicios. · Informe del sobre desembolsos de la operación (LMS 1). · Solicitudes de desembolsos presentadas al Banco. · Otros documentos requeridos por los auditores. · Los diseños físicos y lógicos de los sistemas. · Debe contar con sistemas de análisis tabular. · Computadores. Característica del auditor. Las cualidades profesionales que se requieren de un auditor independiente son las de una persona con la educación y experiencia necesaria para actuar como tal. No incluyen las de una persona entrenada o calificada para actuar en el campo de otra profesión u ocupación. Por ejemplo, cuando el auditor independiente observa la toma física de inventarios, no pretende actuar como un tasador o como un experto en materiales. Del mismo modo, aún cuando el auditor independiente tiene conocimientos generales sobre temas de derecho comercial, no tiene el propósito de actuar en calidad de abogado y puede apropiadamente apoyarse en el consejo de abogados en todas las materias legales. Enumeración y definición de las características de un auditor. Formación técnica y capacidad profesional . La auditoria deberá ser realizada por personas con formación técnica y capacidad profesional adecuadas. Independencia. Durante su actuación profesional tanto los órganos de control externo como los auditores mantendrán una actitud independiente y una posición de objetividad total, especialmente frente a la propia estructura administrativa. Diligencia profesional. La ejecución de los trabajos y la emisión de los informes se llevarán a cabo con el debido cuidado profesional. Responsabilidad. El auditor deberá realizar su trabajo de acuerdo con las normas de auditoria establecidas y será responsable de su informe con las limitaciones al alcance expresadas, en su caso, en el mismo. Secreto profesional. Los auditores deberán mantener y garantizar la confidencialidad sobre la información obtenida en el curso de sus actuaciones. Normas para el desarrollo de los principios relativos al sujeto auditor. La auditoria deberá ser realizada por personas con formación técnica y capacidad profesional adecuadas. Las normas que desarrollan el principio anterior deben contemplar tras aspectos básicos: *Formación. Los auditores deberán conocer: · Los métodos y técnicas empleados en auditoria. · Los principios y normas contables y presupuestarios. · El funcionamiento, organización y características del Sector Público. Experiencia.* Puesto que la capacidad profesional es el resultado de la conjunción de la formación y de la experiencia, la organización de auditoria fijará la experiencia que deberá poseer el personal auditor para el adecuado cumplimiento de sus funciones. *Actualización.* La actualización permanente de conocimientos es requisito necesario para mantener la capacidad profesional. La organización de auditoria será responsable de establecer y ejecutar un programa que garantice el conocimiento, entre otros, de los nuevos desarrollos en auditoria, contabilidad, muestreo estadístico y evaluación y análisis de datos. *Independencia. Durante su actuación profesional, tanto los órganos de control como los auditores mantendrán una actitud independiente y una posición de objetividad total, especialmente frente a la propia estructura administrativa. Este principio centra tanto en el auditor como en la organización de la auditoria la responsabilidad de conservar su independencia, a través del cumplimiento de las normas de: imparcialidad, apariencia de imparcialidad y ausencia de incompatibilidades. Imparcialidad.* Las opiniones, conclusiones y recomendaciones del auditor requieren la consideración objetiva de los hechos y su juicio imparcial. *Apariencia de imparcialidad. El auditor no sólo debe ser imparcial, sino que debe evitar cualquier actitud o situación que permita a terceros dudar de su independencia. Ausencia de incompatibilidad. La independencia del auditor puede estar disminuida por incompatibilidades de orden personal, de orden externo y en sus relaciones con la estructura administrativa. En caso de producirse alguna de tales limitaciones, el auditor deberá rehusar la realización de la auditoria o explicar claramente su situación El auditor frente a la evolución tecnológica. La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), o (Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolución de la tecnología informática de los últimos 10 años. en la medida en que la INFORMACION* es considerada un activo tan o más importante que cualquier otro en una organización. Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, racionabilidad, y disponibilidad de la INFORMACION tratada y almacenada a través del computador y equipos afines, así como de la eficiencia, eficacia y economía con que la administración de un ente están manejando dicha INFORMACION y todos los recursos físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento. La responsabilidad del auditor. El auditor independiente tiene una responsabilidad con su profesión, la responsabilidad de cumplir con las normas aceptadas por sus colegas en el ejercicio de la profesión. Hacer sugerencias sobre la forma o contenido de los procedimiento auditad o preparar borrador de éstos, en forma total o parcial, basado en información de los sistema de información. Sin embargo, la responsabilidad del auditor se limita a expresar su opinión sobre ellos. Las obligaciones y responsabilidades de la función de auditoria consiste en el análisis de cada departamento operativo y en el ulterior informe a la administración sobre los resultados de sus verificaciones. La función de auditoria le cabe la responsabilidad de formular recomendaciones objetivas para corregir las situaciones denunciadas. El auditor debe presentar: · Una explicación de la Estructura del informe. · Los Objetivos de la revisión · Alcance de la revisión · Procedimientos de Revisión · El Informe de Auditoria · recomendaciones de auditoria Ejemplo: http://www.contraloria.gov.py/magu/AUDITORIA%20A%20PRESTAMOS%20INTERNACIONALES.pdf#search=%22Recursos%20y%20Requerimientos%20para%20una%20auditoria%22 Similitudes y diferencias con la auditoria tradicional. Similitudes. No se requieren nuevas normas de auditoria, son las mismas. Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones. Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoria. Diferencias. Se establecen algunos nuevos procedimientos de auditoria. Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable. Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas. · El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno. INFOGRAFÍA. http://www.gestiopolis.com/recursos/documentos/fulldocs/fin/auditcontxactual.htm http://html.rincondelvago.com/auditoria-de-los-sistemas-de-informacion.html http://www.gestiopolis.com/recursos/documentos/fulldocs/fin/infaud.htm#fun http://www.contador.cl/1311/article-49579.html http://www.gestiopolis.com/recursos/documentos/fulldocs/fin/ppiodnoraus.htm http://www.gestiopolis.com/recursos/documentos/fulldocs/ger/cursoauditoriacalidad.htm http://www.stps.gob.mx/312/revista/2000_3/funciones.htm http://www.elprisma.com/apuntes/ingenieria_mecanica/controlnumericocnc/ http://www.ifes.es/Condiciones_Generales_Uso_IFES.htm http://www.solocursos.net/conceptos_de_la_auditoria_de_sistemas-slccurso315007.htm http://www.unameseca.com/Ejercicios/Negocios/introAdmon/b_analisisEmp/02_produccion/03_almacenMaterial/almacenMaterialATex.htm